Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Faxnachricht [Anrufer-ID: 48-059-680-577] fur gammelfleisch@tamagothi.de

Mittwoch, 18. September 2019

⚠️ Warnung! Gefährliche Schadsoftware! ⚠️

Die Mail geht an die Schrottadresse, und die Empfängeradresse wird noch einmal unnötigerweise im Betreff wiederholt, damit ich auch wirklich daran glaube, dass diese Mail für mich ist. Denn die „Anrufer-ID“ hat ja nix mit mir zu tun, und dass mir Mails gefaxt werden, glaube ich vermutlich erst, nachdem ich zehn Jahre in einer Behörde der Bundesrepublik Deutschland gearbeitet habe, an deren Eingang ein Briefkasten hängt, auf dem „E-Mail bitte hier einwerfen“ steht. 😉

Das muss also mal wieder eine echte Qualitätsspam mit goldenem Prädikat sein. 🏅

Faxnachricht fur gammelfleisch@tamagothi.de

Wir können zwar Mailadressen mit angeblichen Faxen zuballern, aber bekommen keine Umlaute in unsere Spam. Unicode ist so Neunziger Jahre, das haben wir noch nicht gelernt. Wollen wir auch gar nicht. 🐌

Sie haben am Donnerstag, 18.09.2019, ein einseitiges Fax erhalten.

Aber Immerhin: Das Datum stimmt. Das schafft nicht jeder Spammer. Dafür ein kleines Fleißbienchen von mir. 🐝

* die Referenznummer fur dieses Fax ist an efax-49486654106-6639-95477.

Das muss ein wichtiges Fax sein. Es hat eine wichtig aussehende Nummer. Und vor allem…

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

…ist es eine Word-Datei und nicht ein PDF. Eine Word-Datei mit Makros drin. Also mit beliebigem Code, der innerhalb von Microsoft Word ausgeführt wird und alles kann, was jedes ausführbare Programm für Microsoft Word auch könnte. Zugestellt von irgendwem. Mit Bullshit-Begründung. 💀

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung

Das typische Spammerproblem: Die wesentliche Botschaft der Spam ist geschrieben, und schon greift die Hand nach der leckeren Wodkaflasche und sind die Gedanken wieder im Bordell und so schleichen sich kleine, auffällige Fehler wie zusammengeschriebene Wörter oder mitten im Nichts als Sprachruinen verendende Sätze ein. Es ist schon schade, wenn man so ein dummer Krimineller ist, der sich mit seinen hochinfektiösen Spams keine Mühe gibt, weil er ja auch einfach arbeiten gehen könnte, wenn er sich nur Mühe geben wollte. 🧟

efax-49486654106-6639-95477.doc
132KBDownload

Alle Links führen in die Domain efaxcontrol (punkt) efax-office (punkt) xyz, die…

$ whois efax-office.xyz | grep -i ^creation
Creation Date: 2019-09-17T07:59:18.0Z
$ _

…gerade erst gestern für die heutige Spamwelle eingerichtet wurde. Dort kann man dann…

$ file efax-49486654106-6639-95477.doc 
efax-49486654106-6639-95477.doc: Microsoft Word 2007+
$ _

…ein Word-Dokument herunterladen. Es handelt sich also nicht – wie in der Spam behauptet – um einen Anhang, der von vielen Mailservern herausgefiltert würde, um betriebliche Netzwerke vor der Übernahme durch Schadsoftware zu schützen, sondern um einen Download. Von einer Website, die erst gestern eingerichtet wurde. Und die Downloads von angeblichen Faxen anbietet. Als Word-Dokumente. Die beim Öffnen mit LibreOffice erstmal eine unmissverständliche Warnung anzeigen:

Warnung -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras... Optionen... LibreOffice-Sicherheit unterbunden -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [Ok]

Hier sei zur Verdeutlichung noch einmal der wichtigste Satz aus diesem Dialogfenster wiedergegeben: Makros können Viren enthalten. Das, zusammen mit dem unerfreulichen Kontext, in dem dieses Dokument versendet wurde, sagt hoffentlich alles. Es ist das reinste Gift. Wer die Ausführung von Makros in diesem Dokument zulässt oder ein Office-Programm hat, in dem elementare Sicherheitsfunktionen abgestellt wurden, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Im schlimmsten Fall wird ein komplettes Firmennetz mit datenlöschenden Erpressungstrojanern übernommen, bei schlechter Backup-Strategie mit hohen Schäden, die zur Insolvenz führen können, aber selbst bei guter Backup-Strategie mit beachtlichen Schäden durch Arbeits- und Produktionsausfälle. 💣

Das Dokument enthält keinen Text, sondern nur eine eingebettete Grafik…

eFax Corporate -- Du hast 1 neue Nachrichten -- Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt -- Um diese Datei zu öffnen, klicken Sie auf 'Inhalt aktivieren' im gelben Bereich und danach auf 'Bearbeitung aktivieren'

…die dazu auffordert, dass man die Ausführung von Makros freischalte, um das angebliche Dokument lesen zu können. Wer das macht, hat verloren und führt eine aus dem Internet nachgeladene Software von kriminellen Spammern auf seinem Computer aus. 🙁

Bitte diese Spam einfach unbeklickt löschen und auf gar keinen Fall auf die Idee kommen, derart windig zugestellte Dokumente zu öffnen und dann auch noch Sicherheitseinstellungen zu lockern! Der Müll gehört dahin, wo Müll hingehört! 🗑️

So, nun noch eine immer wieder interessante Frage: Wie gut schützt eigentlich die ganze Sicherheits- und Antivirus-Software vor diesem Angriff? Leider (im Moment) so gut wie gar nicht. Nur rd. zwölf Prozent der gängigen Antivirus- und Schutzprogramme erkennen im Moment diese klare Schadsoftware als eine mögliche Schadsoftware, und das sind keineswegs die Platzhirsche im Geschäft mit der „gefühlten Sicherheit“. 👎

Wer sich auf sein Antivirus-Programm verlassen hat, ist also einmal mehr verlassen. Wer aber darin geübt ist, Spam als Spam zu erkennen und generell ein solides Misstrauen gegen alle Dateien hat, die über E-Mail zugestellt werden, kann gar nicht überrumpelt werden – denn dazu müsste man nicht einfach nur das Dokument aufmachen, sondern auch ein paar sehr dumme Klicks machen. Und dagegen hilft nun einmal diese „natürliche Intelligenz“, die man einfach so kostenlos im Kopfe hat. 🧠

Ich hoffe mal, dass niemand so dumm ist, darauf reinzufallen. Aber ich befürchte leider, dass heute hunderte, wenn nicht tausende von Computern mit dieser Schadsoftware übernommen wurden und dass ich morgen schon erschreckende Meldungen von einer fiesen, zerstörerischen Trojanerwelle lese. ☹️

Bewerbung via Arbeitsagentur – Eva Richter

Sonntag, 15. September 2019

WARNUNG: Gefährliche Schadsoftware! ⚠️

Sehr geehrte Damen und Herren,

hiermit bewerbe mich auf die von Ihnen bei der Arbeitsagentur angebotene Stelle.

Das von Ihnen beschriebene Tätigkeitsfeld entspricht in besonderem Maße meinen beruflichen Perspektiven. Meine Bewerbungsunterlagen finden Sie im Anhang.

Über eine Einladung zu einem persönlichen Vorstellungsgespräch würde ich mich sehr freuen.

Mit freundlichen Grüßen

Eva Richter

Erst einmal einen schönen Montagmorgen an alle Leser¹! ☕

Bitte zurzeit irgendwelche E-Mail-Bewerbungen nur mit der Kneifzange anfassen und auf gar keinen Fall unvorsichtig einen Mailanhang öffnen, denn es sind einmal mehr angebliche „Bewerbungen“ mit zerstörerischem Schadsoftware-Anhang unterwegs. Es handelt sich um einen Erpressungstrojaner. Die Daten auf dem PC werden allerdings nicht verschlüsselt, sondern gelöscht – es halt also keinen Sinn, das geforderte Lösegeld zu bezahlen. Wenn es keine Datensicherung gab, sind die Daten weg und kommen niemals wieder. Das ist übrigens der Grund, weshalb man Datensicherungen macht. Damit Daten nicht einfach weg sein können.

Als Anhang wird eine Datei mit dem Namen „Eva Richter Bewerbung und Lebenslauf.pdf.exe“ angehängt

Wir schreiben bald das Jahr 2020. Und ich bin darüber erschrocken und ja, sogar leicht wütend, dass man immer noch eine Datei .pdf.exe nennen kann, und dass diese Datei nicht vom Antivirus-Schlangenöl – oder noch besser: vom Betrübssystem – sofort als Schadsoftware erkannt wird.

Welchen legitimen Grund sollte ein Mensch haben, andere Menschen (zum Beispiel Empfänger einer E-Mail) über den Typ einer Datei zu täuschen? Es gibt dafür keinen Grund.

Solche Dateien sind praktisch immer Schadsoftware. Wer es schon nicht vermeiden kann, per E-Mail zugestellte Dateien zu öffnen – zum Beispiel Mitarbeiter einer Personalabteilung, eines Kundendienstes oder die allermeisten Kaufleute in einer Zivilisation mit Internet – möge sich bitte mindestens sein Microsoft Windows so konfigurieren, dass die Dateinamenserweiterung im Explorer immer angezeigt wird, damit der kriminelle Überrumpelungsversuch sofort sichtbar wird. Das kostet kein Geld und wirkt sofort. 😉

Es ist auch nicht schwierig und erfordert nur wenige Klicks: Im Explorer-Menü unter „Extras“ das Menü „Ordneroptionen“ auswählen, im Dialogfenster unter „Ansicht“ das Häkchen vor „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernen. 🖱️

Es ist gar nicht so kompliziert, wie es in einer verbalen Beschreibung vielleicht klingt. Vor allem nicht, wenn man es nicht mehr suchen muss. Außerdem seid ihr die Menschen, die mir ständig erzählen, dass Windows im Gegensatz zu meinem bevorzugten Betrübssystem so einfach zu bedienen sei… 🙃

Die dumme und sogar technisch unsinnige, aber dennoch bis heute aufrecht erhaltene Entscheidung Microsofts aus den Neunziger Jahren, dem Anwender standardmäßig nicht den vollständigen Dateinamen anzuzeigen, sondern ausgerechnet den Teil des Dateinamens vor ihm zu verbergen, der darüber entscheidet, was Windows bei einem Doppelklick mit dieser Datei macht, dürfte die am häufigsten kriminell missbrauchte Fehlentscheidung in der gesamten Windows-Geschichte sein. Diese unfassbar dumme und unverständliche Entscheidung Microsofts ermöglicht die Zustellung von .pdf.exe-Dateien, die dem Anwender dann als .pdf angezeigt werden und denen vom Verbrecher zusätzlich das Piktogramm einer PDF-Datei (oder eines JPEG-Bildes oder eines anderen „harmlosen“ Dateitypen) gegeben werden kann, um die Täuschung vollkommen zu machen. Wer darauf reinfällt und klickt, führt Software von Kriminellen aus. Und das ist inzwischen schon mehrere Millionen Male geschehen, mit teilweise erheblichen Folgeschäden. Zum Beispiel bei der Deutschen Bahn.

Microsoft ist das egal. An der dummen Entscheidung aus den Neunziger Jahren hält Microsoft weiter fest. Vielen Dank, dass sie sich für Microsoft-Produkte entschieden haben! Bleiben sie uns treu! 😧

Microsoft für so eine dumme Entscheidung zu verfluchen oder zu verspotten, mag erleichtern, ist aber nicht zielführend. (Stattdessen lieber ein Betrübssystem verwenden, das nicht von Microsoft ist – und hoffen, dass auch in den nächsten zehn Jahren alle kriminellen Angriffe vor allem gegen Microsoft Windows gerichtet sind!)

Die eben beschriebene Einstellung, die jeder mit einfachen Anwenderkenntnissen vornehmen kann, hilft hingegen zuverlässig, so einen kriminellen Versuch überhaupt erkennen und behandeln zu können. Machen sie diese Einstellung am besten gleich jetzt! Es dauert höchstens zwei Minuten, selbst, wenn sie ungeübt sind. Und es kann ihnen eine Menge Geld und Ärger ersparen.

¹Ja, heute ist noch Sonntag, ich weiß. Und Sonntags wird hier sehr viel weniger gelesen als in der Woche.

Confirm Urgent Payment

Freitag, 5. Juli 2019

Vorab: Auf gar keinen Fall den Anhang öffnen! Es ist Schadsoftware.

Account Department <account56234@ve.lt>

Kenne ich nicht. Und eine lustige Abteilung muss das sein, die einfach ihre Mitarbeiter in den Mailadressen durchnummeriert und sie dazu nötigt, sich den Kunden gegenüber „Abteilung“ zu nennen. Weil Nummern so persönlich sind. 😀

Good Day

Kindly confirm the attached payment details and do get back to me at the earliest. As i await to hear from you soon.

Dace Caldwell

PwC | Corporate Finance | Associate Director
Office: +64 3 374 30xx | Mobile: +64 27 308 91xx
Email: dace.m.caldwell@nz.pwc.com
PricewaterhouseCoopers New Zealand

In eine E-Mail einfach mal reinzuschreiben, um was zum hackenden Henker es geht, ist so etwas von gestern. Stattdessen gibt es: Guten Tag, mach den Anhang auf, und mach schnell! Und jetzt mach schon! 😯

Die Mailadresse von „Dace Caldwell“, die unten in der Mail steht, hat nichts mit der Absenderadresse der Mail zu tun – so dass schon durch bloßes Hinschauen klar wird, dass die Absenderadresse gefälscht ist. So etwas machen nur Leute, die etwas zu verbergen haben. Von daher wird der Anhang das reinste Gift sein.

Es handelt sich um ein…

$ ls -lh *.tar
-rw-rw-r-- 1 elias elias 125K Jul  5 14:37 TransferCopies.tar
$ file TransferCopies.tar 
TransferCopies.tar: POSIX tar archive
$ _

…125 KiB großes tar-Archiv. Dieses ist unkomprimiert, so dass es überhaupt keinen sachlichen Grund gibt, die Datei in einem Archiv zu verpacken, statt sie direkt anzuhängen – wenn man mal davon absieht, dass jemand mit diesem unter Microsoft Windows eher unüblichen Archivformat an einem serverseitigen Virenscanner vorbeizukommen hofft.

Ich vermute mal, dass gängige Archivierungssoftware für Microsoft Windows auch ein tar-Archiv problemlos öffnet. In diesem Archiv befindet sich allerdings kein PDF und kein Office-Dokument, sondern…

$ tar -tf TransferCopies.tar 
TransferCopies.js
$ _

…eine einzige Javascript-Datei, die bei einem Doppelklick im Windows Script Host geöffnet und ausgeführt wird. Oder anders gesagt: Es handelt sich um ein über Spam zugestelltes Programm von Kriminellen. Dieses Programm wird mit Sicherheit Schadsoftware nachladen und ausführen, so dass nach dem Doppelklick ein Computer anderer Leute auf dem Schreibtisch steht, bevor man auch nur das Wort „Scheiße“ zuende gedacht hat. Und das kann relativ unangenehm und teuer werden, zum Beispiel, wenn sich ein Erpressungstrojaner durch ein Firmennetzwerk frisst, Daten verschlüsselt und Computer sperrt (und damit unbrauchbar macht) und nur für Geld wieder entschlüsselt. Wohl dem, der ein Backup hat! Dann wird es (durch Produktionsausfälle) noch teuer genug.

Was das Programm genau macht, weiß ich nicht. Die Spammer haben sich mal wieder eine Menge Mühe damit gegeben, ihren Schadcode schwierig analysierbar zu machen. Hier nur ein Screenshot meines Editors, der einen kleinen Eindruck gibt:

Screenshot der Javascript-Datei in meinem Editor. Der Code ist vorsätzlich kryptisch programmiert

Es gibt nur einen Grund, warum jemand dermaßen kryptisch coden sollte: Um eine Analyse zu erschweren. Mir reicht die völlige Klarheit, dass es sich um ein Programm handelt, dass kein Mensch ausführen will, der sein Gehirn noch beieinander hat. Deshalb verzichte ich hier auf weitere Analysen.

Die klare Schadsoftware wird zurzeit übrigens nur von sehr wenigen Antivirus-Schlangenölen als Schadsoftware erkannt. Die meisten Menschen, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind also einmal mehr verlassen. Wer hingegen niemals einen unverlangt zugestellten E-Mail-Anhang aufmacht oder einfach ein anderes Betriebssystem als Microsoft Windows benutzt, ist vor diesem Angriff sicher.

Vorsicht, Einsicht, Wissen und Vernunft können niemals durch Software ersetzt werden.

Microsoft verteilt Schadsoftware in Windows-Apps

Montag, 3. Juni 2019

Hier geht es nicht um eine Spam, sondern um „normale“ und leider immer noch legale Werbung und eine aktuelle Meldung auf Heise Online.

Microsoft, bislang vor allem durch Desktop-Spam in Microsoft Windows sehr unangenehm aufgefallen, verteilt inzwischen Schadsoftware in Apps für Windows 10, die von Microsoft digital signiert wurden und von Microsoft über den Microsoft Store verteilt werden:

Wer unter Windows 10 Apps aus dem Microsoft Store verwendet, muss derzeit vermehrt mit schädlichen Werbeeinblendungen – so genanntem Malvertising – aus dem Kontext dieser Anwendungen rechnen […] Bei der Datei, die unter anderem unter den Bezeichnungen ReimageRepair.exe, reimagerepair.exe und ALWINNER.exe an den Scandienst übermitelt wurde, handelt es sich offensichtlich um Schadcode. Derzeit wird er noch nicht von vielen Virenscannern erkannt – übrigens auch nicht vom Windows Defender […] Erwähnt werden (unter anderem auch in den Kommentaren unterhalb der Sicherheitshinweise und in Leserzuschriften an heise Security) die Apps MSN Weather/Wetter, News und Money, die Microsoft Solitaire Collection sowie Microsoft Mahjong

Bitte den vollständigen Artikel bei Heise Online lesen, ich habe hier sehr stark gekürzt.

In der Überschrift habe ich geschrieben, dass Microsoft Schadsoftware verteilt. Um die werten Damen und Herren Juristen im Brote Microsofts ein wenig zu besänftigen, muss ich dazu ergänzend leider anmerken, dass Microsoft sich vermutlich in den nächsten Tagen in seiner Stellungnahme auf einen sehr anderen Standpunkt stellen wird und vielmedial verstärkt davon sprechen wird, dass Werbenetzwerke, deren Werbungen von Microsoft in die Apps eingebaut wurden, diese Schadsoftware auslieferten. Ich halte das – Achtung! Meinungsäußerung! – für eine unglaublich faule und geradezu intelligenzverachtende Ausrede angesichts der Tatsache, dass…

  1. …Microsoft das Betriebssystem kontrolliert,
  2. …Microsoft die Programmierung von Microsoft-Anwendungen kontrolliert,
  3. …Microsoft den Microsoft Store kontrolliert, und schließlich, dass
  4. …Microsoft die Werbepartner auswählt und kontrolliert.

Wenn aus dieser kurz dargelegten vollumfänglichen Kontrollfülle heraus – die übrigens vor noch gar nicht so langer Zeit den Anwendern auch als Maßnahme zur Verbesserung der Sicherheit von Microsoft Windows schmackhaft gemacht wurde – keine ebenso vollumfängliche Verantwortung (und hoffentlich: Haftbarkeit) für das resultiert, was von kriminellen Dritten mit Schadsoftware an Schäden angerichtet wurde, dann kann man sich meiner Meinung nach (wohlgemerkt: als juristischer Laie) für die Zukunft jegliche Rechtsnorm sparen und das Faustrecht einführen. Denn dann würde ein „der Baseballschläger in meiner Hand bewegte sich immer wieder auf den blutenden Kopf dieses Typen, bis der Typ nicht mehr zuckte, dieser Baseballschläger und sein Hersteller ist am Totschlag schuld“ zur gültigen Verteidigung werden.

Und auf Grundlage dieser Erwägung bleibe ich dabei: Hier wird Schadsoftware von Microsoft ausgeliefert. Niemand anders ist dafür verantwortlich.

Und ja: Auch in Zukunft gibt es – schon unter dem Aspekt der Privatsphäre, aber erst recht unter dem Aspekt der Computersicherheit – keine Alternative dazu, jegliche Form von internetbasierter Reklame irgendwelcher Werbenetzwerke zu blockieren. Adblocker sind und bleiben eine elementare und unverzichtbare Software zur Herstellung von Computersicherheit. Wer sich nicht selbst elementar gegen die Nutzung des Internet-Werbetransportes durch Kriminelle verteidigt, wird gnadenlos attackiert. Neuerdings im Zweifelsfall sogar von Microsoft.

E-ticket 2236-63

Montag, 27. Mai 2019

Ein Ticket? Wofür? Egal, das muss wichtig sein. Da steht eine Nummer dran.

View in browser

Für eine Surftour mit dem Browser?

Dear valued customer,

Ich bin kein Kunde. Ich habe einen Namen.

Thank you for booking with American Airlines.

Nein, das habe ich nicht getan. Ich habe es auch nicht vor. Vor einer langen Zeit, als es noch keine Gretas und Fridays for Future gab, habe ich durch Lesen und Benutzung des Gehirnes schon bemerkt, dass Fliegen so ziemlich die dreckigste und asozialste Form der Fortbewegung ist, die Menschen jemals erfunden haben – und beschlossen, in meinem gesamten Leben darauf zu verzichten, wenn es nicht gerade durch Notfälle erforderlich wird. Das habe ich bis jetzt durchgehalten. Ich bin dabei großer Freund der Eisenbahn geworden, aber nicht der Mondpreise des korrupten Ex-Staatsbetriebes „Deutsche Bahn“. Tatsächlich ist es regelmäßig billiger, zu fliegen, als mit dem Zug zu fahren. Und nein: Das sind nicht weitergegebene reale Kosten und das ist auch nicht die „unsichtbare Hand“ des Marktes, das ist durchgesetzter politischer Wille und vorsätzliche politische Gestaltung durch korrupte und asoziale Politiker und Politikerinnen. Es ist der Wille derjenigen Politiker, die euch permanent einen von Klimaschutz erzählen und die euch demnächst mit dieser Fuchtel auch eine CO2-Sondersteuer aufdrücken werden, die sich in jeden Preis hineinaddieren und vor allem Menschen mit wenig Geld überproportional belasten wird. Die gleichen Politiker werden allerdings auch weiterhin das Kerosin – im Gegensatz etwa zum Ottokraftstoff – unversteuert lassen. Politik ist auch so eine Art Spam, eine Spam für Hirn und Psyche, die jede Vernunft erstickt… 🙁

We have received your booking under reference 2236-63 and are reviewing your payment.

Wer auf den Link klickt, landet nicht etwa bei American Airlines, sondern bekommt eine „kostenlose Sicherheitsprüfung“ seines Browsers und seines Computers durch Kriminelle. Diese ist recht umfangreich. Wenn in diesem automatisierten Prozess, der ungefähr eine Sekunde dauert, eine Lücke gefunden wird, dann wird der Rechner von Kriminellen übernommen. Ansonsten geht es abschließend mit einer Weiterleitung zu einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, wo sich die Gangster sicherlich noch etwas Affiliate-Geld abholen werden – und einige Kunden schwere gesundheitliche Probleme.

Deshalb klickt man ja auch nicht in eine E-Mail, sondern ruft Websites direkt im Browser auf. Dieses bisschen Vorsicht schützt vor Phishing und Schadsoftware, und es kostet nicht einmal Geld. Seit der Version 0.95beta des Browsers Mosaic Netscape gibt es diese praktischen „Lesezeichen“ oder „Favoriten“ im Browser, die nur darauf warten, genutzt zu werden.

Yours sincerely,
American Airlines Support

Mit Winkewinke von einer Verbrecherbande!

You can also view the details of this request by following this link:
https://www.aa.com/?clientrequest=2236-63

Man kann gar viele Links klicken, und alle führen sie einen zur gleichen Adresse, die natürlich nichts mit aa (punkt) com zu tun hat. „Aber da steht doch AA“… ja, es ist eine HTML-formatierte Mail, und die Adresse, die da steht, ist ein Text, der mit einer anderen Adresse verlinkt ist. Ein dummer Trick aus dem Spam-Neolithikum, der inzwischen in jeder anständigen Mailsoftware zu einer Warnung führt, dass es sich um einen Phishing-Versuch handelt. So etwas wie das hier:

https://www.zdf.de/

Um zu sehen, wo der Link wirklich hinführt, muss man übrigens weder den Quelltext lesen noch auf den Link klicken. Es wird sichtbar, wenn man mit dem Mauszeiger über dem Link ist. Immer, wenn dort etwas anderes steht, als im Text falscher Eindruck erweckt wird, soll man an der Nase herumgeführt werden – was denkende und fühlende Menschen, deren Mitteilungen Wert, Kraft und Schönheit haben können, beinahe nie machen, verabscheuungswürdige Werber und Kriminelle hingegen recht regelmäßig.

Die Absender dieser Spam sind Verbrecher. Die leben vom Verbrechen. Die können da nicht „Dieser Link geht zu einer Schadsoftwareschleuder“ hinschreiben, das wäre schlecht fürs Geschäft. Also versuchen sie mit allen möglichen Tricks, einen anderen Eindruck zu erwecken. Auch mit derart dummen Tricks.

You are receiving travel offers for flights departing from as it is selected as your preferred country of departure. If you would like to change your country of departure or change the frequency of the emails you receive, you can modify your preferences. To stop receiving offers from American Airlines, click here to unsubscribe.

Und jetzt: Noch mehr Gelegenheiten, sich zur Schadsoftware zu klicken.

* For terms and conditions of our current promotion and special offers, visit the American Airlines website.

Und weil es so schön war: Noch mehr Gelegenheiten, sich die Pest auf den Rechner zu holen.

All rights reserved. © 2019 American Airlines.

Oh, gar kein Link mehr? 😀

Entf!

Bewerbung für die ausgeschriebene Stelle

Freitag, 10. Mai 2019

Leider ist diese Spam mit Schadsoftware-Anhang nicht bei mir angekommen (ich habe ja auch keine offenen Stellen anzubieten), so dass ich nur zum Heise-Artikel mit weiteren Informationen verlinken kann. Zu diesem Artikel ist es aber noch eine Anmerkung zu machen, die auch über die laufende Schadsoftware-Kampagne hinaus gültig bleibt:

Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können […] Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben

Clipart eines Ordners, auf dem das Wort Virus stehtImmer, wenn eine E-Mail einen verschlüsselten Anhang hat und das Passwort im Klartext in der E-Mail steht, handelt es sich um einen Versuch, Schadsoftware an einem Antivirus-Scan auf dem Mailserver vorbeizumogeln.

Es gibt keinen einzigen anderen Grund, warum jemand so vorgehen sollte.

Die Verschlüsselung des Anhanges mit einem Passwort, das in der unverschlüsselten E-Mail steht, schafft keine zusätzliche Sicherheit oder Vertraulichkeit. Die E-Mail geht offen wie eine Postkarte durch das Internet. Auf jedem Server auf dem Transportweg kann sie gelesen (und sogar inhaltlich verändert) werden. Auf jedem Server auf dem Transportweg könnte also auch jemand das Passwort lesen und damit den Anhang öffnen, lesen oder verändern.

Es ist, als ob man seine Wohnungstür zum Schutz vor Dieben abschlösse, den Schlüssel unter die Fußmatte legte und einen unübersehbaren Zettel an die Türe klebte, auf dem in großen, freundlichen und leicht lesbaren Buchstaben steht, dass der Schlüssel unter der Fußmatte liegt.

Es ist völlig sinnlos, Anhänge auf diese Weise zu verschlüsseln – außer, man hat als Krimineller die Absicht, dafür zu sorgen, dass eine Schadsoftware bei einem Virenscan auf dem Mailserver nicht erkannt werden kann. Und genau das ist bei solchen E-Mails regelmäßig der Fall.

Diese Vorgehensweise ist nicht einmal neu. Die erste E-Mail mit im Text angegebenen Passwort für ein angehängtes verschlüsseltes ZIP-Archiv habe ich im Jahr 2015 gesehen. Alles, was ich damals geschrieben habe, gilt auch heute noch unverändert.

Jemand, der Vertraulichkeit herstellen will – was ich bei den weit in die Privatsphäre hineinreichenden Bewerbungsunterlagen erstmal nicht für eine schlechte Idee halte – wird wirksamere Methoden verwenden. Zum Beispiel richtige E-Mail-Verschlüsselung (inklusive einer digitalen Signatur, die unveränderte Übermittlung über ein unsicheres Netzwerk sicherstellt) mit PGP. Aber dafür müsste der Mailempfänger einen öffentlichen Schlüssel bereitstellen, und das ist zurzeit, nur rd. dreißig Jahre nach der Spezfikation und Implementation von PGP und unter den Bedingungen benutzerfreundlich verwendbarer und kostenloser Addons für jede ernstzunehmende Mailsoftware, beinahe niemals der Fall. Auch bei großen Unternehmen nicht. Und so werden eben weiterhin Bewerbungsunterlagen offen wie Postkarten durch das Internet versendet. 🙁

NIEMALS in einem über E-Mail zugestellten Office-Dokument die Ausführung von Makros erlauben! (Dabei auch nicht vom Absender der E-Mail beirren lassen. Die Absenderangabe in einer E-Mail spielt für den Mailtransport keine Rolle und kann beliebig gefälscht werden, ganz ähnlich wie der angegebene Absender auf einem Briefumschlag.)

Ein Makro ist ein innerhalb des Office-Programmes laufendes Programm, das alles kann, was jedes andere Programm für Microsoft Windows auch kann. Wenn das Dokument von einem spammenden Verbrecher stammt, kann und wird der angerichtete Schaden sehr groß werden.

Es gibt keinen einzigen Grund, warum man jemals zum Lesen und Ausdrucken eines Dokumentes die Ausführung eingebetteten Programmcodes zulassen müsste. Irgendwelche Tricks, mit denen Menschen zur Aktivierung von Makros überrumpelt werden sollen, kommen trotzdem immer wieder vor. NIEMALS sollte man darauf reinfallen! Die angeblichen Gründe, die in solchen Dokumenten genannt werden, sind Lüge.

Ganz kurze Zusammenfassung:

  1. Generell niemals Mailanhänge unsignierter E-Mails öffnen, die nicht über einen anderen Kanal als E-Mail explizit abgesprochen wurden. Dettelbach ist überall! Im Zweifelsfall kurz anrufen.
  2. Mailanhänge mit ZIP-Archiv sind besonders gefährlich, da diese wegen des deutlich erhöhten Aufwandes auf dem Mailserver oft nicht nach Schadsoftware gescannt werden.
  3. Mailanhänge mit einem ZIP-Archiv, dass passwortgeschützt ist, bei denen aber das Passwort in der E-Mail steht, sind Gift. Diese „Verschlüsselung“ hat nur einen Sinn: Einen Antivirus-Scan auf dem Mailserver zu verhindern.
  4. Und schließlich etwas, was ich hier gar nicht erwähnt habe, was aber sicherlich bald wieder aktuell wird: Klickbare Links in E-Mail sind genau so gefährlich wie Anhänge. Alles Gesagte gilt also auch für Links in einer Mail.

Wer vorsichtig ist, hat nicht hinterher das Nachsehen. 😉

minecraft

Sonntag, 14. April 2019

Von seiner Mutter mit diesem unvorteilhaften Namen und SEO-trächtigen Keyword bedacht wurde der Idiot mit IP-Adresse aus den USA, der den folgenden Kommentar hier auf Unser täglich Spam veröffentlichen wollte:

Do you have a spam problem on this blog; I also am a blogger, and I was wanting to know your situation; we have developed some nice practices and we are looking to
trade techniques with other folks, be sure to
shoot me an email if interested.

Ja, Spammer, ich habe ein Spamproblem. Es besteht aus Leuten wie dir. Und nein, ich würde dir bestimmt keine Mail rüberschießen, sondern eher etwas anderes… 👿

Die mit dem angegebenen Namen „minecraft“ verlinkte, schnell von einem Spammer aufgeschäumte „Homepage“, die im HTML-Titel frech von sich behauptet, „Minecraft Games for Free Download – Minecraft.net“ zu sein, aber in einer völlig anderen Domain liegt, sieht übrigens so aus:

Screenshot der spambeworbenen angeblichen Minecraft-Website

Natürlich wird die Domain dieser angeblichen Minecraft-Website…

$ whois minecraftm.com | grep ^Registrant | sed 7q
Registrant Name: Domain Admin
Registrant Organization: Whois Privacy Corp.
Registrant Street: Ocean Centre, Montagu Foreshore, East Bay Street
Registrant City: Nassau
Registrant State/Province: New Providence
Registrant Postal Code: 
Registrant Country: BS
$ _

…über einen Dienstleister aus dem ehemaligen Piratennest Nassau auf den sonnigen Bahamas anonym betrieben, denn der Betreiber möchte ja nicht für seine Machenschaften ins Gefängnis gehen.

Dort kann man dann „Minecraft“ herunterladen, wenn man dumm genug ist. Wer das macht, holt sich eine „hübsche“ Kollektion aktueller Schadsoftware auf seinen Computer und hat verloren – und nein, das Antivirus-Schlangenöl hilft gar nicht, weil die brandneue Schadsoftware von vielen derartigen Programmen noch nicht erkannt wird. Ein Gehirn, das Spam erkennt und gar nicht erst auf die Idee kommt, Software von Spammern zu installieren, gewährt hingegen immer einen hervorragenden Schutz.

New Inquiry

Samstag, 23. Februar 2019

Hi dear,

Genau mein Name!

We attached our new Inquiry per phone conversation last week.

Nein, diese Mail hat keinen Anhang.

Please kindly cancel our previous order and send us your new price list for our below order.

Wenn ihr wirklich wolltet, dass ich eine Bestellung rückgängig mache, hättet ihr mir auch gesagt, welche ihr meint – mindestens mit Angabe eurer Kundennummer und des Datums eurer Bestellung. Ach, das könnt ihr nicht, weil das nur ein Vorwand für eine Spam ist? Seht ihr, das habe ich mir gleich gedacht.

Greetings

Winkewinke, bleibt mal schön im Spamordner! Da gehört ihr nämlich hin.

1 attachments (total 53.9 KB)

Nein, diese Spam hat keinen Anhang. Die folgenden Links…

Download_order View_order

…führen zu Dropbox. Da kann jeder alles hochladen. Das beste aus Verbrechersicht daran: Wenn die Mail keinen Anhang hat, kann auch kein Schlangenöl auf dem Mailserver prüfen, ob es sich möglicherweise um Schadsoftware handelt. Und dann kann der Empfänger einfach in die Mail klicken und mit diesem dummen Klick den Computer (oder gar ein ganzes Firmennetzwerk) an Verbrecher übergeben.

Oder anders gesagt: Wer darauf klickt, lasse alle Hoffnung fahren!

Übrigens: Dropbox hat den kriminellen Sondermüll schon entfernt. Das ging erfreulich schnell. Ich befürchte aber, dass dieser Müll dort zehntausendfach (mit geringen Variationen, die automatisches Erkennen stark erschweren) abgelegt wurde. Deshalb kann man sich leider nicht darauf verlassen, dass kriminell missbrauchte Diensteanbieter schnell löschen. Aber zum Glück macht das nichts, denn wir haben ja alle ein eingebautes Gehirnchen, und das ist immer noch der beste Schutz gegen solche Machenschaften.