Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Rechnung“

Rechnung

Montag, 9. Dezember 2013

Oha, und gleich so viele davon auf einmal!

Von: DHL <info@telekom.de>
Betreff: Rechnung

Aha, DHL ist die neue Telekom. :mrgreen:

Rechnung

Ja, das ist die ganze Mail. Mehr Text steht nicht drin.

Die ganze Mail? Aber mitnichten, denn daran hängt noch ein Anhang. Er trägt den tollen Dateinamen TR pdf.zip und will damit schon verbergen, dass es sich um ein ZIP-Archiv handelt. In diesem ZIP-Archiv befindet sich die Datei TR pdf.exe, die ebenfalls kein PDF-Dokument ist, sondern eine ausführbare Datei für Microsoft Windows, deren Absender mit einem Dateinamenstrick den Eindruck erwecken will, dass es sich um ein Dokument handele. Wer diese Datei auf seinem unter Microsoft Windows laufenden Rechner mit einem Doppelklick ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Und die werden damit etwas anfangen, was keinem Menschen gefallen kann.

Da es – wie üblich in derartigen Spams – sehr aktuelle Schadsoftware ist, wird sie nur von einem guten Drittel der gängigen Antivirus-Programme erkannt. Vor einigen Stunden sah es noch trüber aus. Zum Glück ist es für ein handelsübliches Gehirn bei dieser Mail sehr einfach, zu bemerken, dass es sich um eine Spam handelt. Und in einer illegalen und asozialen Spam von mindestens halbseidenen, oft sogar offen kriminellen Leuten klickt man nicht herum, die löscht man. 😉

Sagt mal, Spammer: Wen wollt ihr damit beeindrucken?!

RechnungOnline Monat Oktober 2013

Montag, 30. September 2013

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.

RechnungOnline Monat April 2013

Donnerstag, 16. Mai 2013

Ein wichtiger Hinweis vorweg: Diese Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de kommt nicht von der Telekom Deutschland GmbH, sondern von Verbrechern. Sie kommt übrigens auch bei Leuten wie mir an, die mit der Telekom nichts zu tun haben.

Auf die Übernahme des sehr aufwendigen Layouts dieser HTML-Mail habe ich verzichtet. Es ist identisch mit dem Layout, das bei der ersten Version dieser Betrugsnummer im Februar dieses Jahres verwendet wurde. Hier nur ein kurzes Zitat des eigentlichen Textes:

Ihre Rechnung für April 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat April 2013 beträgt: 46,43 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

Diese Mail hat einen Anhang. Es handelt sich um ein ZIP-Archiv. Darin befindet sich eine Datei mit der Dateinamenserweiterung .pdf.exe, also eine ausführbare Datei für Microsoft Windows, bei der die Absender mit einem alten Trick versuchen, den Eindruck zu erwecken, es handele sich um ein PDF-Dokument. Wer diese Datei auf einem unter Microsoft Windows laufenden Rechner mit einem Doppelklick öffnet, führt dadurch – egal, was geschieht, ob es Fehlermeldungen oder sonst etwas gibt – Code von Kriminellen auf seinem Rechner aus und hat hinterher einen Computer und eine Internetleitung anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit nur von etwas mehr als einem Fünftel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist also in vielen Fällen verlassen gewesen.

Für Hinweise zum wirkungsvolleren Selbstschutz verweise ich auf meinen Text aus dem Februar. Insbesondere kann ich nur dazu auffordern, so lange bei der Telekom Deutschland GmbH nachzufragen, warum sie nicht dazu imstande sei, digital signierte E-Mail zu versenden, bis es dort zum allgemeinen Einsatz dieser einfachen Sicherheitsmaßnahme kommt, die den Absender einer Mail jenseits vernünftiger Zweifel sicherstellt und damit den Auftritt unter falscher Identität in einer Mail erschwert. So lange große Unternehmen ihre Mail nicht digital signieren und damit dermaßen plumpe Überrumpelungen ermöglichen, kann man diesen Unternehmen nur zurufen: Ihr seid selbst die Spam, ihr seid das Botnetz, ihr seid der Betrug und ihr seid in eurer seit Jahren anhaltenden Dummheit und Trägheit fördernder Teil der organisierten Kriminalität.

Rechnung für N. N. GmbH

Mittwoch, 6. März 2013

Soso, eine Rechnung, wie alarmierend. Und wofür soll ich jetzt Geld bezahlen?

Guten Tag,
Das Neue Jahr startet gleich mit riesigen Rabatten:

+++ hochwertiger Profi-Schneeschieber mit Reifen: statt 399,- Euro* nur 139,- Euro
+++ Profi-Werkzeugset mit 186 Teilen (Chrom-Vanadium-Stahl): statt 999,- Euro* nur 139,-
+++ Kofferset (3 hochwertige Hartschalen-Rollkoffer): statt 599,- Euro* nur 139,- Euro

Ah ja, für Nichts. Weil es gar keine Rechnung ist. Das neue Jahr hat zwar schon vor 64 Tagen angefangen, aber das hält so einen Dummspammer in seiner Haltung des totalen Denkverzichts natürlich nicht davon ab, vom neuen Jahr zu faseln, das ihn zu irgendwelchen Angeboten motiviert. Und von Rabatten, also von geringeren Preisen als den selbstausgedachten Mondpreisen für seinen Tand… sorry… für seine hochwertigen Profi-Produkte.

Gleich anschauen und bestellen:
http://Rabatt-AAAAABB-2013-5.com/

Die anatomische Frage, ob die besonderen Geschäftsideen dieses Spammers wohl daher kommen, dass sein Dickdarm im Schädel endet, kann ich leider nicht beantworten. Die tolle Wegwerfdomain schafft jedenfalls so richtiges Vertrauen! Sie wurde erst gestern eingerichtet.

Und vieles mehr! Schauen Sie direkt ‚rein, vieles ist fast ausverkauft.

Schnell, schnell, vieles ist fast weg! Nicht nachdenken! So schreibt jemand, der auf Spam setzt, weil er weiß, dass sein Tinnef ohne dieses besonders asoziale Werbemittel nicht weggehen wird. Und der „Rechnung“ in den Betreff reinschreibt, weil er weiß, dass ein ehrlicherer Betreff dazu führt, dass seine höchst unerwünschten Drecksmails ungelesen gelöscht werden. Großes Kino! Eine Brieftaube flog übers Kuckucksnest.

Viele Grüße
Kornelia Marquardt

Mechanische Grüße
Ihr dummer Spammer mit ausgedachtem Namen.

Newsletter Abmelden: http://Rabatt-AAAAABB-2013-5.com/abmelden

Wer möchte, darf gern mitteilen, dass die Spam ankommt – bei Leuten, die schon mit ihrem Spamversand zeigen, dass ihnen der Wunsch anderer Menschen nach einem müllfreien Postfach gleichgültig ist.

* Zu diesen und ähnlichen Preise im Handel gesehen

PS: Die Vergleichspreise weiter oben waren Lüge, aber die richtigen Preise waren ganz ähnlich. Sie bestanden auch aus Ziffern mit einer Währungsangabe.

Dieses Zustecksel aus dem täglichen mechanischen Irrsinn ist von meinem Leser B. H., der diesen und vergleichbaren Sondermüll seit Monaten bekommt.

RechnungOnline Monat

Mittwoch, 20. Februar 2013

Ganz kurz nur eine aktuelle Warnung: Die im folgenden gezeigte E-Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de (ja, mit einem seltsamen Punkt drin) kommt nicht von der Telekom Deutschland GmbH, auch wenn sie auf dem ersten Blick überzeugend aussieht. Sie kommt von Verbrechern und enthält einen äußerst gefährlichen Anhang.

Screenshot der angeblichen Rechnung

Im Original steht da noch eine Menge Reklame für Telekom-Produkte drunter. Vermutlich sind die Mails der Telekom ähnlich gestaltet und werden bei jeder Gelegenheit mit einem Berg von nervender, in der Regel unerwünschter Reklame angereichert.

Die angehängte Datei mit den immer wieder wechselnden Namen ist keine Rechnung der Telekom, sondern ein ZIP-Archiv voller aktueller Schadsoftware. Zuzeit wird diese Schadsoftware von drei Vierteln der „Antivirusprogramme“ nicht erkannt. Wer das ZIP-Archiv entpackt (oder in einem modernen Dateimanager öffnet) und die darin liegende Datei mit der Namenserweiterung .pdf.exe öffnet, wird also von seiner „Schutzsoftware“ im Stich gelassen. Deshalb öffnet man solche Anhänge ja auch nicht, sondern löscht die Spam sofort.

Man kann leicht erkennen, dass es sich um eine Spam handelt, wenn man den Text der zugegebenermaßen überzeugend gestalteten E-Mail aufmerksam liest.

Ihre Rechnung für Januar 2013

Ich bin kein Kunde der Telekom, aber ich würde annehmen, dass dieser Text im Betreff der E-Mail stünde – anstelle des lächerlichen Textstummels „RechnungOnline Monat“.

Guten Tag,

Keine Unternehmung würde darauf verzichten, ihre Kunden namentlich anzusprechen. Wenn solche Mails ohne persönliche Ansprache kommen, braucht man schon nicht mehr weiterlesen und kann den Sondermüll löschen.

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 43,48 Euro.

Es bedarf nur kurzen Nachdenkens, um diesen Satz als Blendwerk zu entlarven. Etliche Kunden der Telekom nehmen mehrere Dienstleistungen in Anspruch. Deshalb würde zu dem Hinweis auf „Ihre aktuelle Rechnung“ stehen, wofür diese Rechnung ist, und zwar in Form einer Produktbeschreibung und ergänzend, um es in jedem Fall eindeutig zu machen, einer Vertragsnummer. Ohne diese klärenden Angaben ist der angebliche „Rechnungsbetrag“ für eine recht große Minderheit der Kunden bedeutungslos.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Unglaublicherweise geht der Link in die Telekom-Site. Es ist eben kein Phishing, sondern der Versuch, den Computer kriminell zu übernehmen.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Steht so ein Text wirklich in Mails der Telekom? Wenn ja, dann würde die Telekom aktiv dabei helfen, dass gefährliche Spam-Kriminelle ihre gefälschten Absenderadressen „plausibel“ machen können. Die Telekom wäre damit ein gedankenloser Gehilfe der organisierten Kriminalität. Ich kann mir nicht vorstellen, dass bei der Telekom dermaßen dumme Entscheidungen getroffen werden.

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Nur echt mit einem Bild der eingescannten Unterschrift.

Bitte löschen!

Selbstschutz

Wie sich an diesem Beispiel zeigt, ist so genannte Schutzsoftware vollständig wirkungslos. Das Geld für den zusätzlichen Energieverbrauch eines ständig im Hintergrund mitlaufenden Schlangenöl-Programmes könnte man sich sparen. Man könnte es zum Beispiel darin investieren, ein kostenloses Betriebssystem zu installieren, das wesentlich weniger Sicherheitsprobleme bietet und es damit kriminellen Zeitgenossen wesentlich schwieriger macht, den Rechner durch zugesandte Schadsoftware zu übernehmen.

Wer das nicht kann – ich weiß, dass es Menschen gibt, die auf Microsoft Windows angewiesen sind, aber ich weiß auch, dass es viel mehr Menschen gibt, die glauben, darauf angewiesen zu sein als solche, die es wirklich sind – sollte wenigstens sein Hirn schulen, denn das ist und bleibt der beste Virenschutz.

  1. Immer wissen, dass Absenderadressen beliebig fälschbar sind! Nicht von der Absenderadresse verblenden lassen!
  2. Immer wissen, dass das Design beliebig aus einer anderen, echten E-Mail kopierbar ist! Nicht vom Design verbleben lassen!
  3. Bei Geschäftskontakten, die aufwändig formatierte HTML-Mails versenden, rückfragen, warum sie für ihre Kommunikation keine Text-Mails versenden wollen – und warum sie ihre E-Mail nicht digital signieren, um im Zeitalter der organisierten Internet-Kriminalität den Absender jenseits jedes vernünftigen Zweifels sicher zu stellen. Digitale Signatur ist keine Raketentechnologie, sondern ein Verfahren, das jedem Internetnutzer seit über einem Jahrzehnt fertig und kostenlos zur Verfügung steht. Wer geschäftliche Mails nicht digital signiert, ist selbst ein Teil des Phishings und der Kriminalität! Das sollte immer wieder kommuniziert werden (insbesondere gegen Banken), bis diese Technikverweigerung auf Kosten der Kundensicherheit endlich aufhört.
  4. Immer wissen, dass kein Unternehmen darauf verzichten wird, seine Kunden persönlich in Mails mit Rechnungen und anderen vertragsrelevanten Daten und Vorgängen anzusprechen! Wenn eine solche persönliche Ansprache fehlt, kann die Mail gelöscht werden, es handelt sich immer um einen kriminellen Versuch.
  5. Immer wissen, dass der Vertragsgegenstand, auf den sich eine geschäftliche Mail bezieht, in jedem Fall präzise benannt werden wird. Die hier vorliegende Mail sagt, wenn man sie ihrer formalen Sprache entkleidet, folgendes: „Zahlen sie uns 43 Euro und ein paar Zerquetschte, ohne dass wir ihnen sagen, wofür sie zahlen sollen“. So etwas ist ein klares Anzeichen für Spam und sollte dazu führen, dass man die Mail ohne weiteres Nachdenken löscht.
  6. Niemals auf Virenscanner verlassen, sondern immer sehr vorsichtig bei E-Mail sein. In Zweifelsfällen immer rückfragen. Niemals eine ausführbare Datei für Microsoft Windows öffnen, die als Mailanhang zugestellt wird, denn das ist immer Schadsoftware. Aber auch bei Dokumentformaten wie PDF ist Vorsicht angemessen, denn der Adobe Reader strotzt nur so vor kriminell ausbeutbaren Fehlern, und ein typisches Office-Dokument kann Programmcode enthalten.

Diese Mail ist recht überzeugend, und sie ist durch meinen Spamfilter geflutscht. Sie wird auch bei vielen anderen Menschen durch den Spamfilter gehen, und etliche davon sind Telekom-Kunden. Es ist davon auszugehen, dass die Kriminellen mit dieser Spam-Aktion tausende neuer Botrechner in Deutschland bekommen werden.

Mitschuldig daran ist die Telekom, die in ihrer E-Mail-Korrespondenz nicht auf digitale Signatur (und eine Aufklärung ihrer Kunden, wie sich der Urheber der Mail sicher feststellen lässt) setzt, sondern auf beliebig kopierbares Design einer HTML-formatierten Mail. Diese Entscheidung von Menschen, die vermutlich eher in Begriffen des Marketings als der Computersicherheit denken, macht es Verbrechern unnötig leicht und spielt hirnlos mit der Privatsphäre, dem Geld und den Computern von Kunden herum. Solchen Haltungen muss endlich die Ächtung entgegengebracht werden, die solche Haltungen verdienen. Und zwar überall, nicht nur bei der Telekom.

Die nächste überzeugende Spam mit tausenden Opfern kommt nämlich bestimmt.

Rechnungen von ImmobilienScout24?

Dienstag, 15. Januar 2013

Davon gibt es im Moment viele, immer mit anderen Absendern und mit verschiedenen Betreffzeilen, aber dem immer gleichen Text:

Sehr geehrte Kundin, [sic!]

Sie finden die Rechnung in der PDF-Datei im Anhang

Mit freundlichen GrГјГџen
Ihr ImmobilienScout24 Team
____________________________
Hinweis: Dies ist eine automatische E-Mail. Bitte schicken Sie keine Nachrichten an diesen Absender.

Immobilien Scout GmbH HRB 77017

Mit freundlichen WAS?!

Natürlich kommt diese Rechnung ohne persönliche Ansprache (erstes Alarmzeichen) und ohne Bezugnahme auf irgendeinen Geschäftsvorfall, die der Empfänger „entziffern“ kann – die „Rechnungsnummern“ in vielen Betreffzeilen sind einfach nur Zufallszahlen. Wer den Anhang öffnet, der zurzeit von keinem Scanner als Schadsoftware erkannt wird, hat verloren, wenn er dazu den Adobe Reader verwendet. Dass diese Mail nicht von ImmobilienScout24 kommt und dass der Absender gefälscht ist, muss ich wohl nicht eigens erwähnen…

Alles weitere gibts bei Heise Online.

Online-Rechnung. 38757114296988

Donnerstag, 28. Juni 2012

Ach, das mir auch immer tolle Rechnungen in das Postfach flattern? Wer ist da der (natürlich gefälschte) Absender? Oh, info (punkt) rafn (at) web (punkt) de, das muss ja ein toller Rechnungssteller sein, der eine kostenlose und anonym einzurichtende Mailadresse bei einem Freemailer verwendet! Schon scheiße, Spammer, wenn man so doof ist, dass man zwar die Absenderadresse fälscht, das Ergebnis aber dermaßen bescheuert gerät.

Online-Rechnung. 38757114296988

Idiot, das steht schon im Betreff. Und, was soll dieser Ziffernsalat? Glaubst du, dass das schon ausreicht, wenn man jemanden nicht persönlich ansprechen kann? So nach dem Motto: Da steht eine Ziffernfolge, die mir gar nichts sagt, damit bin bestimmt ich gemeint? :mrgreen:

Sehr geehrte Damen und Herren,

Falls es jemand immer noch nicht bemerkt hat: Der Absender stellt eine „Rechnung“ an einen völlig Unbekannten, es handelt sich um eine Spam. Und wofür gibts die Rechnung? Aha…

Ihre Bestellung von Zusatzleistungen wurde erledigt.

…für eine erledigte Bestellung von Zusatzleistungen. Irgendwas halt. Man schreibt ja Rechnungen immer ganz unbestimmt, so dass sie beim Empfänger wie „Zahlen sie bitte grundlos 120 Euro“ klingen. :mrgreen:

Ihre Rechnung ist im PDF-Format erstellt und mit einer digitalen Signatur versehen.

In der Tat, die Mail hat einen Anhang, und das scheint auch ein PDF zu sein. Leider hat der Idiot von Spammer nicht die tieferen Geheimnisse der MIME-Types verstanden und Content-type: text/plain angegeben, was bedeutet, dass dieser Anhang bei den meisten Menschen im Texteditor geöffnet wird. Das gibt in der Tat einen völlig neuen Einblick in ein PDF-Dokument. Ich würde allerdings strikt davon abraten, dieses PDF mit ein paar Tricks zu öffnen. Es enthält einen Exploit, der zur Installation einer aktuellen Kollektion von Schadsoftware führt.

Vermutlich werden die Spammer in der nächsten Welle dieser Drecksspam auch die technische Kleinigkeit hinbekommen, dass das PDF direkt aus der Mail geöffnet werden kann. Aber wer seine fünf Sinne beisammen hat, der käme niemals auf die Idee, in einer Spam herumzuklicken.

Ihr Vodafone Team

Vodafone D2 GmbH
Adresse: Am Seestern 5, 43706 Dusseldorf
Zentrale: Am Seestern 5, 43706 Dusseldorf

Nein, diese Mail kommt nicht von Vodafone, aber…

Hinweis: Dies ist eine automatisch versendete Nachricht.

…dafür ist wenigstens der abschließende Hinweis wahr. 😀

04.05.2012 Ihr Kauf 9940148552

Freitag, 4. Mai 2012

Ja ja, schon klar, ich habe ganz viel gekauft! Was? Na, eine Nummer natürlich. Und wo? Ach, das ist nicht so wichtig. Hauptsache, ich bin alarmiert und tue deshalb das, was die kriminellen Spammer wünschen – natürlich für die Spammer.

Guten Tag lieber Kunde/Kundin,

Name? Fehlanzeige. Diese Mail ist nämlich Massenware, geht millionenfach in die Postfächer.

Ihr Anmeldekonto wurde aktiviert.
793,74 Euro Jahresbeitrag ist ab sofort zu begleichen.

Boah, für ein „Anmeldekonto“! 😀

Ein dümmeres „Produkt“ ist den Spammern wohl nicht eingefallen.

Die Zahlung wird innerhalb 2 Tagen abgeschrieben. [sic!]
Sie werden in nächsten Tagen angerufen und ein Treffen wird ausgemacht. [sic!]
Bezahlauflistung [sic!] und Widerruf Mitteilung [sic!] finden Sie im zugefügten Ordner [sic!].

Der „zugefügte Ordner“ ist ein ZIP-Archiv mit dem Namen Schreiben.zip, und darin liegt eine einzige Datei Schreiben.exe. Das ist kein Dokument, sondern ein ausführbares Programm für Microsoft Windows, das direkt von kriminellen Spammern zugestellt wurde. Wer das ausführt, hat verloren und bekommt einen reizenden Satz aktueller Viren, Trojaner und Keylogger installiert.

Döbben GmbH
Hermannstal 35
32471 Essen

Telefon: (+49) 869 6106xxx [von mir unkenntlich gemacht]

Verstehe, Essen hat also eine neue Vorwahl bekommen. Dieses lästige 0201 war ja auch viel zu einprägsam, da musste man unbeding 0869 draus machen. Und nein…

(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Hamburg

…zum Hamburg passt die von den Spammern angegebene Vorwahl auch nicht. Oder gefiel den Hamburgern die Vorwahl 040 nicht mehr. :mrgreen:

Aber die Anschrift „Hermannstal 35, Essen“ existiert ja auch nicht. Warum sollten sich Spammer mit derartigen Details Mühe geben? Wenn sie sich Mühe geben wollten, könnten sie ja auch gleich auf weniger verwerfliche Weise Geld verdienen.

Umsatzsteuer-ID: DE667802455
Geschäftsfuehrer: Ralf Voigt

Wie üblich: Keine persönliche Anrede, keine Grußformel, kein Hinweis auf eine Firmenhomepage, maximale unpersönliche Kälte. Allein daran kann man solche Versuche der organisierten Internet-Kriminalität von echten geschäftlichen Mails unterscheiden.

Übrigens gibt es diese Pest mit vielen verschiedenen Texten, aber immer der gleichen Masche. Hier ein anderer Bullshit der Spammer aus meinem heutigen Müllaufkommen:

Betreff: Artikelbestellung 31902893166

Guten Tag lieber Kunde/Kundin,

Ihr Mitgliedskonto wurde aktiviert.
730,47 Euro Mitgliedsbeitrag ist ab sofort zu bezahlen.

Die Zahlung wird innerhalb 2 Tagen abgeschrieben.
Sie werden bald angerufen und ein Termin wird ausgemacht.
Artikeleinzelheiten und Storno Mitteilung finden Sie im zugefügten Ordner.

Soko GmbH
Audorfring 42
06676 Augsburg

Telefon: (+49) 166 0648xxx
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: DE080687447
Geschäftsfuehrer: Jochan Vigt

Anhang hier ebenfalls Schreiben.zip.

Sehr nett von den Spammern finde ich übrigens die in allen ihren Müllmails konstante Schreibweise „Geschäftsfuehrer“, die mir das Erstellen einer Regel zum Aussortieren des Sondermülls vereinfacht hat.

Selbst wenn die Texte der Betrüger in den nächsten Tagen besser werden sollten: Niemals den Anhang einer unverlangt zugestellten Mail eines Unbekannten öffnen! Vermutlich werden viele, auch frisch aktualisierte Virenscanner bei der Erkennung des Schädlings versagen, die Kriminellen sind da immer ein paar Tage voraus. (Ich kann das nicht beurteilen, weil ich nur Betriebssysteme benutze, für die ich keinen Virenscanner brauche, und das kann ich nur empfehlen!) Es ist also erforderlich, solche kriminellen Versuche mit dem Kopf zu erkennen.

In diesem Fall ist das einfach: Eine angeblich geschäftliche Mail ohne persönliche Ansprache ist immer ein Überrumpelungs- und Betrugsversuch. Aber selbst, wenn das ganze viel überzeugender formuliert worden wäre: Für einen Vertrag, den man nicht abgeschlossen hat, braucht man auch nichts zu bezahlen – es erübrigt sich daher, einen Mailanhang zu öffnen oder ähnliche Panikreaktionen an den Tag zu legen, die sich derartige Spammer wünschen. Stattdessen lieber einmal in aller nur möglichen Ruhe das Internet nach der Firma und ihrer Anschrift durchsuchen (die armen Leute, deren Telefonnummern in den Mails stehen, tun mir leid, denn sie hatten heute einen Tag voller Telefonterror mit vielen entnervten Anrufen) und dabei feststellen, dass nicht einmal die Anschrift existiert – das klärt auch die letzten Unklarheiten. Sollte es eine derartige Firma aber wirklich unter der angegebenen Anschrift geben, kann man immer noch auf deren Homepage die Telefonnummer oder Mailadresse herausfinden und in Kontakt treten, um so eine Sache aufzuklären.

Aber niemals, niemals, niemals sollte man den Mailanhang einer unverlangt zugesandten Mail eines Unbekannten öffnen. Auch nicht, wenn es keine EXE ist, sondern ein beliebiges anderes Format. Die kriminellen Spammer sind auf aktuellem technischen Stand und kennen alle ausbeutbaren Sicherheitsprobleme der populären Betriebssysteme. Solchen Leuten das Privileg einzuräumen, etwas auf dem eigenen Rechner auszuführen oder darzustellen, ist grob vergleichbar mit der Dummheit, eine Horde stadtbekannter Vandalen und Langfinger in die eigene Wohnung zu lassen und dort unbeaufsichtigt ihren Mutwillen treiben zu lassen. Niemand würde das tun, nicht einmal ein Dummkopf. Und niemand sollte in Hinsicht auf seinen Computer – der empfindlich weit in die Privatsphäre reinragt und überdem einem Angreifer direkten Zugriff auf das Bankkonto ermöglicht – anders denken und vorgehen. Anhänge von unverlangt zugestellten Mails öffnet man einfach nicht! Genau so wenig, wie man in eine Spam klickt. Und genau so wenig, wie man einen brutalen Schlägertypen in seine Wohnung lässt.

Wer es dennoch tut: Viel Spaß mit der Beseitung der hier ausgelieferten Variante des BKA-Trojaners, der nur von zehn Prozent der gängigen Virenprogramme als das erkannt wird, was er ist! Anleitungen, wie man diese Pest wieder los wird, gibt es auf einer eigens dafür eingerichteten Website.