Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

You were found by people

Montag, 13. Dezember 2021

Natürlich kommt diese Mail nicht von LinkedIn. Der Spammer hat sich nicht einmal die Mühe gemacht, da einen überzeugenden Absender reinzuschreiben, obwohl das jeder achtjährige Nachwuchshacker auf dem Pisspott hinkriegt:

Von: LinkedIn <gibson44@vps29378.inmotionhosting.com>
An: sag@ich.net <sag@ich.net>

Da ist schon der Moment zum Löschen gekommen. 🗑️

(Die Spam ging an eine Mailadresse aus einer Registrierung bei einem Webforum, das jetzt offenbar gecrackt wurde. Ich verwende für jeden derartigen Zweck eine eigene Mailadresse. Dass den eh schon kriminellen Spammern egal ist, woher ihr Adressmaterial kommt, brauche ich hoffentlich nicht weiter zu erwähnen. Ich bin gespannt, wo diese Mailadresse in den nächsten Wochen noch überall rauskommt.)

You appeared in searches this week
LinkedIn

You appeared in searches this week

New York Life Insurance, Wal-Mart Stores

You were found by people from these companies
See all searches

Der Link geht natürlich auch nicht zu LinkedIn, sondern zur Website in einer Domain…

$ surbl gdjssujiao.com
gdjssujiao.com	LISTED: ABUSE
$ _

…die wegen Spam bereits auf allen möglichen Blacklists steht. 🏚️

Wer auf den Link klickt, bekommt übrigens auch eine „kostenlose Sicherheitsprüfung“ seines Webbrowsers und seines Betriebssystems durch Kriminelle. Wenn man durchgefallen ist, steht hinterher ein Computer anderer Leute auf dem Schreibtisch. Deshalb klickt man ja auch nicht in eine E-Mail. Es ist wirklich gefährlich. 🖱️🚫️

Download for free
Never miss an update with LinkedIn app
Download the app

Klar, Software von Spammern ist immer die allerbesteste! 💀️

Der „Download“-Link führt übrigens auf genau die gleiche Adresse wie der Link „See all searches“. Aber wer nicht in E-Mail klickt, ist vor solchen Überrumpelungen geschützt. Wenn man bei LinkedIn ist, einfach für LinkedIn ein Lesezeichen im Webbrowser anlegen und nur dieses Lesezeichnen benutzen. Nach dem Empfang einer derartigen E-Mail – so etwas können Kriminelle auch besser, insbesondere mit überzeugendem Absender und dank des Industriestandards im Datenschutz auch mit namentlicher Anrede – einfach die Website über das Lesezeichen im Browser aufrufen. Das ist genau so bequem mit der Klick in die Mail, und wenn man das immer so macht, kann einem kein Krimineller einen vergifteten Link unterschieben. Antivirus-Schlangenöl hilft hingegen nicht. 💡️

This email was intended for sag@ich.net <sag@ich.net>. Learn why we included this.

Die Empfängeradresse steht im Mailheader. Sie ist für jeden Empfänger sichtbar (siehe weiter oben). Es gibt keinen sachlichen Grund, so eine technische Angabe hier noch einmal zu wiederholen – außer dem einen, naive und technisch völlig unkundige Computernutzer damit zu beeindrucken und ihnen eine Illusion von technischem Können zu vermitteln.

Der Link führt natürlich auf die gleiche Adresse wie… ach, ihr wisst schon. Das gleiche gilt für die nächsten beiden Links:

You are receiving LinkedIn notification emails.
Unsubscribe | Help
LinkedIn

Ich habe mir jetzt nicht angeschaut, welche Schadsoftware verteilt wird, aber angesichts der gegenwärtigen „Mode“ gehe ich davon aus, dass es ein Erpressungstrojaner sein wird. In meinem ferneren Umfeld haben sich in den letzten drei Wochen zweie meiner Bekannten einen derartigen Trojaner eingefangen, beide haben entgegen meinen Rat weiterhin in E-Mail geklickt und später sogar Warnungen ihres Betrübssystems (in beiden Fällen Windows 10) ungelesen weggeklickt. Beide hatten Antivirus-Schlangenöl installiert (ich nenne jetzt keine Firma, aber es war kein völliger Schrott). Beide haben es zu umständlich gefunden, NoScript in ihrem Webbrowser zu verwenden und haben stattdessen jeder dahergelaufenen Website über ein anonymisierendes Medium das Privileg eingeräumt, Programmcode in ihrem Webbrowser auszuführen, was leider bei allen großen Webbrowsern der Standard ist. Beide haben kurz darauf einen unbrauchbaren Computer, verschlüsselte Dateien und eine Lösegeldforderung der Marke „Gib mir Bitcoin“ für ihre Daten gehabt. Beide hatten entgegen meinem Rat keine Datensicherung. Beiden konnte ich nicht mehr helfen, außer ihnen den Tipp zu geben, das Betrübssystem und alle Anwendungen neu zu installieren und allen Bekannten eine E-Mail zu senden und sie davor zu warnen, dass sie Spam mit Links auf Schadsoftware auf ihrer Adresse bekommen können, weil ihre Mailadresse jetzt wohl auch in den Händen von Kriminellen ist. Beiden habe ich dringend empfohlen, nicht zu bezahlen, um so einem widerlichem, asozialen Arschloch nicht auch noch die Koksnase und die Puffbesuche zu finanzieren. Beiden habe ich gesagt, dass sie, selbst wenn sie bezahlen, keine Garantie haben, ihre Daten zurückzubekommen. Ausgegebene Bitcoin sind ausgegeben und kommen nicht zurück, und der Empfänger hat sie auch, wenn er nichts mehr tut. Ich habe dabei einen erwachsenen Mann weinen sehen. Vorher hat er mir angeboten, mir die 1.300 Dollar Lösegeld dafür zu geben, dass ich irgendwie an seine Daten komme. Ich habe keine Chance gehabt. Niemand hätte eine Chance gehabt. ☹️

Datenverlust ist schmerzhaft.
Vorsicht ist einfach, bequem und kostenlos.
Regelmäßige Datensicherungen sind ein Muss.
(Auch Festplatten und SSDs können kaputtgehen.)

Seid vorsichtig! Sichert eure Daten, wenn sie euch etwas wert sind! Und verlasst euch niemals auf Antivirus-Schlangenöl! Man kann sich nicht darauf verlassen. 😐️

© 2021 LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085. LinkedIn and the LinkedIn logo are registered trademarks of LinkedIn.

So eine E-Mail sieht auch gleich viel weniger lächerlich aus, wenn man sie ganz offen in eine riesige Kopiermaschine namens Internet steckt und ein „geistiges Eigentum“ auf die E-Mail proklamiert. Clowns glauben daran. 🤡️

People are looking at your profile

Dienstag, 7. Dezember 2021

Wo?

LinkedIn

Nein, da schaut garantiert niemand auf mein Profil. Ich pflege es nicht, solche widerlichen Spammer meinem Leben hinzuzufügen. Und ich hoffe, dass die Kooperation mit solchen Klitschen, die ihre Reklamemethoden von den Kriminellen im Internet abgeschaut haben, schon in sehr naher Zukunft dazu führt, dass man keine anspruchsvollen und gut bezahlten Jobs mehr kriegt. 😡️

Oder anders gesagt: Diese Spam ist nicht von LinkedIn. Sie kann bei jedem ankommen. Auch bei mir, der ich nicht bei LinkedIn registriert bin. 🤥️

You appeared in 9 searches this week

Fannie Mae, Allstate

You were found by people from these companies

See all searches

Natürlich führt auch dieser Link nicht zu LinkedIn. Es ist ja eine Spam. Das Javascript auf der Zielseite ist etwas kryptisch und erweckt in mir den Verdacht, dass man dort eine „kostenlose Sicherheitsprüfung“ seines Browsers und seines Betriebssystemes durch Kriminelle erhält, während man einige Sekunden lang eine gefälschte Cloudflare-Meldung betrachtet, dass man in Kürze weitergeleitet wird. Leider schöpfen viele Menschen bei so einem Anblick nicht mehr den geringsten Verdacht. 😐️

Wer jeder Website das Recht einräumt, Javascript im Browser ausführen zu können und wer ein anfälliges Betriebssystem oder einen anfälligen Browser benutzt, hat hinterher vermutlich einen Computer anderer Leute auf dem Schreibtisch stehen. 😬️

Deshalb klickt man niemals in eine E-Mail. 🖱️
Deshalb erlaubt man nicht jeder Website Javascript. ⛔️
Deshalb spielt man immer alle Updates ein. 👍️

Ist doch nicht so schwierig. 😉️

Und nein, Antivirus-Schlangenöl hilft nicht. Wenn man sich dadurch geschützt fühlt und deshalb auf alles klickt, was klickbar ist, während man den wirklich wirksamen Schutz seines Computers vernachlässigt, sogar ganz im Gegenteil. ✋️

Screenshot-Detail: 'Zitromax' als Mittel gegen COVID-19Die Startseite in der Domain dieses Servers ist übrigens eine Weiterleitung zu einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, in der es wieder nichts gegen Erkältungsbeschwerden gibt. Dafür wird zum Beispiel Zithromax als Mittel gegen COVID-19 angeboten. Ein Antibiotikum wirkt nicht gegen Viren. Viren sind keine lebenden Organismen mit einem Stoffwechsel, die man vergiften könnte, sondern große umhüllte Moleküle, die sich in anderen Organismen reproduzieren können. Statt einer Wirkung darf man sich mit den nicht unerheblichen Nebenwirkungen von Zithromax rumschlagen – und leistet einen Beitrag dazu, dass resistente Krankheitserreger entstehen, gegen die irgendwann kein verfügbares Antibiotikum mehr hilft. Wer mir das nicht glaubt, kann ja mal einen richtigen Arzt oder einen richtigen Apotheker fragen. Diese Spammer lassen jedenfalls kein Geschäft aus, egal, wie mörderisch es ist. Und dass sie nicht einmal wissen, wie sich die Marke „Zithromax“ richtig schreibt, hindert sie nicht daran, sich für Arzneimittelexperten auszugeben. 🤭️

Download for free
Never miss an update with LinkedIn app
Download the app

Was ist noch schlimmer als ein Link in einer Spam? Richtig: Ein Link in einer Spam, der einen dazu auffordert, dass man Software vom Spammer runterlädt. So tolle Software! 😱️

This email was intended for gammelfleisch (gammelfleisch at tamagothi.de). Learn why we included this.

You are receiving LinkedIn notification emails.

Unsubscribe | Help

LinkedIn

Wer mir eine unbestellte geschäftliche Mail zustellt, ist ein Spammer. Da muss ich nicht auch noch erfahren, wie der Spammer an meine Mailadresse gekommen ist. Die Gammelfleisch-Adresse kann man hier sogar mit dem schlechtesten Harvester im Impressum einsammeln. Dementsprechend sieht auch aus, was dort täglich ankommt. Diese Spam „von LinkedIn“ zum Beispiel. 🚽️

© 2021 LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085. LinkedIn and the LinkedIn logo are registered trademarks of LinkedIn.

Krass, mit proklamierten „geistigen Eigentum“ für einen mechanisch generierten Minitext, der unverschlüsselt und offen wie eine Postkarte in eine riesige Kopiermaschine namens „Internet“ gesteckt wurde! Immer wieder erheiternd, solche Jurafuchteleien aus dem Bullshit-Planschbecken des Internetzeitalters zu lesen. Egal, ob von Spammern oder von richtigen Unternehmen, die irgendwie auf die Idee gekommen sind, dass das „professioneller“ aussieht. Kleiner Tipp von mir: Tut es nicht, es sieht einfach nur dumm und aufschneiderisch aus, während es keine rechtliche Wirkung hat. 🤡️

Ach, Entf! 🗑️

Reply From Major Arch Diocese of TVM

Dienstag, 26. Oktober 2021

Abt.: Überraschungsei des Tages 🥚️

Toller Betreff. Der sagt so viel. Fast so viel, wie mir…

Von: Major Arch Diocese of Trivandrum <catholicostvm@gmail.com>
An: gammelfleisch@tamagothi.de

…die Absenderadresse dieses Sondermülls sagt. Aber dafür sagt die Gammelfleisch-Adresse alles. Diese Mail dümpelt im Töpfchen für Sieger und wartet darauf, dass jemand die Spülung betätigt. 🚽️

Dear ❤️ There are candid videos for you! Click here: http://bit.do/hotvideo2?1sif ❤️,

Warm regards from Major Arch Diocese of Trivandrum…

Your Message has delivered successfully. We will Contact you soon

Ach, hat ein Spammer mal wieder ein missbrauchbares Kontaktformular gefunden und prompt ein Skript geschrieben, damit ganz viele hl. röm.-kath. Spams mit seinem Dreckslink rausgehen. 🌊️

Was es unter diesem Dreckslink gibt? Na, völlig offene Videos gibt es dort. Nur für mich. Und für ein paar Millionen weitere Empfänger dieser hl. Spam, deren Mailadresse zusammen mit diesem „Namen“ in ein hl. Kontaktformular eingetragen wurde. Das müssen ganz tolle Videos sein, wenn sie so eines „Marketings“ bedürfen. Pornografie kann es ja nicht sein, denn die steht ja schon seit Jahren mühelos und kostenlos im Web für jeden interessierten Menschen zur Verfügung¹. 🍆️

Natürlich ist der Link nicht direkt gesetzt…

$ location-cascade http://bit.do/hotvideo2?1sif
     1	http://raymarine.top/go/gizwmnjwg45dcnzz?1sif
     2	https://raymarine.top/go/gizwmnjwg45dcnzz?1sif
     3	https://ro4.biz/?auf=ha3tsnzrmi5dsnrpge3tslzrgmxwkytfmzstayzzf4zdilzrgyztkmruge4daoi&p=l&sub1=&sub2=&sub3=&sub4=&cpc=0&cpm=0
     4	http://eu.dspultra.com/api/submit_form_request?p=929d62a7-12cb-406e-a27a-e39161e08203&ts=1635241809&z=3860617
$ _

…denn wir haben es ja mit krimineller, asozialer Spam zu tun, und da setzt man keine direkten Links, genau so wenig wie in der leider noch legalen Werbung. Die Website in der Domain dspultra (punkt) com ist offenbar so berüchtigt, dass sie schon von ganz normalen Werbeblockern für den Webbrowser geblockt wird, weil sie in der EasyList aufgeführt ist. Sie wird auch überhaupt nicht als normale Website verwendet, sondern nur für so einen Müll. Das sieht man daran, dass die Startseite dort…

$ lynx -mime_header -source http://dspultra.com/
HTTP/1.1 404 Not Found
Server: nginx
Date: Tue, 26 Oct 2021 09:56:15 GMT
Content-Type: text/plain; charset=utf-8
Content-Length: 19
Connection: close
X-Content-Type-Options: nosniff

404 page not found
$ _

…überhaupt keine Inhalte hat. Und natürlich auch kein Impressum oder so etwas. Es ist fast ein bisschen erstaunlich, dass diese Website früher in das Radar der Adblocker als in das Radar der üblichen Blacklists gefallen ist, wenn sie in Spam verwendet wird. Das deutet darauf hin, dass diese sicherlich unerfreuliche, von Spammern verlinkte Website auch über „ganz normale“ Internet-Reklame beworben wurde und wird.

Was es dort gibt? Vorsätzlich kryptisches und schwer analysierbares Javascript gibt es dort. Und nach einiger Zeit eine Weiterleitung. Auf eine Seite mit vorsätzlich kryptischem und schwer analyiserbarem Javascript. Dem Betrachter wird währenddessen einfach nur ein scheinbarer Videoabspieler gezeigt – und die Aufforderung, etwas nicht näher Bezeichnetetes mit einem Klick „zuzulassen“, um das Video sehen zu können. Ihr wisst ja: Diese Überraschungseier haben sich doch auch immer sehr gut verkauft. 🥚️

Auch ohne mir das noch näher angeschaut zu haben, bin ich mir sicher, dass hier Schadsoftware für Microsoft Windows untergeschoben werden soll. Was vermutlich „zugelassen“ werden soll, ist die Ausführung einer EXE, die über einen von mir nicht weiter gesuchten Mechanismus zur Ausführung gebracht wird. Wer das macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und vermutlich einen Haufen Probleme. ☹️

Was vermutlich die meisten Menschen nicht wissen: Es ist nicht nötig, das Einbetten eines Videos auch nur annähernd so kompliziert zu coden. Man kann dank HTML5 sogar völlig auf Javascript verzichten…

<video src="video.ogg" width="640" height="480" poster="standbild.jpg" autobuffer controls>
<p>Schade &mdash; ihr Browser kann keine Ogg-Vorbis-Videos</p>
</video>

…und hat trotzdem sofort ein glotzi-glotzi Video in seiner Webseite, nebst Abspielknopf und den ganzen üblichen Kontrollelementen. Und wenn dieses Video automatisch abgespielt werden soll, weil man seine Seitenbesuchern gern ein bisschen nervt, wird eben noch irgendwo das Attribut autoplay in das <video>-Tag eingefügt. Und schon ist es fast so einfach wie Fernsehen: Einschalten und flimmern. 📺️

Von daher erwarte ich von überkompliziertem und kryptischem Javascript in einer Webseite, die über Spam beworben wird, nichts Gutes. 💀️

Wer mehr macht, hat keine guten Absichten, sondern will Seitenbesucher gängeln und nötigen. Ja, das gilt auch für Googles Videoschleuder „YouTube“, die eine Menge tut, um Downloads der Videos zu erschweren und den Nutzer weitgehend zu überwachen. 👀️

So schade, dass niemals gefragt wird, wie viele Treibhausgase eigentlich durch Anwendergängelung und Technikverhinderung erzeugt werden! 🌍️🔥️

¹Ich möchte hier so „jugendfrei“ wie möglich sein und setze deshalb keinen Link, aber wenn man schon einmal in der völlig jugendfreien Presse gelesen hat, dass eine derartige Plattform „Pornhub“ heißt, dann wird man es schon schaffen, dieses Wort in die Adresszeile seines Browsers einzutragen, danach einen Punkt zu setzen und danach die ursprüngliche Top-Level-Domain für ein Unternehmen zu tippen. Nach einem beherzten Druck auf die Eingabetaste kann gerubbelt werden, bis die Nille qualmt. Jeder Geschmack wird bedient. Und es steht alles frei zur Verfügung.

Missed voice mail, 10:53AM

Mittwoch, 20. Oktober 2021

Aber mich kann man nur über Textmail erreichen. Und über XMPP, manchmal, wenn man mich etwas besser kennt. Aber auch dort nur mit Text. Das fehlte mir noch, dass Leute mit mir rumquasseln, wenn ich am Rechner sitze. Am besten auch noch Spammer und Werber. Weil die immer so ein schönes und intelligentes Zeug quasseln. 🖕️

Von: WhatsApp Notifier <ctenney@server.nerest.com>
An: gammelfleisch@tamagothi.de

  1. Ich habe nichts mit WanzApp¹ zu tun. Fecesbook¹ ist ein Unternehmen, das sich mit kriminellen Machenschaften in mein Leben drängeln wollte. Bei vielen anderen Leuten scheint dieses Unternehmen mit einer von Kriminellen abgeschauten Masche so viel Erfolg gehabt zu haben, dass es inzwischen börsennotiert ist, obwohl es immer noch kein seriöses Geschäftsmodell neben der Vergällung menschlicher Kommunikation mit Reklame hat. Ich will mit diesem asozialen Laden nichts zu tun haben. 🛑️
  2. Die für die Spam angegebene Absenderadresse sieht weder nach WanzApp¹ noch nach Fecesbook¹ aus, sondern nach einem Spammer, der zu dumm ist, sich eine bessere Fälschung auszudenken, wenn er den Absender fälscht. 🤕️
  3. Die Empfängeradresse wurde einfach mit einem Harvester im Web eingesammelt. In diesem Fall ist es eine Adresse, die ich niemals für richtige Kommunikation benutze, sondern nur für solche Vollpfosten ausgelegt habe. Mit dem Hinweis, dass es die Kontaktadresse für unseriöse Geschäftsvorschläge und Linktausch-Angebote sei. 🗑️

Man kann natürlich trotzdem glauben, dass diese Mail von WanzApp¹ kommt. Man muss auch nicht wegen vorangeschrittenen käsigen Hirnzerfalls totalverblödet sein, um zu glauben, diese Mail käme von WanzApp¹. Aber es ist sehr hilfreich. 😉️

Gut, und was steht drin:

WhatsApp

Incoming voice mail.

Details

Oct 19 10:53 AM
05 sec

autoplay

© WhatsApp

Mit proklamiertem „geistigen Eigentum“ auf diesen Kürzsttext ohne irgendeine Schöpfungshöhe! Das muss ja eine echte Mail von WanzApp sein! 🤭️

Der Link „Autoplay“ geht natürlich nicht zu WanzApp¹. Das ist ja auch klar, denn diese Spam kommt ja auch gar nicht von WanzApp¹. Stattdessen führt der Link zu einer Website in der Domain gardenarteu (punkt) com, die bereits einschlägig bekannt ist und aus verdammt guten Gründen auf den Blacklists steht:

$ surbl gardenarteu.com
gardenarteu.com	LISTED: ABUSE CR
$ _

Hier wird nicht einfach „nur“ gespammt und betrogen, hier wird in Websites verwiesen, die von kriminellen Crackern übernommen wurden und die erfahrungsgemäß meistens Schadsoftware verteilen. Wer auf einem nicht ausreichend gesicherten Computer (oder Pad oder Smartphone) auf den Link klickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und nein, ein Antivirus-Schlangenöl und eine „Personal Firewall“ sind kein ausreichender Schutz² dagegen. 🏚️

Oder im dümmstmöglichen BRD-Behördensprech: Wer auf den Link klickt, wird zum Opfer eines Cyberangriffes. 😵️

Das alberne Gecyber³ klingt ja auch viel epischer als: Da klickt jemand wie ein konditioniertes Äfflein auf alles, was man anklicken kann, und wartet darauf, dass ein Keks kommt. Egal wie verdächtig die Spam aussieht, in die geklickt wird. 🐒️🖱️🍪️

Zum Glück kann man sich vor dieser Kriminalitätsform ganz einfach schützen: Niemals in eine E-Mail klicken! Wer sich einfach das richtige WanzApp greift, stellt fest, dass da keine Sprachnachrichten in der Warteschlange liegen und hat einen dieser gefürchteten Cyberangriffe abgewehrt. 🛡️

So einfach geht das! 👍️

Also: Niemals in eine E-Mail klicken! Außer, die Zustellung wurde vorher über einen anderen Kanal als E-Mail vereinbart oder die E-Mail ist digital signiert, so dass ihr vertrauenswürdiger Absender jenseits jedes vernünftigen Zweilfes feststeht. Wenn das nicht der Fall ist: Niemals in die E-Mail klicken. 🖱️🚫️

Sollen die Spammer und Verbrecher doch verhungern! 😡️

Es wäre nicht schade drum. ⚰️😁️

¹Ich habe einige Markennamen verballhornt geschrieben, um nicht auch noch Werbung für diese Marken eines unerfreulichen Unternehmens zu machen, das für sein in meinen Augen tief unseriöses und menschenverachtendes Geschäftsmodell in der Anfangszeit auf asoziale und illegale Spam gesetzt hat. Wenigstens ist der Charakter schon klar geworden, bevor ich es mit diesen schmierigen Spammern zu tun bekam.

²Wer nicht weiß, wie man ein besonders geschütztes System herstellt, sollte gar nicht erst darüber nachdenken, in eine Spam zu klicken! Wer es lernen möchte: Eine virtuelle Maschine mit stark eingeschränkten Rechten in der „richtigen“ Welt und ohne jeden Zugriff auf wertvolle Daten ist noch halbwegs sicher. Vorher Sicherungspunkt erstellen, hinterher auf diesen Zustand zurücksetzen! „Halbwegs sicher“ bedeutet: Nicht so sicher, dass man sich darauf verlassen möchte, wenn es darauf ankommt.

³Die Kriminalitätsformen, die mit der dummen Vorsilbe „cyber“ bezeichnet werden, haben nicht einmal im entferntesten und skurillsten Sinn etwas mit Kybernetik zu tun. Leute, die diese „cyber“-Vorsilbe benutzen, belegen in ihrer Sprache, dass sie keine Ahnung haben, wovon sie reden und niemals darüber reflektieren, was für eine Sprache sie von irgendwo aufschnappen. Der Bundestag und die Verwaltungen sind übrigens voll davon. Auch nach der letzten Wahl. ☹️

Fwd: TOP URGENT_ PAYMENT INSTRUCTION,

Montag, 27. September 2021

Wie, soll ich mal wieder betrogen werden?

Good day,

Should we proceed payment to this account in the attached invoice?

The below invoice was forwarded to the account department this morning by our sales department.

Check the attached Invoice and confirm for a final confirmation of the details for the payment

Thanks & Regards

ACCOUNT MANAGER

HSBC Bank USA, N.A.
P.O. Box 0021

Buffalo, NY 14240

Phone: +971 6 764■■■■

Fax: +971 6 764■■■■

Nein, ich, der ich von meiner Mutter mit dem Namen „Guten Tag“ gestraft wurde, soll einen Mailanhang aufmachen, in dem angeblich eine Rechnung liegt. Und in der Tat: Die Mail hat einen Anhang…

$ file payment\ 001.r00 
payment 001.r00: RAR archive data, v4, os: Win32
$ rar l payment\ 001.r00 

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help

Archive: payment 001.r00
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    779776  2021-09-27 01:45  $$$.exe
----------- ---------  ---------- -----  ----
               779776                    1

$ _

…und dieser ist keine Rechnung, sondern ein RAR-Archiv. In diesem Archiv befindet sich kein Dokument, was schon gefährlich genug wäre, sondern eine ausführbare Datei für Microsoft Windows. Wer das Archiv auspackt und auf diese Datei einen Doppelklick macht, führt Software von spammenden Verbrechern aus und hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen oder im schlimmsten Fall alle Computer eines Firmennetzwerkes an Kriminelle übergeben. Deshalb klickt man ja auch nicht auf solche Dateien aus einem Mailanhang.

Das Antivirus-Schlangenöl wird in vielen Fällen nicht helfen. Zurzeit wird die klare Schadsoftware nur von einem guten Siebtel der Programme für die gefühlte Computersicherheit als klare Schadsoftware erkannt und behandelt.

Wer sich hingegen angewöhnt, nicht in E-Mail zu klicken und niemals einen E-Mail-Anhang zu öffnen, der nicht vorher über einen anderen Kanal als E-Mail vereinbart wurde, ist auf der sicheren Seite. Der Absender einer E-Mail ist übrigens nichts wert. Da kann jeder eintragen, was er will. Deshalb gibt es ja auch digitale Signatur, um wenigstens sicherzustellen, dass der Absender einen bestimmten privaten Schlüssel hat, aber diese über dreißig Jahre alte und völlig kostenlos anzuwendende Technik will sich nicht durchsetzen, weil man dafür klicken können muss. 🙁

Meine Prognose, obwohl ich es nicht weiß: Auch unter Windows 11, dem Nachfolger der letzten Windows-Version, die Microsoft jemals machen wollte, wird in den Standardeinstellungen die Dateinamenserweiterung ausgeblendet sein, so dass der Anwender den Unterschied zwischen einem PDF-Dokument und einer ausführbaren Datei, deren Piktogramm das Piktogramm eines PDF-Dokumentes ist nicht wahrnehmen kann. Keine andere schlechte Entscheidung Microsofts aus den Neunziger Jahren hat dermaßen viel Schaden angerichtet. 🙁

FW;- Bank Slip For SOA AUG-2021,

Montag, 6. September 2021

Hi Dear,

Genau mein Name! 👏️

Good day,

Auch fast mein Name. Doppelt hält eben besser! 👏️👏️

Pls refer attached bank slip for SOA AUG-2021

Pls assist to check and conform received to us back by return. Thnks you

Ich kenne euch nicht einmal. Was soll ich mit eurem Bankbeleg? Und was soll ich euch zurücksenden?

Aber halten wir schon einmal fest, dass die Spam einen Anhang hat. Eine Datei mit dem Namen Bank Slip.r00, die 464 KiB groß ist. Jeder Mailanhang ist mit der Kneifzange anzufassen, selbst, wenn man den Absender zu kennen glaubt, denn die Absenderadresse einer E-Mail kann beliebig gefälscht werden. ⚠️

Thanks & Best Regards.

Nett, dass ihr euch für nichts bedankt. Das wirkt fast so höflich wie eine auf Klopapier gedruckte Liebeserklärung. 🤡️

Daisy Lien( Ms. )

Customer Service Dept.
P: (+84) 3 9983 ■■■■
87, B4 St., An Loi Dong Ward, Thu Duc, Ho Chi Minh, VietNam T: (+84) 28 3636 ■■■■ – Ext: 212
www.reallogistics.net

WCA: 98353 – JC TRANS: 110429 NVOCC/FMC: 027785 – FIATA – IATA Office: HoChiMinh – HaNoi – HaiPhong – DaNang

Ich kenne euch übrigens immer noch nicht. 👻️

Aber Zeit, sich mal den Anhang anzuschauen:

$ file 'Bank Slip.r00'
Bank Slip.r00: RAR archive data, v4, os: Win32
$ rar l 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help

Archive: Bank Slip.r00
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    740864  2021-09-06 03:35  K.exe
----------- ---------  ---------- -----  ----
               740864                    1

$ rar e 'Bank Slip.r00'

RAR 5.50   Copyright (c) 1993-2017 Alexander Roshal   11 Aug 2017
Trial version             Type 'rar -?' for help


Extracting from Bank Slip.r00

Extracting  K.exe                                                     OK 
All OK
$ ls -lh K.exe 
-rw-rw-r-- 1 elias elias 724K Sep  6 03:35 K.exe
$ file K.exe
K.exe: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Ja, ich benutze hier eine Testversion von RAR, ich weiß…

Es handelt sich beim Anhang um ein RAR-Archiv mit der etwas unüblichen Dateinamenserweiterung .r00 – die meisten Menschen würden .rar bevorzugen, damit jedem sofort das Dateiformat klar ist. Aber unser Spammer baut halt darauf, dass der Empfänger einfach doppelklickt, weil man darauf so schön klicken kann. Ist ja nur eine Spam, was kann da schon schiefgehen. 😕️

Leute, benutzt euer Gehirn und löscht so eine Scheiße sofort! 🧠️

Praktisch immer, wenn irgendein angebliches Dokument in einem Archivformat an einer E-Mail hängt, handelt es sich um Schadsoftware. Die Spammer verwenden Archivformate, um die Virenfilterung auf dem Mailserver zu erschweren. Deshalb wurde hier vermutlich auch die etwas unübliche Dateinamenserweiterung .r00 verwendet. Kriminelle Spammer, die andere Rechner mit Schadsoftware übernehmen wollen, sind darauf angewiesen, dass ihre Spam durchkommt und auf Menschen trifft, die klicki-klicki Schadsoftware ausführen. 🖱️☣️

Das angebliche „Dokument“ erweist sich hier als eine ausführbare Datei für Microsoft Windows. Ich weiß jetzt nicht, welches Piktogramm diese .exe bekommen hat, aber wenn ich so eine Spam versenden würde, dann würde ich einfach das Piktogramm eines PDF-Dokumentes verwenden. Den wirklichen Dateitypen würden meine Opfer ja nicht sehen, den hat Microsoft ja vor ihnen verborgen, wenn sie es nicht in den Explorer-Einstellungen geändert haben¹. Und wer macht das schon? Eigentlich nur Menschen, die mit einem Computer umgehen können und nicht einfach nur eine Anwendung starten können. In einer Welt, in der ich das Bildungswesen gestalten würde, wäre das jeder Sonderschüler, und erst recht jeder Schüler mit höherem Abschluss. Es ist ja nicht so schwierig. 😡️

Und nach einem Doppelklick auf das scheinbare PDF hat man ein Programm gestartet, das einem spammende Verbrecher mit einem Vorwand als angeblichen „Bankbeleg“ zugeschoben haben. Wer das tut, kann ganz schnell einen riesengroßen Schaden anrichten. Dettelbach ist überall. Und wer sich auf sein Antivirus-Schlangenöl verlässt und glaubt, sich damit von dieser lästigen Verantwortung des Nachdenkens beim Klicken befreien zu können, ist auch schnell verlassen, denn zurzeit erkennt nur ein Viertel der gängigen Antivirus-Programme die klare Schadsoftware als eine Schadsoftware. Oder anders gesagt: An drei Viertel der gängigen Schlangenöle kommt dieser kriminelle Sondermüll vorbei, ohne dass es auch nur eine Warnung gäbe. Darauf kann man sich nicht verlassen. 😵️

Wie weiter oben schon gesagt, sollte man E-Mail-Anhänge mit äußerster Vorsicht behandeln. Wenn man den Absender kennt, einfach anrufen und bestätigen lassen, dass die Mail echt ist. Und wenn die Mail von außen kommt, dann öffnet man sie am besten unter einem anderen Betriebssystem als Microsoft Windows, wo bereits der (teilweise vor dem Anwender versteckte) Dateiname ausreicht, um dafür zu sorgen, dass beim scheinbaren Öffnen eines Dokumentes ein Programm ausgeführt wird. Antivirus-Schlangenöle helfen nicht. Die geben nur eine trügerische, gefühlte Sicherheit. ⛔️

¹Microsofts Entscheidung aus den Neunziger Jahren, einerseits den Typ der Datei im Dateinamen zu codieren und andererseits die Dateinamenserweiterung vor den Anwendern zu verbergen, dürfte seitdem einen Schaden von Milliarden, wenn nicht gar Billionen Dollar verursacht haben. Leider ist Microsoft dafür nicht haftbar. Deshalb korrigiert Microsoft diese schlechte Entscheidung auch seit einem Vierteljahrhundert nicht. Und die Menschen glauben immer noch, dass Microsoft alternativlos gute Software produziert, die man mit quasi religöser Hingabe verteidigen muss, weil es ja nichts anderes gibt. Dummheit ist eine destruktive Kraft, die bekämpft werden muss!

Google: Die Top-Adresse für Schadsoftware

Dienstag, 2. März 2021

Keine Spam, sondern ein Videotipp.

Ich benutze Google schon seit Jahren nicht mehr als Suchmaschine und habe inzwischen ganz vergessen, wie schlimm Google wirklich ist. Was einem passiert, wenn man mit dem von SEO-Spammern unbrauchbar gemachten Google nach Freier (oder wenigstens kostenloser) Software sucht, demonstriert SemperVideo in einem kurzen Video an einem sehr unerfreulichen Beispiel.

Das ist eine unbedingte Empfehlung an alle, die das Web immer noch mit Google durchsuchen. Alternative Suchmaschinen kann man sogar mit Google finden. Ich verwende übrigens DuckDuckGo.

Das Paket wurde bezahlt. Fur Informationen klicken Sie hier und offnen Sie das Dokument.

Freitag, 13. November 2020

Abt.: Überraschungsei des Tages 🥚️

Diese Mail enthält nämlich keinen Text, sondern nur einen Anhang. Es handelt sich um…

$ ls -lh Beachten.zip 
-rw-rw-r-- 1 elias elias 16K Nov 13 14:20 Beachten.zip
$ 7z -l Beachten.zip

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Celeron(R) CPU        E3300  @ 2.50GHz (1067A),ASM)

Scanning the drive for archives:
1 file, 15766 bytes (16 KiB)

Listing archive: Beachten.zip

--
Path = Beachten.zip
Type = zip
Physical Size = 15766

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2020-11-12 12:20:48 ....A        20546        15606  Beachten.xlsb
------------------- ----- ------------ ------------  ------------------------
2020-11-12 12:20:48              20546        15606  1 files
$ _

…ein rd. 16 KiB großes ZIP-Archiv, in dem sich eine einzige Datei befindet, und zwar eine Arbeitsmappe für Microsoft Excel.

Was sagt uns das? 🤔️

Richtig: Es sagt uns: Alarm! Dettelbach ist überall! 🚨️

Es ist jetzt schon völlig klar, dass es sich um einen weiteren Versuch handelt, möglichst vielen Empfängern eine Office-Datei mit Schadsoftware-Makros anzudrehen. Wer das ZIP-Archiv auspackt, die Excel-Arbeitsmappe öffnet und die Ausführung von Makros freischaltet (oder gar aus Gründen den dummen Leichtsinns standardmäßig gestattet), hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. 🧟️

Wie immer: Das Antivirusprogramm hilft nicht. Diese klare Schadsoftware wird zurzeit nur von einem kleinen Bruchteil der gängigen Antivirus-Programme erkannt. Wer sich darauf verlassen hat, ist verlassen. Wer aber sein Gehirn benutzt und nicht auf alles klickt, was sich anklicken lässt, weil ja irgendwo ein Keks vom Computer ausgegeben werden könnte, wenn man nur immer schön klickt; wer weiß, dass E-Mail das wichtigste Einfallstor für Schadsoftware ist, wer weiß, dass ein Absender beliebig gefälscht werden kann, und wer deshalb Mailanhänge niemals öffnet, ohne vorher telefonisch beim Absender rückgefragt zu haben, der ist auf der sicheren Seite. 💡️

Das Gehirn ist und bleibt das beste Sicherheitsprogramm. 🧠️

Nutzt es! 🌞️