Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Rechnung von März

Mittwoch, 2. März 2016

Aber der März hat doch gerade erst angefangen…

Hallo ,

Anbei die Rechnung von März. Ich hoffe, alles ist gut. [sic!]

Liebe Grüße

Herschel Curry

Inzwischen sollte wirklich jeder das Schema erkennen: In einer unpersönlichen und eigentlich recht patzigen Mail steht praktisch nichts (außer, dass es um Geld geht oder um etwas anderes, was sofortige Aufmerksamkeit erfordert), alle Einzelheiten gibt es erst im Anhang.

Was ist da im Anhang? Richtig: Es ist eine Schadsoftware.

In diesem Fall handelt es sich wieder einmal um ein vorsätzlich unverständlich formuliertes Javascript-Programm für den Windows Scripting Host in einem ZIP-Archiv, das eine ausführbare Datei aus dem Internet nachlädt und ausführt – also um völlig klare Schadsoftware, die den Spamempfängern unter einem Vorwand angedreht wird. Wer dieses Programm unter Microsoft Windows mit einem Doppelklick ausführt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm ist in vielen Fällen kein zuverlässiger Schutz dagegen.

Deshalb öffnet man keine Mailanhänge! (Außer, sie wurden vorher über einen anderen Kanal als E-Mail explizit abgesprochen.)

Buchung/Rechnung DH80RK

Dienstag, 1. März 2016

Von: Nurflug.de <info (at) nurflug (punkt) de>

Nein, diese Spam hat niemals einen Server von nurflug (punkt) de gesehen. Sie wird über Botnetze aus kriminell übernommenen Computern versendet. Eines meiner Exemplare kam aus Bangalore, Karnataka, Indien; und ein anderes meiner Exemplare kam aus New Delhi, ebenfalls Indien. In beiden Fällen handelte es sich um dynamisch vergebene IP-Adressen, also mit an Sicherheit grenzender Wahrscheinlichkeit um Privatrechner, die mit Schadsoftware übernommen wurden. Zum Beispiel, weil ihre Besitzer Mailanhänge geöffnet haben…

Sehr geehrte/r Kundin/Kunde,

Ich bin also Kunde, aber ich habe keinen Namen.

vielen Dank für Ihre Buchung DH80RK

Ich habe also etwas gebucht, aber das hat nur eine Nummer.

In der Anlage übermitteln wir Ihnen Ihre Bestätigung/Rechnung im PDF Format.

Geld kostet es mich auch noch. Wenn ich rauskriegen will, um was zum hackenden Henker es überhaupt geht, „muss“ ich einen Anhang öffnen.

Sollten Sie das PDF Dokument nicht öffnen können, so erhalten Sie den Acrobat Reader dazu kostenlos unter www.adobe.de

Wir wünschen Ihnen eine schöne und erholsame Reise !

Ihr Reise- & Buchungsservice Team

PS: Beachten Sie bitte unsere geänderten AGBs die wir für Sie unter http://www.nurflug.de/agb/ bereitgestellt haben.

Blah! Einmal das übliche Geschwurbel, mit dem Spammer davon ablenken wollen, dass in Wirklichkeit nur das Folgende in der Spam steht: „Obwohl wir sie nicht kennen und sie von uns nur einen beliebig fälschbaren Absender kennen, seien sie doch bitte so angstblöd, dass sie nur wegen solcher Wörter wie Rechnung und Buchung ganz schnell einen Anhang aus einer E-Mail unbekannter Zeitgenossen öffnen“.

Wer hier häufiger mitliest, wird es sich schon denken können: Es ist keine Rechnung, sondern eine Schadsoftware. Der Anhang ist ein ZIP-Archiv, in dem nicht etwa ein PDF-Dokument liegt, sondern ein vorsätzlich unverständlich formuliertes Javascript-Programm für den Windows Scripting Host, das eine ausführbare Datei aus dem Internet nachlädt und ausführt. Wer das Archiv auspackt und unter Microsoft Windows einen Doppelklick auf diese Datei macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Diese klare Schadsoftware wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt.

Wer aber äußerste Vorsicht mit E-Mail-Anhängen übt; wer einen Anhang nur aufmacht, wenn dieser vorher (und über einen anderen Kanal als E-Mail) ausdrücklich vereinbart wurde; wer mit den typischen Maschen der Kriminellen vertraut ist; wer sich nicht von Behauptungen in Angst versetzen lässt – tja, der hat diese Spam einfach gelöscht und dem Antivirus-Schlangenöl gar nicht erst die Chance gegeben, daran zu versagen.

Invoice #08945011/15

Dienstag, 1. März 2016

Dear costumer,

Ich habe zwar keine Ahnung, wie du heißt, obwohl du angeblich mein Kunde bist und mir…

You are receiving this informational letter because of the fact that you have a debt totaling $248,54 due to late payment of invoices dating March �15.

…zweihundertfuffzich Dollar schuldest. Wofür du mir das Geld schuldest, erzähle ich dir in meiner Spam nicht direkt, sondern erst…

In attachment you will find a reconciliation of the past 12 months (year 2015).

…wenn du den Anhang aufmachst.

Please study the file and contact us immediately to learn what steps you should take to avoid the accrual of penalties.

Also komm, mach schon klicki-klicki den Anhang auf! Denn ich bin Spammer und davon lebe ich schließlich, dass immer wieder Leute so naiv sind.

Diese Spam wurde mechanisch erstellt und kommt daher ohne jeden Gruß.

Der Anhang ist ein ZIP-Archiv, in dem sich nicht etwa ein Dokument, sondern ein vorsätzlich kryptisch formuliertes Javascript-Programm für den Windows Scripting Host befindet¹, das eine Datei aus dem Internet nachlädt und ausführt. Mit einem Doppelklick startet man dieses in einer Spammail zugestellte Programm, und das Antivirus-Programm wird in vielen Fällen nicht davor schützen. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und zu löschen – und niemals, niemals, niemals einen Anhang einer E-Mail zu öffnen, wenn dieser nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde. Die Möglichkeit, jemanden anders eine Datei auf den Rechner machen zu können und dazu einen Vorwand zum Anklicken dieser Datei zu liefern, ist nämlich das Paradies für Kriminelle, und dieser Zustand erfordert nun einmal Vorsicht.

¹Das funktioniert natürlich nur mit Microsoft Windows.

Kurz verlinkt: Neues Fax von 034205-99xxxx

Donnerstag, 25. Februar 2016

Dies ist kein hier gegebenes, kommentiertes Zitat einer Spam, sondern ein Hinweis auf die aktuelle Masche der Schadsoftware-Gangster bei botfrei.de: Die Schadsoftware tarnt sich als ein bei Sipgate angekommenes Fax, das als Mailanhang versendet wird. Dieser Anhang ist wie immer vergiftet, es handelt sich um den Erpressungstrojaner „Locky“.

Also: Den Anhang nicht aufmachen, sondern die Spam löschen (oder abspeichern und für die Strafanzeige gegen Unbekannt als Beweismaterial zur Polizei mitnehmen).

Sehr gelungen sind die dort gegebenen Hinweise zur Prävention für Anwender von Microsoft Windows – wobei mir besonders gut gefällt, dass Antivirus-Programme in der Liste ganz weit unten stehen und Backups, vernünftige Einstellungen von Betriebssystem und Programmen, die ausschließliche Verwendung aktueller Software und die äußerste Vorsicht bei E-Mail-Anhängen ganz weit oben stehen. 😉

Die dort gegebenen weiterführenden Links sollten auch weniger erfahrenen Nutzern weiterhelfen.

Denn etwas Vorsicht ist nun einmal besser als das Nachsehen zu haben…

Rechnung Nr. 152259 vom 15.02.2016

Montag, 22. Februar 2016

Das ist die Pest des heutigen Tages. Die Ziffernfolge ist natürlich jedesmal eine andere. Dabei wird auch vor führenden Nullen nicht zurückgeschreckt.

Sehr geehrte Damen und Herren,

Ich weiß nicht, wie du bist, obwohl ich dir eine „Rechnung“ schicke.

in der Anlage erhalten Sie unsere Rechnung 152259 vom 15.02.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.

Wenn du dir kein Microsoft Office gekauft hast oder kein Betriebssystem benutzt, auf dem Microsoft Office überhaupt lauffähig ist, kannst du meine „Rechnung“ nicht lesen und bekommst auch niemals eine andere „Rechnung“ von mir, mit der du etwas anfangen kannst. Bezahl dann einfach nichts! :mrgreen:

Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.

Diese „Rechnung“ ist ein „Beleg“. Wenn man ihn nicht ausdruckt, kann man ihn nicht verwenden und nicht archivieren.

Bitte beachten ! Dieser Beleg ist das Orginalexemplar !

Und der „Beleg“ ist sogar ein „Original“. Und wenn man ihn fünfmal ausdruckt, gibt es fünf „Originale“. Eine einfache Kopieroperation kann allerdings waldschonender neue Originale erzeugen.

Mit freundlichen Grüßen

Gunther Schulz

ADVANCED COURIER

Freundlich wie die Pest
Dein Spammer

Kurzes Spamkompetenztraining – was bedeutet wohl die Kombination folgender Merkmale:

  1. Unpersönliche Anrede, obwohl mal beim Absender Kunde sein soll;
  2. Verzicht auf jegliche Information, worum es überhaupt geht, stattdessen gibt es eine Nummer;
  3. natürlich ist es eine Rechnung; und
  4. um überhaupt etwas zu erfahren, muss man einen Mailanhang öffnen, weil in der Mail kein Platz mehr war?

Richtig, es handelt sich um Schadsoftware von schäbigen Kriminellen im Anhang. Nach Öffnen des Word-Dokumentes – das übrigens wie eine „kaputte Datei“ aussieht¹ und laut Word-Metadaten nur aus neun Buchstaben besteht – und nach dem Zulassen von Makros steht ein Computer anderer Leute auf dem Schreibtisch.

In diesem Beispiel wird die Schadsoftware wieder einmal von der Mehrzahl der Antivirus-Programme nicht als Schadsoftware erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, hat verloren. Wer die Spam sofort als Spam erkannt hat und gelöscht hat, hat gewonnen. Und wer niemals einen Mailanhang öffnet, außer, wenn die Zustellung vorher ausdrücklich vereinbart wurde, kann über E-Mail kaum an Schadsoftware kommen.

¹Ich weiß nicht, ob den Kriminellen hier ihr MIME-Encoding verunglückt ist oder ob eine Schwäche von Microsoft Word ausgenutzt wird.

Rechnung Nr. 2016_131

Freitag, 19. Februar 2016

Das ist die Pest des heutigen Tages. Eine hochgefährliche Spam mit vergiftetem Anhang.

Von: fueldnerCAC (at) lfw (strich) ludwigslust (punkt) de

Natürlich ist der Absender gefälscht.

Sehr geehrte Damen und Herren,

Ich heiße aber „Lieber Kunde“.

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

Ich muss ja Kunde sein, wenn ich eine „Rechnung im Anhang“ bekomme.

LFW Ludwigsluster Fleisch- und Wurstspezialitäten

GmbH & Co.KG

Vielen Dank!

Bitte, bitte!

Kleines Spamkompetenztraining. Was bedeutet wohl diese Kombination von Merkmalen:

  1. Unpersönliche Ansprache;
  2. es handelt sich um eine Rechnung, es geht also um Geld, so dass möglichst schnelle Aufmerksamkeit gefordert ist;
  3. im Text der Mail steht nichts Näheres zur Sache; und
  4. um zu erfahren, um was es überhaupt geht, muss man einen Anhang einer E-Mail öffnen?

Richtig: Es ist eine Spam und der Anhang ist Schadsoftware!

Es handelt sich hier um ein ZIP-Archiv, in dem eine Javascript-Datei liegt, die vorsätzlich unverständlich gecodet wurde. Das ist kein Dokument und somit auch keine Rechnung, sondern ein Programm, das von einem Kriminellen mit einer E-Mail zugestellt wurde. Wer darauf doppelklickt, führt dieses Programm aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch.

Und nein, das Antivirus-Programm hilft überhaupt nicht. Zurzeit wird diese völlig klare Schadsoftware von keinem einzigen Antivirus-Schlangenöl als Schadsoftware erkannt. Das einzige, was hilft, ist eine Haltung, Anhänge von E-Mails mit äußerster Vorsicht zu behandeln und nur zu öffnen, wenn ihre Zustellung vorher explizit vereinbart wurde. Denn jeder E-Mail-Anhang ist gefährlich.

Mit freundlichen Grüßen

Anke Füldner

Finanzbuchhaltung

Tel.: 03874-422xxx

Fax: 03874-4220xxx

E-Mail: fueldner (at) lfw (strich) ludwigslust (punkt) de

Logo: Ludwigsluster... seit 1892

LFW Ludwigsluster Fleisch- und Wurstspezialitäten

GmbH & Co.KG, Bauernallee 9, 19288 Ludwigslust

HRA 1715, Amtsgericht Schwerin

Geschäftsführer: U.Müller, U.Warncke

USt.-IdNr. DE202820580, St.Nr. 08715803209

[Ich habe die Telefonnummern mal unkenntlich gemacht, denn an dieser Leitung möchte ich heute nicht sitzen…]

Ja, die Zeilenumbrüche sind aus dem Original. Und unbedingt daran denken:

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressant sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten diese E-Mail und alle Anhänge und Ausdrucke unverzüglich.

Das Gebrauchen, Publizieren, Kopieren oder Ausdrucken sowie die unbefugte Weitergabe des Inhalts dieser E-Mail ist nicht erlaubt.

This e-mail and any attached files may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

Diese unverschlüsselte E-Mail, die offen wie eine für jeden sichtbare Postkarte durch das Internet befördert wird, ist eine ganz geheime Geheimsache, die man nach dem Lesen aufessen muss.

Leute, die solche Sprüche unter einer unverschlüsselten E-Mail schreiben… ach, wenn Dummheit rollen würde, könnte man sie den Berg hochbremsen! :mrgreen:

Am Rande bemerkt: Heise Online ist der Meinung, dass ein „Krypto-Trojaner“ in Deutschland „wütet“, weil es zurzeit angeblich über 5.000 Infektionen pro Stunde gibt. Das ist mitnichten der Fall. Was in Deutschland wütet, das ist ein zu jeder unüberlegten Tat aufgelegtes Unwissen und eine brütende Dummheit, die dazu führen, dass jede Stunde 5.000 Menschen auf Anhänge einer E-Mail wie der hier zitierten klicken. Ein Gutteil dieser gefährlichen Dummheit, die zu großen Schäden bei Menschen und Unternehmen sowie zu großen Einnahmen bei der Organisierten Kriminalität führt, geht auf eine dümmliche und ihre Leser verdummende Presse zurück, die immer wieder so tut, als sei Antivirus-Schlangenöl (siehe auch hier) der Inbegriff der Computersicherheit und andererseits jede Aufklärung ihrer Leser über aktuelles kriminelles Vorgehen und den möglichen Schutz davor unterlässt. Ich kann meine Aufforderung nur wiederholen: Bitte fallen sie niemals, niemals, niemals auf Reklame oder auf den dummen, hässlichen Bruder der Reklame, den Journalismus, herein! Sie werden davon nämlich nur Schaden haben.

Per E-Mail senden: Rechnung-CD-57144.xls

Donnerstag, 18. Februar 2016

Von: „MTC Hof – MTC GmbH“ <mtc (strich) hof (at) mtc (strich) handy (punkt) de>

Natürlich ist der Absender gefälscht. Es ist eine Spam.

Dieser Spammer, der übrigens sein Microsoft Office mit kyrillischer Codepage benutzt und dessen Excel-Tabellen stets „Лист“ mit einer fortlaufenden Nummer heißen, hatte gar keine Lust, sich irgendeine unglaubwürdige Geschichte auszudenken, sondern hat gleich eine Excel-Arbeitsmappe an die Mail gehängt, ohne einen Text dazu zu schreiben. Anders, als das bei Word-Anhängen manchmal der Fall ist, handelt es sich…

$ file Rechnung-CD-57144.xls | sed 's/, /\n/g'
Rechnung-CD-57144.xls: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.2
Code page: 1251
Author: 1
Last Saved By: 1
Name of Creating Application: Microsoft Excel
Create Time/Date: Thu Jul 30 06:24:02 2015
Last Saved Time/Date: Thu Feb 18 08:40:25 2016
Security: 0
$ _

…hier auch wirklich um eine Excel-Mappe. Diese ist übrigens völlig leer – wenn man einmal von ein paar Makros absieht, die beim Öffnen automatisch gestartet werden sollen¹.

Kurz: Es ist Schadsoftware, und zwar mal wieder eine, die nur von rd. einem Fünftel der gängigen Antivirus-Programme als solche erkannt wird. Deshalb ist es so wichtig, selbst wachsam zu sein.

Zum Glück ist es sehr einfach, sich einzuprägen, dass Mailanhänge das reinste Gift sind und deshalb niemals einen Anhang zu öffnen, wenn er nicht vorher explizit (und am besten: nicht per Mail) abgesprochen wurde. Rechnungen und Mahnungen kommen auch weiterhin aus Gründen der Rechtssicherheit mit der Sackpost – und Unternehmungen, die nicht dazu imstande sind, ihre Mitteilung im Text der E-Mail unterzubringen und sie stattdessen anhängen, sind in dieser dummen Geste aktive Gehilfen der Organisierten Kriminalität.

Und abschließend noch ein kleiner Witz: Wisst ihr, was Entscheidungsträger aus dem Management und Kühe gemeinsam haben? Die haben beide genau den gleichen Blick drauf, wenn man ihnen von der Möglichkeit digitaler Signaturen erzählt. 😈

¹Teil dieser Makros ist übrigens ein „lustiges“ Spielchen mit wachsenden Schlangen in einer Excel-Tabelle. Natürlich ist die Schadsoftware verwirrend gecodet, und ich habe nicht kontrolliert, ob dieser Teil überhaupt ausgeführt wird, aber er ist darin enthalten. (Nein, ich habe kein Microsoft Office, ich will auch keines haben; sondern ich überfliege die Quelltexte nur schnell.) Offenbar spekulieren die Kriminellen darauf, dass solche neckischen Spielereien dazu führen, dass derartige Dateien in gelangweilten Büroräumen weitergeleitet werden und die Runde machen, bis sie schließlich auch bei Leuten ankommen, bei denen Schadsoftware richtig Schaden anrichten kann. Was mir daran Angst macht: Das könnte funktionieren…

Diese Spam ist ein Zustecksel meines Lesers S. W.