Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

DHL INVOICE

Mittwoch, 6. September 2017

Was? Eine Rechnung? Wofür?

Von: Delivery Manager Reina <nut.hello@mail.com>

DHL hat mal wieder keine eigene Domain und verwendet keinen eigenen Mailserver. Stattdessen werden anonym und kostenlos einzurichtende Freemail-Adressen für die Kommunikation verwendet.

Dear client

Die Rechnung ist für den „lieben Kunden“, der ärgerlicherweise keinen Namen hat, aber dafür…

We are proud to inform you that there is delivery for you.

…eine Lieferung, die offenbar an die E-Mail-Adresse gehen sollte, denn sonst müsste er sie ja nicht…

You may collect it at our headquarters.

…von der DHL-Hauptstelle abholen. Wo kriegt man eigentlich diese Adressaufkleber her, auf denen man eine Mailadresse statt einer Anschrift des Empfängers einträgt? :?:

Um was es hier geht und was da auf wessen Auftrag hin geliefert wird, erfährt man nicht. Um überhaupt etwas zu erfahren, muss man…

Please find the invoice and further information in the .https://dhl.com/document/download/nachtwaechter/61421872

…in die E-Mail klicken. Es war wohl nicht mehr genug Platz auf dem Mailpapier.

Die E-Mail ist HTML-formatiert, und der Link geht nicht in die Domain dhl (punkt) com. Das ist nur ein Linktext, da könnte genau so gut „Click here“ oder „We are contemptous of you“ stehen. Wer auf diesen Link klickt, lasse alle Hoffnung fahren, denn es ist ein Link aus einer illegalen und asozialen Spam von Kriminellen.

Der Link führt auf ein ZIP-Archiv, das in einer gecrackten Website abgelegt wurde. Als ich die Mail „behandelte“, hatte der Betreiber dieser Site diese Datei zum Glück schon gelöscht. So werde ich nie erfahren, wieviel Prozent der Antivirus-Programme daran scheitern, die im ZIP-Archiv verpackte Schadsoftware als solche zu erkennen. Vielleicht ist es auch besser so, denn das ist oft ein erschreckender Einblick. :(

Denn um eine Schadsoftware handelt es sich völlig sicher. Nur, dass diese zur Abwechslung diesmal kein Mailanhang ist, sondern durch Klick in die Spam heruntergeladen wird. Antivirusprogramme schützen davor nicht zuverlässig. Das Einzige, was zuverlässig schützt, ist, dass man Spam als Spam erkennt und löscht, statt darin herumzuklicken. Und eine E-Mail, die mit Betreff und Inhalt tatütata alarmieren will, aber in ihrem Text nichts konkretes sagt und sämtliche Informationen nur durch Öffnen eines Anhanges oder Klicken eines Links preiszugeben vorgibt, ist immer eine Spam. Und wenn es sich dann auch noch um ein ZIP-Archiv handelt, besteht kein vernünftiger Zweifel mehr daran, dass darin eine Schadsoftware verpackt wurde. Wer schlauer als die Mitarbeiter der Stadtverwaltung von Dettelbach ist, startet dann nicht auch die von Kriminellen zugemailte Software, sondern löscht den Müll. Das kann viel Geld und Lebenszeit sparen.

Best Regards,

Delivery Manager

DHL

Ist „Delivery Manager“ jetzt die neue Berufsbezeichnung für einen Paketboten? :mrgreen:

Message from „G10PR0151001.tamagothi.de“

Mittwoch, 30. August 2017

Häh?

Von: Stork, Elinor <Elinor.Stork@tamagothi.de>

Diese Mailadresse existiert in der Domain tamagothi (punkt) de nicht.

Sent: Tue, 29 Aug 2017 18:58:42 +0700
To: Stork, Elinor
Subject: Message from „G10PR0151001.tamagothi.de“

Aber für diese Angaben gibt es doch Mailheader…

This E-mail was sent from „G10PR0151001.tamagothi.de“ (Aficio MP C305).

…und das gleiche gilt für die Angabe des Absenders, die hier wie üblich gefälscht wurde. Da hilft auch keine dreimalige Nennung.

Gut, kommen wir zum Inhalt der Mail:

Scan Date: Tue, 29 Aug 2017 18:58:42 +0700

Das war der ganze Inhalt. Wirklich. Mehr steht nicht drin. Ansonsten gibt es noch einen Anhang mit dem Nichts sagenden Dateinamen 2017082991.zip. Der Erfolg der so genannten Überraschungseier scheint hier den Spammer motiviert zu haben, eine Art Überraschungsei aus dem Internet zu versenden.

Und was ist jetzt die Überraschung?

$ unzip -l 2017082991.zip 
Archive:  2017082991.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     3873  2017-08-29 13:01   scan_201708294843.zip
---------                     -------
     3873                     1 file
$ unzip 2017082991.zip 
Archive:  2017082991.zip
  inflating: scan_201708294843.zip
$ unzip -l scan_201708294843.zip 
Archive:  scan_201708294843.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    10775  2017-08-29 13:01   scan_201708294843.vbs
---------                     -------
    10775                     1 file
$ _

Es ist ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine durch Doppelklick im Windows Scripting Host für Microsoft Windows ausgeführte Datei¹ liegt. Dieses Programm für Microsoft Windows wurde von kriminellen Spammern unter gefälschtem Absender mit einer E-Mail zugestellt. Ich bin ehrlich gesagt nicht besonders überrascht von diesem deutlich müffelnden Ei, dass mir ein Spammer in meinen Posteingang gelegt hat. Es ist wieder einmal die übliche Überrumpelung für arglose und unwissende Menschen, die mit E-Mail ungefähr so umgehen wie die Fünfzehnjährigen mit dem Geschlechtsverkehr: Schnell, einfach und gefährlich. Wer alles anklickt, was man anklicken kann, einfach, weil man es anklicken kann, braucht sich nicht zu wundern, wenn er hinterher einen Computer anderer Leute auf dem Schreibtisch stehen hat. Das Antivirus-Schlangenöl hilft übrigens auch nicht, wenn das Gehirn versagt oder an Leistungsschwäche leidet: Zwei Drittel der gängigen Antivirus-Programme erkennen diese klare Schadsoftware nicht als Schadsoftware. Aber dafür wäre es Menschen durchschnittlicher Intelligenz wohl relativ leicht gefallen, die kryptisch formulierte E-Mail eines unbekannten Absenders, der sich nicht einmal mehr einen Grund ausdenkt, warum zum hackenden Henker man den Anhang überhaupt öffnen sollte, in den Müll zu befördern.

¹Text nach Hinweis geändert… zuvor stand hier, dass die Datei ausführbar sei.

Sie haben schwere Schuld auf die Grundsteuer

Freitag, 28. Juli 2017

Diese Spam aus dem Irrenhaus des Posteinganges ist ein Zustecksel meiner Leserin M.K. – an der Spam hing noch ein Anhang, der vermutlich das reinste Gift ist. Aber der Text der Spam kitzelt so fürcherlich im Gehirne, dass man gar nicht zum Anhang kommt… ach, hier ist er:

Lieber Bürger,

Ich heiße aber „Liebe Steuernummer“.

Mein Name ist Günther Brown, ich bin der amtliche Vertreter der deutschen Steuerbehorde [sic!], Abteilung der Immobiliensteuer

Wie, du bist der amtliche Vertreter einer Behörde. Die nennt man in der BRD übrigens Beamte. Und die deutsche Steuerbehörde nennt man Finanzamt. Du hast doch nicht etwa einen englischen Betrugstext mit Google übersetzt, du Schlingel von Spammer, du!

Meine Abteilung ist haftbar [sic!], die Staatsangehörigen zu informieren, ihnen das Steuersystem zu erklären, sie in allen Angelegenheit im Zusammenhang mit Steuerprozeduren, Schulden, Zahlungen usw. zu unterstutzen [sic!].

So so, haftbar bist du also dafür. Na, dann hafte mal schön. :mrgreen:

In Ihrem Fall muss ich Ihnen Bescheid geben, dass Sie namhafte Schulde [sic!] auf Vermogenssteuer [sic!] haben. Das heißt, es gibt eine schwere Schuld [sic!] auf die Grundsteuer [sic!]. im Regelfall ignorieren wir solche Schulden fur 4-6 Monate [sic!], aber in Ihrer Situation, die Verzögerungszeit beträgt 7 Kalendermonate [sic!]. deshalb mussen wir geeignete Maßnahmen ergreifen [sic!], um die Lage zu korrigieren.

Aber „Günther Brown“, weißt du denn gar nicht, was in der Bundesrepublik passiert, wenn man Steuerschulden hat? Dann gibt es keine Mail, sondern es kommt der Zoll und es wird gepfändet.

Speziell für Ihre Bequemlichkeit [sic!] haben unsere Spezialisten [sic!] einen individuellen Bericht vorbereitet. Er enthält alle Informationen über das Besteuerungsverfahren auf Grundsteuer [sic!], auf Ihre Schulden (einschließlich Gesamtsumme) [sic!], sowie eine Tabelle der ausstehenden Betrage [sic!] fur jeden Monat der Periode der Schulden [sic!].

Der Bericht befindet sich in der angehängten Datei

Aber „Günther Brown“, weißt du denn gar nicht, wie in der Bundesrepublik ein Steuerbescheid zugestellt wird? Er wird mit der Sackpost zugestellt.

bitte sehr lesen Sie das Dokument in der nahen Zukunft [sic!]. Nach dem Empfang diesen Bericht [sic!] haben Sie einen Tag [sic!], um mit Ihrem Wirtschaftsprufer [sic!] zu kontaktieren und ihm die Daten in diesem Bericht erhalten zu mitteilen [sic!], um das Problem zu lösen. im anderen Fall konnen erhebliche Sanktionen (Bußgelder und Strafen) folgen.

Aber „Günther Brown“, hat dein Deutschexperte dich jetzt verlassen? Oder ist die leckere Flasche Wodka bei ihm so eingefahren, dass er nur noch hirnrissiges Gestammel von sich gibt, das selbst von einem manifest Schwachsinnigen sofort als hirnrissiges Gestammel erkannt würde?

Menschen, die nicht manifest schwachsinnig sind, wissen natürlich, dass es keine Fristsetzungen von einem Tag gibt – und schon gar nicht bei einem Zustellungsweg, bei dem rechtlich gar keine Zustellung erfolgen kann. Fristen werden immer mit ausdrücklicher Nennung des Fristablaufdatums gesetzt, um eine Wirksamkeit entfalten zu können.

Mit besten Grüßen,

Gunther Braun [sic!],
Abteilung fur Grundsteuer,
Die Steuerbehörde Deutschlands [sic!]

Aber „Günther Brown“, du heißt ja Gunther Braun. :lol:

Trojanische Tastatur-App auf HTC-Smartphones

Montag, 17. Juli 2017

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf einen Golem-Artikel zu den neuesten Bemühungen der (leider) legal Reklametreibenden, die bestehende Allgegenwart der Werbung noch weiter auszubauen – wenn es auch ein bisschen halbseiden bis kriminell wird:

Android:
Tastatur des HTC 10 zeigt Werbung an

Gemeint ist hier die werksseitig vorinstallierte Tastatur-App eines Android-Handys, die personalisierte (also auf der Grundlage von Tracking und Überwachung ausgewählte) Reklame einblendet. Das sieht dann so aus (diesen Screenshot habe ich von Reddit mitgenommen):

Screenshot eines Handys mit der Keyboard-App, die Werbung einblendet

Meiner Meinung nach ist dieses Bild einer mit werkseitig installierter Schadsoftware – ja, eine Adware ist eine Schadsoftware – vergällten Systemanwendung für Smartphone-Kernfunktionalität ein treffliches Symbolbild für die ekelerregende Unkultur, die sich in den letzten Jahren zusammen mit den so genannten „Smartphones“ breitmachen konnte, ohne dass ihr ein nennenswerter Widerstand entgegengesetzt würde. Wer sich persönliche Computer andrehen lässt, auf denen werkseitig für den Benutzer uninstallierbare – oder genauer: nur unter Verlust der Gewährleistung für das Gerät und nur mit hohem Aufwand deinstallierbare – Trojaner installiert wurden, gehört zu den Menschen, an denen die menschliche Würde verschwendet ist.

Die Werbung wird natürlich in Abhängigkeit von Eingaben eingeblendet, die auf der Tastatur gemacht werden – es handelt sich hier also nicht nur um eine Adware, sondern um einen Keylogger, der jede Eingabe an einen anonym bleibenden Dritten sendet. Ich wünsche allen Nutzern viel Vergnügen dabei, mit einem derartigen Gerät Online-Banking zu betreiben oder irgendetwas zu bezahlen! Selbst, wenn die mutmaßlich mit HTC kooperierenden Werber mit ihrer Tastaturtrojaner-Idee niemals auf die Idee kommen sollten, die so eingesammelten Daten für kriminelle Zwecke zu missbrauchen oder an irgendwelche Dritte zu verkaufen, ist die Beschädigung der Privatsphäre durch Weitergabe sämtlicher Kommunikationsinhalte und Websuchen an eine Klitsche, die Geschäfte mit Schadsoftware macht, erheblich genug, um sich diese Unverschämtheit auf gar keinen Fall widerstandslos bieten zu lassen. Die Frage, ob nicht schon vor der sichtbaren Werbeeinblendung Tastatureingaben (also Passwörter, IM, Mail, Websuchen) überwacht wurden, lässt sich leider nicht klären, aber ich würde bis zum überzeugenden Beleg des Gegenteiles – und dieser besteht nicht in einer Presseerklärung – davon ausgehen.

Natürlich gibt es alternative Tastatur-Apps, die man sich schnell installieren kann. Aber wer nach einer derartig arschlochhaft vorangetriebenen Sauerei noch das geringste Vertrauen in eine offensichtlich mit Schadsoftware-Programmierern zusammenarbeitende Unternehmung wie HTC hat, zeigt damit nur, dass er nicht zu den Hellsten gehört. Meiner bescheidenen Meinung nach – ich bin wohlgemerkt kein Jurist – handelt es sich hier um einen dermaßen großen, jede Nutzung beeinträchtigenden Produktmangel, dass nur noch eine Reaktion angemessen ist: Die Rückgabe des mit uninstallierbarer Schadsoftware verseuchten Smartphones und die Rückforderung des Kaufpreises. Dieses selbstverständlich vorbehaltlich einer Strafanzeige wegen des Ausspähens von Daten und darauffolgender zivilrechtlicher Forderungen wegen eventuell angerichteter Schäden.

Denn mit Leuten und Unternehmungen, die mit so viel krimineller Energie zum Schaden ihrer eigenen Kunden beim Vorantreiben ihrer halbseidenen Geschäftsideen vorgehen, ist kein friedliches Miteinander mehr möglich. Hier sind sich illegale Spam, direkt von der organisierten Internetkriminalität (bullshitdeutsch: Cybercrime) abgeschaute Vorgehensweisen und leider legale Reklame ganz nahe gekommen, so dass eine Unterscheidung nicht mehr möglich ist. :(

Nachträge, 21:35 Uhr

Ihre Automatische Konto-Lastschrift 27208377 konnte nicht vorgenommen werden 03.07.2017

Montag, 3. Juli 2017

ACHTUNG! Auf gar keinen Fall den Anhang öffnen!

Immerhin, das Datum stimmt. Im Gegensatz zur lustigen Zahl für eine Lastschrift (statt der Kontonummer des vermutlich ungedeckten Kontos) hat es für mich sogar eine gewisse Bedeutung… :D

Von: DirectPay AG Stellvertretender Sachbearbeiter <admin@ebay.com>

eBay, die Klitsche, wo ein Vizeersatzsachbearbeiter die Mailadresse „admin“ kriegt. Natürlich ist der Absender gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Mein Exemplar dieser Spam kam von einem Server, der bei einem US-amerikanischen Hoster gemietet wurde. Der Hoster ist bereits informiert. Ich hoffe, er hat Vorkasse genommen, als ein Verbrecher die Daten und die Kreditkarte eines anderen Menschen missbrauchte, sich einen Server zu mieten, um das Internet mit Spam vollzumachen.

Sehr geehrter Käufer,

Was habe ich denn gekauft?

wir wurden von der Firma DirectPay AG gebeten Ihre gesetzlichen Rechte in Ihrer Angelegenheit zu schützen.

Was verkauft mir diese „DirectPay AG“? Meine eigenen Rechte? :mrgreen:

Die Zahlung erwarten wir bis spätestens 07.07.2017. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.

Welche Zahlung? Wofür? An wen? Welcher Betrag? Auf welches Konto? Jemand, der wirklich Geld wollte, würde sehr darauf achten, dass diese Angaben in seiner Mail stehen.

Fristsetzungen kommen aus Gründen der Rechtssicherheit immer mit der Sackpost.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die durch unsere Tätigkeit entstandene Gebühren von 52,03 Euro zu tragen.

Auf welcher Grundlage bin ich dazu verpflichtet, diesen Mondpreis von über fuffzich Øre für eine E-Mail zu bezahlen?

Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.

Eine Telefonnummer für eine Kontaktaufnahme wurde nicht angegeben. Niemand würde das tun, wenn er wirklich eine Kontaktaufnahme erwartete.

Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 30.06.2017.

Eine Kontonummer oder der Betrag wurde nicht angegeben.

In diesem ganzen aufgequollenen Text einer hochkriminellen Standardspam steht nichts, was für den Empfänger in irgendeiner Weise sinnvoll sein könnte. Wenn er auch nur erfahren möchte, um was zum hackenden Henker es hier geht, muss der Empfänger…

Eine vollständige Forderungsausstellung Nummer 272083776, der Sie alle Positionen entnehmen können, fügen wir bei.

…einen Mailanhang öffnen. Das ist das Standardmuster für Schadsoftware-Mails und immer ein sicheres Zeichen dafür, dass man die Mail einfach in den virtuellen Papierkorb werfen kann.

Der Anhang ist ein ZIP-Archiv mit einem nichtssagenenden Dateinamen, in dem…

$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   506420  2017-07-03 00:22   03.07.2017.zip
---------                     -------
   506420                     1 file
$ _

…ein weiteres ZIP-Archiv liegt. Derartig komplizierte „Verpackungen“ für angehängte Dateien erfüllen nur einen Zweck: Sie sollen einen Antivirus-Scan auf einem Mailserver erschweren. Mal schauen, was da doppelt verpackt wurde:

$ mv 03.07.2017.zip 03.07.2017.old.zip 
$ unzip 03.07.2017.old.zip 
Archive:  03.07.2017.old.zip
  inflating: 03.07.2017.zip
$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   694272  2017-07-03 00:22   03.07.2017 Rechnung.com
---------                     -------
   694272                     1 file
$ _

Es handelt sich nicht etwa um eine Rechnung, sondern um eine ausführbare Datei für Microsoft Windows, die mit einer vorsätzlich irreführenden E-Mail von einem Spammer zugestellt wurde. Wer darauf einen Doppelklick macht, startet auf seinem Computer ein Programm von Verbrechern und hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen (und darf wohl demnächst sein Backup zurückspielen oder sich, wenn kein Backup vorhanden ist, von seinen verschlüsselten Daten verabschieden, denn eine Lösegeldzahlung an derartige Verbrecher kommt nicht in Frage). In der jüngeren Vergangenheit wurden durch einen solchen unbedachten Klick vielfach ganze Firmennetzwerke an Verbrecher übergeben – mit großem wirtschaftlichen Schaden für das davon betroffene Unternehmen und teilweise sogar mit großem gesellschaftlichen Schaden.

Wer sich hier auf sein Antivirus-Programm verlässt, ist verlassen. Diese Schadsoftware wird zurzeit von deutlich weniger als einem Zehntel der gebräuchlichen Antivirus-Programme als das erkannt, was sie völlig sicher ist: Schadsoftware. Antivirus-Programme – von mir meist despektierlich „Schlangenöl“ genannt – schützen nur vor Schadsoftware, die beim Hersteller des Antivirus-Programmes bekannt ist und versagen regelmäßig bei neuer Schadsoftware. Und das Wort „neue Schadsoftware“ bedeutet hier auch: Mit winzigen Änderungen versehene Versionen alter, an sich längst bekannter Schadsoftware. Diese relative Unfähigkeit so genannter Antivirus-Programme wird richtig fürchterlich, wenn Menschen auch noch von der Reklame und einem schlechten Journalismus verblendet an die bequeme Sicherheit durch ein Antivirus-Programm glauben und deshalb gedanken- und bedenkenlos auf alles klicken, was sich nur anklicken lässt. Am Ende ist dann zum Beispiel eine ganze Stadtverwaltung kriminell übernommen. :(

Wer aber niemals einen Anhang einer E-Mail öffnet, der nicht vorher explizit abgesprochen wurde, wer generell nicht in E-Mail herumklickt und wer sich auch nicht durch einschüchternd formulierte Nonsens-Spams von solchen Verbrechern überrumpeln lässt, ist immer auf der sicheren Seite. Es ist eine Haltung, die man sich leicht angewöhnen kann und die in der Praxis beim täglichen Abarbeiten der E-Mail zu mehr Sicherheit führt, als jedes Antivirus-Produkt einbringen kann. Eine sinnvolle Ergänzung dazu sind übrigens nicht Antivirus-Programme, sondern die durchgehende Verwendung digital signierter E-Mail (eine Technik, die jedem Menschen seit rund zwanzig Jahren Frei und kostenlos zur Verfügung steht), um den Absender einer E-Mail jenseits jedes vernünftigen Zweifels feststellen zu können – erst danach kommen Antivirus-Produkte als mögliche Ergänzung. Dass die verwendete Software und das verwendete Betriebssystem immer auf aktuellem Stand gehalten werden müssen, versteht sich von allein – denn ein beseitigter Fehler in der Software kann nicht mehr von Kriminellen ausgenutzt werden.

Mit besten Grüßen

Stellvertretender Sachbearbeiter Justus Melber

Das wichtigste Hilfsmittel zur Herstellung von Computersicherheit ist und bleibt das Gehirn des Menschen, der vorm Computer sitzt. Zurzeit kann dieses Gehirn von keiner Software ersetzt werden, und ich gehe davon aus, dass dies auch in den nächsten zehn Jahren nicht möglich ist. Erfreulicherweise ist die Nutzung des Gehirnes kostenlos und verbraucht auch keinen zusätzlichen Strom. Also bitte, liebe Mitmenschen: Nutzt eure Gehirne!

Invoice PIS4710314

Mittwoch, 14. Juni 2017

Oh, ich habe eine Rechnung bekommen? Von wen? Und vor allem: Wofür? Mal schauen, was in der E-Mail drinsteht:

Please find Invoice PIS4710314 attached.

Aha! Es ist eine dieser E-Mails, in deren Text gar nichts steht und deren Anhang alle Fragen beantworten soll – oder anders und so deutlich wie möglich gesagt: Es ist eine Schadsoftware im Anhang.

Der Anhang ist ein ZIP…

$ unzip -l InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     6670  2017-06-13 11:37   C8DTJJCH.zip
---------                     -------
     6670                     1 file
$ _

…das ein ZIP enthält…

$ unzip InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  inflating: C8DTJJCH.zip 
$ unzip -l C8DTJJCH.zip
Archive:  C8DTJJCH.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    19739  2017-06-13 11:37   C8DTJJCH.wsf
---------                     -------
    19739                     1 file
$ _

…das nicht etwa eine Rechnung in irgendeinem Dokumentformat, sondern ein Windows Script File enthält; ein ausführbares Programm für Microsoft Windows. Dieses Programm wurde in einer E-Mail mit irreführendem Text zugestellt; von ihm wurde behauptet, dass es sich um ein Dokument mit einer Rechnung handele und es ist ausgesprochen kryptisch formuliert, um eine Analyse zu erschweren. Es ist eine ganz klare Schadsoftware. Wer dieses Programm auf einem unter Microsoft Windows laufenden Computer mit einem Doppelklick ausführt, hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen. Ob diese „anderen Leute“ die Festplatte verschlüsseln, den Rechner sperren und Bitcoin für die Entsperrung und Entschlüsselung einfordern, oder ob sie einfach „nur“ heimlich ein paar Trojaner nachinstallieren, die Online-Banking manipulieren, Betrugsgeschäfte durchführen, illegale Pornografie verteilen und Spam versenden, in jedem Fall wird ein Schaden entstehen.

Zurzeit wird diese Version der Schadsoftware nur von rd. der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich auf die bequeme „Sicherheit“ durch Antivirus-Programme verlässt, wird von diesem Schlangenöl regelmäßig verlassen und sitzt dann vor einem von Halunken übernommenen und missbrauchten Computer.

Zum Glück ist es aber auch für Menschen ohne technische Kenntnisse möglich, sich vor der Schadsoftware zu schützen, die über E-Mail verteilt wird: Einfach niemals in eine E-Mail klicken, die nicht vorher über einen anderen Kanal als E-Mail ausdrücklich verabredet wurde, und schon ist eine Übernahme des Computers sehr erschwert¹. Es ist das Internet. Da muss man vor dem Klicken kurz das Gehirn einschalten. Antivirus-Programme sind nur eine Ergänzung.

Übrigens: In letzter Zeit sehe ich derartige Schadsoftware-Spam wieder häufiger, nachdem mal für ein paar Monate relative Ruhe war.

¹Die durchgehende Verwendung von digitalen Signaturen, mit denen man den Absender und die unveränderte Mail jenseits jedes vernünftigen Zweifels sicherstellen kann, ist in vielen Fällen eine wertvolle Ergänzung dieses Vorgehens und ebenfalls nicht so aufwändig, dass Laien davon überfordert wären.

Rechnung 77405577 – bitte gegenlesen

Montag, 12. Juni 2017

ACHTUNG: Auf gar keinen Fall und unter keinen Umständen den Anhang dieser Mail (oder ähnlicher Mails) aufmachen. Es ist das reinste Gift! Hier gibt es keine Rechnung. Die E-Mail einfach löschen (oder Strafanzeige erstatten)!

Sehr geehrte Kundin, Sehr geehrter Kunde,

Bin ich nicht.

Wo ich Kunde bin, werde ich mit Namen angesprochen.

vielen Dank für Ihren Auftrag, anbei erhalten Sie Ihre Rechnung als Anhang.

Welcher Auftrag? Von wann? An wen? Mit welchem Inhalt? An welchem Tag ausgeführt? Was ist die Auftragsnummer? Alle Fragen, die diese Mail möglicherweise beantworten könnte, wenn sie echt wäre, beantwortet sie nicht. Stattdessen soll ein Mailanhang aufgemacht werden. Es gibt keinen sachlichen Grund, so vorzugehen.

Näheres zum Anhang später.

Bitte beachten Sie unsere neue Bankverbindung und überweisen Sie den Rechnungsbetrag in Höhe von 164,44 EUR

Damit der Anhang auch aufgemacht werde, wird Geld gefordert. Die Bankverbindung wird nicht angegeben. Genau das würde aber jeder tun, der das Geld auch wirklich haben will.

Für weitere Fragen zu Ihrer Rechnung erreichen Sie uns per:

+49 30 40 xx xxx

Die E-Mail zu beantworten ist sinnlos. Der Absender ist gefälscht. (Die Telefonnummer habe ich unkenntlich gemacht, damit nicht die arme Seele zusätzlich gequält wird, die diese Telefonnummer hat.)

Mit freundlichen Grüßen

Ihr Team

Was für ein Team? Handelt es sich um Gebäudereiniger oder um Fußballspieler?

Wer mich hochnäsig schimpfen will, der schimpfe mich hochnäsig, aber ich meine, dass jeder Mensch mit einem kleinen bisschen Erfahrung diese E-Mail sofort als Spam erkennen und löschen muss.

Wer dann aber auch noch den Anhang aufmacht, handelt grob fahrlässig und sollte meiner Meinung nach dafür haftbar gemacht werden.

Der Anhang

Dieser Anhang ist…

$ file 976255919.xls | sed "s/,/\n/g"
976255919.xls: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 6.0
 Code page: 1251
 Name of Creating Application: Microsoft Excel
 Create Time/Date: Wed Nov 30 07:48:22 2011
 Last Saved Time/Date: Mon Jun 12 11:19:32 2017
 Security: 0
$ _

…eine 2021 Tage alte Excel-Mappe, die neulich mal wieder kurz aufgemacht wurde. (Nein, wenn man eine Rechnung aus einer Rechnungsvorlage erstellt, steht da nicht die Erzeugungszeit der Vorlage, sondern des Dokumentes drin.) Die Zustellung einer „Rechnung“ in einem Dokumentformat, das jeder Empfänger einfach mit einem Standardprogramm öffnen, bearbeiten und wieder abspeichern kann, ist übrigens eine bemerkenswert sinnlose Idee.

Diese angebliche „Rechnung“ enthält Makros, die beim Öffnen automatisch gestartet werden. Ein sicher konfiguriertes Office-Programm sollte diese Makros gar nicht erst ausführen, sondern eine deutlich formulierte Warnung anzeigen:

Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makroeinstellungen im Menü unter Extras - Optionen - LibreOffice - Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [OK]

Für alle, die es jetzt immer noch nicht verstanden haben, möchte ich gern den wichtigsten Satz aus dem soeben gezeigten LibreOffice-Dialog (Microsoft Office zeigt übrigens recht ähnlich formulierte Dialoge an) noch einmal angemessen hervorgehoben wiederholen:

Makros können Viren enthalten.

Das der Empfänger so vor einem verbrecherischen Angriff gewarnt wird, wissen die Verbrecher natürlich auch, denn sie leben ja davon, dass ihre verbrecherischen Angriffe funktionieren. Deshalb sieht die Rechnung folgendermaßen aus:

Screenshot der angeblichen Rechnung

Das ist nun eine tolle „Rechnung“, denn in ihr steht im „schönsten“ Layout der frühen Neunziger Jahre nichts. Die einzige Zahl, die ich ausmachen kann, ist der Mehrwertsteuersatz von 9,5% – das waren noch Zeiten! :D

Der Zweck dieses Mummenschanzes ist es aber, den Anwender dazu zu bringen, dass er die Ausführung von Makros zulässt, damit die Verbrecher den Computer übernehmen können (zum Beispiel, um einen Verschlüsselungstrojaner darauf zu installieren). Denn in der Tabellenkalkulation ist ganz oben eine Zeile hinterlegt, die nicht gedruckt wird:

Sie auf der gelben Statusleiste auf Inhalt aktivieren klicken, um den Inhalt zu aktivieren

Wer in der Hoffnung, dass die Rechnung dadurch lesbarer würde, dieser patzig formulierten Aufforderung folgt, startet ein Programm, dass ihm Verbrecher mit einer E-Mail zugestellt haben. Der Computer auf dem Schreibtisch ist in weniger als einer Sekunde ein Computer anderer Leute, und diese Leute wären wesentlich besser mit Handschellen und einer Gefängniszelle als mit einem weiteren Computer bedient. Wenn eine für einen Wurm ausnutzbare Sicherheitslücke hinzukommt, kann mit diesem einen Klick ein ganzes Unternehmensnetzwerk an Kriminelle übergeben werden – so, wie dies neulich auch medial breit rezipiert im Fall von „WannaCry“ geschehen ist.

Und deshalb…

  1. …klickt man nicht in E-Mails, die nicht zuvor über einen anderen Kanal als E-Mail ausdrücklich vereinbart wurden;
  2. …öffnet man erst recht keine Anhänge von unvereinbarten, anonym und völlig nichtssagend formulierten E-Mails;
  3. …ist man sich immer der Tatsache bewusst, dass E-Mail ein zwar praktisches, aber auch gefährliches Medium ist, das Verbrechern ermöglicht, Dateien und Programme unter gefälschtem Absender auf die Computer anderer Menschen zu befördern;
  4. …öffnet man eine unabgesprochen zugestellte E-Mail auch dann nicht, wenn sie auf dem ersten Blick völlig legitim erscheint, sondern fragt im Zweifelsfall einmal telefonisch nach; und
  5. …richtet sein Office-Programm so ein, dass es niemals automatisch Makros ausführt und schaltet die Makroausführung auch dann nicht frei, wenn jemand anders darum bittet. Es ist niemals nötig, für den Dokumentenaustausch Programme auf den Rechnern der Empfänger auszuführen. Wer dies dennoch einfordert, ist mit Sicherheit jemand, der nichts Gutes im Schilde führt.

Meiner bescheidenen Meinung nach sollte das jeder Mensch wissen, der in seine Bewerbungen und in seinen Lebenslauf reinschreibt, dass er Computerkenntnisse auf Anwenderniveau hat – wenn ich Chef wäre und es käme in meinem Betrieb zu einer kriminellen Übernahme von Rechnern, weil einer meiner bezahlten Mitarbeiter mit zugesicherten „Computerkenntnissen“ willentlich und mit eigenhändigem Klick Software aus einer anonym formulierten E-Mail ausgeführt hat, würde ich diesen Mitarbeiter vollumfänglich für den von ihn angerichteten Schaden haftbar machen und ihm wegen seines Vertrauensmissbrauches fristlos kündigen. Denn entweder hat er es vorsätzlich getan, oder aber die Angaben in Lebenslauf und Bewerbung waren eine vorsätzliche Lüge. (Und ja, zur Absicherung dieses Standpunktes würde ich meine Mitarbeiter unterschreiben lassen, dass sie dies zur Kenntnis genommen haben.)

Früher, als ich noch naiv war, habe ich ja auch mal geglaubt, dass Menschen aus Eigeninteresse halbwegs vernünftig und informiert handeln, aber dann habe ich nach und nach die ganzen Dummen und Bequemen kennengelernt, die nur unter Schmerzen widerwillig ihr Gehirn benutzen… :(

New voicemail: 8:10AM

Samstag, 13. Mai 2017

Whats App -- Missed voicemessage. -- Details -- May 13 8:10 AM, 08 sec -- autoplay -- © Whats App

Ich fasse mich mal kurz, denn diese Spam ist auch kurz und erschreckend schlecht:

  1. Die Spam kommt nicht von WhatsApp. Das sieht man schon, wenn man auf die Absenderadresse schaut.
  2. Das richtige WhatsApp würde seine eigene Firmierung richtig schreiben, und nicht die Schreibweise „Whats App“ benutzen.
  3. Das richtige WhatsApp würde auch die eingestellte Sprache des jeweiligen WhatsApp-Nutzers verwenden. Auch die Angabe der Uhrzeit würde im hier üblichen Format erfolgen.
  4. Die so genannten „Details“ sind ein Witz. Sie teilen nichts Relevantes mit. Wichtiger als Datum und Uhrzeit ist für den Empfänger, wer ihn zu erreichen versucht hat. Aber um so etwas überzeugend schreiben zu können, müsste der Spammer etwas Persönliches über seine Empfänger wissen. Das ist in solcher Massenware nicht möglich.
  5. Um überhaupt etwas zu erfahren, muss man in die Spam klicken. Der Link führt auf eine von Kriminellen betriebene Website, die nicht in der Domain von WhatsApp liegt – das sieht man übrigens, wenn der Mauszeiger über dem Link ist. Dort gibt es… ähm… eine von Kriminellen durchgeführte, kostenlose „Sicherheitsprüfung“ des Betriebssystemes und der verwendeten Internet-Software. Wer da klickt, lasse alle Hoffnung fahren!

Das ist genau das Strickmuster von E-Mail-Spam, in das man niemals hineinklicken sollte. Warum nicht? Darum nicht. Alles weitere habe ich schon so oft geschrieben, dass ich hier nur noch auf meine älteren Texte verweisen möchte. E-Mail ist zwar praktisch, aber eben auch gefährlich.

Die Spam einfach löschen!

Und bitte generell niemals in E-Mail herumklicken, wenn nicht jenseits jedes vernünftigen Zweifels klar ist, wer der Absender ist – das bedeutet in der Praxis: wenn die E-Mail digital signiert ist und man diese Signatur auch überprüft hat – und diesem Absender vertraut werden kann. Bei E-Mail von WhatsApp, Facebook, Banken, Versandhäusern und dergleichen: Wenn man sich unsicher ist, ob die E-Mail echt sein könnte, einfach den Webbrowser aufmachen, die jeweilige Website direkt aufrufen (die Webbrowser haben übrigens seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 sehr praktische Lesezeichenfunktionen) und schauen, ob dort wirklich etwas vorliegt! Diese einfache Vorsicht ist wesentlich wirksamer als jedes Antivirus-Schlagenöl und kann eine Menge Geld, Ärger, Dateiverluste und mit den Folgen krimineller Sabotagen verschwendete Lebenszeit einsparen. Übrigens schützt sie auch vor Phishing. Also bitte generell niemals in E-Mail herumklicken… ja, ich wiederhole mich. ;)