Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

USA / ATOMKRIEG – Amen

Mittwoch, 15. Januar 2020

Auf gar keinen Fall den Anhang öffnen! Das Word-Dokument enthält Makros, die Schadsoftware nachladen und installieren, danach hat man einen Computer anderer Leute auf dem Schreibtisch stehen.

So so, Amen! So sei es! Zum Atomkrieg. Komm, Spammer, nimm mal wieder deine Medikamente! 💊

Oh, du kannst aber „schöne“ Bilder basteln:

Es ist gar keine Frage, daß ein Atomkrieg denkbar ist

ATOMKRIEG -- Foto eines Atompilzes -- Die Angst vor einem Atomkrieg ist zurück -- Die 'dunkle Bedrohung' sei zurück, mahnen Experten auf der Sicherheitskonferenz in München. Experten fürchten, dass wir dicht an einer potenziellen nuklearen Katastrophe stehen. -- WAS ZU TUN IST? -- Wir haben 20 nützliche Tipps für Sie zusammengestellt. -- (Alle Informationen in der angehängten Datei) -- ACHTUNG! NICHT IGNORIEREN! -- Dein Leben hängt davon ab -- Gott hilf uns!

Der Anhang, den zu öffnen man derart eindringlich aufgefordert wird, als hinge das ganze Leben davon ab, ist ein Dokument für Microsoft Word. Dieses Dokument besteht aus einer einzigen, völlig leeren Seite. Und natürlich noch aus…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…ein paar Makros, die beim Öffnen des Dokumentes in Microsoft Word automatisch ausgeführt werden sollen. Der Warnung, die ich hier als Screenshot von LibreOffice wiedergegegeben habe, ist nur eines hinzuzufügen: Wenn einem ein Dokument mit so viel Psychodruck in einer Spam reingedrückt werden soll, dann ist es sogar sicher, dass die Makros Schadsoftware sind. 💀

Und solche Deklarationen von Windows-API-Funktionen, wie ich sie eben gerade in diesen Makros gefunden habe, werden wirklich niemals in einem normalen Dokument benötigt:

Private Declare Function URLDownloadToFile Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

Ich hoffe, dass spätestens jetzt auch jeder verstanden hat, dass ein Makro für Microsoft Office alles kann, was ein ausführbares Programm – eine .exe – für Microsoft Windows auch kann. Das Öffnen eine Office-Dokumentes mit freigeschalteten Makros aus fragwürdiger Quelle ist ganz genau so gefährlich wie das Ausführen eines Programmes aus fragwürdiger Quelle. Wer das macht, geht an den Computer so heran, wie unerfahrene Teenager an die Sexualität: Schnell, einfach und gefährlich. Ich hoffe mal, dass die meisten Computernutzer etwas reifer sind. 😉

Weder muss ein legitimes Makro Dateien aus dem Internet nachladen können, noch muss es einen neuen Prozess erzeugen können, noch muss es an die Verwaltungsinformationen des Betriebssystemes für den neuen Prozess kommen. Das wird in dieser Kombination nur benötigt, wenn eine Datei aus dem Internet nachgeladen werden soll, um dann möglichst unsichtbar ausgeführt werden zu können. Es handelt sich um völlig klare Schadsoftware. Diese wird zurzeit nur von einem Viertel der gängigen Antivirus-Schlangenöle erkannt, wer sich darauf verlässt, ist also einmal mehr verlassen. 🙁

Das ist ja auch der Grund, weshalb man trotz Antivirus-Schlangenöl keine Anhänge aus einer E-Mail öffnet, die nicht vorher über einen anderen Kanal abgesprochen wurden oder deren Absender durch eine überprüfte digitale Signatur jenseits jedes vernünftigen Zweifels feststeht und vertrauenswürdig ist. Die Absenderadresse ist beliebig fälschbar und reicht nicht aus. Man öffnet Anhänge auch nicht, oder besser erst recht nicht, wenn ein Spammer in seiner Spam behauptet, es sei ogottogott jetzt wirklich lebenswichtig, dass man den Anhang öffne. Wenn etwas so wichtig ist, kann man es auch einfach in die Mail hineinschreiben und braucht nicht umständlich einen Anhang dranzuhängen. 😉

Wer das kann, sollte die Ausführung von Makros in Office-Programmen ausschalten. Dies ist bei gewöhnlicher Benutzung mit keinem Funktionsverlust verbunden, aber schließt ein großes Sicherheitsloch, das immer wieder von solchen Halunken wie diesem heutigen Atomspammer ausgebeutet wird. Leider gibt es viele betriebliche Umfelder, in denen das gar nicht so einfach möglich ist, weil Geschäftsprozesse teilweise in Office-Makros programmiert wurden. Ja, das war eine dumme Entscheidung, aber damals in den Neunziger Jahren hat niemand auf mich gehört, als ich davor gewarnt habe, und heute ist es zu spät. Da habt ihr den Salat, und zwar genau so, wie ihr ihn bestellt habt! Da hilft nur noch äußerste Vorsicht in einem unnötig gefährlich gemachten Umfeld.

BEXIMCO bestellt Pics?

Montag, 16. Dezember 2019

Die folgende Mail – sie wurde mir von meinem Leser J.F. zugesteckt, der weder eine Firma besitzt noch „Pics“ herstellt – geht offenbar an alle nur möglichen Mailadressen und ist eine klare Spam. Sie hat nichts mit der BEXIMCO GROUP zu tun. Leider geht sie durch so manchen Spamfilter hindurch. Der Anhang ist das reinste Gift in einem ZIP-Archiv.

Diese freundlichen Verbrecher wollen den Empfängern Schadsoftware unterjubeln. Sie gehen davon aus, dass Menschen den Anhang einer „falsch zugestellten“ E-Mail aufmachen, wenn sie glauben, dass Geld angehängt wurde. 💶

Ja, heute gibt es eine Spam mit Geldanhang! So eine dumme Masche hat man nicht jeden Tag. 💰

Hello,

Dieser Name stimmt einfach immer! 👏

After reviewing all the tenders submitted by different organizations, […]

Was, ihr habt Angebote von verschiedenen Organisationen geprüft. Ich nehme mal an, diese hießen „Hallo“, „Guten Tag“ und „Sehr geehrte Mailadresse“. 🙃

[…] we have selected your company for the order of PO-EM46B92E011.

Aha, das muss eine irre wichtige Bestellung sein! Es ist eine völlig unverständliche Kombination aus Buchstaben und Zahlen, die nicht weiter erläutert wird, obwohl man sich bei solchen „Texten“ leicht verschreibt. ⚠️

The order would be for 10Pics.

Was bitte? Meint ihr Bilder? Meint ihr Teile? Oder könnt ihr nicht richtig schreiben, sprecht eine Sprache mit Auslautverhärtung und meint in Wirklichkeit Schweine? 🐖

We are also enclosing the terms and conditions for your consideration.

ZIP-Archiv im Anhang, damit serverseitige Schadsoftware-Prüfung erschwert wird. Von einem Unbekannten zugestellt. Wenn man das Internet auf die Verhältnisse der „analogen Welt“ abbilden will, entspricht dies einer Briefbombe, die einem beim Öffnen um die Ohren fliegt. 💣

If you need any clarifications regarding the same, please feel free to contact us.

Wie, sind eure AGB genau so kryptisch wie eure Mails formuliert, so dass man hinterher die Autoren fragen muss, was der Text bedeutet? 🤡

We would appreciate if you could start the production at the earliest and deliver the goods to us, delivey Date.

Aha, zum Liefertermin soll ich die „Ware“ liefern. Zum nicht genannten Liefertermin. 🗓️

Aber jetzt mal etwas Erfreuliches:

Also, please find enclosed cheque of # 57,500 USD as advance payment and lists of the Order.

An der Spam hängt ein ZIP-Anhang mit einem Scheck über ganz viele Dollar ohne $-Zeichen drin. Steht ja in der Spam. So ein Scheck wie dieser:

Scheck der Allgemeinen Spam- und Gartenbank über 10 Mionen Euro

Den kann man einfach ausdrucken und bei der Bank einreichen. 🤣

Dafür muss man nur den Anhang einer Spam aufmachen und ein bisschen herumklicken! Was kann dabei schon schiefgehen? Ist ja nur Spam. 💀

Best Regards

Andrich Marinkovich

Ja, Spammer, ich wünsche dir auch alles Gute auf deinem weiteren Lebensweg! Möge dir ein funktionierendes Gehirnchen wachsen! 🧠

Contact BEXIMCO GROUP:
19 Dhanmondi R/A
Road No. 7, Dhaka 1205
Bangladesh.
Phone: +880-2-5861xxxx-x, +880-2-5861xxxx, +880-2-5861xxxx

Email: info@bpl.net

E: info@beximco.net: schmitt@sawayn.com

Die haben ja mehr Mailadressen als IQ-Punkte! Und nochmal: Die BEXIMCO GROUP hat mit dieser Spam nichts zu tun. Ich bin aber gerade heilfroh, dort nicht am Telefon zu sitzen… ☎️

Wichtige informationen uber Steuerruckerstattung

Samstag, 9. November 2019

WARNUNG: Auf gar keinen Fall den Anhang öffnen. Das Word-Dokument enthält ein Makro, das Schadsoftware nachlädt und installiert. ⚠️

Und nein, diese Spam kommt nicht vom „Bundeszentralamt für Steuern“. Der Absender ist gefälscht.

Sehr geehrte Steuerzahler,

Benachrichtung über Steuerrückerstattung 2019

Nach den letzten jährlichen Berechnungen Ihrer steuerpflichtigen Aktivitäten [sic!] haben wir festgestellt, dass sie Anspruch haben auf eine Steuerruckzahlung [sic!] von:

€ 694,32

Bitte reichen Sie die Steuer Rückersattungsanfrage [sic!] ein und gewähren Sie uns 3 Tage fur [sic!] die Verarbeitung.

* Sie finden diese im Anhang als Word-Datei.

Bitte reichen Sie das Steuerformular für die Rückerstattung ein vor dem. 15 November 2019 Bitte antworten Sie nicht auf diese Nachricht. Wenn Sie Fragen haben, benutzen Sie bitte unser Kontaktformular.

© Bundeszentralamt für Steuern 2019

Jeder Mensch mit normaler Lebenserfahrung sollte dieser Mail sofort ansehen können, dass etwas nicht stimmt:

  1. Unpersönliche Ansprache „Sehr geehrte Steuerzahler“
  2. Keine Erwähnung der Steuernummer
  3. Diverse Rechtschreibfehler, viele fehlende Umlaute
  4. Berechnung eines Auszahlungsbetrages für einen Antrag, obwohl dieser Antrag noch gar nicht gestellt wurde – man braucht nicht viel Behördenerfahrung, um das absurd zu finden
  5. Bezug auf ein nirgends verlinktes Kontaktformular und keinerlei Angaben zu Kontaktmöglichkeiten für eventuelle Rückfragen
  6. Kommunikation über Steuersachen (für die ein weit gehendes Steuergeheimnis gilt) in einer unverschlüsselten, nicht digital signierten, offen wie eine Postkarte überall auf dem Weg durch das Internet lesbaren und manipulierbaren E-Mail

Das sind mehr als genug Gründe, die Löschtaste zu drücken und auf gar keinen Fall den gefährlichen Sondermüll aus dem Anhang zu öffnen. Das Antivirus-Schlagenöl hilft übrigens nicht. Aber zum Glück haben Menschen ja auch ein Gehirn, und das erkennt solche Spam sehr leicht. 🧠

Wer mir das aus mir völlig unverständlichen Gründen nicht glauben will, der lese hier weiter, denn die Spam ist eine Pest:

Ich möchte heute jedenfalls nicht in einem Finanzamt am Apparat sitzen, wo die Telefone heißlaufen, weil Menschen wissen wollen, was es mit dieser Mail auf sich hat. Aber solche Erwägungen sind dem Spammer egal. Der will nur seinen Trojaner auf möglichst vielen Computern installieren.

Faxnachricht [Anrufer-ID: 48-059-680-577] fur gammelfleisch@tamagothi.de

Mittwoch, 18. September 2019

⚠️ Warnung! Gefährliche Schadsoftware! ⚠️

Die Mail geht an die Schrottadresse, und die Empfängeradresse wird noch einmal unnötigerweise im Betreff wiederholt, damit ich auch wirklich daran glaube, dass diese Mail für mich ist. Denn die „Anrufer-ID“ hat ja nix mit mir zu tun, und dass mir Mails gefaxt werden, glaube ich vermutlich erst, nachdem ich zehn Jahre in einer Behörde der Bundesrepublik Deutschland gearbeitet habe, an deren Eingang ein Briefkasten hängt, auf dem „E-Mail bitte hier einwerfen“ steht. 😉

Das muss also mal wieder eine echte Qualitätsspam mit goldenem Prädikat sein. 🏅

Faxnachricht fur gammelfleisch@tamagothi.de

Wir können zwar Mailadressen mit angeblichen Faxen zuballern, aber bekommen keine Umlaute in unsere Spam. Unicode ist so Neunziger Jahre, das haben wir noch nicht gelernt. Wollen wir auch gar nicht. 🐌

Sie haben am Donnerstag, 18.09.2019, ein einseitiges Fax erhalten.

Aber Immerhin: Das Datum stimmt. Das schafft nicht jeder Spammer. Dafür ein kleines Fleißbienchen von mir. 🐝

* die Referenznummer fur dieses Fax ist an efax-49486654106-6639-95477.

Das muss ein wichtiges Fax sein. Es hat eine wichtig aussehende Nummer. Und vor allem…

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

…ist es eine Word-Datei und nicht ein PDF. Eine Word-Datei mit Makros drin. Also mit beliebigem Code, der innerhalb von Microsoft Word ausgeführt wird und alles kann, was jedes ausführbare Programm für Microsoft Word auch könnte. Zugestellt von irgendwem. Mit Bullshit-Begründung. 💀

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung

Das typische Spammerproblem: Die wesentliche Botschaft der Spam ist geschrieben, und schon greift die Hand nach der leckeren Wodkaflasche und sind die Gedanken wieder im Bordell und so schleichen sich kleine, auffällige Fehler wie zusammengeschriebene Wörter oder mitten im Nichts als Sprachruinen verendende Sätze ein. Es ist schon schade, wenn man so ein dummer Krimineller ist, der sich mit seinen hochinfektiösen Spams keine Mühe gibt, weil er ja auch einfach arbeiten gehen könnte, wenn er sich nur Mühe geben wollte. 🧟

efax-49486654106-6639-95477.doc
132KBDownload

Alle Links führen in die Domain efaxcontrol (punkt) efax-office (punkt) xyz, die…

$ whois efax-office.xyz | grep -i ^creation
Creation Date: 2019-09-17T07:59:18.0Z
$ _

…gerade erst gestern für die heutige Spamwelle eingerichtet wurde. Dort kann man dann…

$ file efax-49486654106-6639-95477.doc 
efax-49486654106-6639-95477.doc: Microsoft Word 2007+
$ _

…ein Word-Dokument herunterladen. Es handelt sich also nicht – wie in der Spam behauptet – um einen Anhang, der von vielen Mailservern herausgefiltert würde, um betriebliche Netzwerke vor der Übernahme durch Schadsoftware zu schützen, sondern um einen Download. Von einer Website, die erst gestern eingerichtet wurde. Und die Downloads von angeblichen Faxen anbietet. Als Word-Dokumente. Die beim Öffnen mit LibreOffice erstmal eine unmissverständliche Warnung anzeigen:

Warnung -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras... Optionen... LibreOffice-Sicherheit unterbunden -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [Ok]

Hier sei zur Verdeutlichung noch einmal der wichtigste Satz aus diesem Dialogfenster wiedergegeben: Makros können Viren enthalten. Das, zusammen mit dem unerfreulichen Kontext, in dem dieses Dokument versendet wurde, sagt hoffentlich alles. Es ist das reinste Gift. Wer die Ausführung von Makros in diesem Dokument zulässt oder ein Office-Programm hat, in dem elementare Sicherheitsfunktionen abgestellt wurden, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Im schlimmsten Fall wird ein komplettes Firmennetz mit datenlöschenden Erpressungstrojanern übernommen, bei schlechter Backup-Strategie mit hohen Schäden, die zur Insolvenz führen können, aber selbst bei guter Backup-Strategie mit beachtlichen Schäden durch Arbeits- und Produktionsausfälle. 💣

Das Dokument enthält keinen Text, sondern nur eine eingebettete Grafik…

eFax Corporate -- Du hast 1 neue Nachrichten -- Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt -- Um diese Datei zu öffnen, klicken Sie auf 'Inhalt aktivieren' im gelben Bereich und danach auf 'Bearbeitung aktivieren'

…die dazu auffordert, dass man die Ausführung von Makros freischalte, um das angebliche Dokument lesen zu können. Wer das macht, hat verloren und führt eine aus dem Internet nachgeladene Software von kriminellen Spammern auf seinem Computer aus. 🙁

Bitte diese Spam einfach unbeklickt löschen und auf gar keinen Fall auf die Idee kommen, derart windig zugestellte Dokumente zu öffnen und dann auch noch Sicherheitseinstellungen zu lockern! Der Müll gehört dahin, wo Müll hingehört! 🗑️

So, nun noch eine immer wieder interessante Frage: Wie gut schützt eigentlich die ganze Sicherheits- und Antivirus-Software vor diesem Angriff? Leider (im Moment) so gut wie gar nicht. Nur rd. zwölf Prozent der gängigen Antivirus- und Schutzprogramme erkennen im Moment diese klare Schadsoftware als eine mögliche Schadsoftware, und das sind keineswegs die Platzhirsche im Geschäft mit der „gefühlten Sicherheit“. 👎

Wer sich auf sein Antivirus-Programm verlassen hat, ist also einmal mehr verlassen. Wer aber darin geübt ist, Spam als Spam zu erkennen und generell ein solides Misstrauen gegen alle Dateien hat, die über E-Mail zugestellt werden, kann gar nicht überrumpelt werden – denn dazu müsste man nicht einfach nur das Dokument aufmachen, sondern auch ein paar sehr dumme Klicks machen. Und dagegen hilft nun einmal diese „natürliche Intelligenz“, die man einfach so kostenlos im Kopfe hat. 🧠

Ich hoffe mal, dass niemand so dumm ist, darauf reinzufallen. Aber ich befürchte leider, dass heute hunderte, wenn nicht tausende von Computern mit dieser Schadsoftware übernommen wurden und dass ich morgen schon erschreckende Meldungen von einer fiesen, zerstörerischen Trojanerwelle lese. ☹️

Bewerbung via Arbeitsagentur – Eva Richter

Sonntag, 15. September 2019

WARNUNG: Gefährliche Schadsoftware! ⚠️

Sehr geehrte Damen und Herren,

hiermit bewerbe mich auf die von Ihnen bei der Arbeitsagentur angebotene Stelle.

Das von Ihnen beschriebene Tätigkeitsfeld entspricht in besonderem Maße meinen beruflichen Perspektiven. Meine Bewerbungsunterlagen finden Sie im Anhang.

Über eine Einladung zu einem persönlichen Vorstellungsgespräch würde ich mich sehr freuen.

Mit freundlichen Grüßen

Eva Richter

Erst einmal einen schönen Montagmorgen an alle Leser¹! ☕

Bitte zurzeit irgendwelche E-Mail-Bewerbungen nur mit der Kneifzange anfassen und auf gar keinen Fall unvorsichtig einen Mailanhang öffnen, denn es sind einmal mehr angebliche „Bewerbungen“ mit zerstörerischem Schadsoftware-Anhang unterwegs. Es handelt sich um einen Erpressungstrojaner. Die Daten auf dem PC werden allerdings nicht verschlüsselt, sondern gelöscht – es halt also keinen Sinn, das geforderte Lösegeld zu bezahlen. Wenn es keine Datensicherung gab, sind die Daten weg und kommen niemals wieder. Das ist übrigens der Grund, weshalb man Datensicherungen macht. Damit Daten nicht einfach weg sein können.

Als Anhang wird eine Datei mit dem Namen „Eva Richter Bewerbung und Lebenslauf.pdf.exe“ angehängt

Wir schreiben bald das Jahr 2020. Und ich bin darüber erschrocken und ja, sogar leicht wütend, dass man immer noch eine Datei .pdf.exe nennen kann, und dass diese Datei nicht vom Antivirus-Schlangenöl – oder noch besser: vom Betrübssystem – sofort als Schadsoftware erkannt wird.

Welchen legitimen Grund sollte ein Mensch haben, andere Menschen (zum Beispiel Empfänger einer E-Mail) über den Typ einer Datei zu täuschen? Es gibt dafür keinen Grund.

Solche Dateien sind praktisch immer Schadsoftware. Wer es schon nicht vermeiden kann, per E-Mail zugestellte Dateien zu öffnen – zum Beispiel Mitarbeiter einer Personalabteilung, eines Kundendienstes oder die allermeisten Kaufleute in einer Zivilisation mit Internet – möge sich bitte mindestens sein Microsoft Windows so konfigurieren, dass die Dateinamenserweiterung im Explorer immer angezeigt wird, damit der kriminelle Überrumpelungsversuch sofort sichtbar wird. Das kostet kein Geld und wirkt sofort. 😉

Es ist auch nicht schwierig und erfordert nur wenige Klicks: Im Explorer-Menü unter „Extras“ das Menü „Ordneroptionen“ auswählen, im Dialogfenster unter „Ansicht“ das Häkchen vor „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernen. 🖱️

Es ist gar nicht so kompliziert, wie es in einer verbalen Beschreibung vielleicht klingt. Vor allem nicht, wenn man es nicht mehr suchen muss. Außerdem seid ihr die Menschen, die mir ständig erzählen, dass Windows im Gegensatz zu meinem bevorzugten Betrübssystem so einfach zu bedienen sei… 🙃

Die dumme und sogar technisch unsinnige, aber dennoch bis heute aufrecht erhaltene Entscheidung Microsofts aus den Neunziger Jahren, dem Anwender standardmäßig nicht den vollständigen Dateinamen anzuzeigen, sondern ausgerechnet den Teil des Dateinamens vor ihm zu verbergen, der darüber entscheidet, was Windows bei einem Doppelklick mit dieser Datei macht, dürfte die am häufigsten kriminell missbrauchte Fehlentscheidung in der gesamten Windows-Geschichte sein. Diese unfassbar dumme und unverständliche Entscheidung Microsofts ermöglicht die Zustellung von .pdf.exe-Dateien, die dem Anwender dann als .pdf angezeigt werden und denen vom Verbrecher zusätzlich das Piktogramm einer PDF-Datei (oder eines JPEG-Bildes oder eines anderen „harmlosen“ Dateitypen) gegeben werden kann, um die Täuschung vollkommen zu machen. Wer darauf reinfällt und klickt, führt Software von Kriminellen aus. Und das ist inzwischen schon mehrere Millionen Male geschehen, mit teilweise erheblichen Folgeschäden. Zum Beispiel bei der Deutschen Bahn.

Microsoft ist das egal. An der dummen Entscheidung aus den Neunziger Jahren hält Microsoft weiter fest. Vielen Dank, dass sie sich für Microsoft-Produkte entschieden haben! Bleiben sie uns treu! 😧

Microsoft für so eine dumme Entscheidung zu verfluchen oder zu verspotten, mag erleichtern, ist aber nicht zielführend. (Stattdessen lieber ein Betrübssystem verwenden, das nicht von Microsoft ist – und hoffen, dass auch in den nächsten zehn Jahren alle kriminellen Angriffe vor allem gegen Microsoft Windows gerichtet sind!)

Die eben beschriebene Einstellung, die jeder mit einfachen Anwenderkenntnissen vornehmen kann, hilft hingegen zuverlässig, so einen kriminellen Versuch überhaupt erkennen und behandeln zu können. Machen sie diese Einstellung am besten gleich jetzt! Es dauert höchstens zwei Minuten, selbst, wenn sie ungeübt sind. Und es kann ihnen eine Menge Geld und Ärger ersparen.

¹Ja, heute ist noch Sonntag, ich weiß. Und Sonntags wird hier sehr viel weniger gelesen als in der Woche.

Confirm Urgent Payment

Freitag, 5. Juli 2019

Vorab: Auf gar keinen Fall den Anhang öffnen! Es ist Schadsoftware.

Account Department <account56234@ve.lt>

Kenne ich nicht. Und eine lustige Abteilung muss das sein, die einfach ihre Mitarbeiter in den Mailadressen durchnummeriert und sie dazu nötigt, sich den Kunden gegenüber „Abteilung“ zu nennen. Weil Nummern so persönlich sind. 😀

Good Day

Kindly confirm the attached payment details and do get back to me at the earliest. As i await to hear from you soon.

Dace Caldwell

PwC | Corporate Finance | Associate Director
Office: +64 3 374 30xx | Mobile: +64 27 308 91xx
Email: dace.m.caldwell@nz.pwc.com
PricewaterhouseCoopers New Zealand

In eine E-Mail einfach mal reinzuschreiben, um was zum hackenden Henker es geht, ist so etwas von gestern. Stattdessen gibt es: Guten Tag, mach den Anhang auf, und mach schnell! Und jetzt mach schon! 😯

Die Mailadresse von „Dace Caldwell“, die unten in der Mail steht, hat nichts mit der Absenderadresse der Mail zu tun – so dass schon durch bloßes Hinschauen klar wird, dass die Absenderadresse gefälscht ist. So etwas machen nur Leute, die etwas zu verbergen haben. Von daher wird der Anhang das reinste Gift sein.

Es handelt sich um ein…

$ ls -lh *.tar
-rw-rw-r-- 1 elias elias 125K Jul  5 14:37 TransferCopies.tar
$ file TransferCopies.tar 
TransferCopies.tar: POSIX tar archive
$ _

…125 KiB großes tar-Archiv. Dieses ist unkomprimiert, so dass es überhaupt keinen sachlichen Grund gibt, die Datei in einem Archiv zu verpacken, statt sie direkt anzuhängen – wenn man mal davon absieht, dass jemand mit diesem unter Microsoft Windows eher unüblichen Archivformat an einem serverseitigen Virenscanner vorbeizukommen hofft.

Ich vermute mal, dass gängige Archivierungssoftware für Microsoft Windows auch ein tar-Archiv problemlos öffnet. In diesem Archiv befindet sich allerdings kein PDF und kein Office-Dokument, sondern…

$ tar -tf TransferCopies.tar 
TransferCopies.js
$ _

…eine einzige Javascript-Datei, die bei einem Doppelklick im Windows Script Host geöffnet und ausgeführt wird. Oder anders gesagt: Es handelt sich um ein über Spam zugestelltes Programm von Kriminellen. Dieses Programm wird mit Sicherheit Schadsoftware nachladen und ausführen, so dass nach dem Doppelklick ein Computer anderer Leute auf dem Schreibtisch steht, bevor man auch nur das Wort „Scheiße“ zuende gedacht hat. Und das kann relativ unangenehm und teuer werden, zum Beispiel, wenn sich ein Erpressungstrojaner durch ein Firmennetzwerk frisst, Daten verschlüsselt und Computer sperrt (und damit unbrauchbar macht) und nur für Geld wieder entschlüsselt. Wohl dem, der ein Backup hat! Dann wird es (durch Produktionsausfälle) noch teuer genug.

Was das Programm genau macht, weiß ich nicht. Die Spammer haben sich mal wieder eine Menge Mühe damit gegeben, ihren Schadcode schwierig analysierbar zu machen. Hier nur ein Screenshot meines Editors, der einen kleinen Eindruck gibt:

Screenshot der Javascript-Datei in meinem Editor. Der Code ist vorsätzlich kryptisch programmiert

Es gibt nur einen Grund, warum jemand dermaßen kryptisch coden sollte: Um eine Analyse zu erschweren. Mir reicht die völlige Klarheit, dass es sich um ein Programm handelt, dass kein Mensch ausführen will, der sein Gehirn noch beieinander hat. Deshalb verzichte ich hier auf weitere Analysen.

Die klare Schadsoftware wird zurzeit übrigens nur von sehr wenigen Antivirus-Schlangenölen als Schadsoftware erkannt. Die meisten Menschen, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind also einmal mehr verlassen. Wer hingegen niemals einen unverlangt zugestellten E-Mail-Anhang aufmacht oder einfach ein anderes Betriebssystem als Microsoft Windows benutzt, ist vor diesem Angriff sicher.

Vorsicht, Einsicht, Wissen und Vernunft können niemals durch Software ersetzt werden.

Microsoft verteilt Schadsoftware in Windows-Apps

Montag, 3. Juni 2019

Hier geht es nicht um eine Spam, sondern um „normale“ und leider immer noch legale Werbung und eine aktuelle Meldung auf Heise Online.

Microsoft, bislang vor allem durch Desktop-Spam in Microsoft Windows sehr unangenehm aufgefallen, verteilt inzwischen Schadsoftware in Apps für Windows 10, die von Microsoft digital signiert wurden und von Microsoft über den Microsoft Store verteilt werden:

Wer unter Windows 10 Apps aus dem Microsoft Store verwendet, muss derzeit vermehrt mit schädlichen Werbeeinblendungen – so genanntem Malvertising – aus dem Kontext dieser Anwendungen rechnen […] Bei der Datei, die unter anderem unter den Bezeichnungen ReimageRepair.exe, reimagerepair.exe und ALWINNER.exe an den Scandienst übermitelt wurde, handelt es sich offensichtlich um Schadcode. Derzeit wird er noch nicht von vielen Virenscannern erkannt – übrigens auch nicht vom Windows Defender […] Erwähnt werden (unter anderem auch in den Kommentaren unterhalb der Sicherheitshinweise und in Leserzuschriften an heise Security) die Apps MSN Weather/Wetter, News und Money, die Microsoft Solitaire Collection sowie Microsoft Mahjong

Bitte den vollständigen Artikel bei Heise Online lesen, ich habe hier sehr stark gekürzt.

In der Überschrift habe ich geschrieben, dass Microsoft Schadsoftware verteilt. Um die werten Damen und Herren Juristen im Brote Microsofts ein wenig zu besänftigen, muss ich dazu ergänzend leider anmerken, dass Microsoft sich vermutlich in den nächsten Tagen in seiner Stellungnahme auf einen sehr anderen Standpunkt stellen wird und vielmedial verstärkt davon sprechen wird, dass Werbenetzwerke, deren Werbungen von Microsoft in die Apps eingebaut wurden, diese Schadsoftware auslieferten. Ich halte das – Achtung! Meinungsäußerung! – für eine unglaublich faule und geradezu intelligenzverachtende Ausrede angesichts der Tatsache, dass…

  1. …Microsoft das Betriebssystem kontrolliert,
  2. …Microsoft die Programmierung von Microsoft-Anwendungen kontrolliert,
  3. …Microsoft den Microsoft Store kontrolliert, und schließlich, dass
  4. …Microsoft die Werbepartner auswählt und kontrolliert.

Wenn aus dieser kurz dargelegten vollumfänglichen Kontrollfülle heraus – die übrigens vor noch gar nicht so langer Zeit den Anwendern auch als Maßnahme zur Verbesserung der Sicherheit von Microsoft Windows schmackhaft gemacht wurde – keine ebenso vollumfängliche Verantwortung (und hoffentlich: Haftbarkeit) für das resultiert, was von kriminellen Dritten mit Schadsoftware an Schäden angerichtet wurde, dann kann man sich meiner Meinung nach (wohlgemerkt: als juristischer Laie) für die Zukunft jegliche Rechtsnorm sparen und das Faustrecht einführen. Denn dann würde ein „der Baseballschläger in meiner Hand bewegte sich immer wieder auf den blutenden Kopf dieses Typen, bis der Typ nicht mehr zuckte, dieser Baseballschläger und sein Hersteller ist am Totschlag schuld“ zur gültigen Verteidigung werden.

Und auf Grundlage dieser Erwägung bleibe ich dabei: Hier wird Schadsoftware von Microsoft ausgeliefert. Niemand anders ist dafür verantwortlich.

Und ja: Auch in Zukunft gibt es – schon unter dem Aspekt der Privatsphäre, aber erst recht unter dem Aspekt der Computersicherheit – keine Alternative dazu, jegliche Form von internetbasierter Reklame irgendwelcher Werbenetzwerke zu blockieren. Adblocker sind und bleiben eine elementare und unverzichtbare Software zur Herstellung von Computersicherheit. Wer sich nicht selbst elementar gegen die Nutzung des Internet-Werbetransportes durch Kriminelle verteidigt, wird gnadenlos attackiert. Neuerdings im Zweifelsfall sogar von Microsoft.

E-ticket 2236-63

Montag, 27. Mai 2019

Ein Ticket? Wofür? Egal, das muss wichtig sein. Da steht eine Nummer dran.

View in browser

Für eine Surftour mit dem Browser?

Dear valued customer,

Ich bin kein Kunde. Ich habe einen Namen.

Thank you for booking with American Airlines.

Nein, das habe ich nicht getan. Ich habe es auch nicht vor. Vor einer langen Zeit, als es noch keine Gretas und Fridays for Future gab, habe ich durch Lesen und Benutzung des Gehirnes schon bemerkt, dass Fliegen so ziemlich die dreckigste und asozialste Form der Fortbewegung ist, die Menschen jemals erfunden haben – und beschlossen, in meinem gesamten Leben darauf zu verzichten, wenn es nicht gerade durch Notfälle erforderlich wird. Das habe ich bis jetzt durchgehalten. Ich bin dabei großer Freund der Eisenbahn geworden, aber nicht der Mondpreise des korrupten Ex-Staatsbetriebes „Deutsche Bahn“. Tatsächlich ist es regelmäßig billiger, zu fliegen, als mit dem Zug zu fahren. Und nein: Das sind nicht weitergegebene reale Kosten und das ist auch nicht die „unsichtbare Hand“ des Marktes, das ist durchgesetzter politischer Wille und vorsätzliche politische Gestaltung durch korrupte und asoziale Politiker und Politikerinnen. Es ist der Wille derjenigen Politiker, die euch permanent einen von Klimaschutz erzählen und die euch demnächst mit dieser Fuchtel auch eine CO2-Sondersteuer aufdrücken werden, die sich in jeden Preis hineinaddieren und vor allem Menschen mit wenig Geld überproportional belasten wird. Die gleichen Politiker werden allerdings auch weiterhin das Kerosin – im Gegensatz etwa zum Ottokraftstoff – unversteuert lassen. Politik ist auch so eine Art Spam, eine Spam für Hirn und Psyche, die jede Vernunft erstickt… 🙁

We have received your booking under reference 2236-63 and are reviewing your payment.

Wer auf den Link klickt, landet nicht etwa bei American Airlines, sondern bekommt eine „kostenlose Sicherheitsprüfung“ seines Browsers und seines Computers durch Kriminelle. Diese ist recht umfangreich. Wenn in diesem automatisierten Prozess, der ungefähr eine Sekunde dauert, eine Lücke gefunden wird, dann wird der Rechner von Kriminellen übernommen. Ansonsten geht es abschließend mit einer Weiterleitung zu einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, wo sich die Gangster sicherlich noch etwas Affiliate-Geld abholen werden – und einige Kunden schwere gesundheitliche Probleme.

Deshalb klickt man ja auch nicht in eine E-Mail, sondern ruft Websites direkt im Browser auf. Dieses bisschen Vorsicht schützt vor Phishing und Schadsoftware, und es kostet nicht einmal Geld. Seit der Version 0.95beta des Browsers Mosaic Netscape gibt es diese praktischen „Lesezeichen“ oder „Favoriten“ im Browser, die nur darauf warten, genutzt zu werden.

Yours sincerely,
American Airlines Support

Mit Winkewinke von einer Verbrecherbande!

You can also view the details of this request by following this link:
https://www.aa.com/?clientrequest=2236-63

Man kann gar viele Links klicken, und alle führen sie einen zur gleichen Adresse, die natürlich nichts mit aa (punkt) com zu tun hat. „Aber da steht doch AA“… ja, es ist eine HTML-formatierte Mail, und die Adresse, die da steht, ist ein Text, der mit einer anderen Adresse verlinkt ist. Ein dummer Trick aus dem Spam-Neolithikum, der inzwischen in jeder anständigen Mailsoftware zu einer Warnung führt, dass es sich um einen Phishing-Versuch handelt. So etwas wie das hier:

https://www.zdf.de/

Um zu sehen, wo der Link wirklich hinführt, muss man übrigens weder den Quelltext lesen noch auf den Link klicken. Es wird sichtbar, wenn man mit dem Mauszeiger über dem Link ist. Immer, wenn dort etwas anderes steht, als im Text falscher Eindruck erweckt wird, soll man an der Nase herumgeführt werden – was denkende und fühlende Menschen, deren Mitteilungen Wert, Kraft und Schönheit haben können, beinahe nie machen, verabscheuungswürdige Werber und Kriminelle hingegen recht regelmäßig.

Die Absender dieser Spam sind Verbrecher. Die leben vom Verbrechen. Die können da nicht „Dieser Link geht zu einer Schadsoftwareschleuder“ hinschreiben, das wäre schlecht fürs Geschäft. Also versuchen sie mit allen möglichen Tricks, einen anderen Eindruck zu erwecken. Auch mit derart dummen Tricks.

You are receiving travel offers for flights departing from as it is selected as your preferred country of departure. If you would like to change your country of departure or change the frequency of the emails you receive, you can modify your preferences. To stop receiving offers from American Airlines, click here to unsubscribe.

Und jetzt: Noch mehr Gelegenheiten, sich zur Schadsoftware zu klicken.

* For terms and conditions of our current promotion and special offers, visit the American Airlines website.

Und weil es so schön war: Noch mehr Gelegenheiten, sich die Pest auf den Rechner zu holen.

All rights reserved. © 2019 American Airlines.

Oh, gar kein Link mehr? 😀

Entf!