Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Rechnung noch offen 26.09.2017 Nummer 74131987

Montag, 2. Oktober 2017

Achtung! Auf keinen Fall den Anhang aufmachen. Er ist das reinste Gift. Echte Mahnungen kommen übrigens mit der Sackpost, nicht mit der Mail.

Von: Ebay GmbH Stellvertretender Rechtsanwalt <service@ebay.de>

Die Mail hat niemals einen Server von eBay gesehen. Der Absender ist gefälscht.

Guten Tag,

Genau mein Name!

unsere Kanzlei wurden heute am 26.09.2017 vom Unternehmen Ebay GmbH beauftragt Ihre finanziellen Interessen in Ihrem Fall zu schützen.

So so, die Kanzlei „eBay GmbH Stellvertretender Rechtsanwalt“ wurde also beauftragt. Manche Menschen wurden von ihren Müttern mit sehr unvorteilhaften Namen bestraft. :D

Wir erwarten die Überweisung bis zum 02.10.2017 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen.

Den Absendern dieser Spam geht es nicht um Geld, das man ihnen überweisen soll. Sonst würden sie auch in die E-Mail reinschreiben…

  1. …um welchen Gesamtbetrag es sich handelt, und
  2. …auf welches Konto dieser Betrag überwiesen werden soll.

Dass sie das nicht tun, liegt nicht am Platzmangel in der Mail. Die völlig sinnlose Angabe einer sittenwidrig kurzen Frist „bis heute“ konnten sie ja auch schreiben. Ein geübter Schreiber des Deutschen würde übrigens bei einer Fristsetzung immer den Monatsnamen ausschreiben, um keinerlei Missverständnisse aufkommen zu lassen.

Wenn die Verfasser dieses einschüchternden Strunztextes wirklich wollten, dass man das scheinbar eingeforderte Geld auch bezahlt, schrieben sie auch nicht, dass man wegen einer Vorgangsnummer 08/15 grundlos Geld bezahlen soll. Sie wollen es aber nicht. Sie wollen nur…

Die detaillierte Kostenaufstellung Nr. 741319877, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…dass man einen Anhang öffnet. Dieser Anhang ist…

$ unzip -l 26.09.2017.zip 
Archive:  26.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487933  2017-10-01 10:25   Rechnung vom 26.09.2017.zip
---------                     -------
   487933                     1 file
$ unzip 26.09.2017.zip 
Archive:  26.09.2017.zip
  inflating: Rechnung vom 26.09.2017.zip
$ unzip -l "Rechnung vom 26.09.2017.zip" 
Archive:  Rechnung vom 26.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   504320  2017-10-01 10:25   26.09.2017 Rechnung.com
---------                     -------
   504320                     1 file
$ _

…ein ZIP-Archiv, in dem ein ZIP-Archiv verpackt wurde, in dem eine ausführbare Datei für Microsoft Windows verpackt wurde. Diese ist ein Programm, das von spammenden Kriminellen mit einer irreführend und alarmierend formulierten Mail zugestellt wurde. Wer dieses Programm auf seinem Computer gestartet hat, hat ein Problem.

Die klare Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Schlangenöle erkannt. Wer sich nur darauf verlässt, ist häufig wieder einmal verlassen und „darf“ demnächst bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen und darauf hoffen, dass er wieder an seine von Verbrechern verschlüsselte Festplatte kommt. Dagegen gibt es übrigens auch ein gutes Mittel, das allerdings vorbeugend angewendet werden muss;)

Zum allgemeinen Umgang mit E-Mail-Anhängen empfehle ich, noch einmal das zu lesen, was ich im vorigen Jahr anlässlich einer von Erpressungstrojanern gepwnten Stadtverwaltung schrieb. Kurze Zusammenfassung: Niemals einem E-Mail-Anhang öffnen, der nicht vorher über einen anderen Kanal als E-Mail explizit vereinbart wurde und durchgehend digitale Signaturen nutzen, um den Absender eine E-Mail jenseits jedes vernünftigen Zweifels sicherstellen zu können.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet außerdem, die durch unsere Tätigkeit entstandene Kosten von 64,92 Euro zu tragen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 25.09.2017.

Jetzt haben die Verbrecher das Wichtigste in ihrem Strunztext geschrieben – nämlich den Vorwand, weshalb der Empfänger eine Schadsoftware starten soll – und die Gedanken sind schon wieder im Bordell, so dass die Konzentration nachlässt und sich eine Menge kleiner Fehler einschleichen. „Sind sie verpflichtet außerdem“ oder „die entstandene Kosten“ würde in keiner echten Vorlage für regelmäßig versendete Mahnungen längere Zeit Bestand haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen.

Ich kann mir lebhaft vorstellen, wie zurzeit die gefälschte Absenderadresse mit Mails bombadiert wird und auf Seiten eBays Aufwand und Kosten verursacht. Den Verbrechern ist das egal. Die interessieren sich nur für ihr eigenes verbrecherisches Geschäft. Es sind asoziale Spammer.

Mit besten Grüßen

Stellvertretender Rechtsanwalt Oskar Klein

Diese Spam und diese Schadsoftware sind die besten Grüße der Spammer. Bessere haben sie nicht anzubieten. :mrgreen:

Offene Rechnung: Buchung 42628390

Donnerstag, 21. September 2017

Von: Directpay24 GmbH Abrechnung <admin@ebay.com>

Diese Spam hat mit eBay nichts zu tun. Sie wurde über einen angemieteten „Cloud“-Server versendet. Der Absender ist gefälscht.

Sehr geehrter Käufer,

Was habe ich denn gekauft? Und vor allem: Unter welchem Namen habe ich das gekauft. Ich werde ja wohl einen Namen und eine Lieferadresse angegeben haben, sonst käme ja gar nichts bei mir an. Och, habt ihr Spammer zu meiner Mailadresse noch keinen Namen?! Tja, dann klappt es eben nicht mit einer überzeugenden Ansprache des Empfängers.

wir wurden heute am 18.09.2017 vom Unternehmen Directpay24 GmbH gebeten Ihre [sic! Großgeschrieben! Die sprechen mich an!] finanziellen Rechte in Ihrem Fall zu schützen.

Wie, ihr wollt meine Rechte schützen? Und dafür bezahlt jemand anders, bei dem ich angeblich Schulden habe, einfach so Geld an euch? Oder habt ihr bei eurer riesigen Pay-Klitsche mit den achtstelligen Rechnungsnummern mal wieder nicht das Geld für einen richtigen Dolmetscher für eure 08/15-Standardschreiben übrig und formuliert deshalb so missverständlich und falsch?

Wir erwarten die vollständige Zahlung zuzüglich der Zusazgebühren [sic!] bis zum 22.09.2017 auf unser Konto. Können wird [sic!] bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.

Wenn ihr wirklich Geld von mir wolltet, statt mich einfach nur dazu überrumpeln zu wollen, dass ich euren vergifteten Anhang öffne, würdet ihr ganz sicher folgende Angaben machen:

  1. Grund für die Forderung (und zwar nicht als Nummer)
  2. Forderungsbetrag
  3. Höhe der „Zusazgebühren“
  4. IBAN für die Überweisung

Aber dann würde ja nahezu jeder Empfänger bemerken, dass eure Mail nichts als alarmierend formulierter Quatsch ist, dessen einziger Zweck es ist…

Eine vollständige Kostenaufstellung Nr. 426283909, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

…den Empfänger zum Öffnen eines Anhanges aus der Spam zu bringen. Denn allen Bemühungen der Werber um eine weitgehende Enthirnung des Konsumenten zum Trotze wissen die meisten Menschen noch recht genau, was sie gekauft haben.

Wer eine „Rechnung“ schreibt, und nicht mindestens die oben genannten Angaben macht, ist immer ein Spammer. Die Mail kann einfach in den Müll. Es gibt keinen vernünftigen Grund, solche Angaben erst in einem Anhang zu machen, wenn man das Geld auch haben will. Nur, wer das Geld nicht will, drückt sich dermaßen Nichts sagend aus und verweist auf einen Anhang, der geöffnet werden muss.

Der Anhang ist hier ein ZIP-Archiv mit dem Dateinamen 18.09.2017.zip und einer recht wuchtigen Dateigröße von 475 KiB. In diesem ZIP-Archiv…

$ unzip -l 18.09.2017.zip 
Archive:  18.09.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   487374  2017-09-21 02:11   Rechnung vom 18.09.2017.zip
---------                     -------
   487374                     1 file
$ _

…befindet sich ein weiteres ZIP-Archiv, wenn doppelt ja bekanntlich besser hält und eine kompliziertere Verpackung des kriminellen Sondermülls die Spamfilterung auf Mailservern erschwert. Nun gut…

$ unzip 18.09.2017.zip 
Archive:  18.09.2017.zip
  inflating: Rechnung vom 18.09.2017.zip
$ unzip 'Rechnung vom 18.09.2017.zip' 
Archive:  Rechnung vom 18.09.2017.zip
  inflating: 18.09.2017 Rechnung.com
$ ls -lh *.com
-rw-rw-r-- 1 elias elias 492K Sep 21 02:11 18.09.2017 Rechnung.com
$ file *.com
18.09.2017 Rechnung.com: PE32 executable (GUI) Intel 80386, for MS Windows
$ _

…das Auspacken der doppelt eingepackten Datei führt keineswegs zu einem Dokument, sondern zu einer ausführbaren Datei für Microsoft Windows, die mit gezielten Irreführungen von Kriminellen mit einer Spam zugestellt wurde. Wer auf diese Datei doppelklickt, startet damit ein Programm von Verbrechern. Das ist keine gute Idee. Es ist sogar eine ausgesprochen dumme Idee. Wer wissen will, wie die bessere Idee aussieht, lese bitte einfach noch einmal nach, was ich vor anderthalb Jahren anlässlich des Erpressungstrojaners in der Stadtverwaltung Dettelbach geschrieben habe. Danach einfach den kriminellen Sondermüll löschen und sich den schöneren Dingen am Internet zuwenden!

Bei diesem Anhang handelt es sich nämlich völlig sicher um Schadsoftware. Diese wird allerdings zurzeit nur von rd. einem Fünftel der Antivirus-Programme erkannt. Deshalb ist und bleibt es wichtig, dass man derartige Spam selbst erkennt und löscht, statt darin herumzuklicken.

Aufgrund des andauernden Zahlungsverzug [sic!] sind Sie gezwungen außerdem [sic!], die durch unsere Tätigkeit entstandene Kosten [sic!] von 97,91 Euro zu bezahlen. Um weitete Kosten auszuschließen [sic!], bitten wir Sie den ausstehenden Betrag auf unser Konto [Welches Konto und welcher Gesamtbetrag?] zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 15.09.2017 [sic!].

Aha, die wesentliche Botschaft – machen sie ganz schnell und dringend den Anhang auf – haben die Spammer jetzt rübergebracht, und danach lässt halt die Konzentration ein wenig nach. Deshalb brauche ich eine Sonderschnellüberweisung mit der Zeitmaschine, denn mittlerweile ist schon der 21. September. Aber man kann ja wirklich nicht von den Kriminellen erwarten, dass sie ihre Texte vor dem Absenden einmal kurz überfliegen und allzu peinliche Fehler korrigieren, denn wenn sie sich Mühe geben wollten, dann könnten sie ja einfach arbeiten gehen und brauchten keine Erpressungstrojaner in wehrlose Postfächer zu spammen. Zudem scheint es mir sicher, dass die Absender dieses E-Mülls nicht so gut deutsch können und ihren Text einfach aus einigen anderen Spams zusammengesetzt haben.

Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen.

Klar doch! Ohne angegebene Kontaktmöglichkeit. Oder soll man einfach die Drecksmail mit ihrem gefälschten Absender beantworten? Der admin@ebay.com wird sich aber sehr über den Kaufmannskram „freuen“, der in Wirklichkeit nur eine Masche ist, um Leuten einen Trojaner unterzujubeln.

Mit verbindlichen Grüßen

Abrechnung Lars Beham

Mit verwünschenden Grüßen!

Spamlektüre Elias Schwerdtfeger

DHL INVOICE

Mittwoch, 6. September 2017

Was? Eine Rechnung? Wofür?

Von: Delivery Manager Reina <nut.hello@mail.com>

DHL hat mal wieder keine eigene Domain und verwendet keinen eigenen Mailserver. Stattdessen werden anonym und kostenlos einzurichtende Freemail-Adressen für die Kommunikation verwendet.

Dear client

Die Rechnung ist für den „lieben Kunden“, der ärgerlicherweise keinen Namen hat, aber dafür…

We are proud to inform you that there is delivery for you.

…eine Lieferung, die offenbar an die E-Mail-Adresse gehen sollte, denn sonst müsste er sie ja nicht…

You may collect it at our headquarters.

…von der DHL-Hauptstelle abholen. Wo kriegt man eigentlich diese Adressaufkleber her, auf denen man eine Mailadresse statt einer Anschrift des Empfängers einträgt? :?:

Um was es hier geht und was da auf wessen Auftrag hin geliefert wird, erfährt man nicht. Um überhaupt etwas zu erfahren, muss man…

Please find the invoice and further information in the .https://dhl.com/document/download/nachtwaechter/61421872

…in die E-Mail klicken. Es war wohl nicht mehr genug Platz auf dem Mailpapier.

Die E-Mail ist HTML-formatiert, und der Link geht nicht in die Domain dhl (punkt) com. Das ist nur ein Linktext, da könnte genau so gut „Click here“ oder „We are contemptous of you“ stehen. Wer auf diesen Link klickt, lasse alle Hoffnung fahren, denn es ist ein Link aus einer illegalen und asozialen Spam von Kriminellen.

Der Link führt auf ein ZIP-Archiv, das in einer gecrackten Website abgelegt wurde. Als ich die Mail „behandelte“, hatte der Betreiber dieser Site diese Datei zum Glück schon gelöscht. So werde ich nie erfahren, wieviel Prozent der Antivirus-Programme daran scheitern, die im ZIP-Archiv verpackte Schadsoftware als solche zu erkennen. Vielleicht ist es auch besser so, denn das ist oft ein erschreckender Einblick. :(

Denn um eine Schadsoftware handelt es sich völlig sicher. Nur, dass diese zur Abwechslung diesmal kein Mailanhang ist, sondern durch Klick in die Spam heruntergeladen wird. Antivirusprogramme schützen davor nicht zuverlässig. Das Einzige, was zuverlässig schützt, ist, dass man Spam als Spam erkennt und löscht, statt darin herumzuklicken. Und eine E-Mail, die mit Betreff und Inhalt tatütata alarmieren will, aber in ihrem Text nichts konkretes sagt und sämtliche Informationen nur durch Öffnen eines Anhanges oder Klicken eines Links preiszugeben vorgibt, ist immer eine Spam. Und wenn es sich dann auch noch um ein ZIP-Archiv handelt, besteht kein vernünftiger Zweifel mehr daran, dass darin eine Schadsoftware verpackt wurde. Wer schlauer als die Mitarbeiter der Stadtverwaltung von Dettelbach ist, startet dann nicht auch die von Kriminellen zugemailte Software, sondern löscht den Müll. Das kann viel Geld und Lebenszeit sparen.

Best Regards,

Delivery Manager

DHL

Ist „Delivery Manager“ jetzt die neue Berufsbezeichnung für einen Paketboten? :mrgreen:

Message from „G10PR0151001.tamagothi.de“

Mittwoch, 30. August 2017

Häh?

Von: Stork, Elinor <Elinor.Stork@tamagothi.de>

Diese Mailadresse existiert in der Domain tamagothi (punkt) de nicht.

Sent: Tue, 29 Aug 2017 18:58:42 +0700
To: Stork, Elinor
Subject: Message from „G10PR0151001.tamagothi.de“

Aber für diese Angaben gibt es doch Mailheader…

This E-mail was sent from „G10PR0151001.tamagothi.de“ (Aficio MP C305).

…und das gleiche gilt für die Angabe des Absenders, die hier wie üblich gefälscht wurde. Da hilft auch keine dreimalige Nennung.

Gut, kommen wir zum Inhalt der Mail:

Scan Date: Tue, 29 Aug 2017 18:58:42 +0700

Das war der ganze Inhalt. Wirklich. Mehr steht nicht drin. Ansonsten gibt es noch einen Anhang mit dem Nichts sagenden Dateinamen 2017082991.zip. Der Erfolg der so genannten Überraschungseier scheint hier den Spammer motiviert zu haben, eine Art Überraschungsei aus dem Internet zu versenden.

Und was ist jetzt die Überraschung?

$ unzip -l 2017082991.zip 
Archive:  2017082991.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     3873  2017-08-29 13:01   scan_201708294843.zip
---------                     -------
     3873                     1 file
$ unzip 2017082991.zip 
Archive:  2017082991.zip
  inflating: scan_201708294843.zip
$ unzip -l scan_201708294843.zip 
Archive:  scan_201708294843.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    10775  2017-08-29 13:01   scan_201708294843.vbs
---------                     -------
    10775                     1 file
$ _

Es ist ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine durch Doppelklick im Windows Scripting Host für Microsoft Windows ausgeführte Datei¹ liegt. Dieses Programm für Microsoft Windows wurde von kriminellen Spammern unter gefälschtem Absender mit einer E-Mail zugestellt. Ich bin ehrlich gesagt nicht besonders überrascht von diesem deutlich müffelnden Ei, dass mir ein Spammer in meinen Posteingang gelegt hat. Es ist wieder einmal die übliche Überrumpelung für arglose und unwissende Menschen, die mit E-Mail ungefähr so umgehen wie die Fünfzehnjährigen mit dem Geschlechtsverkehr: Schnell, einfach und gefährlich. Wer alles anklickt, was man anklicken kann, einfach, weil man es anklicken kann, braucht sich nicht zu wundern, wenn er hinterher einen Computer anderer Leute auf dem Schreibtisch stehen hat. Das Antivirus-Schlangenöl hilft übrigens auch nicht, wenn das Gehirn versagt oder an Leistungsschwäche leidet: Zwei Drittel der gängigen Antivirus-Programme erkennen diese klare Schadsoftware nicht als Schadsoftware. Aber dafür wäre es Menschen durchschnittlicher Intelligenz wohl relativ leicht gefallen, die kryptisch formulierte E-Mail eines unbekannten Absenders, der sich nicht einmal mehr einen Grund ausdenkt, warum zum hackenden Henker man den Anhang überhaupt öffnen sollte, in den Müll zu befördern.

¹Text nach Hinweis geändert… zuvor stand hier, dass die Datei ausführbar sei.

Sie haben schwere Schuld auf die Grundsteuer

Freitag, 28. Juli 2017

Diese Spam aus dem Irrenhaus des Posteinganges ist ein Zustecksel meiner Leserin M.K. – an der Spam hing noch ein Anhang, der vermutlich das reinste Gift ist. Aber der Text der Spam kitzelt so fürcherlich im Gehirne, dass man gar nicht zum Anhang kommt… ach, hier ist er:

Lieber Bürger,

Ich heiße aber „Liebe Steuernummer“.

Mein Name ist Günther Brown, ich bin der amtliche Vertreter der deutschen Steuerbehorde [sic!], Abteilung der Immobiliensteuer

Wie, du bist der amtliche Vertreter einer Behörde. Die nennt man in der BRD übrigens Beamte. Und die deutsche Steuerbehörde nennt man Finanzamt. Du hast doch nicht etwa einen englischen Betrugstext mit Google übersetzt, du Schlingel von Spammer, du!

Meine Abteilung ist haftbar [sic!], die Staatsangehörigen zu informieren, ihnen das Steuersystem zu erklären, sie in allen Angelegenheit im Zusammenhang mit Steuerprozeduren, Schulden, Zahlungen usw. zu unterstutzen [sic!].

So so, haftbar bist du also dafür. Na, dann hafte mal schön. :mrgreen:

In Ihrem Fall muss ich Ihnen Bescheid geben, dass Sie namhafte Schulde [sic!] auf Vermogenssteuer [sic!] haben. Das heißt, es gibt eine schwere Schuld [sic!] auf die Grundsteuer [sic!]. im Regelfall ignorieren wir solche Schulden fur 4-6 Monate [sic!], aber in Ihrer Situation, die Verzögerungszeit beträgt 7 Kalendermonate [sic!]. deshalb mussen wir geeignete Maßnahmen ergreifen [sic!], um die Lage zu korrigieren.

Aber „Günther Brown“, weißt du denn gar nicht, was in der Bundesrepublik passiert, wenn man Steuerschulden hat? Dann gibt es keine Mail, sondern es kommt der Zoll und es wird gepfändet.

Speziell für Ihre Bequemlichkeit [sic!] haben unsere Spezialisten [sic!] einen individuellen Bericht vorbereitet. Er enthält alle Informationen über das Besteuerungsverfahren auf Grundsteuer [sic!], auf Ihre Schulden (einschließlich Gesamtsumme) [sic!], sowie eine Tabelle der ausstehenden Betrage [sic!] fur jeden Monat der Periode der Schulden [sic!].

Der Bericht befindet sich in der angehängten Datei

Aber „Günther Brown“, weißt du denn gar nicht, wie in der Bundesrepublik ein Steuerbescheid zugestellt wird? Er wird mit der Sackpost zugestellt.

bitte sehr lesen Sie das Dokument in der nahen Zukunft [sic!]. Nach dem Empfang diesen Bericht [sic!] haben Sie einen Tag [sic!], um mit Ihrem Wirtschaftsprufer [sic!] zu kontaktieren und ihm die Daten in diesem Bericht erhalten zu mitteilen [sic!], um das Problem zu lösen. im anderen Fall konnen erhebliche Sanktionen (Bußgelder und Strafen) folgen.

Aber „Günther Brown“, hat dein Deutschexperte dich jetzt verlassen? Oder ist die leckere Flasche Wodka bei ihm so eingefahren, dass er nur noch hirnrissiges Gestammel von sich gibt, das selbst von einem manifest Schwachsinnigen sofort als hirnrissiges Gestammel erkannt würde?

Menschen, die nicht manifest schwachsinnig sind, wissen natürlich, dass es keine Fristsetzungen von einem Tag gibt – und schon gar nicht bei einem Zustellungsweg, bei dem rechtlich gar keine Zustellung erfolgen kann. Fristen werden immer mit ausdrücklicher Nennung des Fristablaufdatums gesetzt, um eine Wirksamkeit entfalten zu können.

Mit besten Grüßen,

Gunther Braun [sic!],
Abteilung fur Grundsteuer,
Die Steuerbehörde Deutschlands [sic!]

Aber „Günther Brown“, du heißt ja Gunther Braun. :lol:

Trojanische Tastatur-App auf HTC-Smartphones

Montag, 17. Juli 2017

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf einen Golem-Artikel zu den neuesten Bemühungen der (leider) legal Reklametreibenden, die bestehende Allgegenwart der Werbung noch weiter auszubauen – wenn es auch ein bisschen halbseiden bis kriminell wird:

Android:
Tastatur des HTC 10 zeigt Werbung an

Gemeint ist hier die werksseitig vorinstallierte Tastatur-App eines Android-Handys, die personalisierte (also auf der Grundlage von Tracking und Überwachung ausgewählte) Reklame einblendet. Das sieht dann so aus (diesen Screenshot habe ich von Reddit mitgenommen):

Screenshot eines Handys mit der Keyboard-App, die Werbung einblendet

Meiner Meinung nach ist dieses Bild einer mit werkseitig installierter Schadsoftware – ja, eine Adware ist eine Schadsoftware – vergällten Systemanwendung für Smartphone-Kernfunktionalität ein treffliches Symbolbild für die ekelerregende Unkultur, die sich in den letzten Jahren zusammen mit den so genannten „Smartphones“ breitmachen konnte, ohne dass ihr ein nennenswerter Widerstand entgegengesetzt würde. Wer sich persönliche Computer andrehen lässt, auf denen werkseitig für den Benutzer uninstallierbare – oder genauer: nur unter Verlust der Gewährleistung für das Gerät und nur mit hohem Aufwand deinstallierbare – Trojaner installiert wurden, gehört zu den Menschen, an denen die menschliche Würde verschwendet ist.

Die Werbung wird natürlich in Abhängigkeit von Eingaben eingeblendet, die auf der Tastatur gemacht werden – es handelt sich hier also nicht nur um eine Adware, sondern um einen Keylogger, der jede Eingabe an einen anonym bleibenden Dritten sendet. Ich wünsche allen Nutzern viel Vergnügen dabei, mit einem derartigen Gerät Online-Banking zu betreiben oder irgendetwas zu bezahlen! Selbst, wenn die mutmaßlich mit HTC kooperierenden Werber mit ihrer Tastaturtrojaner-Idee niemals auf die Idee kommen sollten, die so eingesammelten Daten für kriminelle Zwecke zu missbrauchen oder an irgendwelche Dritte zu verkaufen, ist die Beschädigung der Privatsphäre durch Weitergabe sämtlicher Kommunikationsinhalte und Websuchen an eine Klitsche, die Geschäfte mit Schadsoftware macht, erheblich genug, um sich diese Unverschämtheit auf gar keinen Fall widerstandslos bieten zu lassen. Die Frage, ob nicht schon vor der sichtbaren Werbeeinblendung Tastatureingaben (also Passwörter, IM, Mail, Websuchen) überwacht wurden, lässt sich leider nicht klären, aber ich würde bis zum überzeugenden Beleg des Gegenteiles – und dieser besteht nicht in einer Presseerklärung – davon ausgehen.

Natürlich gibt es alternative Tastatur-Apps, die man sich schnell installieren kann. Aber wer nach einer derartig arschlochhaft vorangetriebenen Sauerei noch das geringste Vertrauen in eine offensichtlich mit Schadsoftware-Programmierern zusammenarbeitende Unternehmung wie HTC hat, zeigt damit nur, dass er nicht zu den Hellsten gehört. Meiner bescheidenen Meinung nach – ich bin wohlgemerkt kein Jurist – handelt es sich hier um einen dermaßen großen, jede Nutzung beeinträchtigenden Produktmangel, dass nur noch eine Reaktion angemessen ist: Die Rückgabe des mit uninstallierbarer Schadsoftware verseuchten Smartphones und die Rückforderung des Kaufpreises. Dieses selbstverständlich vorbehaltlich einer Strafanzeige wegen des Ausspähens von Daten und darauffolgender zivilrechtlicher Forderungen wegen eventuell angerichteter Schäden.

Denn mit Leuten und Unternehmungen, die mit so viel krimineller Energie zum Schaden ihrer eigenen Kunden beim Vorantreiben ihrer halbseidenen Geschäftsideen vorgehen, ist kein friedliches Miteinander mehr möglich. Hier sind sich illegale Spam, direkt von der organisierten Internetkriminalität (bullshitdeutsch: Cybercrime) abgeschaute Vorgehensweisen und leider legale Reklame ganz nahe gekommen, so dass eine Unterscheidung nicht mehr möglich ist. :(

Nachträge, 21:35 Uhr

Ihre Automatische Konto-Lastschrift 27208377 konnte nicht vorgenommen werden 03.07.2017

Montag, 3. Juli 2017

ACHTUNG! Auf gar keinen Fall den Anhang öffnen!

Immerhin, das Datum stimmt. Im Gegensatz zur lustigen Zahl für eine Lastschrift (statt der Kontonummer des vermutlich ungedeckten Kontos) hat es für mich sogar eine gewisse Bedeutung… :D

Von: DirectPay AG Stellvertretender Sachbearbeiter <admin@ebay.com>

eBay, die Klitsche, wo ein Vizeersatzsachbearbeiter die Mailadresse „admin“ kriegt. Natürlich ist der Absender gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Mein Exemplar dieser Spam kam von einem Server, der bei einem US-amerikanischen Hoster gemietet wurde. Der Hoster ist bereits informiert. Ich hoffe, er hat Vorkasse genommen, als ein Verbrecher die Daten und die Kreditkarte eines anderen Menschen missbrauchte, sich einen Server zu mieten, um das Internet mit Spam vollzumachen.

Sehr geehrter Käufer,

Was habe ich denn gekauft?

wir wurden von der Firma DirectPay AG gebeten Ihre gesetzlichen Rechte in Ihrer Angelegenheit zu schützen.

Was verkauft mir diese „DirectPay AG“? Meine eigenen Rechte? :mrgreen:

Die Zahlung erwarten wir bis spätestens 07.07.2017. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.

Welche Zahlung? Wofür? An wen? Welcher Betrag? Auf welches Konto? Jemand, der wirklich Geld wollte, würde sehr darauf achten, dass diese Angaben in seiner Mail stehen.

Fristsetzungen kommen aus Gründen der Rechtssicherheit immer mit der Sackpost.

Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich, die durch unsere Tätigkeit entstandene Gebühren von 52,03 Euro zu tragen.

Auf welcher Grundlage bin ich dazu verpflichtet, diesen Mondpreis von über fuffzich Øre für eine E-Mail zu bezahlen?

Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.

Eine Telefonnummer für eine Kontaktaufnahme wurde nicht angegeben. Niemand würde das tun, wenn er wirklich eine Kontaktaufnahme erwartete.

Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 30.06.2017.

Eine Kontonummer oder der Betrag wurde nicht angegeben.

In diesem ganzen aufgequollenen Text einer hochkriminellen Standardspam steht nichts, was für den Empfänger in irgendeiner Weise sinnvoll sein könnte. Wenn er auch nur erfahren möchte, um was zum hackenden Henker es hier geht, muss der Empfänger…

Eine vollständige Forderungsausstellung Nummer 272083776, der Sie alle Positionen entnehmen können, fügen wir bei.

…einen Mailanhang öffnen. Das ist das Standardmuster für Schadsoftware-Mails und immer ein sicheres Zeichen dafür, dass man die Mail einfach in den virtuellen Papierkorb werfen kann.

Der Anhang ist ein ZIP-Archiv mit einem nichtssagenenden Dateinamen, in dem…

$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   506420  2017-07-03 00:22   03.07.2017.zip
---------                     -------
   506420                     1 file
$ _

…ein weiteres ZIP-Archiv liegt. Derartig komplizierte „Verpackungen“ für angehängte Dateien erfüllen nur einen Zweck: Sie sollen einen Antivirus-Scan auf einem Mailserver erschweren. Mal schauen, was da doppelt verpackt wurde:

$ mv 03.07.2017.zip 03.07.2017.old.zip 
$ unzip 03.07.2017.old.zip 
Archive:  03.07.2017.old.zip
  inflating: 03.07.2017.zip
$ unzip -l 03.07.2017.zip 
Archive:  03.07.2017.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   694272  2017-07-03 00:22   03.07.2017 Rechnung.com
---------                     -------
   694272                     1 file
$ _

Es handelt sich nicht etwa um eine Rechnung, sondern um eine ausführbare Datei für Microsoft Windows, die mit einer vorsätzlich irreführenden E-Mail von einem Spammer zugestellt wurde. Wer darauf einen Doppelklick macht, startet auf seinem Computer ein Programm von Verbrechern und hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen (und darf wohl demnächst sein Backup zurückspielen oder sich, wenn kein Backup vorhanden ist, von seinen verschlüsselten Daten verabschieden, denn eine Lösegeldzahlung an derartige Verbrecher kommt nicht in Frage). In der jüngeren Vergangenheit wurden durch einen solchen unbedachten Klick vielfach ganze Firmennetzwerke an Verbrecher übergeben – mit großem wirtschaftlichen Schaden für das davon betroffene Unternehmen und teilweise sogar mit großem gesellschaftlichen Schaden.

Wer sich hier auf sein Antivirus-Programm verlässt, ist verlassen. Diese Schadsoftware wird zurzeit von deutlich weniger als einem Zehntel der gebräuchlichen Antivirus-Programme als das erkannt, was sie völlig sicher ist: Schadsoftware. Antivirus-Programme – von mir meist despektierlich „Schlangenöl“ genannt – schützen nur vor Schadsoftware, die beim Hersteller des Antivirus-Programmes bekannt ist und versagen regelmäßig bei neuer Schadsoftware. Und das Wort „neue Schadsoftware“ bedeutet hier auch: Mit winzigen Änderungen versehene Versionen alter, an sich längst bekannter Schadsoftware. Diese relative Unfähigkeit so genannter Antivirus-Programme wird richtig fürchterlich, wenn Menschen auch noch von der Reklame und einem schlechten Journalismus verblendet an die bequeme Sicherheit durch ein Antivirus-Programm glauben und deshalb gedanken- und bedenkenlos auf alles klicken, was sich nur anklicken lässt. Am Ende ist dann zum Beispiel eine ganze Stadtverwaltung kriminell übernommen. :(

Wer aber niemals einen Anhang einer E-Mail öffnet, der nicht vorher explizit abgesprochen wurde, wer generell nicht in E-Mail herumklickt und wer sich auch nicht durch einschüchternd formulierte Nonsens-Spams von solchen Verbrechern überrumpeln lässt, ist immer auf der sicheren Seite. Es ist eine Haltung, die man sich leicht angewöhnen kann und die in der Praxis beim täglichen Abarbeiten der E-Mail zu mehr Sicherheit führt, als jedes Antivirus-Produkt einbringen kann. Eine sinnvolle Ergänzung dazu sind übrigens nicht Antivirus-Programme, sondern die durchgehende Verwendung digital signierter E-Mail (eine Technik, die jedem Menschen seit rund zwanzig Jahren Frei und kostenlos zur Verfügung steht), um den Absender einer E-Mail jenseits jedes vernünftigen Zweifels feststellen zu können – erst danach kommen Antivirus-Produkte als mögliche Ergänzung. Dass die verwendete Software und das verwendete Betriebssystem immer auf aktuellem Stand gehalten werden müssen, versteht sich von allein – denn ein beseitigter Fehler in der Software kann nicht mehr von Kriminellen ausgenutzt werden.

Mit besten Grüßen

Stellvertretender Sachbearbeiter Justus Melber

Das wichtigste Hilfsmittel zur Herstellung von Computersicherheit ist und bleibt das Gehirn des Menschen, der vorm Computer sitzt. Zurzeit kann dieses Gehirn von keiner Software ersetzt werden, und ich gehe davon aus, dass dies auch in den nächsten zehn Jahren nicht möglich ist. Erfreulicherweise ist die Nutzung des Gehirnes kostenlos und verbraucht auch keinen zusätzlichen Strom. Also bitte, liebe Mitmenschen: Nutzt eure Gehirne!

Invoice PIS4710314

Mittwoch, 14. Juni 2017

Oh, ich habe eine Rechnung bekommen? Von wen? Und vor allem: Wofür? Mal schauen, was in der E-Mail drinsteht:

Please find Invoice PIS4710314 attached.

Aha! Es ist eine dieser E-Mails, in deren Text gar nichts steht und deren Anhang alle Fragen beantworten soll – oder anders und so deutlich wie möglich gesagt: Es ist eine Schadsoftware im Anhang.

Der Anhang ist ein ZIP…

$ unzip -l InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
     6670  2017-06-13 11:37   C8DTJJCH.zip
---------                     -------
     6670                     1 file
$ _

…das ein ZIP enthält…

$ unzip InvoicePIS4710314.zip 
Archive:  InvoicePIS4710314.zip
  inflating: C8DTJJCH.zip 
$ unzip -l C8DTJJCH.zip
Archive:  C8DTJJCH.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    19739  2017-06-13 11:37   C8DTJJCH.wsf
---------                     -------
    19739                     1 file
$ _

…das nicht etwa eine Rechnung in irgendeinem Dokumentformat, sondern ein Windows Script File enthält; ein ausführbares Programm für Microsoft Windows. Dieses Programm wurde in einer E-Mail mit irreführendem Text zugestellt; von ihm wurde behauptet, dass es sich um ein Dokument mit einer Rechnung handele und es ist ausgesprochen kryptisch formuliert, um eine Analyse zu erschweren. Es ist eine ganz klare Schadsoftware. Wer dieses Programm auf einem unter Microsoft Windows laufenden Computer mit einem Doppelklick ausführt, hat in weniger als einer Sekunde einen Computer anderer Leute auf dem Schreibtisch stehen. Ob diese „anderen Leute“ die Festplatte verschlüsseln, den Rechner sperren und Bitcoin für die Entsperrung und Entschlüsselung einfordern, oder ob sie einfach „nur“ heimlich ein paar Trojaner nachinstallieren, die Online-Banking manipulieren, Betrugsgeschäfte durchführen, illegale Pornografie verteilen und Spam versenden, in jedem Fall wird ein Schaden entstehen.

Zurzeit wird diese Version der Schadsoftware nur von rd. der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich auf die bequeme „Sicherheit“ durch Antivirus-Programme verlässt, wird von diesem Schlangenöl regelmäßig verlassen und sitzt dann vor einem von Halunken übernommenen und missbrauchten Computer.

Zum Glück ist es aber auch für Menschen ohne technische Kenntnisse möglich, sich vor der Schadsoftware zu schützen, die über E-Mail verteilt wird: Einfach niemals in eine E-Mail klicken, die nicht vorher über einen anderen Kanal als E-Mail ausdrücklich verabredet wurde, und schon ist eine Übernahme des Computers sehr erschwert¹. Es ist das Internet. Da muss man vor dem Klicken kurz das Gehirn einschalten. Antivirus-Programme sind nur eine Ergänzung.

Übrigens: In letzter Zeit sehe ich derartige Schadsoftware-Spam wieder häufiger, nachdem mal für ein paar Monate relative Ruhe war.

¹Die durchgehende Verwendung von digitalen Signaturen, mit denen man den Absender und die unveränderte Mail jenseits jedes vernünftigen Zweifels sicherstellen kann, ist in vielen Fällen eine wertvolle Ergänzung dieses Vorgehens und ebenfalls nicht so aufwändig, dass Laien davon überfordert wären.