Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Payment Details.

Dienstag, 3. November 2015

Danke, mit Punkt am Ende des Betreffs. Sicheres Spammerkmal, automatisch aussortierter Müll. Bitte so weitermachen, Spammer!

FYI,

I made the payment conforming to the proforma invoice on behalf of our sister company. I am attaching the proof of the payment.

keep me updated as soon as you confirm payment.

Kind Regards
Susanne Sцhngen
Address: West Quarter. Lime Street. N: 4 Apartment 22
Pendik / ISTANBUL
Turkey.
Tel: 0296 310 xxxx
Web: www.yadadanismanlik.com

Aha, ich habe also Geld überwiesen bekommen. Von jemandem, der aus der Türkei kommt, aber beim Mailschreiben die kyrillische Codepage verwendet und deshalb „Sцhngen“ mit Nachnamen heißt. Von jemandem, der eine schnell rausgesuchte Adresse angibt, aber nicht einmal den Namen desjenigen zu sagen weiß, dem da Geld überwiesen wurde. Und alles Nähere zu diesen Nullaussagen mit vielen Worten steht dann im Anhang.

Ihr kennt das Muster.

Der Anhang ist… nein, diesmal kein ZIP-Archiv, sondern ein PDF¹. Das ist das Neue daran.

Und da steht nicht etwa drin, um was es geht, sondern darin steht in grafischer Form eines der beliebtesten Textfragmente der Spammer und Reklameidioten, das ansonsten von lebenden und fühlenden Menschen wegen seines impliziten Unsinns niemals getippt wird:

Screenshot des PDFs: This document is password protected. Click HERE to view file securely.

Click here!

Wer auf diesen (oder einen ähnlich doofen) Text klickt, nur, weil man darauf so fein klicken kann, der lasse alle Hoffnung fahren!

Der Link zum angeblich sicheren Anschauen der Datei geht in die Domain freetoair (punkt) ru, und dort erhält man keineswegs nur die Möglichkeit…

Screenshot der Phishing-Seite für Adobe-IDs

…Kriminellen eine Kombination aus Mailadresse und Passwort zu geben. Zusätzlich läuft im Hintergrund ein beachtlicher und für mich auf die Schnelle² nicht zu analysierender Javascript-Apparat ab:

Screenshot der Quelltext-Ansicht des Firefox mit dem vorsätzlich kryptisch formulierten Javascript aus der vorgeblichen Phishing-Seite

Der „kostenlose Sicherheitstest“, der hier von Kriminellen auf den Webbrowser losgelassen wird (und beim Auffinden einer ausbeutbaren Lücke von einer Übernahme des Computers durch Kriminelle gefolgt wird), wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Bedrohung erkannt.

Wer hingegen schlau ist, sich deshalb nicht auf ein Antivirus-Schlangenöl verlässt und mit einem Browser-Addon wie NoScript dafür sorgt, dass nicht jeder dahergeklickten Website das Privileg eingeräumt wird, Programmcode im Browser auszuführen, ist vor solchen Attacken über den Browser weitgehend geschützt – übrigens auch, wenn diese besser vorgetragen werden als in dieser schlecht gemachten Spam. Etwas mehr darüber, wie man seinen Computer absichert (und warum Antivirus-Schlangenöl dabei – im Gegensatz zu den irreführenden und erlogenen Behauptungen in der Reklame – nicht die größte Rolle spielt) habe ich auf meiner Homepage geschrieben.

¹Ihr wisst ja: auf keinen Fall, niemals und bloß nicht Anhänge aus Spams öffnen! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert. Ich habe dieses PDF übrigens betrachtet, indem ich es in Gimp importiert habe… und selbst das noch auf einem besonders gesicherten System. Generell rate ich davon ab, den Adobe Reader zum Lesen von PDFs zu benutzen. Nehmt bitte lieber ein reines Anzeigeprogramm wie Evince (das ist natürlich mein Favorit), das keinen Code anderer Leute auf eurem Computer ausführt, wenn ihr nur lesen wollt. Praktisch jedes PDF, das mir in die Hände kommt, kann ich mit Evince lesen – die einzige Ausnahme war ein Handbuch, das mir vor etwa fünf Jahren übern Weg gelaufen ist. Zum Glück ist es kein Problem, in so einem Fall einfach den fetten, gefährlichen, überkomplexen und bei Kriminellen für Angriffe äußerst beliebten Adobe Reader zu verwenden…

²Um den ausgesprochen kryptisch gecodeten Wust auf der Seite zu durchsteigen, brauchte ich einige Wochen! In denen ich nichts anderes mache! Das ist ausgefeilte, kriminelle Brut! Darüber hinaus sieht auch das verwendete CSS teilweise verdächtig aus, weil kleine grafische Elemente eine auffallend große, base64-codierte Repräsentation haben, als ob Codeausführung durch Bufferüberläufe in Browsern getriggert werden sollte. Dagegen schützt übrigens nur die ausschließliche Verwendung aktueller Software.

You have missed notifications contemporary

Dienstag, 3. November 2015

YouTube -- You have missed notification. -- (Link) View notifications. -- Very truly yours -- Youtube service -- © 2015 YouTube, LLC 901 Cherry Ave, San Bruno, CA 94066. This notification was sent to elias.schwerdtfeger@googlemail.com because you indicated that you are willing to receive occasional YouTube product-related notifications. If you do not wish to receive such notifications in the future, please unsubscribe. You can also change your preferences by visiting your Email Options in your YouTube account.

Oh, „YouTube“ kann ja sein eigenes Logo gar nicht mehr. Und der Absender „YouTube Notifier“ verwendet die Absenderadresse cwei (at) mail2hot (punkt) com und keine Adresse in der Domain von YouTube. Und der explizit eingetragene Name des Empfängers ist nicht etwa der bei YouTube verwendete Name, sondern unnötigerweise noch einmal die Mailadresse des Empfängers.

Ich glaube, dass niemand auf diese Spam reinfallen kann, der seine fünf Sinne beisammen hat. Die verlinkte Website wird leider zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftwareschleuder erkannt, aber vor einem Klick kann ich nur warnen. Sie enthält unsichtbare Inhalte und eine in Javascript gecodete Weiterleitung auf eine Website, die sich schon eine beachtliche „Reputation“ als betrügerisch, illegal, virusverseucht und spambeworben abgeholt hat und deshalb auf mehreren einschlägigen Blacklists steht – nur die Antivirus-Schlangenöle versagen in ihrer Mehrzahl beim Erkennen dieser Website als kriminelle Dreckschleuder. Das Problemchen mit den Blacklists ist ja auch der Grund, warum in den Spams ein Link in ein gecracktes WordPress-Blog gelegt wurde, das dann dorthin weiterleitet…

Und deshalb klickt man übrigens niemals in eine Spam.

Wer so schlau ist, nicht jeder dahergelaufenen Website das Ausführen von JavaScript zu gestatten und mithilfe eines geeigneten Addons dieses Privileg nur für vertrauenswürdige Sites einschaltet, kann übrigens gar nicht auf diese Weise überrumpelt werden – und ist generell viel sicherer im Web unterwegs. In diesem Fall hätte es nur eine weiße Seite gegeben.

Warum man immer mit Adblocker surft!

Freitag, 23. Oktober 2015

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf eine aktuelle Meldung bei Heise Online:

Besucher der Webseiten arcor.de, ebay.de und t-online.de können sich mit den Exploit-Kits Angler und Neutrino infizieren, warnen Sicherheitsforscher von Malwarebytes. Aktuell soll eine von Unbekannten initiierte Malvertising-Kampagne die Exploit-Kits verteilen

Die Benutzung eines Adblockers verhindert eine derartige Übernahme des Computers durch Kriminelle an der Wurzel, und das selbst dann, wenn die konkret verwendete Schadsoftware bei den Herstellern von Antivirus-Schlangenölen noch nicht bekannt ist. Adblocker sind unverzichtbare Schutzsoftware zum Aufrechterhalt der Computersicherheit – und die Gefahr durch schadsoftwareverseuchte Ads kann einem selbst auf renommierten und hoch angesehenen Websites wie etwa der Website von Arcor, Ebay oder T-Online begegnen. Wer dazu auffordert, Adblocker abzuschalten, damit sein Geschäftsmodell besser funktioniert, ist ein Komplize der organisierten Kriminalität. Das gilt auch für journalistische Produkte.

Sie würden doch aucn nicht ihr Antivirusprogramm abschalten, weil sie ein dahergelaufener, anonym bleibender Websitebetreiber darum bittet, oder? Lassen sie sich bitte niemals, niemals, niemals von Journalisten und Presseverlegern zu einer derartigen Dummheit hinreißen, surfen sie grundsätzlich nur mit einem guten, funktionierenden Adblocker! Ich empfehle übrigens uBlock Origin.

Und wenn sie schon einmal dabei sind, installieren sie bitte auch gleich einen wirksamen JavaScript-Blocker, um nicht jeder irgendwann einmal angesurften Website das Privileg einzuräumen, Programmcode innerhalb ihres Browsers aus ihrem Computer auszuführen! Ansonsten haben sie nämlich auch recht schnell einen Rechner anderer Leute auf dem Schreibtisch stehen, und das Antivirus-Schlangenöl erweist sich erschreckend oft als nutzlos dagegen.

New voicemail 3:35AM

Freitag, 16. Oktober 2015

Wer schreibt denn da?

Von: Whats App <er (punkt) steinnn (at) csu (strich) landtag (punkt) de>

Bwahahahaha!

Muss ich noch erklären, dass diese toll gestaltete HTML-Mail…

Screenshot der angeblichen Whatsapp-Mail

…mit einer angeblichen „New voice message“ eines leider völlig unerwähnten anderen Menschen nicht von WhatsApp kommt? Wenn die Spammer sogar zu doof sind, sich beim Fälschen des Absenders etwas einigermaßen überzeugendes auszudenken, ist es wirklich leicht, niemals auf eine Spam reinzufallen. (Aber Achtung! Viele Spammer machen es viel besser!)

Der Klick auf „Play“ führt dann auch nicht zu WhatsApp, sondern in die Domain lovelessknives (punkt) com. Wer darauf klickt, lasse alle Hoffnung fahren! Erstmal gibt es eine Weiterleitung, die natürlich nicht in Klartext formuliert ist, sondern schön undurchschaubar mit JavaScript und einem bisschen „Kryptografie“ aus dem Spamkindergarten erledigt wird:

Screenshot der Ausgabe von 'lynx -dump -mime_header' in einem Terminalfenster, dabei wird der vorsätzlich kryptische Quelltext der Seite sichtbar

Diese lustig formulierte JavaScript-Weiterleitung führt in die Website der Domain naturalherbsoutlet (punkt) ru, und das, was man dort zu sehen bekommt, ist eine der vielen Inkarnationen der Betrugsnummer „Canadian Pharmacy“ – eine kanadische „Apotheke“ in der russischen TLD, die eher nichts gegen Erkältungsbeschwerden zu verkaufen hat:

Screenshot der betrügerischen Website, die beinahe nur Pimmelpillen und Medikamente mit hohem Potenzial des Medikamentenmissbrauches anzubieten hat -- zum Vergrößern klicken

Aber warum sollte jemand, der glaubt, gleich nach dem Klick eine WhatsApp-Nachricht zu hören, jetzt auf einmal Interesse an Pimmelpillen bekommen? Richtig, das ist schon ein bisschen verdächtig. Deshalb ist wohl die Website auch als „attackierend“ gemeldet und wird in den meisten Browsern nur noch angezeigt, wenn man einen auffälligen alarmroten Hinweis wegklickt, dass man das Risiko eingeht. Ich konnte zwar keine Anzeichen für einen Angriff erkennen, aber ich habe hier auch nicht durchanalysiert und außerdem keinen Standard-Browser verwendet, so dass entsprechender Code möglicherweise gar nicht erst ausgeliefert wird. Links aus einer Spam sind in keinem Fall vertrauenswürdig und können schnell einen Ärger verursachen, der in keinem guten Verhältnis zur befriedigten Neugierde steht. Wer in seinem Browser keinerlei Vorkehrungen trifft, wer also nicht mindestens ein Browser-Addon wie NoScript verwendet, kann nach einem einzigen Klick in eine Spam – die keineswegs so leicht als Spam erkennbar sein muss wie in diesem Beispiel – einen Computer anderer Leute auf dem Tisch stehen haben, denn die Verbrecher sind auf neuestem technischen Stand. Ein so genanntes „Antivirusprogramm“ hilft dagegen eher nicht, es erkennt nur schon bekannte Schädlinge und Angriffe, und niemals die frischeste Brut der Kriminellen. Nicht einmal seinen Hersteller kann ein so genanntes Antivirus-Programm schützen!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Warum Adblocker auch weiterhin unverzichtbar sind

Donnerstag, 8. Oktober 2015

Keine Spam, nur ein Hinweis auf einen Artikel bei Heise Online:

Doch wie kommen die Opfer überhaupt in Kontakt mit den Angler-Servern? Meistens arbeiten die Täter mit iFrames oder Werbeschaltungen. Talos fand die bösartige Werbung auf großen Nachrichten-, Immobilien- und Popkultur-Webseiten.

Wer immer noch ohne Adblocker im Web unterwegs ist, sollte es ganz lesen! Heise Online: Exploit-Kit Angler macht Millionen mit Erpressungs-Trojanern. Und danach unbedingt und möglichst sofort einen Adblocker installieren, der für die Computersicherheit beim täglichen „Surfen“ wesentlich wichtiger als ein Antivirus-Programm ist! Außerdem ist er sehr schnell installiert, kostet nichts und macht das ganze Web viel schneller und schöner. Ich empfehle (und verwende selbst) uBlock Origin.

Neuerung

Mittwoch, 23. September 2015

Von: PayPal <lomonov (at) mop (punkt) ir>

Ah ja, das ist also die neue Mailadresse von PayPal? Wenn man schon den Absender fälscht, kann man es auch besser machen als dieser Vollidiot mit seinem Trojanerpaket.

Natürlich kommt diese Mail nicht von PayPal. Die Zeichencodierung im folgenden Zitat ist Original, der Spammer hat es also nicht für nötig befunden, sein Skript vor der Benutzung mal zu testen. Ich halte es allerdings für möglich, dass diese Spam in Kürze auch in „gut“ ihren Weg in diverse Postfächer nimmt, und es ist in dieser Formulierung eine sehr gefährliche Masche.

Wichtige Kundeninformation

Sehr geehrter Paypal-Kunde [Genau mein Name!],

Sie möchten eine Gutschrift in Höhe von 25€ erhalten? Das ist ganz einfach!

Installieren Sie jetzt unsere neue PayPal App auf Ihrem Smartphone und erhalten Sie automatisch eine Gutschrift in Höhe von 25,00€.

Klicken Sie auf „App herunterladen“ falls Sie diese E-Mail ĂĽber Ihr Smartphone lesen.

Falls Sie diese Email über Ihren PC/Laptop lesen, öffnen Sie diese EMail auf Ihrem Smartphone und laden Sie es anschließend herunter.

App herunterladen

Vielen Dank,
Ihr Team von PayPal

Hilfe-Center | Konfliktlösungen | Sicherheits-Center

[Den Standard-Footer einer PayPal-Mail, ebenfalls mit „zerschossenem“ Text, zitiere ich hier nicht…]

Der Link geht nicht in die Domain von PayPal, sondern in die Domain mit dem schönen „R-lastigen“ Namen sicherheitsmanagerr (punkt) asia – und die Datei namens PayPal (punkt) apk, die man dort bekommt, ist erwartungsgemäß das reinste Gift. Wer sich diese App auf seinem Android-Handy installiert hat, hat ein schweres Problem und sollte sich sofort um Schadensbegrenzung bemühen. Sämtliche auf dem Telefon verfügbaren Daten – einschließlich Kontakte, gespeicherte Passwörter, Zugang zum Google-Account, Dateien – befinden sich möglicherweise in den Händen von Kriminellen, und natürlich wurde das Online-Banking, so man dieses leichtsinnigerweise über ein Wischofon betreibt, manipuliert.

Zum Glück wird hoffentlich niemand so naiv sein, eine obskure App aus einer sonderbaren Quelle zu installieren (und das auch noch vorher im Telefon explizit zu erlauben), weil sie in einer unpersönlich formulierten E-Mail empfohlen wird – mit dem Versprechen eines Geldgeschenkes als billigem Köder. Oder? 🙁

TOP URGENT

Montag, 21. September 2015

Dear Sir,
Pls find the attached file FYR
Regards
Shaji

Ja, dieser Spammer glaubt, dass es noch viel dringender aussieht, wenn er den gesamten Text fett setzt.

Auch, wenn ich das schon lange nicht mehr geschrieben habe: Einen Mailanhang sollte man nur mit größter Vorsicht behandeln! Das gilt umso mehr, wenn es sich um ein ZIP-Archiv handelt, in dem sich nur eine einzige Datei befindet. In diesen Fällen handelt es sich beinahe immer um Schadsoftware. Selbst bei einer E-Mail von einem bekannten Absender ist es empfehlenswert, vor dem Öffnen telefonisch Rücksprache zu halten, denn der Absender einer E-Mail ist beliebig fälschbar und im Zeitalter der Handy-Trojaner und der allgemeinen datenmäßigen Selbstentblößung auf Social-Media-Websites muss man davon ausgehen, dass Verbrecher wissen, welche Menschen miteinander bekannt sind und entsprechende Absender in ihre Spams schreiben können.

An dieser unpersönlich formulierten Spam eines unbekannten Absenders hängt eine Datei mit dem Namen PAYMENT COPY (punkt) ZIP, und dieses ZIP-Archiv enthält eine einzige Datei namens PAYMENT COPY (punkt) EXE. Es handelt sich um eine ausführbare Datei für Microsoft Windows, die mit einer Spam zugestellt wurde. Wer darauf doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Ein Antivirus-Schlangenöl schützt in vielen Fällen nicht davor. Zurzeit wird dieser Anhang von weniger als fünf Prozent der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich nicht auf den „Zauber unverstandener Programme“ verlässt, solche Mails als Spam erkennt und einfach löscht, ist hingegen auf der sicheren Seite.

Warum man immer mit Adblocker surft!

Mittwoch, 16. September 2015

Adblocker sind eine elementare Software zur Erhöhung der Computersicherheit, die einen wesentlichen Weg für die Übernahme des Computers durch die Schadsoftware von Kriminellen selbst dann blockieren, wenn es sich um tagesaktuelle Schadsoftware handelt, die von Antivirus-Schlangenölen nicht erkannt werden kann. Wer darauf verzichtet, handelt fahrlässig und dumm. Und außerdem machen Adblocker das Web schöner, schneller und klimaschonender¹.

Und nun der tagesaktuelle Lesetipp zum Thema:

Malvertising – die Auslieferung von Malware über Werbeanzeigen – hat in den vergangenen Jahren stark zugenommen. Dabei schleusen Kriminelle gefälschte Werbeanzeigen auf Webseiten ein, um die Nutzer mit einem Exploit-Kit zu infizieren. Eine aktuelle Malware-Kampagne blieb Forschern von Malwarebytes zufolge über mehr als drei Wochen unentdeckt – und das, obwohl viele bekannte Werbenetzwerke wie Doubleclick und Appnexus sowie Webseiten wie Ebay davon betroffen waren

Weiterlesen bei Golem – Security: Malware-Angriff aus der Werbung

Und niemals, niemals, niemals auf die dumme Idee kommen, den Adblocker abzuschalten, nur weil ein Betreiber einer Website darum bittet! Auch dann nicht, wenn es sich bei der Einblendung von Werbung aus gefährlichen Drittquellen um das Geschäftsmodell handelt! Es würde ja auch niemand wegen einer aufdringlich vorgetragenen Bitte in einer Website sein Antivirusprogramm abschalten, nur, damit jemand anders sein dummes und unseriöses Geschäftchen besser machen kann

¹Okay, die letzte Zusicherung ist bullshittig. Aber der Rest stimmt!

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.