Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Reservierungsliste

Mittwoch, 27. Januar 2016

Das ist die heutige Pest im Posteingang!

Von: Velotours Touristik <reservierung (at) velotours (punkt) de>

Diese E-Mail (also das eine Exemplar aus der Flut, das ich mir gerade vorgeknöpft habe) wurde über eine dynamisch vergebene IP-Adresse aus Taiwan versendet, kommt also vermutlich von einem mit Schadsoftware zum Bot gemachten Privatrechner. Der Absender ist – wie immer in der Spam – gefälscht. Die armen Mitarbeiter von Velotours, die heute eine Menge Arbeit mit verärgerten Empfängern dieser Spam haben werden, tun mir leid. Einen asozialen, kriminellen Spammer interessiert das leider nicht, und die wirtschaftlichen Schäden bei anderen nimmt er billigend in Kauf, wenn nur das eigene „Geschäftchen“ läuft.

Sehr geehrte Damen und Herren,

anbei finden Sie unsere neue Reservierungsliste.

Ihr VELOTOURS-Team

Kleines Spamkompetenztraining. Was bedeutet die folgende Kombination von Merkmalen:

  1. Unpersönliche Anrede von einer Unternehmung, die so tut, als sei man dort Kunde.
  2. In der Mail steht nichts Substanzielles.
  3. Alles weitere erfährt man nur durch Öffnen eines Mailanhanges.

Bingo! Es ist mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware im Anhang.

In diesem Fall ist der Anhang ein Dokument für Microsoft Word. Dieses Dokument¹…

$ file ResLi_9_Lauf_3261_vom_27.01.2016.DOC | sed 's/, /\n/g'
ResLi_9_Lauf_3261_vom_27.01.2016.DOC: Composite Document File V2 Document
Little Endian
Os: Windows
Version 5.1
Code page: 1251
Author: Administrator
Template: Normal.dot
Last Saved By: User
Revision Number: 7
Name of Creating Application: Microsoft Office Word
Total Editing Time: 03:00
Create Time/Date: Wed Jan 27 11:07:00 2016
Last Saved Time/Date: Wed Jan 27 11:15:00 2016
Number of Pages: 1
Number of Words: 27
Number of Characters: 511
Security: 0
$ _

…enthält stolze 27 Wörter auf einer einzigen Seite. Es wurde im Verlaufe dreier Minuten zusammengetippt, und zwar von jemanden, der sich mit dem Namen „Administrator“ registriert hat. Das ist eine ausgesprochen kurze „Reservierungsliste“.

Und in der Tat, es kommt hier nicht auf den Text an. Der sieht übrigens so aus:

If this document has incorrect encoding - enable macro -- gefolgt von leckerem Zeichensalat...

Nun, das Makro soll automatisch ausgeführt werden. Bei aktuellen Versionen von Microsoft Office ist die automatische Ausführung standardmäßig deaktiviert. Wer auf die dumme Idee kommt, auf den Wunsch eines Unbekannten hin die Ausführung von Makros zu gestatten, um etwas anderes als die sondersame Lyrik eines auf den Tasten herumprügelnden Schimpansen lesen zu können; wer die Standardeinstellung verstellt hat oder wer eine ältere Version von Microsoft Word verwendet, bekommt eine kostenlos installierte Version von Schadsoftware, deren Installer von der URL http (doppelpunkt) (doppelslash) parass (punkt) si (slash) 54t4f4f (slash) 7u65j5hg (punkt) exe nachgeladen wird. Hinterher steht ein Computer anderer Leute auf dem Schreibtisch – und diese Leute wären besser mit Handschellen bedient.

Wer sich sicher fühlt, weil er ja ein Antivirus-Schlangenöl auf seinem Rechner hat, ist in diesem Fall leider in fast allen Fällen verlassen. Deshalb ist es auch so wichtig, dass man Spam selbst erkennt und sie löscht, statt darin herumzuklicken. Bei aktueller Schadsoftware versagt das Antivirusprogramm regelmäßig – und zwar sogar bei den Unternehmen, die Antivirus-Schlangenöl herstellen. Generell sollten niemals Mailanhänge geöffnet werden, deren Zustellung nicht vorher explizit (und über einen anderen Kanal als E-Mail) abgesprochen wurde – und generell gibt es keinen einzigen Grund dafür, Informationen nicht ganz normal in die Mail zu schreiben, statt sie in einem Anhang zu versenden.

¹Das Unix-Kommando file dient eigentlich dazu, den Dateitypen festzustellen, gibt aber bei vielen Dateitypen interessante Meta-Informationen aus. Die anschließende Pipe auf sed ist nur eine Verbesserung der Lesbarkeit, da sonst alles mit Komma getrennt in einer Zeile ausgegeben würde.

REQUEST FOR QUOTATION

Samstag, 23. Januar 2016

Dear Sir/ Madam

Ich habe keine Ahnung, wer du bist, aber…

It is a pleasure to be in touch with you.

…es ist mir ein Vergnügen, dich zuzuspammen.

I am contacting you on behalf of Ronass Trading Company.
Please note that Ronass Trading Company is an Iranian company which is involved in different business ventures.

Das Unternehmen, das ich als Vorwand für meine Spam benutze, kennst du genau so wenig wie mich.

It is highly appreciated if you could give me a quotation for the attached product, also it would be great if you could send me some brochure or document in English. (Please find the enclosed file for more details)

Um was es überhaupt geht, sage ich dir auch nicht. Dafür musst du einen Anhang aufmachen. Komm schon, Katzen im Sack sind voll süß!

Es sind sogar zwei Anhänge:

  1. product sample_pdf.jar ist ein Java-Archiv, das einen frischen Trojaner enthält
  2. product samples_pdf.zip ist ein ZIP-Archiv, das eine ausführbare Datei für Microsoft Windows enthält, die natürlich ebenfalls Schadsoftware ist, wenn auch nicht so frische

I hope to receive your prompt reply.

Ich hoffe, dass wieder genug Leute drauf reinfallen.

Regards,

Shahab Haitam
Foreign Trade Manger
Ronass Trading Company
Tehran, Iran.

Grüßchen

Ausgedachter Name
Computerkrimineller
Hat nichts mit der Firma zu tun
Vermutlich auch nichts mit dem Iran.

Email : shahab (at) ronass (punkt) com

Musst du verstehen: Ich fälsche zwar den Absender meiner Spams, aber ich schreibe dann noch einmal einen zweiten Absender rein. Beide Adressen haben nichts mit mir zu tun. Mir reicht es nämlich, wenn du den Anhang öffnest und mir damit deinen Computer übergibst. Ich bleibe dabei lieber völlig anonym. Im Puff ists nämlich schöner als im Gefängnis.

Skype : shahabxxxxxx

Das gleiche gilt für meine Skype-ID.

Und jetzt das Wichtigste!

This message and any attachment are confidential and may be privileged or otherwise protected from disclosure.
If you are not the intended recipient, please telephone or email the sender and delete this message and any attachment from your system.
If you are not the intended recipient you must not copy this message or attachment or disclose the contents to any other person.
Please consider the environmental impact before printing this document and its attachment(s). Print black and white and double-sided where possible.

Diese Spam ist eine ganz geheime Geheimsache. Bitte nach dem Lesen aufessen. Egal, ob du der Empfänger bist oder nicht. Auf gar keinen Fall ausdrucken. Ich bin Spammer. Meine Spams sind Umweltverschmutzung genug.

Die automatische Lastschrift von Pay Online24 konnte nicht durchgeführt werden

Freitag, 22. Januar 2016

Sehr geehrte(r) $Vorname $Nachname,

Natürlich stand da der richtige Name des Empfängers. Wer nicht weiß, wie Spammer an die Namen zu Mailadressen kommen, lese hier weiter und grusele sich!

das von Ihnen gespeicherte Bankkonto [sic! Wir speichern ja alle Bankkonten] wurde nicht hinreichend gedeckt um die Lastschrift vorzunehmen. Unsere Erinnerung blieb bisher leider ohne Erfolg Heute bieten wir Ihnen damit letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten Pay Online24 GmbH zu überweisen. Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich [sic!], die durch unsere Beauftragung entstandenen Kosten von 52,48 Euro zu bezahlen [sic!]. Die Höhe des Betrags kann aufgrund berechneter Zinsen abweichen [sic!].

Ganz schlimme Mahnung. So schlimm, dass nicht einmal der zu zahlende Betrag drinsteht. Aber allein die Mahngebühr… und Zinsen kommen auch noch drauf… auf einen völlig unbekannten Betrag, der wohl höher als die Gebühr sein wird.

Und nicht nur den Betrag hat der Absender vergessen, sondern auch:

  1. Die Kontonummer des Bankkontos und das Kreditinstitut für den Lastschrifteinzug (viele Menschen und insbesondere Unternehmen haben mehrere Konten).
  2. Der Zeitpunkt, zu dem die Lastschrift angeblich versucht wurde, damit das mal mit dem Kontoauszug verglichen werden kann.
  3. Der eigentliche Rechnungsgegenstand, auf den sich die Forderung bezieht. Der vorliegende Text sagt einfach nur: Zahlen sie grundlos Geld, viel Geld!

Mit solchen Angaben würde ja auch sofort klar, dass es sich nicht um eine Mahnung handelt, sondern um kriminelle Spam – außer, den Verbrechern gelänge es, auch noch die richtige Kontonummer zu erraten.

Namens und in Vollmacht unseren Mandanten Pay Online24 GmbH ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu decken [sic!]. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden [sic!].

Na, dann deckt mal schön! Aber nicht dabei lachen! Die Angabe einer Telefonnummer oder einer Anschrift für die erwartete Kontaktaufnahme hat der angebliche Anwalt, der nur in der kranken Phantasie eines Spammerhirns existiert, leider vergessen. Dafür hat er…

Eine vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen können, befindet sich im Anhang. Die Überweisung erwarten wir bis spätestens 26.01.2016.

…einen Anhang angehängt, den man öffnen soll, wenn man rausbekommen möchte, um was es hier überhaupt geht.

Nun, ich verrate hier kein Geheimnis. Es handelt sich um eine Spam. Das kann man allein daran erkennen, dass im Text der Mail eigentlich nichts steht (dies aber sehr aufregend und verängstigend formuliert), wohl, weil das Mailpapier bereits vollgeschrieben war – und alle Informationen erst im Anhang versprochen werden. Ein krimineller Spammer, der seine Empfänger dazu bringen will, einen Anhang zu öffnen, hat genau eine Absicht: Er will ihnen Schadsoftware installieren.

Der Anhang ist ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem wiederum eine Datei mit der Dateinamenserweiterung .COM liegt. Dies ist eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, und wer darauf doppelklickt, startet ein Programm von Verbrechern und hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen – und zwar von Leuten, die besser mit Handschellen bedient wären.

Wer sich auf sein Antivirus-Schlangenöl verlässt, ist bei dieser recht aktuellen Schadsoftware in vielen Fällen verlassen. Deshalb ist es wichtig, derartige Spam selbst zu erkennen und niemals darin herumzuklicken, sondern sie zu löschen. Generell sollte niemals ein Anhang in einer E-Mail geöffnet werden, der vorher nicht abgesprochen wurde.

Mit verbindlichen Grüßen

Rechtsanwalt Mattis Richter

Übrigens: Richtige Anwälte schreiben (aus Gründen der Rechtssicherheit) Briefe, und senden diese oft freundlicherweise vorab per Mail zu. Ich habe noch nie eine Mail von einem Rechtsanwalt bekommen, in der nicht eine Telefonnummer für schnelle Rückfragen stand – zusammen mit der Anschrift der Kanzlei.

Was hier grüßt, ist ein Verbrecher.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Rechnung Nr. 95355066 vom 15.01.2016

Mittwoch, 20. Januar 2016

Unser täglich Gift gib uns heute!

Sehr geehrte Damen und Herren,

Das ist doch genau mein Name!

in der Anlage erhalten Sie unsere Rechnung 95355066 vom 15.01.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.

Aha, eine Rechnung. Im Text der Mail steht nichts näheres als ein Datum und eine laufende Nummer. Wer wissen will, um was zum hackenden Henker es hier geht, muss leider einen Anhang von einem Unbekannten öffnen. Zur angehängten Datei kann ich nur eines recht sicher sagen:

Screenshot des im Hexl-Mode von Emacs geöffneten Anhanges des E-Mail, der belegt, dass es sich um ein mehrteiliges MIME-Dokument handelt.

Sie hat zwar die Dateinamenserweiterung .doc, aber sie ist kein Word-Dokument. Es handelt sich um Schadsoftware. Wer diese Datei öffnet, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und wer sich auf sein Antivirus-Schlangenöl verlässt, ist in neunzig Prozent der Fälle verlassen. Deshalb ist es so wichtig, derartige Spam selbst als Spam zu erkennen und niemals darin rumzuklicken sowie generell niemals einen Mailanhang zu öffnen, der nicht explizit vorher abgesprochen wurde – denn das Gehirn ist und bleibt das beste Hilfsmittel zum Erhalt der Computersicherheit.

Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.

Wer digitale Daten ausdruckt, um sie zu archivieren… ach!

Bitte beachten ! Dieser Beleg ist das Orginalexemplar !

Klar, die beliebig kopierbare Datei ist ein Original. Und wenn man die Datei kopiert, gibt es sogar zwei Originale. Und wenn man sie als Spam in die Welt sendet, auch mal hunderttausend. :mrgreen:

Mit freundlichen Grüßen
Ignatius Peters

Freundlich wie die Pest
Dein krimineller Schadsoftwarespammer

Mahnung

Montag, 18. Januar 2016

Oh, wie „schön“! An mehrere Honigtopf-Adressen gleichzeitig. Da hat aber jemand langfristig alles Adressmaterial im Web eingesammelt, das nicht bei drei auf den Bäumen war, um dann mit diesen Spams zuzuschlagen.

Guten Tag,

Ihre Rechnung ist immer noch nicht bezahlt.

Im Anhang dieser Email finden Sie Ihre Rechnung.

Wir bitten Sie den offenen Betrag innerhalb von 5 Tagen zu begleichen.

Mit freundlichen Gr�ssen
paysafe

Es gibt den Text auch „mit freundlichen Grüssen“, aber niemals mit „ß“. Offenbar hat der Spammer ein paar Korrekturen gemacht, noch während er seine Flut über das Internet geströmt hat.

Kleines Spamkompetenztraining: Was bedeutet die folgende Kombination von Merkmalen bei einer E-Mail:

  1. Keine persönliche Ansprache
  2. Keine klare Erkennbarkeit, wer der Absender ist, obwohl es sich um eine geschäftliche Mail handeln soll¹
  3. Bislang unbekannter Absender
  4. Unpersönlicher, patzig-technokratischer Tonfall
  5. Eine angebliche Rechnung, ohne Angabe des Rechnungsgegenstandes oder des Betrages
  6. Fristsetzung, um es eilig erscheinen zu lassen
  7. Keine weiteren Informationen
  8. Kein Ansprechpartner für eventuelle Rückfragen
  9. Alle weiteren Fragen beantwortet angeblich der Anhang der Mail

Richtig! Es handelt sich um eine Spam, und der Anhang ist eine Schadsoftware, die zum Glück mal von sechzig Prozent der Antivirus-Schlangenöle erkannt wird.

Wer darauf reingefallen ist und unter Microsoft Windows den Anhang geöffnet hat, ohne dass das Antivirus-Schlangenöl angeschlagen hat, der hat jetzt allerdings einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese „anderen Leute“ wären wesentlich besser mit Handschellen bedient!

Deshalb ist es um so wichtiger, dass man derartige Spam selbst erkennt und löscht, statt sie zu „beklicken“. Denn wenn auf diesem Weg eine halbwegs aktuelle Schadsoftware (nicht älter als zwei Tage) kommt, dann nützt das Antivirus-Schlangenöl gar nichts. Der beste Schutz vor Internet-Kriminalität ist und bleibt immer noch das Gehirn.

¹In der BRD gibt es sogar eine Impressumspflicht für geschäftliche E-Mail. Kein Witz.

Wie Heise Online (manchmal) seine Leser verblödet

Donnerstag, 7. Januar 2016

FacepalmHier geht es nicht um eine Spam, sondern um einige wichtige Richtigstellungen und Ergänzungen zu einem aktuellen Artikel auf Heise Online: „Erste Malvertising-Kampagne mit Let’s-Encrypt-Zertifikat“.

Ich halte diesen Artikel für einen der blödesten und für seine weniger kundigen Leser gefährlichsten Texte auf Heise Online, den ich in den letzten Monaten gesehen habe, und glaubt mir, ich habe viel Durchschnittliches und Dummes von Heise ertragen. Um das näher dazulegen, komme ich nicht umhin, etwas größere Teile des Artikels zu zitieren, als ich es gewöhnlicherweise tun würde. Trotz allergrößter Mühe wird es mir dabei nicht immer gelingen, meine Darlegungen frei von ätzender Polemik zu halten.

HTTPS-Webseiten wecken Vertrauen.

Nein. HTTPS bedeutet, dass der Transportweg der Daten verschlüsselt ist. Mehr nicht. (Aber auch nicht weniger.)

Es bedeutet nicht, dass dem Gegenüber vertraut werden kann. Es bedeutet auch nicht, dass die Website frei von Schadsoftware ist. Es bedeutet, dass der Transportweg… ach, ich wiederhole mich.

Verschlüsselung allein weckt noch kein Vertrauen, und schon gar nicht im Web. Oder genauer gesagt: Verschlüsselung allein sollte noch kein Vertrauen erwecken. Auch auf einer Phishing-Seite, die über HTTPS kommt und die Daten verschlüsselt überträgt, gehen die Daten am Ende unverschlüsselt an den Empfänger – im Falle eventuell eingegebener Daten sind dies dann Kriminelle. „Nur“ das Mitlesen durch Dritte wird unterbunden.

Richtig hingegen ist: Kurzschlüssiger, dummer Journalismus, der Menschen niemals richtig über die Bedeutung und Wirkung von Kryptografie aufklärt, sorgt dafür, dass immer wieder einmal von „journalistisch aufgeklärten“ Menschen einer Website von Verbrechern vertraut wird, nur, weil ein kleines Schlösschen im Browser sichtbar ist. (Bei Heise Online übrigens nicht, denn der verschlüsselte Transport der Website würde im Zusammenhang mit den in die Seiten eingebetteten, unverschlüsselt übertragenen Ads zu hässlich aussehenden Warnungen im Browser führen, so dass man es dort lieber unterlässt.)

Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen.

Was für ein Witz! Über „Umwege“! Das geht genau so direkt wie bei jedem anderen, und das ist auch keineswegs eine Neuigkeit, sondern seit mindestens einem Jahr aktuelle kriminelle Praxis.

Nun haben Kriminelle das erste Let’s-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Die „Neuigkeit“ ist, dass die Kriminellen jetzt nicht mehr eine gephishte Kreditkarte nehmen und die Identität eines anderen Menschen missbrauchen müssen (oder alternativ: Rd. zehn Euro selbst in die Hand nehmen müssen), um sich mit einem über TLS transportierten Phishing einige zehntausend Euro kriminellen Reibach unterm Nagel reißen zu können.

Nun ja, das schreibt Heise Online allerdings auch selbst, nachdem der hochgradig clickbait-verdächtige „quantitätsjournalistische“ Reißerton erst einmal überwunden wurde:

[…] Das [sic!] Online-Gauner SSL-Zertifikate einsetzen, ist nichts neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let’s Encrypt einsetzen

Geht doch! 😉

Das eigentliche Problem in diesem Fall war auch keineswegs ein kostenloses Zertifikat, sondern, dass es Kriminellen gelungen ist, die DNS-Konfiguration in einer Domain anderer Leute zu verändern – also nichts mit „Let’s Encrypt“ und nicht einmal etwas mit Krypto, sondern administrative Unfähigkeit beim Unternehmen, dessen Domain da offensichtlich von anderen konfiguriert werden konnte.

Und in der Tat, das hat Nachrichtenwert! Aber der Autor im Brote von Heise Online hatte sich dazu entschlossen, über etwas völlig anderes zu schreiben, indem er völlig andere Schwerpunkte setze.

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht

Denn wenn sich ein Journalist der Aufgabe entledigt, über eine Sache zu schreiben, von der er nichts genaueres weiß und nicht einmal weiß, welches Unternehmen davon betroffen ist – es gibt ja ansonsten nur exakt eine Erklärung, wie es dazu kommen konnte: Administrative Unfähigkeit oder unverantwortlicher Leichtsinn in diesem Unternehmen – schreibt er eben über etwas anderes und eher nebensächliches: Darüber, dass „Let’s Encrypt“ es dann auch noch möglich macht, dass ein Schlösschen in der Adresszeile des Browsers sichtbar wird.

Als ob es darauf noch ankommen würde!

Ich will es einmal so sagen: Wenn Kriminelle in der Domain – sagen wir mal als ein an den Haaren herbeigezogenes Beispiel: – der Deutschen Bank herumkonfigurieren können und da eine hypothetische Subdomain wie sicherheit (punkt) deutsche (strich) bank (punkt) de anlegen können, die auf einen von diesen Kriminellen kontrollierten Server verweist, dann wird zum Beispiel das Phishing nach Konto- und Zugangsdaten auch ohne das Schlösschen im Browserfenster sehr gut funktionieren. Und um es noch besser funktionieren zu lassen – ich würde aus dem Bauch schätzen, dass es die Erfolgsquote und damit den kriminellen Reibach verdoppelt – können die Kriminellen zehn Euro ausgeben und ein Zertifikat kaufen oder sich ein kostenloses von „Let’s Encrypt“ holen, damit wirklich niemand mehr einen Verdacht schöpft. Kaum jemand, der vom verdummenden Bullshit-Journalismus jahrelang darauf konditioniert wurde, dass dieses Schlösschen im Browser der Inbegriff der Vertrauenswürdigkeit und Sicherheit sei, wird auf die Idee kommen, mal auf dieses Schlösschen zu klicken und sich die Einzelheiten anzuschauen.

Opfer in Sicherheit wägen

Zur Aufheiterung eine kleine Korinthenkackerei von mir: Es heißt „Opfer in Sicherheit wiegen“. Es hat nichts mit einer Waage zu tun, aber viel damit, ein unmündiges, dummes Kleinkind sanft zu schaukeln, damit es auch schön fest schlafe… :mrgreen:

Und genau dazu leistet jeder Journalist seinen Beitrag, der seinen Lesern immer wieder sagt, dass das Schlösschen in der Adresszeile des Browsers der Inbegriff der Sicherheit und Vertrauenswürdigkeit sei, während es in Wirklichkeit zunächst „nur“ bedeutet, dass der Transportweg der Daten verschlüsselt ist und von Dritten weder mitgelesen noch manipuliert werden kann. Dann kommt es eben dazu…

Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen

…dass eine Website von Verbrechern für die Opfer des verblödenden Journalismus „vertrauenswürdig“ aussieht. So ist das eben, wenn man sich ausgerechnet von Journalisten das Sehen beibringen lässt.

Die Fehleinschätzung ist insbesondere dann kein Wunder, wenn es sich um eine Subdomain einer Domain derjenigen Unternehmung handelt, für die sich die Kriminellen bei ihrem gewerbsmäßigen Betrug ausgeben – so etwas würde wohl auch ohne Schlösschen oft für „vertrauenswürdig“ gehalten. Ist es aber nicht, wenn die technischen Administratoren in dieser Unternehmung so unfähig sind, dass sie Dritten die Konfiguration ihres DNS-Servers ermöglichen.

Bleibt noch eine Frage: Wie kommen die Kriminellen an die Seitenbesucher für das Ergebnis ihres beeindruckenden Hacks? Nun, das verrät der Heise-Artikel auch eher so nebenbei, als wenn es nicht das Wichtigste wäre:

Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen

Mit einer von den Kriminellen gekauften (und vermutlich sogar bezahlten) Ad-Einblendung in andere Websites.

Es gibt also einen höchst effizienten Schutz davor, von einer derartigen Kriminalität überrumpelt zu werden: Die durchgängige Verwendung eines wirksamen Adblockers beim „Surfen“ im Web, der diesen Weg an der Wurzel blockiert. Aber genau das ist es, was Heise Online in seinem gnadenlos schlechten Artikel nicht schreibt, obwohl es für die meisten unkundigen Leser die wichtigste Information sein dürfte. Ob das wohl daran liegt, dass die klare Kommunikation der Tatsache, dass ein wirksamer Adblocker eine unverzichtbare und sehr wirksame Schutzsoftware für das gegenwärtige Web ist, auch das Geschäftsmodell von Heise Online beschädigen könnte? Da weiß man als Leser dann aber gleich, wie scheißegal einem Journalisten die Computersicherheit ist, wenn er über ein Computersicherheitsthema schreibt, um Klickercents mit Reklameeinblendungen generieren zu lassen…

Eine Zusammenfassung

Folgendes ist vorgefallen:

  1. Die Domain einer zurzeit unbekannten Unternehmung war für kriminelle Dritte konfigurierbar, und diese Dritten haben eine Subdomain eingerichtet, die auf einen von Kriminellen betriebenen Server aufgelöst wird. Knackig ausgedrückt: Die technische Administration dieser zurzeit noch unbekannten Unternehmung ist so unfähig, dass sie einen für Kriminelle lukrativ ausbeutbaren Security-SuperGAU produziert hat, indem sie Dritten auf einem noch unbekannten Weg das Konfigurieren ihres DNS-Servers ermöglichte. Glaubt es mir: Es ist gar nicht einfach, jemanden anders solche Möglichkeiten einzuräumen…
  2. Die Kriminellen haben sich über „Let’s Encrypt“ ein Zertifikat für ihre „gekaperte“ Subdomain geholt.
  3. Die Kriminellen haben über diese Subdomain Schadsoftware verteilt.
  4. Damit die Schadsoftware auch bei ihren Opfern ankommt, haben die Kriminellen Ads gebucht, die Schadsoftware von der „gekaperten“ Domain nachladen oder verlinken.
  5. Es gibt einen einfachen und effizienten Schutz gegen die ausgeübte Kriminalitätsform: Einen wirksamen Adblocker. (Wirksam ist ein Adblocker, der jede Werbung von Drittanbietern blockt und nicht wie „AdBlock Plus“ und Konsorten Whitelists mit „weniger unerträglichen“ Werbeformen pflegt, die dann durchgelassen werden.)

Folgendermaßen klingt das in seiner Schwerpunktsetzung bei Heise Online:

  1. Das Schloss im Browser war bislang ein zuverlässiges Symbol des Vertrauens.
  2. Wegen „Let’s Encrypt“ ist das Schloss im Browser kein zuverlässiges Symbol des Vertrauens mehr, „Let’s Encrypt“ zerstört eine Grundlage des Vertrauens im Web, indem es kriminelle Nutzungen ermöglicht.
  3. Da es scheinbar keinen Schutz gegen die „Zerstörung des Vertrauens“ durch „Let’s Encrypt“ gibt, wäre es besser, wenn „Let’s Encrypt“ in die Pflicht genommen würde, aber „Let’s Encrypt“ sieht das natürlich völlig anders.

Folgende Sachverhalte werden bei Heise Online nicht deutlich oder gar nicht erwähnt:

  1. Die Umkonfiguration des DNS-Servers durch irgendwelche Dritte darf einfach nicht passieren und ist zurzeit nur mit Unfähigkeit und/oder verantwortungslosem Leichtsinn zu erklären.
  2. Bei der ausgeübten Kriminalitätsform handelt sich um eine einfache Ausbeutung der Ad-Verteilung im gegenwärtigen Web.
  3. Es gibt einen wirksamen Schutz gegen diese Kriminalitätsform, der nicht einmal Geld kostet und das ganze Web viel schöner und schneller macht.

Jeder möge selbst sein Urteil fällen. Ich habe jedenfalls heute einen journalistischen Offenbarungseid gelesen. Von der normalen Online-Presse, deren Journalisten ihre Arbeitszeit damit verbringen, dass sie die Meldungen der Nachrichtenagenturen halbautomatisch in ein Content-Management-System übertragen, das dann dafür sorgt, dass diese Meldungen mit massenhaft Werbung (und deshalb auch immer wieder einmal: mit krimineller Schadsoftware) vergällt werden, erwarte ich ja gar nichts Besseres mehr. Aber von den Gestalten in der Karl-Wiechert-Allee schon.

Es täte mir nach den ganzen guten Jahren mit Heise, die sich seit zwei bis drei Jahren immer deutlicher zum Ende neigen, schon ein bisschen weh, wenn ich nur noch vom „ehemaligem Fachjournalismus“ schreiben könnte…

Das hier verwendete Facepalm-Piktogramm stammt vom Wikipedia-User Chrkl und ist lizenziert unter den Bedingungen von CC BY-SA 3.0

[ID:395816] Excuse me, your credit card has been accidentally charged.

Samstag, 26. Dezember 2015

Danke für den Punkt am Ende des Betreffs…

We are sorry but we have no other options but to close your account which is seriously past due. After multiple requests you still have not sent us any sum as it was agreed in the contract. Below you can find the information on the case attached.

Eine weitere Mail des Schemas: Es geht um Geld, aber wir können nichts näheres in der Spam sagen, außer, dass es dringend ist. Alles weitere steht erst im Anhang.

Was wird da wohl im Anhang sein?

Der Anhang ist ein ZIP-Archiv, in dem eine Javascript-Datei liegt. Diese ist nicht etwa ein Dokument, das man mit Doppelklick lesen kann, sondern ein ausführbares Programm anderer Leute, das mit einer anonymen, unpersönlich und irreführend formulierten Spam zugestellt wurde und das man mit Doppelklick ausführt – und überdem ist es ein Programm, das vorsätzlich so formuliert wurde, dass eine Analyse erschwert wird¹.

Wie immer, wenn sich eine nichtssagende Mail mit einem Anhang verbindet, der angeblich erst Aufschluss über den Vorgang gibt, handelt es sich um Schadsoftware. Diese wird zwar von sehr vielen Antivirus-Schlangenölen noch nicht als solche erkannt, aber wenn man das Muster selbst erkennt und derartige Spams löscht, ist das kein ja Problem.

¹Kein Programmierer, der seine Projekte noch pflegen muss, würde das so machen.

Lieferschein

Dienstag, 22. Dezember 2015

Kurzes Spamkompetenztraining:

Sehr geehrte Damen und Herren,

in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen

Textilreinigung Klaiber
Gewerbestrasse 39
78054 VS – Schwenningen
Telefon 07720 / 33xxx
Telefax 07720 / 33xxx
service (at) textilreinigung (strich) klaiber (punkt) de

Ich habe die Telefonnummern mal unkenntlich gemacht. Es handelt sich leider nicht um die Telefonnummern der Spammer, denen ich einiges Unfreundliche zu sagen hätte.

Eine Unternehmung, von der ich noch niemals etwas gehört habe, sendet mir eine Mail. Angeblich bin ich dort Kunde. Sie kennen aber nicht meinen Namen. In der Mail steht kein Wort darüber, um was es eigentlich geht, weil vermutlich kein Mailpapier mehr übrig war. Um das herauszubekommen, muss man einen Anhang öffnen.

Was wird wohl im Anhang sein?

Bingo! Es ist eine Schadsoftware.

In meinem Fall handelt es sich um eine 97,3 KiB große Datei für Microsoft Word. Diese… moment… *tackertacker*

$ file 11815--113686.doc | sed 's/,/\n/g' | sed 's/^ *//'
11815--113686.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Tue Dec 22 08:13:00 2015
Last Saved Time/Date: Tue Dec 22 08:13:00 2015
Number of Pages: 1
Number of Words: 0
Number of Characters: 0
Security: 0
$ _

…hat eine Seite, auf der null Wörter stehen, kann also unmöglich der in der Spam versprochene Lieferschein sein. Die Bearbeitung ging ganz schnell, denn die Verbrecher haben nur kurz den Makrocode mit der Schadsoftware eingefügt, der beim Öffnen des Dokumentes ausgeführt werden soll.

Diese Schadsoftware wird zurzeit von den allermeisten Antivirus-Schlangenölen¹ nicht erkannt. Um so wichtiger, dass man derartige Versuche selbst erkennt. Praktisch jedes Mal, wenn in der Mail nichts Substanzielles steht und man nur über den Anhang erfahren kann, um was es eigentlich geht – natürlich gern mit alarmierender Formulierung im Betreff und in der Mail – handelt es sich um Schadsoftware im Anhang.

Es ist generell äußerste Vorsicht beim Umgang mit Mailanhängen geboten, und im Moment sind derartige Schadsoftware-Spams eine Pest.

¹Ich nenne Antivirus-Produkte zugegebenermaßen unsachlich „Schlangenöl“, weil sie wirkungslos und sogar gefährlich, also durchaus mit Quacksalberprodukten vergleichbar sind.