Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Re: Informieren Sie die Steuerbehorden

Dienstag, 12. August 2014

Oh, bestimmt wieder Qualitätsspam!

Wegen der Schuld, die wir stoppen Liefer 08.22.2014
http://www.verploegen.nl/Angaben.zip?txrS=gammelfleisch@tamagothi.de

In der Tat. Wenn ihr doch nur wegen der Schuld, die ihr damit auf euch ladet, die Auslieferung von Spam gestoppt hättet.

Der Link ist ein Download-Link für ein ZIP-Archiv namens Angaben.zip, in dem sich einzige Datei namens Angaben.doc befindet. In diesem Fall handelt es sich ausnahmsweise einmal nicht um eine direkt ausführbare Datei für Microsoft Windows, sondern um ein Dokument für Microsoft Word, das natürlich ebenfalls Code in Form von Makros enthalten kann – und hier auch enthält¹.

Wer dieses Dokument mit Microsoft Word öffnet, erfährt nichts über seine Schuld und irgendwelche Liefer, sondern hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Auf das Antivirus-Programm kann man sich dabei zurzeit nicht verlassen. Nur ein knappes Achtel der Antivirus-Programme erkennt diesen kriminellen Versuch zurzeit als das, was er ist, der Rest der Programme schlägt keinen Alarm – wehe dem, der der breit verabreichten Werbung und Schleichwerbung für Antivirus-Schlangenöl Glauben geschenkt hat und sich sicher wähnte!

Zum Glück haben Menschen mit einem Gehirn statt einem Antivirus es hier sehr leicht gehabt:

  1. Der Text der Spam ist lächerlich, die anonym, patzig und sprachlich inkompetent formulierte Mail ist sofort als Spam zu erkennen. Niemand würde einen echten Kunden so anschreiben.
  2. Wer einen Link in einer klar als kriminelle, asoziale Spam erkennbaren Mail anklickt, der steckt auch eine Stricknadel in die Steckdose und probiert, wenn das Zucken ausbleibt, auch noch das andere Loch aus.
  3. Der Link mit der Mailadresse als URI-Parameter ist hochverdächtig. Er führt ferner in die Domain der Website eines Händlers für Heizungs- und Sanitärbedarf in niederländischer Sprache – die vermutlich von den Kriminellen mit einem Crack (oder mit einem mit Schadsoftware ausgelesenen Passwort) feindselig übernommen wurde.
  4. Warum sollte ein Dokument wie eine Rechnung, Mahnung oder dergleichen irgendwo in das offene, für jeden zugängliche Web abgelegt werden? Niemand würde so etwas tun. Jeder Mensch mit einer Spur von Datenschutzbewusstsein würde darauf achten, dass nicht die gesamte Welt mühelos mitlesen kann und ein derartiges Dokument an eine E-Mail anhängen oder auf anderem Wege (Fax, Briefpost) zustellen. Offenbar sind inzwischen dermaßen viele Mailserver wegen der täglichen Flut von Trojanern so konfiguriert worden, dass sie E-Mail mit ZIP-Anhägen aussortieren, so dass die Verbrecher andere Wege beschreiten müssen, um mit ihrer Pest noch irgendwo anzukommen – ohne schon eine halbwegs glaubwürdige Nummer dafür entwickelt zu haben. Aber keine Sorge, die wird kommen! Zum Beispiel in der Verpackung „Premium-Download“ oder vergleichbarer Bullshit…
  5. Und zu guter Letzt: Wer ein Dokument für Microsoft Office „von irgendwo aus dem Internet“ öffnet, ist nicht mehr ganz bei Troste. Wer nicht ahnt, wieso ich seinen Geisteszustand anzweifele, verwende bitte einfach eine Web-Suchmaschine, um sich weitere Informationen zu holen. Kurze Zusammenfassung von mir: Ob man ein Word-Dokument öffnet, oder ob man gleich eine ausführbare Datei für Microsoft Windows öffnet… es ist in der Praxis kein Unterschied. Nahezu alles, was ein Programm könnte, kann auch ein harmlos aussehendes Office-Dokument. Wieso Microsoft sein beliebtes Office-Paket zu einem riesengroßen Sicherheitsrisiko gemacht hat und diesen Zustand in einem Umfeld organisierter Internet-Kriminalität aufrecht erhält, gehört zu den Fragen, die besser Microsoft gestellt werden². Um einen Brief zu schreiben, wäre keine umfangreiche Programmierbarkeit des Briefschreibprogrammes erforderlich gewesen…

Fazit: Selbst in besserer Formulierung wäre diese Spam für einen Menschen mit eingeschaltetem Gehirn leicht erkennbar gewesen, aber das Antivirus-Schlangenöl hätte vollständig versagt. Deshalb ist es wichtig, das Gehirn zu trainieren, damit es auch bei besser vorgetragenen Spam-Maschen zuverlässig arbeitet.

¹Ich grüße meine Mitleser unter den Spammern, die sich angesichts meines Spotts über blitzschnell erstellte, leere Word-Dokumente mit nur einem Makro drin das bisschen Mühe gemacht haben, in zehn Minuten Arbeit ein sinnloses Dokument mit vielen Windows-Screenshots zu erstellen. Auch der Name für die Office-Registrierung sieht nun nicht mehr wie ein Durchfall nach dem Genuss einer Buchstabensuppe aus, sondern lautet schlicht „Admin“, was eine weitere Verbesserung ist. Das die eifrigen Dokumentschreiber beim Einkopieren von Screenshots ihr Word-Dokument im Verlaufe von zehn Minuten zwanzig Mal zwischengespeichert haben, zeigt, dass Microsoft Word nicht nur seit zwei Jahrzehnten ein klaffendes Sicherheitsrisiko ist, sondern auch immer noch so „stabil“ zu sein scheint, wie ich es von früher her gewohnt bin. Deshalb heißt es ja auch „Word“ und nicht „Text“…

²In gegenwärtigen Word-Versionen gibt es zwei Dateinamenserweiterungen für Word-Dokumente. In Dateien auf .docx werden keine Makros ausgeführt, hierfür bedarf es eines Dateinamens auf .docm. Auch ist die Ausführung von Makros bei der Installation standardmäßig abgeschaltet und muss erst aktiviert werden, dies war früher genau umgekehrt. Die bloße Tatsache, dass trotz alledem noch Spam mit Makroviren versendet wird, zeigt, dass diese von Microsoft eingebauten Scheinsicherungen nicht helfen. Ein Bürorechner, auf dem Vorlagen mit Makros verwendet werden – dafür kann es viele Gründe geben – ist immer noch anfällig. Die Frage, wozu um alles in der Welt ein Word-Dokument mittels eingebetteten Programmcode jemals Zugriff auf das Internet und auf das Dateisystem benötigen sollte, bleibt ebenfalls ungeklärt.

Elias Schwerdtfeger 1 messages marked as unread interpol

Dienstag, 5. August 2014

Wichtiger Hinweis vorweg: Diese E-Mail kommt nicht von Facebook. Es handelt sich um eine ziemlich gefährliche Spam.

Facebook-Logo -- Here's some activity you may have missed -- 1 Messages marked as unread -- Button: View Messages, Button: See all notifications -- The message was send to xxx. If you don't want to receive these messages in the future, please unsubscribe

Anders, als man auf den ersten Blick meinen möchte, geht es hier nicht um Phishing.

Es ist völlig gleichgültig, ob man auf die ungelesene Nachricht, auf „View Messages“, auf „See All Notifications“ oder „unsubscribe“ klickt. Alle Links führen auf die selbe URL, und zwar auf eine hochgeladene PHP-Datei in einer mutmaßlich gecrackten WordPress-Installation eines unbeteiligten Dritten.

Wer darauf klickt, bekommt dafür… ähm… einen kostenlosen, in JavaScript, Java, Flash, präparierten PDF-Dokumenten und missbrauchtem CSS gecodeten Sicherheitscheck seines Browsers, seiner Plugins und seines Betriebssystems. Wenn diese automatische Überprüfung des Computers durch Kriminelle eine ausbeutbare Lücke zeigt, steht hinterher ein Computer anderer Menschen auf dem Schreibtisch, und was dieses Pack dann damit anfängt, kann keinem gefallen. Da es sich um sehr aktuelle Schadsoftware handelt, dürften die meisten Antivirus-Schlangenöle bei der Erkennung versagen.

Deshalb ist es wichtig, solche Spam als Spam zu erkennen. Es gibt hier mehrere Punkte, die sofort Verdacht erwecken sollten, obwohl es eine Ansprache mit korrektem Namen gab:

  1. Die Sprache stimmt nicht. Wenn ich bei Facebook wäre – was ich allein deshalb nicht bin, weil Facebook in seiner Aufbauphase versucht hat, neue Nutzer mit asozialer und illegaler Spam anzuwerben – dann würde ich natürlich Deutsch einstellen und bekäme derartige Mail von Facebook auch in Deutsch.
  2. Die (gefälschte) Absenderadresse liegt nicht in der Domain von Facebook. Das war sehr dumm vom Spammer und hat es möglich gemacht, diesen Dreck sicher als Spam zu erkennen, ohne lange hineinzuschauen.
  3. Wenn man mit der Maus über einen der Links geht, sieht man in der Statuszeile seiner Mailsoftware, wo der Link hinführt. Dabei wird sofort klar, dass es kein Link in die Website von Facebook ist. Und das sollte bei so einer Mail sämtliche Alarmglocken klingeln lassen. Ein kleiner Blick auf die Statuszeile vor der Klick auf einen Link ist sehr wichtig, denn eine Fahrt ins Blaue macht nur in einem Umfeld Spaß, in dem es nicht derartige Verbrecher gibt.

Darüber hinaus verhindert die Verwendung des Browser-Addons NoScript derartige Angriffe an der Wurzel, indem die Ausführung aktiver Inhalte (JavaScript, Plugins) unterdrückt wird. Der relativ geringe Aufwand, einige vertrauenswürdige Websites einmalig freizuschalten, mag zwar nerven, aber zur Belohnung dafür gibt es ein Maß an zusätzlicher Browsersicherheit, das durch kein Antivirus-Schlangenöl erreicht werden kann. Mit Leichtigkeit kann wochen- oder gar monatelanger Ärger durch Datenverluste, Erpressungsversuche, überwachtes und manipuliertes Online-Banking, Missbrauch des Computers und der Internetleitung für kriminelle Aktivitäten und Spamversand und dergleichen vermieden werden. Die Installation von NoScript im Browser ist – neben der Verwendung eines wirksamen Adblockers – eine elementare Sicherheitsmaßnahme, wesentlich wichtiger und wirksamer als ein so genannter Virenscanner. Die Frage, warum eine derart wichtige Funktionalität nicht zum Standardumfang gehört¹, stellen sie bitte dem Browserhersteller ihres Vertrauens! Aber nicht darüber wundern, dass man beim von halbseidenen Reklame- und Tracking-Firmen wie Google finanzierten Firefox-Projekt ganz andere Vorstellungen hat, auch wenn das auf Kosten der Computersicherheit der Nutzer geht.

¹In früheren Opera-Versionen konnte man etwa relativ bequem JavaScript ausschalten und seitenspezifisch wieder einschalten.

Ihrer Sendung 00340489766158649254

Dienstag, 29. Juli 2014

Der gefälschte Absender lautet DHL Paket <paket (at) dhl (punkt) de>, und die Ziffernfolge ist jedesmal anders – immerhin, der Spammer hat so viel „Kompetenz“, dass er die Funktion zur Erzeugung von Pseudozufallszahlen gefunden hat. Das schafft nicht jeder.

In die HTML-formatierte Spam eingebettet sind drei GIF-Grafiken: Eine mit dem DHL-Logo, eine weitere mit einer Fußzeile „Deutsche Post DHL“ und eine dritte mit dem Logo von s.Oliver. Natürlich haben diese Unternehmen nichts mit dem Absender zu tun. Die Reputation dieser Unternehmen muss nur dazu herhalten, einer dummen Spam Gewicht zu geben, damit sie zumindest bei einigen Empfängern glaubwürdig aussieht – und damit diese Empfänger dann die angehängte Schadsoftware auf ihrem Computer installieren. Ich werde diese von irgendwo aus dem Internet „mitgenommenen“ Grafiken im Zitat nicht wiedergeben.

Sehr geehrte Kundin, sehr geehrter Kunde,

Genau das ist die richtige Ansprache für namentlich bekannte Kunden

die für Sie bestimmte Sendung 0034881724168793821 wurde an DHL übergeben und wird voraussichtlich am 30.07.2014 zwischen 12:30 – 15:30 Uhr zugestellt.

…die sich dann auch nicht weiter darüber wundern, dass in der Mail eine ganz andere Nummer steht als im Betreff der Mail. 😀

Tja, Spammer! Das mit den Pseudozufallszahlen hast du hinbekommen, jetzt musst du noch lernen, wie man die in einer Variablen speichert, um sie mehrfach zu verwenden. In der nächsten Spamwelle kannst du das vielleicht! Oder auch nicht…

Mit freundlichen Grüßen,
Ihr DHL Team

im Auftrag von

Ja ja, „im Auftrag von“. Von nichts. Immer eine gute Sache.

Diese Mail dient lediglich der Information und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre E-Mailadresse wird ausschließlich für die Paketankündigung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung nicht mehr beziehen wollen, klicken Sie bitte hier: DHL Benachrichtigungsservice

Und „klicken Sie bitte hier“, wenn darauf kein Link folgt, ist auch gnadenlos doof. Das ist halt mistig, wenn man die Texte irgendwie schnell aus Mails und aus dem Internet zusammenkopiert und gar nicht mehr drauf achtet, was für ein Müll dabei herauskommt.

Das Zitat des Impressums von DHL spare ich mir mal – auch dort wurden die drei Links auf „Website“, „Kontakt“ und „Impressum“ nicht gesetzt.

Diese Spam hat einen Anhang, und das ist der eigentliche Zweck dieser Spam. Es handelt sich um… ja, ich weiß: das langweilt inzwischen… ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.pif endet. Auch, wenn die Dateinamenserweiterung .pif den meisten Jüngeren nicht mehr bekannt sein sollte – es handelt sich um Parameter, mit denen MS/DOS-Anwendungen unter Microsoft Windows gestartet werden¹ – ist der übliche „Dateinamenstrick“ erkennbar. Und natürlich ist .pif eine ausführbare Datei für Microsoft Windows, was bedeutet, dass bei einem Doppelklick auf diese Datei ein von Verbrechern zugestelltes Programm ausgeführt wird.

Und dieses von Verbrechern zugestellte Programm ist wie immer eine sehr aktuelle Schadsoftware, die nur von rund einem Fünftel der gängigen Antivirusprogramme als solche erkannt wird. Das als Sicherheit verkaufte Antivirusprogramm war also oft völlig nutzlos. Wer sich nur darauf verlassen hat, hatte hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Deshalb ist es so wichtig, die Spam als solche zu erkennen und zu löschen, damit man auf so eine Überrumpelung nicht hereinfallen kann. Selbst dann nicht, wenn man zu den vielen zehntausend Menschen gehört, die gerade eine Bestellung gemacht haben und ein Paket erwarten.

In diesem Fall war das Erkennen der Spam sehr einfach:

  • Die Ziffernfolge war in Betreff und Mail verschieden.
  • Die Ansprache „Sehr geehrter Kunde“ ist unpersönlich.
  • Die Spam ist sehr schlampig gemacht, Links wurden einfach vergessen.

Dass es so einfach ist, ist ein Glücksfall. Wenn eine derartige Spam mit persönlicher Anrede kommt und gut formuliert ist, ist sie gefährlich. Deshalb gilt es für jeden Menschen mit Mailadresse, sich eine einzige Sache gut zu merken und immer daran zu denken: Jede angeblich geschäftliche E-Mail mit einem Dokument im Anhang, deren Text nichts über den Vorgang mitteilt, stinkt. Das gilt in besonderer Weise für Anhänge mit ZIP-Archiven, in denen angebliche PDF-Dokumente liegen, denn es gibt keinen technischen oder irgendeinen anderen plausiblen Grund, ein bereits komprimierbares Dokumentformat wie PDF noch einmal zu packen und damit für den Empfänger schwieriger zugänglich zu machen, da er nun zwei Schritte zum Lesen ausführen müsste. Der einzige Grund für ein derartiges Vorgehen ist es, Schadsoftware durch derartige Verpackung an Spamfiltern vorbeizubringen².

Die Faustregel zum Selbstschutz lautet: Es hängt ein ZIP dran, ich mach das nicht auf, sondern lösche den Müll! (Und wenn es doch einmal plausibel sein könnte, dann rufe ich, bevor ich irgendetwas anderes mache, beim Absender an und stelle auf diesem Weg sicher, dass es sich nicht um eine Spam handelt.)

¹Die Frage, warum im Jahr 2014 – also mehr als Jahrzehnt nach dem völligen Verschwinden MS/DOS-basierter Windows-Versionen und unter Bedingungen, in denen praktisch niemand mehr unter MS/DOS laufende Software verwendet und in denen jeder mit einem entsprechenden Bedürfnis die DOSBox verwenden würde – also, warum zum hackenden Henker immer noch ein Workaround zur Ausführung von MS/DOS-Anwendungen in einem Fenstersystem zur MS-Windows-Standardinstallation für jeden verdammten Anwender auf dieser Welt gehört, diese Frage stellen sie bitte dem Betriebssystemhersteller ihres Vertrauens! Die Kriminellen, die mir diese Spam geschickt haben, freuen sich ja drüber…

²…oder als „Deutsche Telekom“ die digitale Signatur zusammen mit dem Dokument zu versenden, weil dort noch niemand gemerkt hat, dass PDF-Dateien digital signierbar sind. Möge Hirn über dem Laden abregnen, damit er nicht mehr durch seine technische Vorgehensweise Haltungen schafft, die vor allem der organisierten Kriminalität nutzen!

IMG3253

Montag, 7. Juli 2014

Oh, schon wieder ein Qualitätsbetreff. Und so eine tolle Botschaft dazu:

– Gesendet von meinem iPhone

Ja, das war der ganze Text dieser Mail. In der Welt dieses Spammers scheint es nicht möglich zu sein, vermittels eines Smartphones sinnvolle Kommunikation zu betreiben, und so erfreut er seine Empfänger mit Nulltexten, die er mit der Verwendung des Smartphones begründet. In der Tat, bei solchen Spammern bekommt das Wort „Smartphone“ einen gewissen Sinn, denn es scheint durchaus möglich zu sein, dass ein Telefon intelligenter als ein Mensch ist… :mrgreen:

Der eigentliche „Inhalt“ ist ein Anhang. Es handelt sich um eine 65.414 Bytes große Datei, deren Name auf .JPEG.ZIP endet – die Ziffernfolge davor ist jedesmal anders. Und – obwohl es keine schwachsinnigere Idee gibt, als ein JPEG-Bild noch zu zippen, weil JPEG bereits gut komprimiert ist und die Datei beim zippen sogar größer werden kann – liegt darin eine Datei, deren Name auf .JPEG.exe endet, also ein ausführbares Programm für Microsoft Windows. Zugestellt von einem Spammer. Mit dem bewussten Versuch, einen falschen Eindruck vom Typ der Datei zu erwecken.

Was wird das wohl sein? ❓

Richtig, ganz wie spontan vermutet: Es handelt sich um aktuelle Schadsoftware für Microsoft Windows, die zurzeit nur von rd. zwanzig Prozent der gängigen Antivirus-Programme zuverlässig als solche erkannt wird.

Wer sich auf sein Antivirus verlässt, ist oft verlassen. Wer solche Spam – und das ist hier nicht so schwierig – erkennt und unbeklickt löscht, ist hingegen auf der sicheren Seite. Es gibt keinen besseren Virenschutz als das Gehirn. Dass achtzig Prozent der Antivirus-Programme keinen Alarm schlagen, wenn eine Datei .jpg.exe heißt und mit diesem müden „Trick“ aus dem Spam-Neolithikum unter Windows-Standardeinstellungen einen falschen Eindruck vom Dateityp erwecken soll, ist ein deutliches Indiz vor allem für eine Tatsache: Dass den Herstellern von Antivirussoftware die Computersicherheit ziemlich egal ist. Denn für diesen „Trick“ gibt es keinen vernünftigen Einsatz jenseits der kriminellen Überrumpelung, und dieser „Trick“ ist sehr einfach durch Untersuchung des Dateinamens zu erkennen.

Hinein geschneit bist du in mein Leben und ich wusste es konnte nur eine geben

Mittwoch, 2. Juli 2014

Schadsoftwarewarnung

Hui, da hat sich aber ein Spammer so richtig die Brust aufgerissen, um die Art von Kälte zu verbreiten, in der er gedeihen kann:

Hinein geschneit bist du in mein Leben und ich wusste es konnte nur eine geben, du nur du ganz allein bist mein wahrer Sonnenschein.

G. Theisen

Der Rest ist ein Anhang. Es handelt sich um ein ZIP-Archiv mit dem lyrischen Namen 9122.zip, in welchem ein einziges Dokument für Microsoft Word liegt. Diese Datei nicht öffnen, es handelt sich mit an Sicherheit grenzender Wahrscheinlichkeit um ein Dokument, das Schadsoftware in Form eines Makros enthält! Diese sehr aktuelle Schadsoftware wird zurzeit von keinem Antivirus-Programm erkannt. (Hier ein Screenshot der Ausgabe von VirusTotal zu Archivzwecken.)

Es lohnt sich übrigens auch nicht, dieses Dokument zu öffnen, denn es ist ausgesprochen inhaltsleer und befriedigt keine Neugierde. Ein schnelles file guignol579.doc im Terminal führt zu folgender Ausgabe¹:

guignol579.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: I|R1R3MDT;pj?MB5, Template: Normal.dotm, Last Saved By: I|R1R3MDT;pj?MB5, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Total Editing Time: 04:00, Create Time/Date: Tue Jul 1 17:56:00 2014, Last Saved Time/Date: Tue Jul 1 18:00:00 2014, Number of Pages: 1, Number of Words: 0, Number of Characters: 0, Security: 0

Eine Seite, keine Wörter, keine Buchstaben. Erstellt in vier Minuten. Von einem Autor, der mal kurz in seinen Teller Buchstabensuppe geschaut hat, bevor er einen Namen für seine Word-Registrierung eingibt. Da hat ein Verbrecher nur ganz schnell das Makro mit dem aktuellen Schadcode ins neu geöffente Dokument kopiert und gespeichert. Warum sollte er sich auch noch Mühe geben, wenigstens den Anschein eines echten Dokumentes zu erwecken? Wenns geöffnet wurde, hat er doch schon gewonnen…

Schlangenölwarnung

Übrigens ist das bereits meine zweite Spam mit einem leeren Word-Dokument als Anhang, die erste habe ich vor zwei Wochen empfangen. Es scheint den Herstellern von Antivirus-Programmen nicht in den Sinn gekommen zu sein, eine einfache Regel der Marke „Ein ZIP-Archiv, in dem ein bearbeitetes, aber leeres Office-Dokument liegt, ist gefährlich“ zu formulieren. Warum sollten sie auch?! Sie haben ja auch jahrelang keine Regeln für die sehr primitiven Dateinamenstricks der Marke .pdf.exe formuliert, und das war viel einfacher. Oder anders gesagt: Den Herstellern von Antivirus-Schlangenöl scheint Computersicherheit egal zu sein. Der Rest ist Reklame ist Lüge, immer wieder wiederholt in einem riesigen medialen Apparat, der Reklamelügen auf jedem nur denkbaren Kanal wieder und wieder wiederholt, bis es auch der Letzte noch glaubt.

Antivirusprogramme sind Schlangenöl. Und wenn man sich darauf verlässt, dass sie funktionieren, sind sie ein sehr gefährliches Schlangenöl – zum Beispiel im Fall dieser Spam.

Wer sich vor der Kriminalität im Internet schützen will, holt sich kein Schlangenöl, sondern ein Betriebssystem, mit dem er sicherer unterwegs ist. Und. Wer sich vor der Kriminalität im Internet schützen will, lernt, Spam selbst zu erkennen – das Gehirn ist der beste Spamfilter überhaupt – und zu löschen und seine Internet-Software so restriktiv wie möglich zu konfigurieren.

²An sich bestimmt file nur den Typ einer Datei, aber zu typischen Datei- und Dokumentformaten werden oft weitere Angaben gemacht.

Gr&#252;&#223;e aus dem &#214;tztal

Mittwoch, 2. Juli 2014

Tja, Spammer, ist schon kacke, wenn man HTML-Entitäten im Betreff hat. Und dumm, wenn mans nicht einfach mal testet, bevor man sein Strunzskript auf ein wehrloses Internet loslässt. Du bist halt ein Idiot. Da hilft auch nicht mehr deine mit von irgendwelchen Webservern eingebetteten Grafiken verzierte, HTML-formatierte Mail, zumal die auch ein bisschen doof geraten ist.

01.07.2014

Stimmt, dieses Datum hatten wir gestern. Die E-Mail wurde allerdings heute, am 2. Juli um 11:37 Uhr versendet, was ja auch jedes Mailprogramm so anzeigt. Ich möchte beinahe denken, diese sichtbare Verzögerung kommt daher, dass der Absender gerade keine passende E-Mail-Briefmarke zur Hand hatte und erstmal eine erwerben musste. :mrgreen:

Anzahlungsbestätigung

Tja, für eine Betreffzeile hätte sich ja eigentlich der Betreff der E-Mail geeignet, statt da irgendwelche Grüße aus dem Ötztal falsch kodiert reinzuschreiben.

Sehr geehrte, […]

Bwahahaha! 😀

[…] gerne bestätigen wir den Erhalt der Anzahlung in der

Höhe von 300,00 ˆ

für Ihren Aufenthalt vom ( Anreise ) 02.08.2014 bis (Abreise) 06.08.2014.

Aha, der Euro ist kaputt, und statt „€“ schreiben wir jetzt einen accent circonflex ohne Buchstaben drunter – da glaubt man doch sofort, eine geschäftliche Mail zu lesen! Nun ja, in der französischen Sprache dient die Auszeichnung eines Vokals mit dem „Dächchen“ häufig zur Kennzeichung eines weggefallenen „s“, und in dieser Spam kennzeichnet sie das wegen Dachschadens weggefallene Hirn des Spammers.

Wir freuen uns auf Ihren Besuch und wünschen gute Anreise.

Mit freundlichen Grüßen

Astrid

Und wer immer noch nicht gemerkt hat, dass es sich hier um die mies gemachte Spam eines kriminellen Halbaffen handelt und sich fragt, was das alles soll, der findet irgendwann auch den Anhang. Der ist – natürlich – ein ZIP-Archiv, in dem eine einzige Datei liegt, deren Dateiname auf .pdf.exe endet. Wie üblich handelt es sich um aktuelle Schadsoftware, die von etlichen Antivirus-Schlangenölen noch nicht als Schadsoftware erkannt wird. Wer das ZIP entpackt und unter Microsoft Windows einen Doppelklick auf die Datei macht, hat also hinterher einen Computer anderer Leute auf dem Schreibtisch stehen – und diesen Leuten sollte man etwas anderes geben, Handschellen zum Beispiel. Zum Glück ist diese Spam so schlecht, dass wohl kaum jemand darauf reinfallen wird…

Verdienen Sie Geld Sei glücklich

Samstag, 28. Juni 2014

Ein fröhlicher Spambetreff zwischen siezen und duzen, der mir schon beim Überflug die gewohnte Qualität des Textes verspricht, und in der Tat…

Es ist an der Reihe zu spielen. Willst du den Preis? Go here

…zieht der Spammer in seinem Kürzsttext alle Register der Sprache, um seine unfreiwilligen Leser zu einem Klick in sein Meisterwerk zu motivieren.

Schade nur, dass das dabei hervorgebrachte technische „Meisterwerk“ – eine Kaskade diverser JavaScript-, Flash- und Java-Versuche, einen Rechner zu übernehmen – bei einem vernünftig gesicherten¹ Browser gar nicht lauffähig ist. Aber da hat sich der Spammer wohl gesagt: Wer sich von irgendwelchen ominösen Gewinnmöglichkeiten zum Klick in eine Spam verleiten lässt, der weiß auch nichts von Browsersicherheit.

Und es steht zu befürchten, dass er damit recht hat.

¹Eine „vernünftige Sicherung“ besteht nicht aus Antivirus-Schlangenöl, das bei jeder halbwegs aktuellen Schadsoftware versagt, sondern aus dem Unterdrücken der Ausführung von JavaScript und einem funktionierenden Adblocker.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.