Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Warum Adblocker auch weiterhin unverzichtbar sind…

Montag, 22. September 2014

Warum Adblocker im Browser auch weiterhin eine unverzichtbare Sicherheitssoftware sind, vollkommen unabhängig davon, dass einige Websitebetreiber ihre Leser und Nutzer immer wieder einmal zum Abschalten derartiger Sicherheitssoftware auffordern? Das beleuchtet unter anderem die heutige Horrormeldung auf Heise Online:

Das große Werbenetzwerk Zedo und die Google-Tochter Doubleclick sollen nach Angaben eines Antivirenherstellers fast einen Monat lang Schadcode über ihre Werbung verteilt haben

Von einem solchen gelungenen Angriff der Schadsoftware-Verbrecher auf einen großen Ad-Vermarkter ist natürlich ein sehr großer und für viele Menschen vertrauenswürdiger Teil des Internet betroffen, und es ist deshalb auch davon auszugehen, dass die Kriminellen sich in bei einer solchen Möglichkeit ganz besonders große Mühe geben, einen Schadcode zu verwenden, der von der Mehrzahl der Antivirus-Schlangenöle nicht erkannt wird. (Diese erkennen nur bekannten Schadcode, und es ist oft möglich, sie durch triviale Änderungen auszutricksen.) Je geringer die Erkennung, desto länger gibts den bequemen Infektionsweg über namhafte und angesehene Websites.

Und deshalb sollten sie immer, ohne eine einzige Ausnahme, auf jeder Website, die sie besuchen, einen wirksamen Adblocker einsetzen, der diesen ansonsten sehr gefährlichen Infektionsweg an der Wurzel unterbindet – und dabei ganz nebenbei das Web schneller und schöner macht. Wenn sie noch mehr Sicherheit haben möchten und sich nicht daran stören, dass sie für einige Websites Privilegien von Hand gewähren müssen, die ansonsten der Browser automatisch für sie gewährt, dann installieren sie zusätzlich NoScript und gehen sie sehr sparsam mit dem Recht für Websites um, Skripten im Browser auszuführen. Ein „Einfangen“ von Schadsoftware über den Browser ist dann sehr sehr unwahrscheinlich geworden und nur noch über ausgebeutete Programmierfehler im Browser möglich. (Deshalb sollte immer ein aktueller Browser verwendet werden.) Wenn der Autor bei Heise Online schreibt, dass ein aktueller Virenscanner den Angriff wahrscheinlich in fast allen Fällen verhindert hätte, ohne auch nur ein paar Codefragmente gegen zum Angriffszeitpunkt aktuelle Virenscanner zu überprüfen, so kann ich ohne Rückgriff auf einschränkende Wörter wie „wahrscheinlich“ entgegnen: Ein Adblocker hätte diesen Angriff ganz sicher überall dort verhindert, wo er verwendet worden wäre und keine Ausnahmen beim Blocken konfiguriert wurden! Da es hier um Doubleclick-Anzeigen geht, kann ein derartiger Angriff beinahe auf jeder Website laufen, auch auf der Website ihrer Lieblingszeitung! Oder auf der Website von Heise Online, genau dort, wo auf ein schweres, die Computersicherheit von Lesern gefährendes Problem beim Ad-Vermarkter Doubleclick gemeldet wird:

Screenshot meines Editors mit dem Seitenquelltext der oben verlinkten Meldung auf Heise Online. Gezeigt wird der Ausschnitt des Quelltextes, der über JavaScript ein Ad von Doubleclick einbettet.

Die Frage, wie viel ihre Computersicherheit dort wert ist, wo „Content“ durch Werbeeinblendungen monetarisiert werden soll, hat sich damit hoffentlich geklärt.

Und ja! Wenn sie das ausschließliche Surfen mit Adblock Edge und NoScript mit einer großen Vorsicht beim Öffnen von E-Mail-Anhängen verbinden, haben sie mehr Schutz vor „Infektionen“ aus dem Internet, als ihnen jedes Antivirus-Programm zeitgenössischer Machart gibt oder überhaupt geben kann. Das Problem einer möglichen Übernahme des Rechners durch „verseuchte“ USB-Geräte und dergleichen wird allerdings so nicht gelöst… hier müssen sie entweder eine strikte Keuschheit des Computers durchsetzen (schwierig!), doch auf Antivirus-Schlangenöl zurückgreifen, um überhaupt etwas Schutz zu haben oder aber lernen, wie sich die vielen „bequemen“ Automatismen ihres Betriebssystems beim Anstecken eines Speichersticks abstellen lassen und ein paar Einstellungen vornehmen. Ich bin mir jedenfalls sicher, dass sie es im Alltag nicht benötigen, wenn ohne ihr Zutun Code auf einem Speicherstick oder einer angesteckten Kamera im Hintergrund ausgeführt wird. Niemand benötigt das. Ein paar Klicks sind nicht so schwierig, dass sie einem abgenommen werden müssten. Eventuelle Hassmails in dieser Sache bitte an Microsoft senden, den Hersteller des beliebtesten Betriebssystemes der Organisierten Kriminalität.

wichtig

Samstag, 20. September 2014

Hey, Spammer! Hinter so einem Betreff gehört ein Ausrufezeichen! Mindestens!! Besser ist ein kleines Rudel davon!!! Sonst merkt man gar nicht, wie irre wichtig deine Spam ist!!!! So ein bisschen Klaus Kinski für die Dorfdisko muss schon sein, wenn man im Posteingang Alarmstimmmung auslösen will… 😀

Und um was es geht, muss man in einem „Betreff“ doch nicht deutlich machen.

Na, mal schauen, um was es in dieser wichteligen… ähm… wichtigen Mail so geht:

Alle laufenden Arbeiten wurden rechtzeitig durchgeführt, […]

Um Arbeiten geht es. Was für Arbeiten? Arbeiten eben. Wo? Na, im Rechtzeitig. Diese Arbeiten sind abgeschlossen (wurden durchgeführt) und sind noch am Laufen¹, also nicht abgeschlossen. Und zwar rechtzeitig. Kein Wunder, dass die Mail so wichtig ist, denn die Dynamik des Vorganges, in dem sich der völlig unbekannte Autor dieser Zeilen zu befinden scheint, muss überwältigend sein. Offenbar schreibt er auch aus dem Bauch heraus, so dass seine Wörter ohne Umweg über den Kopf den Körper verlassen können.

[…] ich verstehe nicht warum Sie immer noch nicht bezahlt haben und mir 4280euro schulden.

Und wegen dieser Arbeiten, die so überwältigend sind, dass nichts mehr dazu gesagt werden kann, schuldet eine Mailadresse einem Unbekannten ein paar lila Lappen für fertige laufende Arbeiten. Wer eine Mailadresse hat und von solchen dadaistischen Kommunikationsversuchen beeindruckt ist…

Kostenplan im Anhang.

…öffnet vielleicht sogar den Anhang. Denn das ist es, worauf es dem Absender hier wirklich ankommt.

Der Anhang ist – wie zurzeit immer, wenn Schadsoftware an eine massenhaft versendete Spam gehängt wurde – ein ZIP-Archiv, in dem sich eine einzige Datei befindet. Ich würde hier ja gern den Namen der so irre wichtigen Datei mit dem „Kostenplan“ wiedergeben, aber…

…glaube doch eher, dass die wenigsten Menschen Interesse an Zufallszahlen haben. Die Dateinamenserweiterung .scr ist übrigens ein Bildschirmschoner für Microsoft Windows, es handelt sich um eine direkt ausführbare Binärdatei, die von Spammern unter einem fadenscheinigen Vorwand zugestellt wurde. Wer darauf einen Doppelklick macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und ordentlich Kosten kann das auch schnell verursachen.

Wie es immer zu erwarten ist, wenn eine alarmierend formulierte Mail ohne wirklichen Inhalt zusammen mit einem ZIP-Anhang kommt, handelt es sich um ein recht frisches Päckchen Schadsoftware, das von vielen Antivirusprogrammen noch nicht erkannt wird. Übrigens: Vor zwanzig Stunden, als die Spam noch etwas frischer war, sah die Erkennung durch das Antivirus-Schlangenöl noch schlechter aus.

Zum Glück ist hier die Erkennung des kriminellen (und diesmal auch ziemlich blöden) Mülls durch einen Menschen sehr einfach.

Diese Spam ist ein Zustecksel meines Lesers Sebastian. Danke!

¹Diese grammatisch nicht ganz koschere deutsche Verlaufsform aus den niederfränkischen und niederdeutschen Mundarten sei mir ausnahmsweise einmal gestattet…

Ihre Mobilfunk-Rechnung vom 15.09.2014 im Anhang als PDF

Montag, 15. September 2014

Wichtiger Hinweis vorab: Diese Mail kommt nicht von Vodafone, und sie kommt auch bei Menschen an, die keine Vodafone-Kunden sind. Es ist eine gefährliche Spam von Kriminellen. Auf gar keinen Fall den Anhang öffnen!

Ihre neue Rechnung als PDF

15.09.2014

Guten Tag,
Ihre Rechnung vom 15.09.2014 finden Sie im Anhang als PDF.

Die Summe beträgt 41,58 Euro und ist am 25.09.2014 fällig.

Freundliche Grüße
Ihr Vodafone-Team

Fassen wir einmal vorsichtig zusammen. Der freundlich grüßende Absender dieser Spam weiß zwar das Datum von heute zu sagen, aber er kann mit der Zustellung seiner „Rechnung“ weder den „Kunden“ persönlich ansprechen noch eine Kundennummer noch eine Vertragsnummer noch irgendeine Produktbezeichnung angeben. Zu allem Überfluss gibt es keine Telefonnummer für eine schnelle Rückfrage. Niemals würde das echte Vodafone oder irgendein anderes Unternehmen eine seiner Mails so anonym und mies formulieren.

Hier schreibt aber auch ein Krimineller. Und der hat nur einen Wunsch: Dass die Empfänger den Anhang öffnen. Dabei sollen sich die Empfänger gar nicht weiter darüber verwundern, dass das angebliche PDF – ein Dateiformat, das an sich bereits komprimierbar ist und deshalb keiner zusätzlichen Kompression mehr bedürfte – in einem ZIP-Archiv herumliegt.

Die Datei im Archiv endet auf .pdf.exe. Es handelt sich um eine ausführbare Datei für Microsoft Windows, die von Kriminellen in einer Spam mit gefälschtem Absender unter Vorspiegelung falscher Tatsachen zugestellt wurde. Wer sich jetzt immer noch nicht vorstellen kann, was passiert, wenn man diese Datei auf seinem Windows-Computer ausführt, erwerbe bitte irgendwo ein Gehirn! Denn das Gehirn wird bei solchen Spams benötigt, selbst das frisch aktualisierte Antivirus-Programm kennt jedoch die brandneue Schadsoftware in vielen Fällen noch nicht. Da die Antivirus-Schlangenölhändler ihre Software für die gefühlte Sicherheit in ihrer Mehrzahl auch dann immer noch keinen Alarm schlagen lassen, wenn jemand eine Datei .pdf.exe nennt – welchen vernünftigen Grund sollte es geben, einem anderen Menschen mit einem billigen Trick einen falschen Dateitypen vorzugaukeln – funktionieren selbst simpelste Überrumpelungen aus dem Spam-Neolithikum auch in den Zehner Jahren noch. Meiner Meinung nach belegt dies nur eine einzige Tatsache, und die sollte sich bitte jeder auf der Zunge zergehen lassen: Den Herstellern von Antivirus-Programmen ist die Computersicherheit ihrer Kunden egal. Den Schaden davon haben jene, die an einfache Computersicherheit durch Schlagenöl glaubten und dann vor den Folgen einer von Kriminellen missbrauchten Identität, eines manipulierten Online-Bankings und diverser Rechtsbrüche über die von Kriminellen missbrauchte Internetleitung betroffen sind.

Grundsätzlich gilt angesichts der immer noch anhaltenden Flut mit Schadsoftware-Anhängen: Jede E-Mail mit einem ZIP-Archiv im Anhang stinkt! Nach Möglichkeit niemals Dateien aus ZIP-Archiven öffnen, ohne vorher telefonisch oder über einen vergleichbaren Kanal gesichert zu haben, dass die Mail wirklich vom angegebenen Absender kommt. Im Zweifelsfall: löschen!

Mitteilung: Ihr Finanzamt-Ihre Steuerverwaltung. ELSTER.

Dienstag, 9. September 2014

Aber ich lebe vom Betteln und zahle überhaupt keine Steuern…

Sehr geehrte Damen und Herren, gammelfleisch@tamagothi.de.

Aha, ich habe keinen Namen. Nur eine Mailadresse

IdentNr: 245260

Aha, ich habe keine Steuernummer, sondern irgendeine obskure andere Nummer. Das mit den verschiedenen Nummern machen „die beim Finanzamt“ bestimmt, damit sie nicht so viel Überblick bekommen.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Aber immerhin: Ich werde durchgeladen! :mrgreen:

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Hoffentlich ist der Gang, den ich langgehen soll, farbig markiert. Blutrot, für durchgeladene Personen in Gefahr, die mit dem Finanzamt zu tun haben. 😀

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Also vor allem für diejenigen, der ein Konto haben. Also für jeden.

Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail.

Und genau das will unser kleines Spammerlein mit seinen großen Worten erreichen: Dass ich ein Dokument für Microsoft Word auf meinem Windows-Rechner öffne (den ich nicht habe). Dieses Dokument wurde mir von einem Unbekannten mit gefälschter Absenderadresse zugestellt, der in seinem hingestümperten Deutsch den Eindruck erwecken wolle, es gehe irgendwie ums Finanzamt. Oder anders gesagt: Wer dieses Dokument¹ – dessen Schadcode sich in Makros befindet – öffnet, hat verloren. Auch, wenn zurzeit nur ein Sechstel der gängigen Antivirus-Schlangenöle diesen hochgefährlichen Sondermüll als Schadsoftware erkennt.

Zum Glück ist es in diesem Fall sehr einfach, die Spam als Spam zu erkennen und sie unter lauten Lachgeräuschen zu löschen.

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Was für ein Jammer!

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Der Absender ist gefälscht, und noch nicht einmal so gut, dass er irgendwie nach Finanzamt aussieht.

Mit freundlichen Grüßen
Ihr Finanzamt/Ihre Steuerverwaltung
http://elster.de

Da helfen dann auch die freundlichen Grüßchen nicht mehr.

HINWEIS: Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung
auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Hinweis: Sie erhalten diese Spam ohne Grund.

¹Ein tolles Dokument übrigens mal wieder. Es wurde in einer Minute mit einmal Zwischenspeichern fertiggestellt und enthält 44 Seiten mit 38918 Wörtern. Oder anders gesagt: Neues Dokument. Mit Strg-V den Scheininhalt rein. Speichern, damit diese schwere Mühe nicht vergebens war. Makro-Editor aufrufen. Mit Strg-V den Schadcode rein. Speichern und rausspammen.

Bestätigung Ihres Kaufs (B.-Nr. 95305984)

Dienstag, 26. August 2014

Die Nummer wechselt öfter, der (gefälschte) Absender der Spam ist aber immer entweder zahlung (at) zalando (punkt) de oder rechnung (at) zalando (punkt) de. Eigentlich bedarf es schon gar keiner weiteren Erwähnung, aber ich schreibe es lieber trotzdem noch einmal ganz deutlich: Diese Mail kommt nicht von Zalando, es handelt sich um eine kriminelle Spam. Der Anhang ist keine „Rechnung“, sondern aktuelle und sehr gefährliche Schadsoftware.

Guten Tag,

Genau das ist mein Name!

Ihre Rechnung finden Sie im Anhang im Zip-Format. Unser Versand erfolgt in ca. 1 bis 3 Werktagen nach Bestelldatum, einwandfreies Ergebnis der Bonitätsprüfung vorausgesetzt.

Aha. Ich lerne hier drei Dinge:

  1. ZIP ist kein Archivformat, sondern ein Format, in dem man Rechnungen schreibt.
  2. Eine Beschreibung des Bestellumfanges und der Rechnungsposten im Text der E-Mail ist nicht möglich, weil das Mailpapier beim Absender so knapp war.
  3. Die können mich nicht einmal mit meinem Namen ansprechen, wollen aber meine Bonität überprüfen und kennen eine nicht genannte Lieferadresse für „meine Bestellung“.

Wenn ich diese fadenscheinige Geschichte eines Betrügers glaubte, müsste ich jetzt den Mailanhang einer anonym formulierten Mail aufmachen, um zu erfahren, um was es überhaupt geht. Und genau das wollen diese Verbrecher.

Mit freundlichen Grüßen,
Ihr ZALANDO Service Team

Zalando – ein Laden, über den ich nicht gern etwas Gutes sage – hat mit dieser Spam nichts zu tun. Die Mail hat niemals einen Server von Zalando gesehen. Es wäre übrigens sehr nett von Zalando und könnte möglicherweise erhebliche Schäden verhindern, wenn Zalando-Kunden mit einem deutlich sichtbaren Text auf der Zalando-Homepage darauf hingewiesen würden, dass diese kriminelle Masche gerade läuft und dass Zalando nichts damit zu tun hat.

Der Anhang der Spam ist wirklich gefährlich. Er enthält eine ausführbare Datei für Microsoft Windows. Was passiert, wenn man ein Programm auf seinem Rechner startet, das einem von anonym auftretenden Verbrechern unter Vorspiegelung falscher Tatsachen untergejubelt wurde, kann sich hoffentlich jeder selbst vorstellen. Wer das gemacht hat, hat jetzt einen Computer anderer Leute auf seinem Schreibtisch stehen. Wie immer bei einer neuen Masche der Schadsoftware-Spammer handelt es sich um sehr aktuelle Schadsoftware, die zurzeit nur von einer kleinen Minderheit der Antivirus-Programme als Schadsoftware erkannt wird. Wer sich in diesem Fall auf den „automatischen Schutz“ durch dieses Schlangenöl verlassen hat, war verlassen und hat jetzt den Schaden; wer aber diese Spam mit seinem Gehirn als Spam erkannt und gelöscht hat – die Erkennung war trotz der fehlerfreien Sprache gar nicht so schwierig – hätte das Schlagenöl gar nicht erst gebraucht…

Und wer zu denkfaul ist, über empfangene E-Mail nachzudenken, um sie als Spam erkennen zu können: Es reicht eine einzige Regel, um den größten Teil der momentan umlaufenden Seuche zu erkennen. Jede E-Mail mit einem ZIP-Archiv im Anhang stinkt. Die Erkennungsquote, die man durch diese eine Regel erreicht, ist besser als die der meisten Antivirus-Programme.

Unbezahlte Zahlung Nr: DE0072271

Donnerstag, 21. August 2014

Das ist wieder so ein Qualitätsbetreff! Der wird auch gleich von…

Hi, gammelfleisch (at) tamagothi (punkt) de.

…einer Qualitätsanrede gefolgt. Und nein, dabei bleibt es nicht, es kommt sofort…

Sehr geehrter Kunde, […]

…die zweite Qualitätsanrede hinterher.

[…] wir teilen ihnen leider mit, dass wir Zahlung für das letzte Quartal nicht erhalten haben.

Wie immer, wenn die Verbrecher die Leute dazu „motivieren“ wollen, Schadsoftware zu installieren, steht keine konkrete Information in der Spam, nur so einschüchterndes Mahngehabe. Wer wissen will, um was zum hackenden Henker es überhaupt geht…

Im Anhang schicken wir ihnen die entsprechende Rechnung für den Fall, wenn Sie zuvor gesendete Rechnung verloren haben.

…muss schon den Anhang aufmachen. Der ist ein ZIP-Archiv, in dem ein Dokument für Microsoft Word herumliegt. Dieses wurde in sieben Minuten geschrieben und hat 54 Seiten – etwas lang für eine „Rechnung“, und zudem auffallend schnell getippt. Tatsächlich enthält es vor allem Schadsoftware in Form eines Makros – und weil Makros standardmäßig nicht mehr ausgeführt werden, ist die erste Seite eine Aufforderung, doch bitte Makros einzuschalten, weil das Dokument sonst nicht dargestellt werden kann.

Das ist schon gnadenlos doof.

Und wer das macht, ist nicht mehr zu retten. Warum? Na, kurze Frage an jeden gelegentlichen Anwender von Microsoft Office: Habt ihr jemals einen Brief geschrieben, der in Microsoft Word nicht darstellbar war, wenn die Makros abgeschaltet waren? (Dass Makros abgeschaltet sind, ist übrigens – dankenswerterweise – die Standardeinstellung in Microsoft Office.)

Der Müll scheint schon „etwas älter“ zu sein und wird mittlerweile von gut der Hälfte der gängigen Antivirusprogramme erkannt. Zum Glück sollte die dumme Spam für beinahe jedes Gehirn als Spam erkennbar und löschbar sein.

Nr:275276xxx
Tel./Fax.: +493031119xxxx

Ich kann nur hoffen, dass die angegebene Telefonnummer niemanden gehört.

Die Bestellungsnummer ist 227290559

Montag, 18. August 2014

Schön für die Nummer. Und was hat das mit mir zu tun?

Sehr geehrter, gammelfleisch (at) tamagothi (punkt) de

Ach, es geht ja auch gar nicht um mich, sondern um meine sehr geehrte Mailadresse. :mrgreen:

Wir möchten Ihnen mitteilen, dass Ihre Bestellung bearbeitet wird.

Und meine vorwitzige Mailadresse hat einfach etwas bestellt. Ohne mir davon zu erzählen. Ich kann das ja nicht gewesen sein, denn ich hätte bei einer Bestellung sicher einen richtigen Namen angegeben.

Da fragt sich nur, was denn jetzt an die Mailadresse geliefert werden soll:

Die Bestellungsnummer ist 574238-406270
und sie wird in 2-5 Arbeitstagen geliefert werden.

Leider kriegt sie nur eine „Bestellungsnummer“ geliefert. Und diese Spam natürlich.

Achten Sie darauf, dass die Lieferung meistens schneller erfolgt, als es früher angegeben ist.

Bitte vergessen sie auf gar keinen Fall, dass es nachts kälter als draußen ist!

Denn wir verstehen, dass Sie schneller den Kauf genießen möchten. Zu jeder Zeit können Sie durch «Mein Account» einloggen und den Status der Bestellung prüfen.

Das „wir“, das diese freundliche, hochkriminelle Spam schreibt, will mir übrigens erzählen, dass es ein Versandhandel ist, der keinerlei Firmierung, Telefonnummer oder Anschrift hat und den so erzeugten Eindruck damit intensivieren, dass es mir sagt, ich soll mich irgendwo einloggen, ohne dass angegeben wird, auf welcher Website ich das tun soll.

Sobald die Bestellung bearbeitet wird, stellt unser Service die Information über den Lauf der Lieferung gleich dar, und Sie können das Gut verfolgen.

Und das ist nicht die einzige „Darstellung“ in diesem E-Müll, die fragwürdig ist.

Wir möchten sich noch einmal bei Ihnen für den Kauf bedanken und hoffen, dass Sie von unserem Service noch einmal Gebrauch machen werden.

Aber ganz sicher! Ich werde ganz sicher noch einige tausend E-Mails von euch bekommen, mit euren vielen Vorwänden, Namen und lustigen Geschichten.

Die Information über die Bezahlung und Lieferung befindet sich in der beilgelegten Datei.

Die „beigelegte Datei“ muss, nachdem in dieser Spam mit bemerkenswert vielen Worten überhaupt nichts darüber gesagt wurde…

  1. …was da „bestellt“ wurde;
  2. …wann es „bestellt“ wurde;
  3. …von wen es „bestellt“ wurde;
  4. …bei wem es „bestellt“ wurde; und
  5. …wieviel diese Bestellung kosten wird

…aufgemacht werden – denn sonst erfährt der Empfänger der Spam gar nichts.

Es mag ermüdend klingen, aber dieser Anhang ist wie immer ein ZIP-Archiv, in dem sich ein Dokument für Microsoft Word befindet, das ein trojanisches Makro enthält, also von Kriminellen in einer irreführenden Spam zugestellte Schadsoftware. Wer sich dieses Dokument in Microsoft Word (oder vielleicht sogar in einem anderem Programm) anschaut, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Und wie immer handelt es sich um sehr aktuelle Schadsoftware. Zurzeit wird der kriminelle Sondermüll nur von rund jedem zehnten so genannten „Antivirusprogramm“ erkannt. Wer sich nur auf dem „Schutz“ durch Antivirus-Schlangenöl verlassen hat, wird also dementsprechend häufig diesem Geschmeiß aus der organisierten Kriminalität seinen Computer, seine Internetleitung und alle von seinem Computer abgreifbaren Daten zur Verfügung gestellt haben. Deshalb verlässt man sich ja auch nicht auf so genannte Antivirus-Programme und verwendet sie nach Möglichkeit gar nicht.

Aber zum Glück war es – wegen der unfreiwillig komischen Formulierung – sehr einfach, diese Spam als Spam zu erkennen. Grundsätzlich gilt: Jedes ZIP-Archiv, das an eine E-Mail gehängt wird, stinkt. Es sollte nur in Ausnahmefällen geöffnet werden, etwa, wenn eine derartige Zusendung vorher abgesprochen wurde. Und auch dann nur mit großer Vorsicht, denn die Absenderadresse einer E-Mail lässt sich leicht und beliebig fälschen. Auf gar keinen Fall sollten solche Archive aufgemacht und ihre Inhalte geöffnet werden, wenn sie in einer alarmierenden Mail – zum Beispiel mit der Behauptung einer möglicherweise teuren Bestellung – daherkommen, in der Mail selbst jedoch nichts Substanzielles (außer den üblichen technokratischen Nummern und hohlen Formulierungen) über den Sachverhalt steht. Es handelt sich immer um kriminelle Überrumpelungsversuche, und das Muster dieser Versuche ist für einen Menschen sehr einfach zu erkennen.

Kundenbetreuer
Waren Cornelia
Tel./Fax.: (+49) 531 87185xxxx

Diese Spam kommt angeblich von einem „Kundenbetreuer“ bei einer völlig namenlosen Unternehmung…

Ausschreibung der zusatzlichen Konten id+gMWWeQ

Mittwoch, 13. August 2014

Guten Tag, gammelfleisch (at) tamagothi (punkt) de

Aha, meiner Mailadresse wird also ein guter Tag gewünscht. Zusammen mit einer Spam auf diese Adresse. Unfähige Spammer sind die besten Komiker.

Die Transaktion ist erfolgreich abgeschlossen.

Wie schön für die Transaktion…

IdentNr: DE511355

…die sogar eine lustige Bullshit-Nummer hat, die für mich ungefähr so bedeutsam ist, wie das Kfz-Kennzeichen des chinesischen Lastwagens, der die Säcke mit dem umfallenden Reis befördert. Was fehlt in dieser fröhlichen Mitteilung? Richtig, es fehlt jegliche Mitteilung über das Wesen dieser Transaktion. Stattdessen gibt es – ich weiß, es langweilt – ein angehängtes ZIP-Archiv mit Namen Rechnung.zip, in dem sich ein Dokument für Microsoft Word mit Namen Rechnung.Doc befindet. Ein schnelles file Rechnung.Doc in meiner Konsole…

Rechnung.Doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 5.1, Code page: 1251, Author: Admin, Template: Normal.dotm, Last Saved By: Normal.d aka punsh, Revision Number: 20, Name of Creating Application: Microsoft Office Word, Total Editing Time: 11:00, Create Time/Date: Fri Jul 25 17:42:00 2014, Last Saved Time/Date: Tue Aug 12 14:07:00 2014, Number of Pages: 49, Number of Words: 41663, Number of Characters: 237480, Security: 0

…zeigt mir, dass diese Datei in insgesamt elf Minuten erstellt wurde und 49 Seiten hat. Dieser Mensch, der sein Microsoft Office unter dem Namen „Admin“ registriert hat, muss ja ein unfassbar schneller Tipper sein! Wer jetzt noch Zweifel daran hat, dass es sich hier um einen Trojaner handelt, der mit einem Word-Makro untergejubelt werden soll, ist hoffnungslos naiv. Wer nicht so naiv ist, der weiß, dass jede E-Mail mit einem ZIP-Anhang stinkt, und zwar ganz besonders, wenn sie von unbekannten Absendern kommt oder im Text der Mail keinen Hinweis auf den Vorgang enthält, sondern nur mit Alarmtröten zum Öffnen des Anhangs motivieren soll. Und dann gibts einen beherzten Druck auf die Entf-Taste… 😉

Wer sich auf sein Virenscanner-Schlangenöl verlassen hat, war leider wieder oft verlassen. Nur ein Sechstel der gänigen Programme konnte diesen aktuellen kriminellen Sondermüll als das erkennen, was er ist. Der deutlich bessere Virenscanner im Schädel hat da wohl mal wieder größere Erkennungsraten.

Info
Cannington Stephan
Wer sagt, was er zu dem, was er wollte nicht horen will.
Tel./Fax.: (+49) 421 25721xxxx

Hoffentlich ist das eine Telefonnummer, die nicht existiert, denn auf dem Anschluss wird heute wohl keine Ruhe mehr einkehren.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.