Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Payment Advice -Swift Transfer (127)ProCredit Bank Copy

Freitag, 5. Juni 2020

Den Spammern scheint ein neuer Weg eingefallen zu sein, wie man Schadsoftware an eine E-Mail hängen und an den Spamfiltern vorbeibekommen kann. Der Text dieser Spam ist einmal mehr der „gewohnte Kram“, der einen dazu bringen soll, einen Anhang zu öffnen:

Greetings,

We have done the payment. Kindly find the attached details for your reference.

Regards,
Chandrakant
Accounts

BOM-GIM Couriers & Logistics – Administrator GET IN TOUCH

BOM-GIM Corporate House
Plot no.133, Sector-8,
Gandhidham- Kutch
Gujarat -370201

+91 2836-239886-xx-xx-xx

helpdesk@bomgim.com
info@bomgim.com

Wir haben bezahlt. Einen Betrag. Irgendeinen. Eine Rechnungsnummer schreiben wir nicht in die Mail. Einen Rechnungsbetrag auch nicht. Und auch sonst nichts. Wir erwähnen auch gar nicht erst, wofür wir bezahlt haben. Und wer wir sind, machen wir auch nicht klar. Dafür formulieren wir völlig unpersönlich, damit wir diesen Text an ein paar Millionen Mailadressen schicken können. Mach schon den Anhang auf! So ein feiner Anhang… komm, mach ihn schon auf! 🐕

Kurz zusammengefasst: 🚨SCHADSOFTWAREALARM!🚨

Es ist nicht „das übliche“ .pdf.exe-Format, sondern ein für mich völlig neuer Trick im Anhang. Die angehängte Datei ist…

$ file print-out.\ \ Payments.\ TRN\ 100098947806003.img 
print-out.  Payments. TRN 100098947806003.img: UDF filesystem data (version 1.5) 'DESKTOP'
$ mkdir blah
$ sudo mount print-out.\ \ Payments.\ TRN\ 100098947806003.img blah
[sudo] Passwort für elias: 
$ ls -l blah
insgesamt 852
-r-xr-xr-x 1 nobody nogroup 872448 Jun  4 00:24 'print-out  Payments TRN 100098947806003.exe'
$ sudo umount blah
$ rmdir blah
$ _

…ein Abbild eines Dateisystems. Offenbar gibt es Computer, auf denen man so ein Dateisystemabbild durch klicki-klicki Doppelklick einfach einbindet, und dann wird wohl auch gleich ein Fenster des Dateimanagers mit dem Inhalt des „virtuellen Datenträgers“ aufgemacht. Und da liegt dann die ausführbare Datei für Microsoft Windows drin. Ein weiteres klicki-klicki, und man hat einen Computer anderer Leute auf dem Schreibtisch stehen, unter Umständen sogar ein ganzes Betriebsnetzwerk an Kriminelle übergeben. 🖱️😕

Ich wusste gar nicht, dass Microsoft Windows so „benutzerfreundlich“ geworden ist. Auf meinem Pinguin brauche ich für solche Operationen Administratorrechte. Aus guten Gründen, wie man sieht… :mrgreen:

Natürlich ist der so verpackte Anhang, der auf diese Weise wohl an den Spamfiltern vorbeigemogelt werden soll, mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware.

Da stellt sich nur noch eine Frage: Wie sicher wird diese Schadsoftware wohl von den Antivirus-Schlangenölen erkannt? Lt. VirusTotal erkennen zurzeit 28 vo 60 Antivirus-Programmen den Anhang als Schadsoftware – und einige dieser Programme können nicht einmal den Dateitypen verarbeiten.

Also bitte auch weiterhin Mailanhänge als Gift betrachten und auf gar keinen Fall öffnen, wenn nicht der Absender jenseits jedes vernünftigen Zweifels klar ist! (Absenderadressen einer Mail können gefälscht sein, also auch bei bekannten Absendern besser vor dem Öffnen mal anrufen.) Dettelbach ist überall. Und Antivirus-Programme sind angesichts einer hochagilen Kriminalität nur von sehr begrenztem Nutzen.

Das Folgende ist das geänderte Mitarbeiter-Antragsformular für Krankheit gemäß dem Arbeitsrecht

Samstag, 11. April 2020

Vorab: 🚨 Diese E-Mail kommt nicht vom Bundesministerium für Gesundheit. Es ist eine Spam. Den Anhang nicht öffnen! Es ist gefährliche Schadsoftware. 🚨

Von: Emily <info@phenixa.site>
Antwort an: Emily <info@rochea.site>

Der Absender ist gefälscht. 🤥

Aber selbst dieser falsche Absender sieht nicht nach einer Mailadresse der Bundesregierung aus. 🤦

Mal schauen, ob der Spammer während des Formulierens seiner Spam ein bisschen mehr Glück beim Denken hatte. 🍀

Der überlagerte Schriftzug „Spam“ bei einem Logo der Bundesregierung ist natürlich von mir. Ich werde nicht gern zum Bildhoster für solche Honks, und schon gar nicht Bildhoster für den kriminellen Missbrauch eines Hoheitszeichens der Bundesrepublik Deutschland. Der Rest ist völlig unverändert und sieht auch im Original so kaputt aus.

Logo des Bundesminsteriums für Gesundheit
Sehr geehrter Arbeitnehmer,

dieses Schreiben geht an alle berechtigten Arbeitnehmer, um bestimmte Anpassungen weiterzugeben, welche am derzeitigen Familien- und Krankenurlaub in Bezug auf die neueste Coronavirus-Entwicklung vorgenommen wurden. Wir haben die Erwartungshaltung, dass alle Mitarbeiter diese Anpassungen lesen und diese verstehen. Diese wesentlichen Änderungen stehen grundsätzlich in Verbindung mit dem Antragsformular für Mitarbeiter auf Urlaub entsprechend dem Arbeitsrecht und sind gültig vom 11. April 2020. Bitte kontrollieren Sie auf der Grundlage des Arbeitnehmergesetzes die Unterlagen zum Urlaubsantrag sorgfältig. Gehen Sie die vorgenommenen Änderungen detailliert durchund senden Sie das ausgefüllte Antragsformular bis zum 11. April 2020 an die Personalabteilung.

Diese Benachrichtigung wurde automatisch erstellt. Bitte antworten Sie uns nicht direkt auf diese elektronische E-Mail.
.
Wir verbleiben mit freundlichen Grüßen
Arbeitsministerium
Lohn- und Stundenabteilung

So so, beim Arbeitsministerium, das vermutlich aus Gründen der Kostenersparnis das Logo des Gesundheitsministeriums benutzt, gibt es zwar eine hoffentlich gut besoldete Lohn- und Stundenabteilung, aber offenbar niemanden mehr, der einen fehlerfreien Absatz Deutsch mit korrekt codierten Umlauten schreiben kann. 🤣

Vom Fehlen jeglicher Angabe einer zuständigen Stelle, ihrer Anschrift und einer Telefonnummer will ich da gar nicht erst anfangen. Normalerweise steht selbst in E-Mails aus der Bundesverwaltung der Name und eine Büronummer des Sachbearbeiters, eine Anschrift, eine behördliche E-Mail-Adresse und eine Durchwahlnummer. Und das hat auch einen guten Grund. Eine Verwaltung, wo irgendwo im Keller alle eingehenden Briefe aufgerissen werden müssen, um dann von irgendwelchen armen Seelen so weit angelesen zu werden, dass man sie dem zuständigen Sachbearbeiter in den Posteingangskorb auf dem Schreibtisch batschen kann, mag zwar bis in die Achtziger Jahre hinein üblicher Stand in Deutschland gewesen sein, ist aber auch fürchterlich fehleranfällig und ineffizient. Und natürlich teuer, wegen der armen Seelen bei ihrem täglichen Postsack-Frühstück. Das gleiche gilt für eine Telefonzentrale, wo alle Anrufe ankommen und händisch weitergeleitet werden. Bei E-Mail konnte sich die Verwaltung an so etwas zum Glück gar nicht erst gewöhnen… 😉

Aber ich sagte es ja schon eingangs: Es ist eine Spam. Und es fällt eigentlich sehr schwer, zu übersehen, dass es eine Spam ist.

Neben diesem hochnotlächerlichen Text hat die Spam noch einen Anhang. Es handelt sich um ein 79 KiB großes Dokument für Microsoft Word mit Dateinamen Krankschreibung.doc. In dem Dokument steht nicht viel drin, es ist nur ein einziges Bild eingebettet (komme ich noch drauf zurück). Aber dafür…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…enthält es Makros, die beim Öffnen des Dokumentes automatisch ausgeführt werden. Der Makrocode lädt eine ausführbare Datei für Microsoft Windows von einem gecrackten Webserver herunter, führt diese Datei aus und macht den Prozess unsichtbar, wenn der angemeldete Benutzer dafür ausreichende Privilegien hat. Es handelt sich um klare Schadsoftware.

Kurz gesagt: Wer ein unsicher konfiguriertes Microsoft Office hat, so dass Makros in Dokumenten ausgeführt werden, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Im Moment arbeiten viele Menschen im Homeoffice, und das wissen leider auch die Verbrecher, die davon ausgehen können, dass Heimrechner wesentlich anfälliger als administrativ gewartete Arbeitsplatzrechner sind. Wenn dann bei der Arbeit Zugänge zu betrieblichen Dateiablagen offen sind, werden schnell große Teile der betriebswichtigen Daten eines Unternehmens „entführt“ (meist durch Verschlüsselung) und anschließend gibt es eine erpresserische Forderung. 🙁

Und was ist, wenn jemand keine Makros in Microsoft Office ausführt? Dann kommt die Grafik ins Spiel, die der einzige Inhalt des Dokumentes ist:

DocuSign -- To view the document you need to download it. -- This steps are required to fully decrypt the document, encrypted by DocuSign -- Eine bebilderte Beschreibung, wie man mit zwei Klicks die Ausführung von Makros freischaltet -- Why I cannot open this document? -- * You are using iOS, Android. -- * You are trying to view this document using an online viewer.

Es handelt sich um eine Aufforderung, „das Dokument herunterzuladen und zu entschlüsseln“, indem man die Ausführung von Makros in Microsoft Word gestattet. Und hinterher steht ein Computer anderer Leute auf dem Schreibtisch. 🙁

Wie ich schon am 5. April anlässlich einer ähnlichen Schadsoftware gesagt habe, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann… ach, klickt doch einfach den Link und lest es dort weiter. Welchen Link? Den da oben, auf „wie ich am 5. April“. Muss ich den wirklich noch einmal wiederholen? Na gut, click here. 🙃

Aber bitte auf gar keinen Fall auf so etwas hereinfallen! Und bitte die Warnung weitergeben! E-Mail-Anhänge nur mit äußerster Vorsicht behandeln, keine Anhänge von Unbekannten öffnen (und auch nicht in E-Mail von Unbekannten klicken), bei bekannten Absendern im Zweifelsfall vor dem Klicken in eine E-Mail zum Telefon greifen und fragen!

Nachtrag: Siehe auch bei Heise Online.
Nachtrag Zwei: Siehe auch beim LKA Niedersachsen.

⏰✋bewerbung⏰

Sonntag, 5. April 2020

Abt.: 🚨 Home-Office-Arbeitende, aufgepasst! 🚨

Von diesen Spams gibt es im Moment eine Menge. Die Texte in den Mails sind sehr unterschiedlich, immer völlig unpersönlich, meist ein wenig schlampig geschrieben und geben stets vor, dass eine Bewerbung an die E-Mail angehängt ist. Das folgende ist die häufigste Textvariante, immer wieder wird auch das Wort „Bewerbung“ noch einmal über der Anrede wiederholt, als wisse der Absender nicht, was der Zweck eines E-Mail-Betreffs ist.

Sehr geehrte Damen und Herren,

ich möchte mich hiermit noch auf die Ausbildungsstelle als Verkäufer für dieses Jahr bewerben. Ich könnte sofort anfangen und bin sehr motiviert! Im Anhang befinden sich meine Bewerbungsunterlagen.

Mit freundlichen Grüßen.

Ja, ohne irgendeinen Namen. Aber immer wieder den Betreff verdoppeln! 😉

Die angehängten Dokumente sind entweder völlig leer oder enthalten eine gleichermaßen patzig-technisch wie irreführend formulierte Aufforderung…

Screenshot einer derartigen Aufforderung, Makros freizuschalten

…dass man die Ausführung von Makros freischalten soll, um ein Problem zu beheben. Natürlich ist dies keine Fehlermeldung, sondern Text im Dokument.

Wer Microsoft Office unter Microsoft Windows verwendet, so ein Dokument öffnet und die Ausführung von Makros erlaubt (oder standardmäßig freigeschaltet hat), hat verloren und einen Computer anderer Leute auf dem Tisch stehen. 🙁

Aber niemand sage, dass er vorher nicht gewarnt wurde!

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

Bei allen diesen Spams – es waren gestern schon einige, und heute ist es eine Pest – laden die Makros eine Datei namens update.exe oder setup.exe von einem gecrackten Webserver herunter und führen diese unsichtbar aus.

Das erstaunlichste an dieser Spamflut ist aber, dass es sich im Grunde um sehr alten Schadcode handelt. Diese Makros habe ich vor über einem Monat schon gesehen, sie sollten also inzwischen von jedem Antivirus-Schlangenöl erkannt werden.

Ich gehe deshalb davon aus, dass die „Zielgruppe“ dieser Spammer die vielen Menschen sind, die zurzeit Corona-bedingt im „Homeoffice“ arbeiten. Offenbar gehen die Kriminellen davon aus, dass bei den meisten Menschen zuhause Computer herumstehen, die an ein weites Spektrum persönlicher Nutzungsformen angepasst und weniger gut abgesichert sind, auf denen sie sich also „austoben“ können. Vermutlich ist das sogar eine gute kriminelle Strategie. Selbst, wenn man sofort einem Administrator meldet, dass man eine „komische Mail“ aufgemacht hat, ist Abhilfe weit entfernt, während die Kollegen längst ebenfalls mit Schadsoftware angegriffen werden. Und wenn dann erst einmal betriebliche „Cloud“-Verzeichnisse von Erpressern verschlüsselt sind, droht die Insolvenz eines eh schon angeschlagenen Unternehmens so sehr, dass auch hohe fünfstellige Erpressungsgelder oder gar noch höhere Summen gezahlt werden. Auch auf striktes, aber in diesem Kontext weltfremd wirkendes Abraten der Kriminalpolizei hin. Die asozialen Verbrecher haben gewonnen. 🙁

Mit dem Geld für den so angerichteten Schaden lässt sich wahrlich Schöneres und Erfreulicheres anstellen. 💸

Deshalb, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann. (Deshalb gibt es seit über zwei Jahrzehnten die digitale Signatur von E-Mail in freier, kostenloser Software, aber niemand nutzt dieses einfache Sicherheitsmerkmal und kein Journalist erklärt euch, wie man es nutzt.) Erlaubt niemals Makro-Code in Office-Dokumenten! Öffnet keine Dokumente aus ZIP-Archiven! Seid selbst mit PDFs noch vorsichtig, denn der Acrobat Reader hat eine beachtliche und furchteinflößende Sicherheitsgeschichte! Nutzt einen anderen PDF-Betrachter! Und generell: Haltet eurer Betriebssystem und eure Anwendungen auf aktuellem Stand, denn ein behobener Fehler kann nicht mehr kriminell ausgenutzt werden. Wenn es möglich ist (und das ist häufiger der Fall, als die meisten Menschen denken), verwendet ein anderes Betriebssystem als Microsoft Windows! Das ist einfach und kostet nichts. Zurzeit ist Microsoft Windows aber noch so allgegenwärtig, dass andere Betriebssysteme so gut wie gar nicht angegriffen werden. Auch die zurzeit in einer Flut von Spam kommenden Mailanhänge „funktionieren“ nur unter Windows. Dettelbach ist überall. Seid nicht Dettelbach! Seid nicht naiv und dumm! Seid vorsichtig und schlau! 👍

lebenslauf

Dienstag, 11. Februar 2020

Auf keinen Fall die Anhänge öffnen! 🚨

Auch, wenn diese Mail selbst noch durch empfindlich geschaltete Spamfilter hindurchkommt, handelt es sich um eine Spam. Und zwar um eine sehr gefährliche Spam mit Schadsoftware im Anhang.

Sehr geehrter Damen and Herren [sic!]

hiermit bewerbe ich mich für Ihre Firma, da ich Ihre Anforderungen erfülle und mich gerne einer neuen Herausforderung stellen möchte.

Sie suchen eine Fachkraft mit Berufspraxis. Bitte entnehmen Sie meinem Lebenslauf, dass ich meine Erfahrungen in den folgenden Jahren vielfältig erweitern konnte.

Ich bin deshalb sicher, dass ich Ihre Erwartungen an einen engagierten und flexiblen Mitarbeiter voll erfüllen werde.

Momentan arbeite Ich am Flughafen München im Öffentlichen Dienst aber könnte ab sofort bei Ihnen anfangen.

Ich würde mich sehr freuen, mich Ihnen persönlich vorstellen zu dürfen.

Mit freundlichen Grüßen

Gesendet mit der GMX WinPhone App

Dabei habe ich gar keine Jobs anzubieten. Diese „Bewerbung“ geht also an jede Mailadresse, die man irgendwo im Internet einsammeln kann. Damit natürlich auch an die Personalabteilungen vieler Unternehmen, die ja großen Wert auf Erreichbarkeit legen müssen. 🙁

An der Mail hängen zwei Dokumente für Microsoft Word…

$ ls -l *.doc
-rw-rw-r-- 1 elias elias 136349 Feb 11 15:25 180718_Arbeitszeugnisse_aktuell.doc
-rw-rw-r-- 1 elias elias  74532 Feb 11 15:26 190720_Bewerbung_Kaufm_Angestellte_.doc
$ _

…deren Dateinamen mit mutmaßlich darin codiertem Datum den starken Verdacht erwecken, dass es sich nicht um besonders aktuelle Dokumente handelt. Ich will es mal mit LibreOffice sagen:

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

Damit das auch wirklich niemand klicki-klicki überliest, sei der wichtigste Satz aus dieser Meldung hier noch einmal wiederholt:

Makros können Viren enthalten.

Microsoft Word sollte eine sehr ähnliche Warnung anzeigen.

Generell sind solche Meldungen – so lästig sie auch sein mögen, wenn man eigentlich seine Arbeit erledigen will – dafür da, gelesen und nach Möglichkeit beachtet zu werden. Ungelesenes Wegklicken von Fehlermeldungen ist immer gefährlich. Selbst, wenn man glaubt, genau zu wissen, was das für eine Meldung ist.

Wer die Ausführung der Makros freischaltet oder – was leider immer noch in vielen Betrieben üblich ist – standardmäßig freigeschaltet hat und Microsoft Office unter Microsoft Windows verwendet, hat nach dem Öffnen dieses Dokumentes einen Computer anderer Leute auf dem Schreibtisch stehen. Wenn es ganz hart kommt, befindet sich hinterher ein ganzes Betriebsnetzwerk in den Händen von Kriminellen.

Und damit der Klick auf „Makros ausführen“ auch wirklich gemacht wird, wird man im patzigen Tonfall einer angeblichen Fehlermeldung dazu aufgefordert:

SYSTEM ERROR: 0xc004f069 (syntax error: 0xc004f069-90-IsaDLL#211%) -- The program can’t  start because api-ms-win-crt-stdio-l1-1-0.dll is missing from your computer. -- For reinstalling the program file to fix the problem, please restart command: -- [Screenshot von Microsoft Word mit einem Bild, wie man die Makros aktiviert] -- For more information, please visit : -- http://support.microsoft.com/kb/899921 -- http://support.microsoft.com/kb/902312 -- Microsoft © 2020

Das ist natürlich keine Windows-Fehlermeldung – ich sehe sie sogar mit meinem Linux – sondern einfach nur ganz normal gesetzter Text innerhalb des Dokumentes mit gelbem Hintergrund und Rahmen. Ich habe mir das vorsätzlich unverständlich gecodete Makro jetzt nicht im Detail angeschaut, bin aber schon nach schnellem Überfliegen des Quelltextes…

Private Declare Function SideBySide Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

…sehr sicher, dass hier Code aus dem Internet nachgeladen und ausgeführt wird. Nein, für ein normales Dokument werden diese Funktionen aus der Windows-API niemals benötigt. Aber so ein Office-Makro kann leider fast alles, was eine ausführbare Datei für Microsoft Windows auch kann. Zu schade, dass Microsoft für die dadurch angerichteten Schäden nicht haftbar gemacht werden kann.

Zurzeit wird die klare Schadsoftware nur von einem Drittel der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt. Immerhin hat sich die Quote seit meinem letzten Schadsoftware-Anhang im Spameingang etwas verbessert. Aber wer sich auf den „Schutz“ durch Schlangenöl verlässt, ist verlassen.

Deshalb auch weiterhin äußerste Vorsicht im Umgang mit E-Mail! Dettelbach ist überall.

USA / ATOMKRIEG – Amen

Mittwoch, 15. Januar 2020

Auf gar keinen Fall den Anhang öffnen! Das Word-Dokument enthält Makros, die Schadsoftware nachladen und installieren, danach hat man einen Computer anderer Leute auf dem Schreibtisch stehen.

So so, Amen! So sei es! Zum Atomkrieg. Komm, Spammer, nimm mal wieder deine Medikamente! 💊

Oh, du kannst aber „schöne“ Bilder basteln:

Es ist gar keine Frage, daß ein Atomkrieg denkbar ist

ATOMKRIEG -- Foto eines Atompilzes -- Die Angst vor einem Atomkrieg ist zurück -- Die 'dunkle Bedrohung' sei zurück, mahnen Experten auf der Sicherheitskonferenz in München. Experten fürchten, dass wir dicht an einer potenziellen nuklearen Katastrophe stehen. -- WAS ZU TUN IST? -- Wir haben 20 nützliche Tipps für Sie zusammengestellt. -- (Alle Informationen in der angehängten Datei) -- ACHTUNG! NICHT IGNORIEREN! -- Dein Leben hängt davon ab -- Gott hilf uns!

Der Anhang, den zu öffnen man derart eindringlich aufgefordert wird, als hinge das ganze Leben davon ab, ist ein Dokument für Microsoft Word. Dieses Dokument besteht aus einer einzigen, völlig leeren Seite. Und natürlich noch aus…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…ein paar Makros, die beim Öffnen des Dokumentes in Microsoft Word automatisch ausgeführt werden sollen. Der Warnung, die ich hier als Screenshot von LibreOffice wiedergegegeben habe, ist nur eines hinzuzufügen: Wenn einem ein Dokument mit so viel Psychodruck in einer Spam reingedrückt werden soll, dann ist es sogar sicher, dass die Makros Schadsoftware sind. 💀

Und solche Deklarationen von Windows-API-Funktionen, wie ich sie eben gerade in diesen Makros gefunden habe, werden wirklich niemals in einem normalen Dokument benötigt:

Private Declare Function URLDownloadToFile Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

Ich hoffe, dass spätestens jetzt auch jeder verstanden hat, dass ein Makro für Microsoft Office alles kann, was ein ausführbares Programm – eine .exe – für Microsoft Windows auch kann. Das Öffnen eine Office-Dokumentes mit freigeschalteten Makros aus fragwürdiger Quelle ist ganz genau so gefährlich wie das Ausführen eines Programmes aus fragwürdiger Quelle. Wer das macht, geht an den Computer so heran, wie unerfahrene Teenager an die Sexualität: Schnell, einfach und gefährlich. Ich hoffe mal, dass die meisten Computernutzer etwas reifer sind. 😉

Weder muss ein legitimes Makro Dateien aus dem Internet nachladen können, noch muss es einen neuen Prozess erzeugen können, noch muss es an die Verwaltungsinformationen des Betriebssystemes für den neuen Prozess kommen. Das wird in dieser Kombination nur benötigt, wenn eine Datei aus dem Internet nachgeladen werden soll, um dann möglichst unsichtbar ausgeführt werden zu können. Es handelt sich um völlig klare Schadsoftware. Diese wird zurzeit nur von einem Viertel der gängigen Antivirus-Schlangenöle erkannt, wer sich darauf verlässt, ist also einmal mehr verlassen. 🙁

Das ist ja auch der Grund, weshalb man trotz Antivirus-Schlangenöl keine Anhänge aus einer E-Mail öffnet, die nicht vorher über einen anderen Kanal abgesprochen wurden oder deren Absender durch eine überprüfte digitale Signatur jenseits jedes vernünftigen Zweifels feststeht und vertrauenswürdig ist. Die Absenderadresse ist beliebig fälschbar und reicht nicht aus. Man öffnet Anhänge auch nicht, oder besser erst recht nicht, wenn ein Spammer in seiner Spam behauptet, es sei ogottogott jetzt wirklich lebenswichtig, dass man den Anhang öffne. Wenn etwas so wichtig ist, kann man es auch einfach in die Mail hineinschreiben und braucht nicht umständlich einen Anhang dranzuhängen. 😉

Wer das kann, sollte die Ausführung von Makros in Office-Programmen ausschalten. Dies ist bei gewöhnlicher Benutzung mit keinem Funktionsverlust verbunden, aber schließt ein großes Sicherheitsloch, das immer wieder von solchen Halunken wie diesem heutigen Atomspammer ausgebeutet wird. Leider gibt es viele betriebliche Umfelder, in denen das gar nicht so einfach möglich ist, weil Geschäftsprozesse teilweise in Office-Makros programmiert wurden. Ja, das war eine dumme Entscheidung, aber damals in den Neunziger Jahren hat niemand auf mich gehört, als ich davor gewarnt habe, und heute ist es zu spät. Da habt ihr den Salat, und zwar genau so, wie ihr ihn bestellt habt! Da hilft nur noch äußerste Vorsicht in einem unnötig gefährlich gemachten Umfeld.

BEXIMCO bestellt Pics?

Montag, 16. Dezember 2019

Die folgende Mail – sie wurde mir von meinem Leser J.F. zugesteckt, der weder eine Firma besitzt noch „Pics“ herstellt – geht offenbar an alle nur möglichen Mailadressen und ist eine klare Spam. Sie hat nichts mit der BEXIMCO GROUP zu tun. Leider geht sie durch so manchen Spamfilter hindurch. Der Anhang ist das reinste Gift in einem ZIP-Archiv.

Diese freundlichen Verbrecher wollen den Empfängern Schadsoftware unterjubeln. Sie gehen davon aus, dass Menschen den Anhang einer „falsch zugestellten“ E-Mail aufmachen, wenn sie glauben, dass Geld angehängt wurde. 💶

Ja, heute gibt es eine Spam mit Geldanhang! So eine dumme Masche hat man nicht jeden Tag. 💰

Hello,

Dieser Name stimmt einfach immer! 👏

After reviewing all the tenders submitted by different organizations, […]

Was, ihr habt Angebote von verschiedenen Organisationen geprüft. Ich nehme mal an, diese hießen „Hallo“, „Guten Tag“ und „Sehr geehrte Mailadresse“. 🙃

[…] we have selected your company for the order of PO-EM46B92E011.

Aha, das muss eine irre wichtige Bestellung sein! Es ist eine völlig unverständliche Kombination aus Buchstaben und Zahlen, die nicht weiter erläutert wird, obwohl man sich bei solchen „Texten“ leicht verschreibt. ⚠️

The order would be for 10Pics.

Was bitte? Meint ihr Bilder? Meint ihr Teile? Oder könnt ihr nicht richtig schreiben, sprecht eine Sprache mit Auslautverhärtung und meint in Wirklichkeit Schweine? 🐖

We are also enclosing the terms and conditions for your consideration.

ZIP-Archiv im Anhang, damit serverseitige Schadsoftware-Prüfung erschwert wird. Von einem Unbekannten zugestellt. Wenn man das Internet auf die Verhältnisse der „analogen Welt“ abbilden will, entspricht dies einer Briefbombe, die einem beim Öffnen um die Ohren fliegt. 💣

If you need any clarifications regarding the same, please feel free to contact us.

Wie, sind eure AGB genau so kryptisch wie eure Mails formuliert, so dass man hinterher die Autoren fragen muss, was der Text bedeutet? 🤡

We would appreciate if you could start the production at the earliest and deliver the goods to us, delivey Date.

Aha, zum Liefertermin soll ich die „Ware“ liefern. Zum nicht genannten Liefertermin. 🗓️

Aber jetzt mal etwas Erfreuliches:

Also, please find enclosed cheque of # 57,500 USD as advance payment and lists of the Order.

An der Spam hängt ein ZIP-Anhang mit einem Scheck über ganz viele Dollar ohne $-Zeichen drin. Steht ja in der Spam. So ein Scheck wie dieser:

Scheck der Allgemeinen Spam- und Gartenbank über 10 Mionen Euro

Den kann man einfach ausdrucken und bei der Bank einreichen. 🤣

Dafür muss man nur den Anhang einer Spam aufmachen und ein bisschen herumklicken! Was kann dabei schon schiefgehen? Ist ja nur Spam. 💀

Best Regards

Andrich Marinkovich

Ja, Spammer, ich wünsche dir auch alles Gute auf deinem weiteren Lebensweg! Möge dir ein funktionierendes Gehirnchen wachsen! 🧠

Contact BEXIMCO GROUP:
19 Dhanmondi R/A
Road No. 7, Dhaka 1205
Bangladesh.
Phone: +880-2-5861xxxx-x, +880-2-5861xxxx, +880-2-5861xxxx

Email: info@bpl.net

E: info@beximco.net: schmitt@sawayn.com

Die haben ja mehr Mailadressen als IQ-Punkte! Und nochmal: Die BEXIMCO GROUP hat mit dieser Spam nichts zu tun. Ich bin aber gerade heilfroh, dort nicht am Telefon zu sitzen… ☎️

Wichtige informationen uber Steuerruckerstattung

Samstag, 9. November 2019

WARNUNG: Auf gar keinen Fall den Anhang öffnen. Das Word-Dokument enthält ein Makro, das Schadsoftware nachlädt und installiert. ⚠️

Und nein, diese Spam kommt nicht vom „Bundeszentralamt für Steuern“. Der Absender ist gefälscht.

Sehr geehrte Steuerzahler,

Benachrichtung über Steuerrückerstattung 2019

Nach den letzten jährlichen Berechnungen Ihrer steuerpflichtigen Aktivitäten [sic!] haben wir festgestellt, dass sie Anspruch haben auf eine Steuerruckzahlung [sic!] von:

€ 694,32

Bitte reichen Sie die Steuer Rückersattungsanfrage [sic!] ein und gewähren Sie uns 3 Tage fur [sic!] die Verarbeitung.

* Sie finden diese im Anhang als Word-Datei.

Bitte reichen Sie das Steuerformular für die Rückerstattung ein vor dem. 15 November 2019 Bitte antworten Sie nicht auf diese Nachricht. Wenn Sie Fragen haben, benutzen Sie bitte unser Kontaktformular.

© Bundeszentralamt für Steuern 2019

Jeder Mensch mit normaler Lebenserfahrung sollte dieser Mail sofort ansehen können, dass etwas nicht stimmt:

  1. Unpersönliche Ansprache „Sehr geehrte Steuerzahler“
  2. Keine Erwähnung der Steuernummer
  3. Diverse Rechtschreibfehler, viele fehlende Umlaute
  4. Berechnung eines Auszahlungsbetrages für einen Antrag, obwohl dieser Antrag noch gar nicht gestellt wurde – man braucht nicht viel Behördenerfahrung, um das absurd zu finden
  5. Bezug auf ein nirgends verlinktes Kontaktformular und keinerlei Angaben zu Kontaktmöglichkeiten für eventuelle Rückfragen
  6. Kommunikation über Steuersachen (für die ein weit gehendes Steuergeheimnis gilt) in einer unverschlüsselten, nicht digital signierten, offen wie eine Postkarte überall auf dem Weg durch das Internet lesbaren und manipulierbaren E-Mail

Das sind mehr als genug Gründe, die Löschtaste zu drücken und auf gar keinen Fall den gefährlichen Sondermüll aus dem Anhang zu öffnen. Das Antivirus-Schlagenöl hilft übrigens nicht. Aber zum Glück haben Menschen ja auch ein Gehirn, und das erkennt solche Spam sehr leicht. 🧠

Wer mir das aus mir völlig unverständlichen Gründen nicht glauben will, der lese hier weiter, denn die Spam ist eine Pest:

Ich möchte heute jedenfalls nicht in einem Finanzamt am Apparat sitzen, wo die Telefone heißlaufen, weil Menschen wissen wollen, was es mit dieser Mail auf sich hat. Aber solche Erwägungen sind dem Spammer egal. Der will nur seinen Trojaner auf möglichst vielen Computern installieren.

Faxnachricht [Anrufer-ID: 48-059-680-577] fur gammelfleisch@tamagothi.de

Mittwoch, 18. September 2019

⚠️ Warnung! Gefährliche Schadsoftware! ⚠️

Die Mail geht an die Schrottadresse, und die Empfängeradresse wird noch einmal unnötigerweise im Betreff wiederholt, damit ich auch wirklich daran glaube, dass diese Mail für mich ist. Denn die „Anrufer-ID“ hat ja nix mit mir zu tun, und dass mir Mails gefaxt werden, glaube ich vermutlich erst, nachdem ich zehn Jahre in einer Behörde der Bundesrepublik Deutschland gearbeitet habe, an deren Eingang ein Briefkasten hängt, auf dem „E-Mail bitte hier einwerfen“ steht. 😉

Das muss also mal wieder eine echte Qualitätsspam mit goldenem Prädikat sein. 🏅

Faxnachricht fur gammelfleisch@tamagothi.de

Wir können zwar Mailadressen mit angeblichen Faxen zuballern, aber bekommen keine Umlaute in unsere Spam. Unicode ist so Neunziger Jahre, das haben wir noch nicht gelernt. Wollen wir auch gar nicht. 🐌

Sie haben am Donnerstag, 18.09.2019, ein einseitiges Fax erhalten.

Aber Immerhin: Das Datum stimmt. Das schafft nicht jeder Spammer. Dafür ein kleines Fleißbienchen von mir. 🐝

* die Referenznummer fur dieses Fax ist an efax-49486654106-6639-95477.

Das muss ein wichtiges Fax sein. Es hat eine wichtig aussehende Nummer. Und vor allem…

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

…ist es eine Word-Datei und nicht ein PDF. Eine Word-Datei mit Makros drin. Also mit beliebigem Code, der innerhalb von Microsoft Word ausgeführt wird und alles kann, was jedes ausführbare Programm für Microsoft Word auch könnte. Zugestellt von irgendwem. Mit Bullshit-Begründung. 💀

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung

Das typische Spammerproblem: Die wesentliche Botschaft der Spam ist geschrieben, und schon greift die Hand nach der leckeren Wodkaflasche und sind die Gedanken wieder im Bordell und so schleichen sich kleine, auffällige Fehler wie zusammengeschriebene Wörter oder mitten im Nichts als Sprachruinen verendende Sätze ein. Es ist schon schade, wenn man so ein dummer Krimineller ist, der sich mit seinen hochinfektiösen Spams keine Mühe gibt, weil er ja auch einfach arbeiten gehen könnte, wenn er sich nur Mühe geben wollte. 🧟

efax-49486654106-6639-95477.doc
132KBDownload

Alle Links führen in die Domain efaxcontrol (punkt) efax-office (punkt) xyz, die…

$ whois efax-office.xyz | grep -i ^creation
Creation Date: 2019-09-17T07:59:18.0Z
$ _

…gerade erst gestern für die heutige Spamwelle eingerichtet wurde. Dort kann man dann…

$ file efax-49486654106-6639-95477.doc 
efax-49486654106-6639-95477.doc: Microsoft Word 2007+
$ _

…ein Word-Dokument herunterladen. Es handelt sich also nicht – wie in der Spam behauptet – um einen Anhang, der von vielen Mailservern herausgefiltert würde, um betriebliche Netzwerke vor der Übernahme durch Schadsoftware zu schützen, sondern um einen Download. Von einer Website, die erst gestern eingerichtet wurde. Und die Downloads von angeblichen Faxen anbietet. Als Word-Dokumente. Die beim Öffnen mit LibreOffice erstmal eine unmissverständliche Warnung anzeigen:

Warnung -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras... Optionen... LibreOffice-Sicherheit unterbunden -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [Ok]

Hier sei zur Verdeutlichung noch einmal der wichtigste Satz aus diesem Dialogfenster wiedergegeben: Makros können Viren enthalten. Das, zusammen mit dem unerfreulichen Kontext, in dem dieses Dokument versendet wurde, sagt hoffentlich alles. Es ist das reinste Gift. Wer die Ausführung von Makros in diesem Dokument zulässt oder ein Office-Programm hat, in dem elementare Sicherheitsfunktionen abgestellt wurden, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Im schlimmsten Fall wird ein komplettes Firmennetz mit datenlöschenden Erpressungstrojanern übernommen, bei schlechter Backup-Strategie mit hohen Schäden, die zur Insolvenz führen können, aber selbst bei guter Backup-Strategie mit beachtlichen Schäden durch Arbeits- und Produktionsausfälle. 💣

Das Dokument enthält keinen Text, sondern nur eine eingebettete Grafik…

eFax Corporate -- Du hast 1 neue Nachrichten -- Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt -- Um diese Datei zu öffnen, klicken Sie auf 'Inhalt aktivieren' im gelben Bereich und danach auf 'Bearbeitung aktivieren'

…die dazu auffordert, dass man die Ausführung von Makros freischalte, um das angebliche Dokument lesen zu können. Wer das macht, hat verloren und führt eine aus dem Internet nachgeladene Software von kriminellen Spammern auf seinem Computer aus. 🙁

Bitte diese Spam einfach unbeklickt löschen und auf gar keinen Fall auf die Idee kommen, derart windig zugestellte Dokumente zu öffnen und dann auch noch Sicherheitseinstellungen zu lockern! Der Müll gehört dahin, wo Müll hingehört! 🗑️

So, nun noch eine immer wieder interessante Frage: Wie gut schützt eigentlich die ganze Sicherheits- und Antivirus-Software vor diesem Angriff? Leider (im Moment) so gut wie gar nicht. Nur rd. zwölf Prozent der gängigen Antivirus- und Schutzprogramme erkennen im Moment diese klare Schadsoftware als eine mögliche Schadsoftware, und das sind keineswegs die Platzhirsche im Geschäft mit der „gefühlten Sicherheit“. 👎

Wer sich auf sein Antivirus-Programm verlassen hat, ist also einmal mehr verlassen. Wer aber darin geübt ist, Spam als Spam zu erkennen und generell ein solides Misstrauen gegen alle Dateien hat, die über E-Mail zugestellt werden, kann gar nicht überrumpelt werden – denn dazu müsste man nicht einfach nur das Dokument aufmachen, sondern auch ein paar sehr dumme Klicks machen. Und dagegen hilft nun einmal diese „natürliche Intelligenz“, die man einfach so kostenlos im Kopfe hat. 🧠

Ich hoffe mal, dass niemand so dumm ist, darauf reinzufallen. Aber ich befürchte leider, dass heute hunderte, wenn nicht tausende von Computern mit dieser Schadsoftware übernommen wurden und dass ich morgen schon erschreckende Meldungen von einer fiesen, zerstörerischen Trojanerwelle lese. ☹️