Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Vorladungstermin Polizei/BKA

Mittwoch, 11. Dezember 2013

Das Wichtigste in Kürze:

Diese E-Mail stammt nicht vom BKA!
Die als Absender erscheinende E-Mail-Adresse ist nicht die des BKA!

Alles Weitere beim LKA Niedersachsen.

Und auch hierzu eine Zusammenfassung: Löschen! Nicht in die E-Mail klicken! Der Link führt auf eine kriminelle Site, die Schadsoftware zu installieren versucht.

Zum Glück ist es auch hier relativ einfach, zu erkennen, dass es sich um eine Spam handelt – denn die „echte“ Polizei würde wohl kaum Vorwürfe gegen mutmaßliche Täter auf einer öffentlich zugänglichen Website ablegen, um dann einen Link über eine unverschlüsselte E-Mail zu versenden. Es gibt keinen Grund, so vorzugehen. Die direkte Übernahme in die E-Mail wäre – obwohl jede Mail unverschlüsselt und offen durchs Netz befördert wird – sogar „datenschützender“.

Immer, wenn mit alarmierenden Texten in einer E-Mail Angst und Alarmstimmung erzwungen werden sollen, ist die naheliegendste Erklärung, dass es sich um eine Spam handelt und dass der Spammer über diesen psychischen Hebel die Verstandesleistungen dämpfen will.

Rechnung

Montag, 9. Dezember 2013

Oha, und gleich so viele davon auf einmal!

Von: DHL <info@telekom.de>
Betreff: Rechnung

Aha, DHL ist die neue Telekom. :mrgreen:

Rechnung

Ja, das ist die ganze Mail. Mehr Text steht nicht drin.

Die ganze Mail? Aber mitnichten, denn daran hängt noch ein Anhang. Er trägt den tollen Dateinamen TR pdf.zip und will damit schon verbergen, dass es sich um ein ZIP-Archiv handelt. In diesem ZIP-Archiv befindet sich die Datei TR pdf.exe, die ebenfalls kein PDF-Dokument ist, sondern eine ausführbare Datei für Microsoft Windows, deren Absender mit einem Dateinamenstrick den Eindruck erwecken will, dass es sich um ein Dokument handele. Wer diese Datei auf seinem unter Microsoft Windows laufenden Rechner mit einem Doppelklick ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Und die werden damit etwas anfangen, was keinem Menschen gefallen kann.

Da es – wie üblich in derartigen Spams – sehr aktuelle Schadsoftware ist, wird sie nur von einem guten Drittel der gängigen Antivirus-Programme erkannt. Vor einigen Stunden sah es noch trüber aus. Zum Glück ist es für ein handelsübliches Gehirn bei dieser Mail sehr einfach, zu bemerken, dass es sich um eine Spam handelt. Und in einer illegalen und asozialen Spam von mindestens halbseidenen, oft sogar offen kriminellen Leuten klickt man nicht herum, die löscht man. 😉

Sagt mal, Spammer: Wen wollt ihr damit beeindrucken?!

DHL Paket Ihrer Sendung 784059032042

Donnerstag, 5. Dezember 2013

Aber ich erwarte gar kein Paket. Ach, es ist ja auch eine Mail in einer Honigtopf-Adresse…

Sehr geehrte Kundin, sehr geehrter Kunde,

die für Sie bestimmte Sendung 161761695540 wurde an DHL übergeben und wird voraussichtlich am 05.12.2013 zwischen 11:00 – 18:00 Uhr zugestellt.

Und das können wir ihnen mitteilen, weil auf dem Adressaufkleber des Paketes ihre Mailadresse stand. Ihr Name stand leider nicht drauf, deshalb die unpersönliche Ansprache dabei. Stattdessen nehmen wir einfach eine Zahl für das Paket, das wirkt auch ein bisschen persönlich. Es ist zwar nicht die gleiche Zahl wie im Betreff, aber solche Schwächen unseres Spamskriptes werden wir in der zweiten Dreckswelle schon korrigieren.

Weitere Informationen über den Sendungsstatus stehen Ihnen durch die direkte Statusabfrage über den folgenden Link zur Die befestigte Datei

So so, ein Link, der keiner ist, sondern ein Mailanhang, den der Spammer lieber eine „befestigte Datei“ nennt. Großes Kino mal wieder im mühsamen Deutschkurs der Spammer!

Muss ich es noch eigens erwähnen. Natürlich hängt da ein ZIP-Archiv mit einer darin verpackten ausführbaren Datei für Microsoft Windows dran, deren Dateiname auf .pdf.exe endet, damit sie leichter für ein PDF-Dokument gehalten werden kann. Und – es war bei einer so untergejubelten Datei von kriminellen Spammern ja auch nicht anders zu erwarten – natürlich handelt es sich dabei um Schadsoftware.

Mit freundlichen Grüßen,
Ihr DHL Team

PS: Kennen Sie schon unser Privatkundenportal Paket.de? Registrieren Sie sich jetzt und profitieren Sie bei Ihren zukünftigen DHL Paketen von unseren flexiblen Empfängerservices.

Dass DHL mit dieser Mail nichts zu tun hat, sollte klargeworden sein. Den Rest haben die Verbrecher offenbar aus echten E-Mails von DHL rauskopiert:

Diese Mail dient lediglich der Information und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre E-Mailadresse wird ausschließlich für die Paketankündigung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung nicht mehr beziehen wollen, klicken Sie bitte hier: DHL Benachrichtigungsservice

Impressum

Deutsche Post AG
Vertreten durch den Vorstand
Dr. Frank Appel, Vorsitz, Ken Allen, Roger Crook, Bruce Edwards, Jürgen Gerdes, Lawrence A. Rosen, Angela Titzrath
Handelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: DE 169838187
Charles-de-Gaulle-Straße 20, 53113 Bonn

Toll, dass E-Mail jetzt schon mit Impressum kommt – ich schreibe ja auch auf jede Postkarte drauf, wer dafür im Sinne des Pressegesetzes verantwortlich ist. :mrgreen:

Š 2013 DHL

Und das mit der richtigen Codierung dieses ©-Kringels werden die Spammer wohl auch in der nächsten Welle gelernt haben. Oder auch nicht. Immer wieder diese kleinen Unfälle beim Benutzen der Zwischenablage, und immer wieder diese Faulheit, den zusammenkopierten Strunz noch einmal vor dem Absenden zu lesen. Tja, mit Mühe und Gründlichkeit haben es Spammer nicht so.

Einmal ganz davon abgesehen, wie hochnotlächerlich es ist, so etwas wie ein Urheberrecht für eine automatisch erstellte E-Mail zu proklamieren. :mrgreen:

GMX – Ihre Rechnung vom 03.12.2013

Mittwoch, 4. Dezember 2013

Das Wichtigste vorab: Diese E-Mail kommt NICHT von GMX. Es ist kriminelle und gefährliche Spam, mit der Menschen zur Installation von Schadsoftware gebracht werden sollen.

Generell gilt: Sämtliche E-Mail mit einem ZIP-Archiv im Anhang stinkt.

Ihre Kundennummer: 698270190

Sehr geehrter,

Sehr geehrte Kundennummer…

anbei erhalten Sie Ihre Rechnung vom 03.12.2013.
Wie vereinbart werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung ist im PDF-Format erstellt worden. Um sich Ihre Rechnung anschauen zu können, klicken Sie auf den Anhang und es öffnet sich automatisch der Acrobat Reader. Sollten Sie keinen Acrobat Reader besitzen, haben wir für Sie den Link zum kostenlosen Download von Adobe Acrobat Reader mit angegeben. Er führt Sie automatisch auf die Downloadseite von Adobe. So können Sie sich Ihre Rechnung auch für Ihre Unterlagen ausdrucken.

http://www.adobe.de/products/acrobat/readstep2.html

…anbei erhalten sie die aktuelle Kollektion von Schadsoftware der organisierten Kriminalität. Der Anhang ist ein ZIP-Archiv, in dem eine Datei liegt, deren Dateiname auf .pdf.exe endet. Es handelt sich also um eine direkt ausführbare Datei für Microsoft Windows (sprich: Software), die mit einem Namenstrick und einem irreführenden Piktogramm so tut, als sei sie ein PDF-Dokument. Dieses Mal werden sie wenigstens meistens nicht von ihrer Antivirus-Software im Stich gelassen, aber sich darauf zu verlassen, ist Glückssache.

GMX ist ein Dienst der 1&1 Mail & Media GmbH.

Mit freundlichen Grüßen

Ihr GMX Kundenservice

GMX hat mit dieser kriminellen Spam nichts zu tun.

Impressum: http://gmxnet.de/de/impressum

[ Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender. Falls Sie Fragen an den GMX Support haben, verwenden Sie bitte das Formular auf www.gmx.de/rechnungsfragen ]

Ich gratuliere dem Spammer zu seiner Fähigkeit, die Zwischenablage zu benutzen, um Textfragmente aus echten GMX-Mails zu übernehmen. Das kann nicht jeder! :mrgreen:

Auf Ihre Rechnung in Postbank Die Bank ist die Beschrankung aufgelegt.

Dienstag, 3. Dezember 2013

Die Spam ist vom 25. November, also schon ein paar Tage alt, und die angehängte Schadsoftware stellt anders als vor ein paar Tagen inzwischen kaum noch eine Bedrohung dar, aber der Dada-Text ist eine gefährliche Bedrohung der Ernsthaftigkeit und… sollten sich Flüssigkeiten in der Mundhöhle befinden… für die im Prustradius herumstehende Hardware.

Sehr geehrter Benutzer, Postbank Die Bank pruft die Rechnungen der Kunden periodisch, Um die Gaunerei und\oder die ungesetzlichen Geschafte zu prufen und zu verhindern. Nach einem solcher Prozesse, auf Ihrem der Rechnung waren die verdachtigen Nichtubereinstimmungen gefunden. Damit die Unbequemlichkeiten, die fur Ihre Rechnung zutreffen, solche wie den Stop oder die Beschrankung zu meiden, bitte, fullen Sie die Form aus, um Ihre personlichen Daten zu prufen. Damit es zu machen, beladen Sie auch fullen Sie unsere Form aus. Sie konnen sie in der Anlage zum Brief finden.

Wer das ernsthaft für eine Mail von „Postbank Die Bank“ hält, ist nicht mehr zu retten. Mein Tipp an die Spammer: Das nächste Mal beim automatischen Übersetzen des (mutmaßlich) russischen Ausgangstextes ins Deutsche keinen Umweg über Urdu, Persisch und Swaheli nehmen… :mrgreen:

Diese Spam aus der täglichen Hölle ist eine Zusendung meines Leser S. W.

no subject

Mittwoch, 27. November 2013

Ja, das ist wirklich der Betreff. Und die Mail ist auch nicht so irre informativ:

MMS | Mail | Sprachnachricht


Von meinem iPhone gesendet

Irgendwas von einem iPhone. Wessen Wischofon? Ach, das ist doch irrelevant, wer der Absender ist. Was ist es? Na ja, vielleicht eine Mail, vielleicht eine Tonaufnahme, vielleicht ein Foto, vielleicht ein Bild, du als Empfänger musst doch nicht gleich alles wissen… :mrgreen:

Und wo sind jetzt die Daten? Gucke mal, da ist ein Anhang. Ein ZIP-Archiv. Und in dem ist eine Datei .jpg.exe, die gar nicht apple aussieht, sondern eine ausführbare Datei für Microsoft Windows ist, die von Unbekannten mit einer E-Mail zugestellt wurde und mit dem Dateinamenstrick verbergen will, um was es sich in Wirklichkeit handelt. Wer sich dieses angebliche „Bild“ anschauen will, hat hinterher einen Computer anderer Leute auf seinem Tisch stehen.

Die Schadsoftware wird zurzeit von weniger als der Hälfte der Antivirus-Programme als solche erkannt. Zum Glück ist bei derartig dummen Spam-Maschen das Erkennen des plumpen Versuchs für einen Menschen sehr einfach.

Es gibt im Moment dermaßen viel in ZIP-Archive verpackte Schadsoftware als Mailanhang, dass ich nur empfehlen kann, überhaupt keine Mailanhänge mit einem ZIP mehr zu öffnen, die unabgesprochen zugestellt wurden. Und: Bei Mails von Unbekannten erst recht nicht. Egal, ob sie mit aufwühlendem Text (Mahnung, Anwalt, Bestellung, Vertrag, Kosten, Angst, Kosten, Angst) an der Aufmerksamkeit zerren, oder ob sie so bescheuert sind wie dieser Versuch.

Technische Zusatzinfo: Näheres zur manchmal interessanten Frage, um welche Schadsoftware es sich hier handelt, findet sich im Trojaner-Board. Natürlich ist die Analyse noch unvollständig, könnte aber durchaus in den nächsten Tagen ergänzt werden.

Ihre Konto-Lastschrift konnte nicht durchgeführt werden

Montag, 25. November 2013

Der Absender nennt sich „Online Inkasso“ *prust!* mit der gefälschten Absenderadresse saskia (punkt) fillmann (at) online (punkt) de.

Verehrter Kunde,

Du bist Kunde, wir haben also einen Vertrag miteinander, aber ich habe keine verdammte Ahnung, wie du heißt.

Sie haben Ihre Bestellung vom 05.10.2013 bis jetzt nicht bezahlt. Es wurden Buchungen bis einschließlich 22.11.2013 geprüft.

Du hast etwas bestellt, aber ich weiß nicht, was. Ein Datum kenne ich. Und ein Datum. Obwohl im Betreff von einer „geplatzten“ Lastschrift die Rede ist, spreche ich im Text der Mail von einer Bezahlung.

Der Betrag der Bestellung beläuft sich auf 165,00 EURO. Unser Anwaltsbüro wurde gebeten die fällige Gesamtsumme für Ihre Bestellung einzufordern. Zusätzlich wird Ihnen eine Mahngebühr von 16,00 Euro berechnet und die Gebühren unserer Tätigkeit von 17,15 Euro.

Die Bestellung, zu der ich dir gar nichts sagen kann, kostete x Credits. Mein „Anwaltsbüro“, das weder eine Website noch eine Telefonnummer noch eine Anschrift noch sonstwas hat, legt da eine Bullshit-Gebühr von y Credits und eine unbegründete Bullshit-Kostennote von z Credits drauf. Die Addition musst du schon selbst durchführen, was interessiert mich so ein uninteressantes Zeugs wie Geld, wenn ich eine angebliche Mahnung schreibe.

Aufgabe: Erkläre und begründe in höchstens fünf Worten, wie glaubwürdig eine solche E-Mail ist und wie darauf reagiert werden sollte.

Lösungsvorschlag: „Lächerlich. Lesen. Lachen. Löschen.“

Aktennummer: CA83251581O

Anstelle irgendeiner wirklichen Information über den Vorgang gebe ich dir noch eine lustige Aktennummer, die ich mir aus der Buchstabensuppe zusammengefischt habe. Ich bin selbst immer total beeindruckt, wenn ich Buchstaben und Ziffern sehe, und ich denke, das geht anderen genauso.

Sparen Sie uns bitte weitere Maßnahmen gegen Ihre Person. [sic!] Falls Sie die Überweisung weigern [sic!] werden wir umgehend ein Inkassobüro beauftragen. Wir geben Ihnen bis zum 30.11.2013 die letzte Chance [sic!] die gesamte Summe zu zahlen.

Also komm, lass dir so richtig Angst von meinen substanzlosen Blah machen und…

Weitere Einzelheiten der Abrechnung und die Kontonummer zur Zahlung finden Sie in der angehängten Datei.

…öffne den Anhang der Mail! Das ist nämlich alles, was ich will. Um dein Geld kümmere ich mich dann später. In diesem Fall hängt nur ein kaputtes ZIP-Archiv an meiner Drecksmail, aber wenn ich meine Fehler korrigiert habe, gibts auch wieder richtige, aktuelle Schadsoftware, gegen die auch dein Antivirus-Programm oft nicht hilft. Selbst das kaputte ZIP wird schon manchmal als Schadsoftware erkannt. Gut, dass du wegen meiner hohlen Phrasen verängstigt bist und die Mail nicht einfach löschst, sondern auch noch drin rumklickst. Denn davon lebe ich, dass ich Computer anderer Leute übernehme und dann meine „Geschäfte“ damit mache.

Mit freundlichen Grüßen

Online Inkasso Henry Humpis und Hollywars

Mit dümmlichem Gruße

Ein Online-Inkasso mit Deppenleerzeichen, das ein paar Zeilen weiter oben umgehend ein Inkassobüro beauftragen will. :mrgreen:

Was ist denn das für Schadsoftware?

Freitag, 22. November 2013

Eine Frage, die immer wieder einmal aufkommt, lautet: Was ist denn das für Schadsoftware, die an die Mail gehängt wurde; was passiert denn, wenn ich die Datei im Anhang öffne?

Diese Frage zu beantworten ist selbst für einen Experten schwieriger, als die meisten Menschen glauben möchten, denn…

  1. …ist Schadsoftware oft vorsätzlich so geschrieben, dass eine Analyse erschwert wird, und
  2. …besteht moderne Schadsoftware aus einem oft nur kleinen Programm, das vorhandene Sicherheitsmechanismen aushebelt und weitere Komponenten aus verschiedenen Internet-Quellen nachlädt.

Der einfachste Weg ist es, die Schadsoftware in einer Wegwerf-Installation zu starten, den Netzwerkverkehr zu überwachen und hinterher zu schauen, welche Teile des Betriebssystems verändert wurden und was bei der Nutzung des kompromittierten Computers passiert – also genau das zu tun, was ein Opfer tun sollte. Das Landeskriminalamt Niedersachsen scheint sich bei den umlaufenden „Rechnungen“, „Mahnungen“, „Bestellbestätigungen“, „Lieferscheinen“ etc. mit Schadsoftware-Anhang einmal genau diese Mühe gemacht zu haben:

Die Schadsoftware, die diese Kette an Aktionen ausgelöst hat, stammt aus einer E-Mail, die eine angebliche Rechnung als Dateianhang beinhaltete

Wer sich mal gruseln möchte, lese bitte einfach beim LKA Niedersachsen weiter. Hoffentlich kuriert diese Lektüre von jeder Leichtfertigkeit im Umgang mit E-Mail.

Ich kann es nicht oft genug sagen: Mailanhänge in geschäftlicher E-Mail stinken!

Es gibt keinen objektiven Grund für ein Unternehmen, inhaltlich nichtssagende (aber im Falle von Spam dabei meist alarmierend formulierte) Mail zu schreiben, um alle relevanten Informationen zur angeblichen Sache erst im Anhang zu offenbaren. Im Kommentarthread zu einer relativ frühen angeblichen „Mahnung“ dieser kriminellen Masche finden sich viele Zitate aus derartigen Spams, und beim Überfliegen sollte jedem klar werden, was ich mit dem Wort „inhaltlich nichtssagende Mail“ meine: Alle wichtigen Informationen befinden sich angeblich im Anhang, in der Mail stehen nur bedeutungslose Nummern.

Ein Anwaltsschreiben – das ist eine beliebte Angst-Masche der Spammer – kommt übrigens immer auf rechtssicherem Weg mit der Sackpost und wird bestenfalls vorab zur Information per E-Mail zugestellt, wobei halbwegs seriöse Rechtsanwälte darauf achten, dass immer im Textkörper der eigentlichen E-Mail eine Telefonnummer für eine eventuelle Rückfrage angegeben wird.

Wenn der Anhang ein ZIP-Archiv ist, in dem sich ein „Dokument“ befindet, sollte Alarmstufe Rot herrschen! Im Zweifelsfall nicht öffnen! Auch nicht vom Absender verblenden lassen, denn die Absenderadresse einer E-Mail kann sehr leicht und völlig beliebig gefälscht werden. Wenn es sich um Unternehmen handelt, mit denen man bislang nichts zu tun hatte, handelt es sich praktisch immer um Spam, die unbesehen gelöscht werden sollte. Wenn eine derartige Mail doch einmal plausibel erscheint – etwa, weil man wirklich etwas bestellt hat oder dort Kunde ist – lieber einmal telefonisch nachfragen, ob die Mail echt ist, bevor Anhänge aus einem ZIP-Archiv geöffnet werden.

Ein einziger unbedachter Klick kann sehr schnell erheblichen Ärger nach sich ziehen, von dem man monatelang „etwas hat“. Und natürlich ist das manipulierte Online-Banking nur eine mögliche Schadfunktion von vielen, wenn auch vermutlich oft die teuerste für die Betroffenen…

Und nein: Antivirusprogramme helfen nicht gegen die aktuellen Schädlinge, sondern nur gegen Schadsoftware, die bei den Antivirus-Unternehmen schon bekannt ist. Bei dieser Form der Spam ist das Antivirusprogramm oft vollkommen wirkungslos. Dies gilt auch, wenn die Kriminalpolizei auf der verlinkten Seite ihren in diesem Kontext ungeeigneten Textbaustein eingefügt hat¹. Der beste Virenschutz ist BRAIN.EXE

¹Ein Tipp, den die Kriminalpolizei nicht gibt, der aber viel wirksamer als die „gefühlte Sicherheit“ durch Antivirus-Schlangenöl ist: Einfach ein anderes Betriebssystem als Microsoft Windows benutzen! Das kostet kein Geld, und ist zurzeit die beste Abwehr gegen alle Schadsoftware, die mir bislang untergekommen ist.