Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „RTF“

rechnung tamagothi.de

Freitag, 6. Mai 2016

Aber die Domain ist doch schon bezahlt.

Sehr geehrter Damen und Herren,

Hach, wie gut mein Name wieder getroffen ist… 😀

anliegend erhalten Sie die Rechnung für die Veranstaltung mit Herrn Dr. Schmitt vom 02. – 04.05.2016 in unserem Haus.

In welchem Haus? Welche Veranstaltung? Was zum hackenden Henker?

Wer Näheres wissen will, muss einen Mailanhang öffnen. Dieser hat zwar einen Dateinamen, der auf .rtf endet und sieht damit wie ein harmloses Dateiformat, wie ein RTF-Dokument, aus, ist aber in Wirklichkeit

$ file rechn_comerz\(052016\)_7844.rtf 
rechn_comerz(052016)_7844.rtf: Zip archive data, at least v2.0 to extract
$ _

…ein ZIP-Archiv. Was sich der Spammer davon versprochen hat, weiß ich nicht. Vermutlich gibt es Office-Programme, die das dann beim Öffnen entpacken und das darin enthaltene…

$ unzip -l rechn_comerz\(052016\)_7844.rtf 
Archive:  rechn_comerz(052016)_7844.rtf
  Length      Date    Time    Name
---------  ---------- -----   ----
    15003  2016-04-29 04:01   2016INV-APR04041.pdf.js
---------                     -------
    15003                     1 file
$ _

…Javascript-Programm, das mit irreführendem Dateinamen in einer Spam mit alarmierendem Inhalt zugestellt wurde, auch noch ausführen. Vielleicht hilft diese Art der Verpackung sogar dabei, eine Schadsoftware zu verbreiten, die schon von sehr vielen Antivirus-Programmen erkannt wird. Ich weiß es nicht. (Ich kann mir gar nicht vorstellen, das so ein Trick überhaupt funktioniert, aber die bunte Welt von Microsoft Windows war für mich bislang immer für eine böse Überraschung gut.)

Ich weiß nur eins: Wer einen Mailanhang aufmacht, der nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde, spielt russisches Roulette mit seinem Computer und lädt die Probleme geradezu ein. Die meiste derzeit umlaufende Schadsoftware sind Erpressungstrojaner. Mit ein paar hundert Euro kann man wahrlich etwas Besseres anfangen, als sie bang in Bitcoin zu tauschen und nach der Bezahlung des Lösegeldes an ein kriminelles Arschloch darauf zu hoffen, dass man danach wieder an seine E-Mail, Korrespondenz, Dokumente, Fotos, Videos, Musik und sonstigen Dinge von persönlichem Wert kommt.

Bitte überweisen Sie den Rechnungsbetrag in Höhe von EUR 374,24 unter Angabe der Rechnungsnummer auf unser Konto bei der Commerzbank.

Damit man den Anhang auch wirklich aufmacht, wird (wie üblich) gesagt, dass man völlig grundlos ein paar hundert Euro bezahlen soll – und wie üblich ohne jede Angabe der Bankverbindung, denn dem Spammer geht es ja nicht um Überweisungen, die für die Polizei verfolgbar wären, sondern darum, dass Leute den Anhang öffnen und sich seine Schadsoftware installieren, damit er sich anonymisierend Lösegelder über Bitcoin abholen kann, ohne diese lästigen Handschellen angelegt zu bekommen.

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Kontaktdaten werden keine angegeben. Das ist das neue Zur-Verfügung-Stehen. 😀

Mit freundlichen Grüßen, Wolfgang Roth

Freundlich wie eine Ohrfeige
Dein Schadsoftware-Spammer

Alexander am Zoo
Lange & Partner oHG / HRA
Tel. + 49 15 18xxxx
Fax: + 49 20 89xxxx
email: info (at) alexanderamzoo (punkt) de
http (doppelpunkt) (doppelslash) www (punkt) alexanderamzoo (punkt) de

Natürlich ist sowohl der Absender der Spam gefälscht, genau so wie diese Daten falsch sind. Diese Spam wurde in Wirklichkeit von einer dynamischen IP-Adresse aus Pakistan versendet; mutmaßlich also von einem Computer, der mit Schadsoftware zum fernsteuerbaren Bot der Kriminellen gemacht wurde. Habe ich eigentlich schon erwähnt, dass der Absender mit seiner Spam Schadsoftware unterbringen will?

Reply by email

Dienstag, 8. Dezember 2009

Hui, da hat es endlich mal einer von den Vorschussbetrügern geschafft, seine Spams mit einer Antwortadresse zu versenden, so dass man sie auch ganz normal beantworten kann. Aber der Rest seiner Masche ist dermaßen ausgelutscht und schwach, dass diese Detailverbesserung wohl nichts mehr bringt…

Good day, I am Cheung Eric. I have a Business proposal on 44.5MUSDollars, I want you to be my partner. Please see attachment for details. Thanks. Cheung Eric

[Formatierung des Textes in einer langen Zeile aus der Spam übernommen]

Guten Tag, ich weiß nicht, wer du bist, und für mich selbst habe ich mir einen tollen Namen ausgedacht. Ich biete dir Unbekannten ein paar Millionen Dollar an, wenn du mein Partner sein willst. Sei bitte so blöd und schau dir auch noch den Mailanhang eines kriminellen Spammers an. Danke.

Na, was mag in so einem Anhang schon drinstehen. Es ist ein RTF-“formatiertes“ Dokument ohne besondere Formatierung, aber dafür mit der üblichen Geschichte:

acknowledge

An Iraqi named Haider Hanoon,a business man made a numbered fixed deposit of (346,736,899.68 TWD) for 18 calendar months, this is valued to Fourty Four million Five Hundred Thousand United State Dollars only in my branch.

Upon maturity several notice was sent to him, even during the war, six years ago (2003).he died with his entire family leaving no next of kin behind, 50/50 for both of us if interested indicate by sending the below.

PERSONAL DETAILS IF INTERESTED FOR MORE DETAILS.

1.YOUR NAME 2.YOUR RESIDENT ADDRESS 3.YOUR OCCUPATION 4.YOUR PHONE NUMBER 5.DATE OF BIRTH .COUNTRY OF RESIDENT

Your response with the requested information should be

sent to reach me at
my personal email
address below:
eric.cheung (at) hang-sengbnk.com

Yours Truly,
Dr.Cheunge Eric Li.

Warum dieser brotdumme Text ohne besondere Formatierung nicht in den Text der Mail aufgenommen wurde, sondern als RTF-Dokument angehängt wurde? Na, der Spammer hat sich wohl gesagt, dass so ein Spamfilter keine Anhänge durchscannen würde, und da hat er seinen Dummtext eben angehängt. Da hat er sich leider geschnitten, der dumme Spammer. Aber vielleicht ist es auch einfach eine Art „Intelligenztest“ für die möglichen „Geschäftspartner“, denn nur jemand, der so bescheuert ist, dass er ein angehängtes Dokument in einer Spam aufmacht, der ist auch so dumm, dass er auf die hanebüchenen Geschichten der Vorschussbetrüger reinfällt und tausende von Euro als Vorleistung für irgendein Versprechen von ein paar Millionen Dollar legt.

Der übliche Hinweis: Niemals einen Mailanhang einer Spam öffnen, wenn man kein besonders gesichertes System zur Verfügung hat…