Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Scareware“

Wonderful male performance

Samstag, 7. August 2010

Diese Mail kommt gerade mit diversen Betreffzeilen und Texten, dies nur ein Beispiel:

Delivery notification

Forwarded Message Attached

Der Anhang ist eine HTML-Datei, was bei einigen Menschen kaum Verdacht erweckt. Allerdings befindet sich in dieser Datei gar kein HTML, sondern nur ein bisschen JavaScript mit einem langen String aus hexadezimalen Zahlen mit jeweils einem Prozentzeichen vorneweg, der mit Hilfe der Funktion unescape in ein meta http-equiv="refresh" umgewandelt und in das Dokument geschrieben wird, welches dann zur sofortigen Weiterleitung auf eine Website, die den Eindruck eines Virenscanners erweckt und zum Download eines Schutzprogrammes für den befallenen Rechners auffordert führen soll.

Also bitte nicht gleich einen Schrecken kriegen, wenn beim Öffnen eines derartigen Mailanhanges erschröckliche Warnungen sichtbar werden, dass man einen völlig kompromittierten Rechner hat. Und am besten solche Spams unbesehen löschen, denn das erhöht die Chancen, keinen kompromittierten Rechner zu bekommen, sehr – die Botnetze der Internet-Kriminellen sind wirklich schon groß genug.

Diese Internet-Neppnummer ist im Moment derart massiv, dass vor allem unerfahrene Nutzer gar nicht genug davor gewarnt werden können. Links auf derartige Seiten kommen in diversen Formen. Offenbar wollen die Kriminellen sehr schnell möglichst vielen Leuten ihre Schadsoftware installieren, bevor die richtigen Virenscanner den Schadcode zuverlässig erkennen – denn was da zum Download angeboten wird, das ist alles, aber garantiert kein Virenscanner.

Thank you for your EXPRESS payment

Freitag, 6. August 2010

Wie jetzt, ich habe was bezahlt. Dabei habe ich doch gar kein Geld, mit dem ich bezahlen könnte…

***PLEASE DO NOT REPLY TO THIS MESSAGE***

Antworten sinnlos, denn der Absender ist wie immer gefälscht.

Dear exxxx (at) hxxxxxxu.de,

Und wenn man jemanden nicht mit Namen anreden kann, denn wirkt es bestimmt total überzeugend, wenn man ihn einfach mit seiner Mailadresse anspricht. Leute, mit denen man geschäftlich zu tun hat, müssen ja persönlich angesprochen werden. Wer würde denn dabei Wert auf eine persönliche, kundenbindende Note legen?

Thank you for your online payment of $500.00. Your payment will be applied on Fri, 6 Aug 2010 19:26:27 +0300

Wow, fünfhundert Dollar habe ich gelegt. Mit welchem Konto? Fehlanzeige. An wen? Fehlanzeige. Total überzeugend. Genau wie die Angabe des Zeitpunktes für diese tolle Transaktion, bei der dieser Spammer keinen Bock hatte, es gut zu machen und deshalb einfach die rohe Ausgabe der Standardfunktion asctime() eingefügt hat. So richtige Alarmstimmung will da einfach nicht aufkommen, und dabei braucht dieser Spammer doch so eine richtige Alarmstimmung, denn er will ja, dass jemand…

Remember you can manage your account online, view statements and pay your bill at www.mycardcare.com/express.

…unüberlegt in einer Spam rumklickt, um diesen angeblichen Vorgang noch irgendwie zu stoppen. So fünfhundert Dollar sind ja keine Kleinigkeit.

Die Mail sieht zwar wegen der betont bescheidenen Formatierung nicht so aus, aber es handelt sich um eine HTML-formatierte Mail. Der Link auf mycardcare (punkt) com kann deshalb auch bequem woanders hinführen, und das tut er auch. Dieser Link geht zu opus22 (punkt) org (slash) x (punkt) html.

Damit ist das Opfer aber noch lange nicht am Ziel, denn dort findet sich erstmal nur eine über ein meta http-equiv... realisierte Weiterleitung auf eine andere tolle Seite in der Domain hoopdotami (punkt) cz (punkt) cc, schön mit einer Affiliate-ID, über die der Spammer wohl seine schäbigen Spamgroschen verdient. Aber mit der Weiterleitung allein ist es noch nicht getan, denn da ist noch ein kleiner unsichtbare IFRAME drin. Was so klammheimlich im Hintergrund dem System reingewürgt werden soll, habe ich jetzt nicht näher untersucht – ein einfacher Aufruf (natürlich nicht im Browser, sondern mit curl und mit dem passenden Referer und einem User-Agent, der einen Internet Explorer simulieren soll) liefert nur eine leere Seite. Trotzdem gut möglich, dass hier bestimmte Systeme gezielt attackiert werden, die Heimlichkeit des Vorgehens lässt nichts Gutes ahnen.

Der eigentliche Zweck der Spam ist jedoch die Weiterleitung. Statt irgendwelcher Informationen über eine Zahlung, die ich veranlasst habe, gibt mir diese tolle Seite einen „liebevoll“ nachgebauten Windows-Desktop, der so tut, als ob er meine Windows-Platten durchscannt…

Screenshot der Seite

…und allerlei Probleme, Viren, Trojaner und dergleichen findet. Und das auf meiner Linux-Kiste! :mrgreen:

Dass diese tolle Datei antivirus_25.exe, die da so frei zum Download angeboten wird…

Screenshot des Download-Dialoges

…alles andere als ein Virenscanner ist, sollte wohl klar sein. Hier wird einfach unerfahrenen Benutzern Angst vor einer enormen Kompromittierung des Systemes gemacht, damit sie ein Software herunterladen und installieren, die ausschließlich über kriminelle Spam verbreitet wird. Die ganzen alarmierenden Meldungen…

Screenshot der alarmierenden Meldungen

…sind reine JavaScript-Programmierungen, die nur im Browser laufen. (Um meinen „Spaß“ daran zu haben, habe ich extra kurz JavaScript aktiviert, es ist bei mir grundsätzlich abgeschaltet.) Hier kommt es den Kriminellen, die so etwas machen, sehr entgegen, dass sich ein großer Teil des Dateimanagements und der Systemverwaltung in Microsoft Windows aus Anwendersicht wie eine Website „anfühlt“, so dass mit derart einfachen Mitteln eine unvernünftig machende Stimmung erzeugt werden kann. Das System wurde nicht auf Viren, Trojaner und Co gescannt, und diese ganzen scheinbaren Meldungen sind reine Irreführung. So etwas auf einer Linux-Box zu sehen, ist allerdings nicht erschreckend, sondern erheiternd. Ein wegen einer „Überweisung“ von fünfhundert Dollar eh schon gestresster Windows-Anwender, der mit JavaScript-Programmierungen konfrontiert ist, die es unmöglich machen, das Browserfenster zu schließen und ständig schreckliche Alarmmeldungen vor die Augen stellen, wird allerdings weniger heitere Stimmung entwickeln – und sich wohl gar nicht so selten dazu entschließen, die „Antivirus-Software“ herunterzuladen und zu installieren…

Wer sich wegen einer derart irreführenden Seite allerdings ein bisschen Software runtergeladen und auf seinem Windows installiert hat, der hat jetzt ein Problem, das eventuell sogar eine komplette Neuinstallation seines Rechners (mit Plattmachen der Festplatte) erfordert. Ich kann es nicht oft genug sagen: In eine Spam klickt man nicht. Niemals. Das gilt besonders für jene unerfahrenen Nutzer, die „Zielgruppe“ derartiger Bauernfängereien sind.

Please answer me

Freitag, 4. Dezember 2009

Hi, it is your url or no? 😉 http://domzalski.unl.pl/laue.html

Best regards, Victoria

Moment, mal nachschauen…

Screenshot

Nee, ich habe keine Websites, die von einer polnischen Domain auf eine obskure chinesische Domain weiterleiten, auf der mir dann angebliche Kanadier irgendwelche Pimmelpillen verkaufen wollen.

Das ist aber nur der eine Teil, der nicht über den normalen Spamalltag hinaus geht. Es folgt noch ein lustiger Teil, wenn auch von Seiten der Verbrecher eher ein unfreiwillig lustiger.

Ich betone hier ja oft, dass man niemals auf einen Link in einer Spam klicken soll, wenn man kein besonders abgesichertes System zur Verfügung hat – und dass die bloße Existenz von Virenscannern und einer lokalen Firewall nicht gerade eine besondere Sicherung sind. Die Verbrecher, die ihr Geschäft mit Spam machen, sind auf neuestem technischen Stand und tun alles, um Computer von Privatleuten feindlich zu übernehmen und darüber ihre kriminellen Aktivitäten (Verteilung von verbotener Pornografie, Erschnüffeln von Zugangsdaten, Versand von Spam, Erstellung von Spamkommentaren in Foren und Blogs usw.) abzuwickeln. Was man sich auf der Website dieser schwerkriminellen Subjekte an Problemen einfangen kann, das ist kein angemessener Ausgleich für das bisschen befriedigte Neugierde.

So viel nur dazu.

Die in der Spam angegebene Domain schien mir durchaus plausibel zu sein, und da wollte ich mal schauen, ob hier wieder eines dieser Arschlöcher seine Drecksweiterleitung in einem gehackten Forum untergebracht hat, um eventuell den Forenbetreiber zu informieren und so dafür zu sorgen, dass dieser Scheiß schnell verschwindet und nicht zu viel Schaden anrichtet. Ich wusste zu diesem Zeitpunkt noch nicht, dass hier der gesamte Server von den Kriminellen verwendet wird, aber ich sollte es schnell feststellen, als ich einfach mal die Startseite anzeigen ließ und…

Screenshot

…mit einem in HTML nachgemachten Windows-Dateimanager konfrontiert wurde. Und das auf einer Linux-Kiste! Na ja, so viel Sorgfalt, dass sie das Betriebssystem ermitteln würden, ist bei den Gangstern selten zu finden – wenn ein genügend großer Bruchteil der Besucher (die meist durch Spam dorthin gelenkt werden) verängstigt genug ist und vor lauter verdummenden Schiss das macht, was Verbrecher wollen.

Da musste ich doch gleich mal JavaScript freischalten und die Seite neu laden, um mal an die ganze Show zu kommen.

Die Show beginnt simpel. Das Browserfenster wird stark verkleinert (und damit fast unsichtbar gemacht) und der Benutzer sieht eine mit JavaScript erzeugte Messagebox. Natürlich sieht diese unter Windows wie ein ganz normaler Windows-Dialog aus und bei mir eben so, wie meine Oberfläche eingestellt ist (ich mag Minimalismus):

Achtung! Ihr PC mag kein Datenschutzsystem! Dies kann zu unwiderbringlichen Ergebnissen fuehren. Jetzt wird ihr System fuer Datenschutzgefahr gescannt. Pressen OK fortzufuehren

Hier sieht man schon sehr hübsch, wie toll die Übersetzungen sind. Mein PC mag also kein Datenschutzsystem. Das habe ich gemerkt, es ist an dieser Stelle nämlich völlig egal, ob ich „OK“ oder „Abbrechen“ sage. In jedem Fall wird das Browserfenster wiederhergestellt (aber nicht in der vorherigen Größe) und man sieht den tollen, in HTML nachgemachten Dateimanager eines Windows XP, der so tut, als ob er den Rechner nach allerlei Viren durchscannen würde. Natürlich wird er fündig und zeigt erschröckliche Meldungen an, immer schön in alarmierenden Rot. Schade, dass ich hier keine Möglichkeit hatte, diesen Vorgang aufzunehmen und in ein Video zu verwandeln.

Eine Sache zeigt sich jetzt sehr deutlich: Dass es keine gute Idee von Microsoft war, das normale Dateimanagement auf der lokalen Festplatte wie das Arbeiten mit einer Internetseite aussehen zu lassen – denn das macht es einer Internetseite sehr leicht, den Anwender in die Irre zu führen.

Während des „Scanvorganges“ poppen immer wieder heitere Meldungen auf, die wegen der hundsmiserablen Übersetzung einen stark realsatirischen Charakter haben – aber Geduld, Leute, in spätestens einer Woche gibt es das alles auch in exzellentem, nach Microsoft klingendem Deutsch.

Windows scannt ihr System für Drohungen. Die Abtastung wird von unserem offiziellen Partner Internet Antivirus Pro zur Verfügung gestellt. Nehmen Sie bitte davon Abstand, das Fenster zu schließen, bis die Abtastung beendet wird. Wir empfehlen ihnen hoch, die volle Version des Internet Antivirus Pro-Scanners zu installieren, um Ihren PC für Drohungen und rechtzeitig Sicherheitssystem-Aktualisierungen zu kontrollieren

In der Tat, das glaube ich euch, dass ihr auch meinen PC gern kontrollieren würdet!

Aber es kommt noch besser:

bemerken Sie bitte, dass Spyware für Ihre PC-Informationsgemütlichkeit hoch böswillig ist. Wenn Sie die volle Version installieren wollen, klicken Sie bitte auf Ok, warten Sie auf die Seite, um zu laden, fangen Sie den Installationsprozess an und folgen Sie den Instruktionen. Wenn Sie darauf warten wollen, Ergebnisse zu scannen, zu erscheinen, klicken Sie bitte Annullieren. Danach Internet Antivirus Pro wird installiert, Sie können das Abtastungsfenster schließen und Spyware von Ihrem Computer entfernen

So so, das ist also für die Informationsgemütlichkeit hoch böswillig. Das einzige, was hier böswillig ist, ist dieser dreiste Versuch von Verbrechern, geschockten Anwendern einen Download und eine Installation von Software anzudrehen, die kein Mensch auf seinem Rechner haben will.

Nur, um es noch einmal deutlich zu sagen: Diese Meldungen erscheinen völlig unabhängig davon, ob wirklich Spyware auf dem Rechner läuft, und sie erscheinen in meinem Fall auf einem völlig sauberen Linux, um mir eine Windows-Software anzudrehen. Wer das runterlädt und auf seinem Rechner installiert, hat verloren. Danach sind bösartige Kriminelle Herrscher über den Rechner, und sie werden damit gewiss nichts machen, was ein Mensch mit seinem Rechner gemacht sehen will.

Immerhin, es ist nicht ganz so trübe, wenn man weiterlaufen lässt:

Ernstes Wertpapier und auf Ihrem Computer gefundene Gemütlichkeitsdrohungen. Es kann Ihre Daten beschädigen oder Ihre persönliche und finanzielle Information stehlen. Klicken Sie OK, um anzufangen, KRITISCHE Wertpapier-Softwareaktualisierung herunterzuladen

In der Tat, so ein „ernstes Wertpapier“ kann „finanzielle Informationen stehlen“ – das haben schon viele Menschen erlebt, wenn auch nicht am Computer. :mrgreen:

Dabei muss man sich vor Augen halten, dass so viele derartiger Meldungen aufpoppen, dass der Browser nicht zu schließen ist (er hat dabei die volle Bildgröße und schiebt sich ständig in den Vordergrund). Die gesamte Arbeit am Computer wird von erschreckenden Warnungen unterbrochen, die hier nur durch ihren stümperhaft ins Deutsche übersetzten Text harmlos und lustig wirken. Und die Übersetzung wird demnächst besser sein.

Wenn man einmal auf OK geklickt hat…

Download-Fenster

…bekommt man einen Download, der vielleicht nach der Installation diesen Terror beendet, aber dafür im Hintergrund noch unerfreulichere Dinge tun wird… bis das Opfer dieses aggressiven Schwindels irgendwann bemerkt, dass das eigene Mailkonto für Spam missbraucht wird, das Konto abgeräumt wurde, der eBay-Zugang für kriminelle Geschäfte verwendet wird, Profilseiten bei Web-2.0-Diensten von Spammern übernommen wurden, unter eigenem Nick Spam in Foren gepostet wird… und so weiter.

Und dann wird es wirklich ungemütlich.

Ich kann es nicht oft genug sagen: NIEMALS auf einen Link in einer Spam klicken!