Schlagwortarchiv „Schadsoftware“

Luftfrachsendung AWB

Dienstag, 5. März 2013

Wie jetzt, ihr wollt im Betreff so tun, als ob ihr irgendwas mit Gütertransport macht und könnt nicht einmal das Wort „Luftfrachtsendung“ korrekt schreiben? Das kann ja heiter werden…

Gefälschter Absender der Mail ist info (at) first (strich) class (strich) zollservice (punkt) de. Die Mail ist eine klare Spam, die mir über eine niemals aktiv genutzte Mailadresse zugegangen ist, die ich nur für die Harvester der Spammer auslege.

Hallo,

Hey, Idiot. Du bist Kunde bei uns und kriegst Mail von uns, in der wir dir nicht einmal sagen, wer zum blutschlürfenden Henker wir überhaupt sind.

anbei der AWB bitte bestätigen ob alles Ok ist.

Wir können zwar Umlaute, aber Kontext können wir dafür nicht so gut. So ein AWB heißt auf Deutsch übrigens „Luftfrachtbrief“, aber wir ganz großen Spamspediteure können so etwas ja nicht wissen und auch nicht mal schnell mit einer Suchmaschine herausbekommen. Tja, und dass „AWB“ auf Deutsch eine sehr gebräuchliche Abk. für „Abfallwirtschaftsbetrieb“ ist, das passt doch ganz hervorragend zu unserem Sondermüll.

Danke

Wofür?

Mit freundlichen Grüßen

First Class Zollservice &
Transportvermittlungs GmbH

Toller Zeilenumbruch mitten in der Firmierung! Geradezu erstklassisch. Dank des von euch in der HTML-formatierten Spam gewählten doppelten Zeilenabstandes sieht das gleich noch ein bisschen mieser aus.

Niederlassungsleiter

Unsere Mitarbeiter haben schon eine Funktion. Da brauchen sie nicht auch noch einen Namen zu haben.

Nordendstraße. 32 B
64546 Mörfelden Walldorf

Coole Lage! Direkt neben dem Tempel der alten Künste einer Waldorfschule. Schade eigentlich, dass da der Streetview-Wagen noch nicht durchgefahren ist.

[Falls es jemand immer noch nicht mitbekommen hat und auch beim Titel dieses Blogs noch Unklarheiten hat: Dies ist eine Spam. Die Absenderadresse ist gefälscht. Die First Class Zollservice & Transportvermittlungs GmbH aus Raunheim hat mit dieser Spam nichts zu tun. Die Reputation dieser Firma wird gerade von Kriminellen in den Schmutz gezogen, und den Menschen dort wird neben ihrer eigentlichen Arbeit jede Menge Ärger mit erbosten Anrufen und Mails bereitet. Das richtet wirtschaftlichen Schaden an. So etwas ist den Kriminellen egal. Denn Spammer sind verantwortungslose… sorry… Arschlöcher. Die angegebene Anschrift ist genauso erlogen. Der gesamte Text dieser Spam ist Lüge.]

Tel.: 0610x / 403xx 11 Fax: 0610x / 403xx 20

www.first-class-zollservice.de

[Die Telefonnummer ist von mir unkenntlich gemacht worden]

Aber ja nicht auf die angegebene Website schauen und dort im Impressum bemerken, dass dieses Unternehmen eine ganz andere Anschrift und Telefonnummer hat.

Den Rest der Spam lasse ich mal unzitiert. Es handelt sich um eine wörtliche Übernahme aus der Website eines Unternehmens, dessen Ruf von kriminellen Spammern mit Dreck beworfen wird.

Entscheidend ist hier mal wieder der Anhang. Es handelt sich um 21,4 KiB reinstes Entzücken in Form eines ZIP-Archives voller Schadsoftware. Was da drin liegt, ist nicht etwa eine PDF-Datei, wie der Name vorgeben möchte, sondern eine ausführbare Datei für Microsoft Windows. Wer darauf einen Doppelklick macht, um sie auszuführen, hat verloren. Etwa die Hälfte der gängigen Virenscanner erkennt diesen Schädling noch nicht – die andere Hälfte weiß inzwischen schon, dass es sich um einen Trojaner handelt.

Aber bei einer so leicht erkennbaren Spam kann das doch niemanden passiert sein, oder?!

27.02.2013 Offener Rechnungsbetrag Nr. 707911954 für N. N.

Donnerstag, 28. Februar 2013

Wichtiger Hinweis vorab! Es handelt sich nicht um Rechnungen. Die Dateianhänge sind gefährliche, aktuelle Schadsoftware. Wer unter Microsoft Windows in die ZIP-Archive hineinschaut und diese Datei doppelklickt, hat verloren. So genannte „Antivirusprogramme“ werden in vielen Fällen keinen Schutz bieten.

An Stelle von N. N. stand der vollständige Name des Empfängers, also Vorname und Nachname.

Sehr geehrter Kunde N. N. [auch hier wieder der Name],

im heutigen Geschäftsleben hat man „viel um die Ohren“ und muss an eine Menge Dinge gleichzeitig denken. Dass einem dabei mal etwas entgehen kann ist ganz natürlich. Gerade konnte unsere Buchhaltung bezüglich der beigefügten Rechnung noch keinen Zahlungseingang feststellen.

Wow, nicht nur, dass die Spammer eine namentliche Ansprache hinbekommen, sie können inzwischen auch vernünftig formulieren. Ich halte eine gut formulierte Spam mit persönlicher Ansprache für sehr gefährlich. Die kleine Schwäche mit dem Wort „Kunde“ vorm Namen wird vermutlich in kommenden Spamwellen behoben sein.

Datum: 13.01.2013 bestätigt von N. N. [im Original der Name]
Offene Rechnung: 645,79 Euro
Aktikelnummer: 7905615507
Gebühren Ihrer Mahnung: 7,00 Euro

Den hübschen Eindruck trübt es ein bisschen, dass hier eine „Rechnung“ von fast 650 Euro behauptet wird, ohne dass in kundenverständlicher Weise klargemacht wird, welcher damit zu bezahlende Artikel sich denn hinter der lustigen Ziffernfolge verbirgt. So würde niemand schreiben, der seine Kunden nicht gerade verachtet.

Wir bitte [sic!] Sie den gesammten Betrag unter Angaben Ihrer Bestellnummer [sic!] bis zum 06.03.2013 auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen [sic! Punkt fehlt!] Sofern Sie den vorgenannten [sic!] Termin nicht einhalten, werden wir Ihnen weitere Zinsen [sic!] und Mahnkosten berechnen.

Hier zeigen sich erste Schwächen im Text. Offenbar haben die Spammer den ersten Absatz aus einer richtigen Mahnung entnommen, aber für diesen Teil waren sie ein bisschen auf sich selbst gestellt und klingen auch prompt weniger überzeugend. Der Stilbruch ist kaum zu übersehen.

Sollte der angemahnte Betrag nicht fristgerecht bei uns gebucht werden, werden wir ohne weitere Vorwarnung unseren Rechtsanwalt mit der Klageerhebung beauftragen. [sic!]

Und was ein gerichtliches Mahnverfahren ist, scheint dieser ganz tolle Kaufmann aus der Phantasie eines Spammers auch nicht zu wissen, sonst hätte er davon gesprochen, dass er die Zustellung eines gerichtlichen Mahnbescheides veranlassen würde. Was dem Spammer hier entgegenkommt, ist allerdings, dass die meisten Menschen in Deutschland trotz eines ganzen Jahrzehntes der Beschulung keine juristischen Kenntnisse haben und deshalb diese Schwäche ebenfalls nicht bemerken können – und möglicherweise von diffuser Angst getrieben das tun werden, was der Spammer von ihnen will.

Und das ist in diesem Exemplar der Spam noch nicht einmal explizit erwähnt. Der Mail hängt ein ZIP-Archiv an, in dem sich wie üblich eine ausführbare Datei für Microsoft Windows befindet, und keineswegs irgendeine Rechnung. Wer diese scheinbare Rechnung unter dem Betriebssystem Microsoft Windows „öffnet“, startet damit Software, die ihm von Kriminellen zugestellt wurde und hat sofort einen Computer anderer Leute auf seinem Tisch stehen – und die Kriminellen werden diesen Rechner zu nutzen wissen.

Mit freundlichen Grüßen www.conrad.de Ida Beck

Nein, das ist nicht freundlich, kommt nicht von Conrad und der Name stimmt natürlich auch nicht.

Diese Mail gibt es in verschiedenen leicht abgewandelten Formulierungen, aber immer mit namentlicher Anrede (im Zitat der folgenden Mail ebenfalls unkenntlich gemacht):

Sehr geehrter Kunde N. N,,

jedem kann es einmal passieren, dass man eine Rechnung übersieht. Bedauerlicherweise konnte unsere Buchhaltung bezüglich der beigefügten Rechnung noch keinen Zahlungseingang finden.

Bestelldatum: 28.01.2013 bestätigt von N. N.
Offene Rechnung: 378,79 Euro
Aktikelnummer: 41746513
Kosten dieser Mahnung: 2,00 Euro

Wir bitte [sic!] Sie diesen Betrag unter Angaben Ihrer Bestellnummer [sic!] bis zum 27.022013 [sic!] auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen. Falls Sie den genannten Termin nicht einhalten, werden wir Ihnen weitere Zinsen [sic!] und Mahnkosten berechnen müssen.

Sollte der angemahnte Betrag nicht fristgerecht bei uns eingehen, werden wir ohne weitere Ankündigung unseren Rechtsanwalt mit der Klageerhebung beauftragen. Wir würden diesen Schritt bedauern und hoffen aus diesem Grund auf Ihre Einsicht.

Mit bestem Dank für Ihr Vertrauen in pixum Nora Albrecht

Im Moment häufen sich Hinweise von Lesern von Unser täglich Spam auf derartige Mails mit persönlicher Ansprache. (Ich habe noch weitere Beispiele vorliegen. Es sind allesamt Leserzuschriften. Ich selbst bin sehr sparsam mit meinen Daten, und das scheint ein hinreichender Schutz zu sein. Ich bitte ferner mir persönlich bekannte Menschen grundsätzlich darum, niemals meinen Namen zusammen mit meiner Mailadresse auf so genannten „smart phones“ vorzuhalten, weil auch dort über trojanische Apps Adressmaterial für die Spam gesammelt wird – und ausgerechnet Facebook mit seiner überaus beliebten „App“ ist einer der übelsten Spammer.) In einer der hier zitierten Mails wurde ein korrekter Vorname angegeben, der im Internet nicht verwendet wurde. Es ist deshalb davon auszugehen, dass die Kriminellen große Mengen Daten eingekauft oder abgegriffen haben. Vielleicht haben sie aber auch einfach nur trojanische Apps für Wischofone gebaut, kleine Spielchen und anderes sinnfreies Zeugs, das im Hintergrund ganze Adressbücher irgendwo ins Internet funkt. Wenn ich heute Krimineller wäre, würde ich mir jedenfalls auf diesem Weg mein Datenmaterial beschaffen – denn in den so genannten „smart phones“ (for less smart people) kombiniert sich die Security-Blauäugigkeit der Neunziger Jahre mit der gereiften Internet-Kriminalität der Zehner Jahre. Unfassbar, was sich Anwender dieser persönlichen Computer, die oft bemerkenswert weit in die Intimsphäre hineinragende Daten verarbeiten, alles völlig unreflektiert bieten lassen, wenn sie nur ein bisschen Spielkram in der Tasche haben.

In den kommenden Tagen wird eine Flut personalisierter und zumindest teilweise überzeugend formulierter Spam über die Menschen in Deutschen einbrechen. Ob diese Spam immer „nur“ zum Transport von Schadsoftware dienen wird, oder ob es auch zu den üblichen Formen des Betruges (vor allem Phishing, aber vielleicht auch personalisierte Trickbetrügereien mit dem gefälschten Absender von Freunden) kommen wird, ist noch offen. Tatsächlich ist eine trefflich formulierte Spam mit persönlicher Ansprache viel überzeugender als das übliche „Ich weiß jetzt zwar nicht einmal, wie du heißst, aber du bist mein Kunde und nun klick mal, aber ganz dringend“, das die Spam bislang stark geprägt hat und das auch für naivere Zeitgenossen leicht als Spam zu erkennen war.

Meinen Tipps zur Vorbeugung, die ich kürzlich in dieser Sache gegeben habe, kann ich nichts mehr hinzufügen – außer der eindringlichen Wiederholung der Empfehlung, eine E-Mail-Adresse, über die man Spam mit namentlicher Ansprache erhält, so schnell wie möglich stillzulegen und durch eine andere E-Mail-Adresse zu ersetzen. Der damit verbundene Zeitaufwand ist wesentlich geringer als der zeitliche und nervliche Aufwand, den man teilweise für viele Monate haben kann, wenn man nur ein einziges Mal auf eine gut gemachte Spam hereingefallen ist und in der Folge einen Rechner anderer Leute auf dem Tisch stehen hat.

Ganz allgemein gilt: Niemals in Panik versetzen lassen, wenn einem eine alarmierende Mail zugestellt wird! Richtige Mahnungen und Rechnungen kommen beinahe immer mit der Sackpost. Und richtige geschäftliche Mails enthalten beinahe immer eine Telefonnummer für eine Rückfrage (das werden die Spammer in einer Verfeinerung der Masche auch noch machen, und zwar mit kostenpflichtigen Telefonnummern). Niemand muss Rechnungen für Waren bezahlen, die er nicht erhalten hat. Niemand muss solche Rechnungen auch nur beachten. Schon gar nicht, wenn sie in Form einer nicht digital signierten und damit beliebig fälschbaren E-Mail kommen, die in alarmierendem Ton und unter Nennung erheblicher Geldbeträge um Aufmerksamkeit buhlt.

Wer sich in Panik versetzen lässt, neigt zum unvorsichtigen Klick und schenkt der organisierten Internet-Kriminalität damit leicht seinen Rechner und sein Internet – und wird in vielen Fällen ein paar Wochen später mit der Polizei zu tun bekommen, die selbstverständlich den Anschlussinhaber ermittelt, über dessen Internetzugang Straftaten begangen werden. (Zum Beispiel werden derartige Spams über feindselig übernommene Privatrechner versendet.) Dass über Trojaner selbstverständlich Passwörter mitgelesen werden, dass alle greifbaren Daten abgegriffen und an Kriminelle übermittelt werden und dass eventuelles Online-Banking manipuliert wird, kommt zu diesem Ärger hinzu.

Wer sich nicht in Panik versetzen lässt, denkt nach, bevor er etwas tut – und stellt zudem fest, dass Dateinamensendungen wie .pdf.exe in einem E-Mail-Anhang ein ganz schlechtes Zeichen sind. Eine Haltung, sich niemals von einer E-Mail in Panik versetzen zu lassen, ist ein besserer Schutz vor kriminellen Attacken als jedes Schlangenöl einer so genannten „Antivirensoftware“.

Von der „guten“ alten Zeit, in der ein Spammer sein Opfer nicht ansprechen konnte, müssen wir uns jedenfalls verabschieden. Heute weiß der Spammer in vielen Fällen zumindest, wie sein Opfer heißt – und bleibt selbst unerkannt, verschanzt sich hinter gefälschten Absendern und missbrauchten (und dadurch in den kriminellen Dreck gezogenen) Firmierungen. Diese Entwicklung ist übrigens ein guter Anlass, E-Mail endlich grundsätzlich digital zu signieren, um den Absender und den unveränderten Inhalt jenseits jeden vernünftigen Zweifels sicherzustellen – und überall darauf hinzuwirken, dass das in geschäftlichen Dingen ein Standard wird. Wer Geschäfte im Internet betreibt und sich verweigert, digital signierte E-Mail zu verwenden, ist mitverantwortlich für den Erfolg der Internet-Kriminalität und die Leichtigkeit, mit der Betrugsmaschen durchgeführt werden können. Diese einfache Wahrheit muss immer und immer wieder thematisiert und kommuniziert werden! Digitale Signatur ist keine obskure Raketentechnologie, sondern ein Verfahren, das seit über einem Jahrzehnt jedem Menschen kostenlos und in benutzerfreundlichen Schnittstellen zur Verfügung steht. Die Alternative zur digitalen Signatur ist ein Kommunikationsmedium E-Mail, das beliebige und unüberprüfbare Manipulationen durch Kriminelle ermöglicht. Und das ist angesichts der Internet-Kriminalität keine Alternative.

Max Mustermann Offener Rechnungsbetrag mit Umsatzsteuer Kunden-ID: 770617000 22.02.2013

Samstag, 23. Februar 2013

Anstelle von „Max Mustermann“ steht in der zitierten Spam ein richtiger Name – die vielen Wege, echte Namen zu den Mailadressen über Cracks und sicherheitstechnische Blauäugigkeit kommerzieller Anbieter zu ermitteln, werden also schon aktiv missbraucht. Das macht eine derartige Mail viel überzeugender und viel gefährlicher. Der kriminelle Versuch, den Rechner zu übernehmen, ist auch ansonsten sehr gefährlich, weil er in einem zumindest auf dem ersten Blick akzeptablen und halbwegs fehlerfreien Deutsch verfasst wurde. Einige seltsame Formulierungen darin fallen kaum auf. [Ich habe Anmerkungen in eckigen Klammern eingefügt.]

Sehr geehrter Kunde [sic!] Max Mustermann,

ärgerlicherweise hat unsere Finanz-Leitung [sic!] bei Ihnen eine offene Zahlung festgestellt [sic! Keine offene Forderung]. Bestimmt ist es Ihrer Beachtung [sic!] entgangen, die Rechnung für Ihre Bestellung zu überweisen [sic! Nicht „begleichen“].

Datum: 13.02.2013 Max Mustermann
Offene Rechnung: 692,99 Euro
Produkt-Nummer: 10563614 [sic! Sehr kundenfreundlich!]
Kosten dieser Mahnung: 2,00 Euro

Wir verpflichten Sie [sic!] den gesammten Betrag unter Angaben Ihrer Bestellnummer auf das im Vertrag angegebene Konto umgehen [sic!] zu überweisen.

Weitere Details entnehmen Sie bitte dem abgeschlossenen Vertrag. [sic! Kein Hinweis in einer alarmierend formulierten Mail, wofür der schon etwas erhebliche Betrag bezahlt werden soll.]

Mit freundlichen Grüßen Rheingauer Weinszene Eileen Hartmann

Das einzige, was an dieser Mail noch verdächtig ist – neben den teilweise unbeholfenen Formulierungskünsten der Spammer, die aber bereits eine große Verbesserung gegenüber dem „Standard“ der miesen Spam darstellen – ist der Verzicht auf eine „menschenlesbare“ Angabe, wofür jetzt immerhin fast 700 Euro fällig werden sollen. Einen derartigen Ton in Gelddingen würde sich keine Unternehmung herausnehmen, die auf ihre Kunden wert legt.

Im Anhang liegt eine Datei Kaufvertrag Max Mustermann.zip mit einer Dateigröße von 21,1 KiB. Der Dateiname des ZIP-Archives ist ebenfalls der echte Name des Empfängers. In diesem ZIP-Archiv liegt ein weiteres ZIP-Archiv mit dem Dateinamen Kaufvertrag - Mahnkosten vom 22.02.2013.zip. Eine derartige Verpackung eines Archives in einem Archiv sollte schon nachdenklich machen, denn sie ist objektiv unnötig, für Menschen schwieriger zu benutzen und soll vermutlich nur einige „Virenscanner“ übertölpeln. In diesem inneren ZIP-Archiv liegt eine Datei mit der Dateinamenserweitung .com, was nicht etwa ein Dokumentformat, sondern eine direkt ausführbare Datei für Microsoft Windows ist.

Wer auf diese Datei geklickt hat, um sie damit auszuführen, hat verloren. Sein Computer ist jetzt ein Computer anderer Leute in Diensten der Internet-Kriminalität, seine Daten (zum Beispiel Mailarchive, Passwörter, lokale Dateien) können von Kriminellen abgegriffen werden und seine Internetleitung kann für kriminelle Zwecke beliebig missbraucht werden. Zurzeit wird die Schadsoftware von der Hälfte der gängigen Virenscanner nicht erkannt.

Aber wer klickt schon auf einen Mailanhang in einer angeblichen Rechnung von einer Unternehmung, von der er noch niemals etwas gehört hat? Zumal in der Mail keine Telefonnummer für eine schnelle Rückfrage angegeben wurde…

Gefährlich ist die Spam mit namentlicher Ansprache trotzdem, vor allem, wenn sie überzeugend formuliert ist.

Vorbeugung gegen Spams mit namentlicher Ansprache

Äußerste Datensparsamkeit – Niemals ohne vernünftigen Grund so etwas wie den echten Namen, die Postanschrift oder die eigene Mailadresse im Internet angeben, auch wenn jemand (wie etwa Facebook oder Google Plus) meint, eine solche Angabe ohne vernünftigen Grund einfordern zu können. Ein vernünftiger Grund ist etwa die Angabe einer Lieferanschrift in einem Webshop. Kein vernünftiger Grund ist es, forenähnliche Websites oder „social media“ nutzen zu können oder eine so genannte „Registrierung“ oder „Aktivierung“ für bereits bezahlte Software vorzunehmen. Niemand ist vertrauenswürdig, überall kommt es zu „bedauerlichen Problemen“. Egal, ob es um eine Suchmaschine für Immobilien, um Gewinnspiele, um so genannte „soziale“ Websites, um Verleger, um Diskussionsforen für ein beliebtes Handy-Betriebssystem, um virtuelle Fleischmärkte, um Optiker im Internet oder um Anbieter von Computerspiele handelt. Die abgegriffenen Daten zirkulieren auf einem kriminellen Schwarzmarkt und können leicht gegeneinander abgeglichen werden, um fehlende Merkmale (wie etwa den Namen) aus anderen Beständen zu ersetzen, wenn eine Angabe wie die Mailadresse identisch ist. Niemand ist vertrauenswürdig, der sein Geschäftchen im Internet macht. Jeder Computer im Internet (auch der Computer, auf dem dieses Blog läuft) ist ein Opferrechner, der vielfältigen Angriffen ausgesetzt ist, die immer wieder einmal erfolgreich sein können. Wenn ein kommerzieller Websitebetreiber irgendwelche Zertifikate des TÜV und in Internet-Sicherhet machender Unternehmen bezahlt und das Geld nicht lieber für qualifizierte administrative Mitarbeiter ausgibt, die ein Auge auf den täglichen Wahnsinn haben, halte ich das für einen deutlichen Hinweis, dieser Klitsche überhaupt keine Daten anzuvertrauen. Nicht einmal relativ irrelevante.
Mehrere Mailadressen benutzen – Wenn sich die Preisgabe von echten Daten nicht vermeiden lässt (zum Beispiel wegen einer Lieferadresse), dann einfach für jeden Anbieter, der solche Daten hat, eine eigene Mailadresse verwenden. Wenn dann derartige Spam ankommt, ist es leicht, zu erkennen, dass hier eine abgegriffene Mailadresse verwendet wurde. Der alarmierende Ton solcher Mails verflüchtigt sich auf diesem Hintergrund, bevor er zu unvernünftigen Taten motiviert hat.
Mailanhänge und Links in E-Mails sind immer gefährlich – In diesem Fall war es relativ einfach, die Schädlichkeit des Anhangs zu erkennen, ohne ihn zu öffnen – eine ausführbare Datei ist kein „Rechnungsformat“, und die doppelte Verpackung sollte allein schon sehr skeptisch machen. Aber auch „unverdächtige“ Anhänge sind gefährlich. PDF-Dateien können Schadcode enthalten, der Sicherheitslücken im Adobe Reader ausnutzt, Word- oder Excel-Dokumente können Programmcode enthalten und sogar „harmlos“ aussehende Bilder sind in der Vergangenheit schon für Angriffe benutzt worden. Der Absender einer E-Mail ist beliebig fälschbar. Jede E-Mail, die nicht digital signiert ist, ist als nicht vertrauenswürdig zu betrachten. Wenn im Text einer E-Mail von teuren Rechnungen die Rede ist, aber der Rechnungsgegenstand nur einem Anhang zu entnehmen ist, handelt es sich beinahe immer um Schadsoftware im Anhang. Dass Unternehmen wie die Telekom Deutschland GmbH ähnlich vorgehen, begünstigt diese Masche – oder etwas drastischer gesagt: Jede große Unternehmung, die so etwas praktiziert, erzieht ihre Kunden zum Leichtsinn in der Nutzung von E-Mail und ist mitverantwortlich dafür, dass Spam weiterhin ein lohnendes kriminelles „Geschäft“ für die organisierte Kriminalität bleibt. Das sollte ruhig so kommuniziert werden, damit es aufhört.
Kein blindes Vertrauen in „Antivirusprogramme“ – Die so genannten Antivirus-Programme laufen den Programmierern der Schadsoftware immer um ein bis zwei Tage hinterher. Selbst, wenn immer alle Updates eingespielt werden und die Signaturdatenbank auf dem neuesten Stand ist, sind solche Programme im besten Fall eine Ergänzung, aber kein Ersatz für ein Sicherheitskonzept für die persönliche oder gewerbliche Datenverarbeitung. Ich sage es gern noch drastischer: Diese Programme sind Schlangenöl. Gefährliches Schlangenöl, weil sie viele Menschen in einer trügerischen Sicherheit wiegen. Besser als dieses Schlangenöl ist ein Betriebssystem, das nicht so leicht angreifbar ist wie das Lieblingssystem der Internet-Verbrecher, Microsoft Windows. Die Leistungsfähigkeit heutiger Rechner macht es problemlos möglich, ein Betriebssystem in einer virtuellen Maschine eigens für die Internet-Nutzung aufzusetzen – und wenn hierfür ein freies und kostenloses System wie PCBSD oder Linux verwendet wird, fallen keine zusätzlichen Lizenzkosten an. Der Gewinn für die Sicherheit ist erheblich, und im Falle einer geschäftlichen Nutzung (Kaufen, Verkaufen, Bankgeschäfte) ist diese Vorgehensweise vermutlich der zurzeit beste Schutz¹. Warum das nicht in Computerzeitschriften steht? Um diese Frage zu beantworten, reicht es, sich anzuschauen, welche Schlangenölverkäufer in derartigen Zeitschriften ihre Werbung abdrucken lassen. Eine Presse, die für ihren Betrieb und Erwerb von Werbung abhängig ist, ist niemals eine freie Presse. Nirgends.
Wenn es zu spät ist – Wenn man die erste Spam mit persönlicher Ansprache erhalten hat, ist es höchste Zeit, die Mailadresse zu wechseln und die neue Adresse jedem mitzuteilen, mit dem man in Kontakt bleiben möchte. Das gilt auch bei einer rein persönlichen Nutzung. Es ist davon auszugehen, dass missbrauchbare persönliche Daten unter Kriminellen zirkulieren, und diese Daten ermöglichen überzeugende Betrugsnummern über ein anonymisierendes Medium. Zum Beispiel wird eine Mail der Marke „Ich liege in Madrid fest und habe Geld, Kreditkarte und Ausweis verloren, kannst du mir bitte mal 200 Euro über Western Union rüberschicken, damit ich den Bürokratiekram erledigen kann und heute Nacht im Hotel unterkomme, ich gebs dir nächste Woche zurück“ sehr überzeugend, wenn sie mit korrekter Ansprache von jemanden kommt, den man kennt. Daten können mit anderen Quellen mechanisch abgeglichen werden, zum Beispiel auch mit Facebook; persönliche Beziehungen werden auch vor Verbrechern offengelegt. Die Spam ist billig, und wenn 20.000 derartige Spams zu 200 erfolgreichen Versuchen werden, haben Trickbetrüger für das schnelle (Zeitaufwand höchstens fünf Tage, wenn sie es wirklich gut machen) Schreiben eines Skriptes 40.000 Euro abgegriffen. Dass so etwas bei der teilweise hohen Qualität der über so genannte „soziale“ Websites abgreifbaren Daten eine Erfolgsquote von mehr als einem Prozent haben wird, erscheint mir sehr wahrscheinlich. Es ist nur eine Frage der Zeit, bis derartiger Trickbetrug zu einer Seuche wird.
Man kann es nicht oft genug sagen – Der beste und wirksamste Schutz gegen Spammaschen mit persönlicher Ansprache ist äußerste Datensparsamkeit und die Verwendung von spezifischen Mailadressen für Kontexte, in denen diese Datensparsamkeit nicht möglich ist.

Diese in meinen Augen recht gefährliche und aktuelle Schadsoftware-Spam wurde mir von meinem Leser S. S. zugestellt. Bei mir kann so etwas kaum ankommen, weil ich äußerst sparsam mit meinen Daten umgehe. Danke.

¹Ich benutze ein virtuelles System zum Beispiel auch, um mir die aktuellen Websites der Spammer anzuschauen. Ein direkter Klick in eine Spam ist gefährlich. Die virtuelle Maschine ermöglicht es mir, einen Sicherungspunkt vor der Betrachtung anzulegen und den vorherigen Zustand wiederherzustellen. So lächerlich Spams auch oft aussehen, sie sind kein Spaß.

RechnungOnline Monat

Mittwoch, 20. Februar 2013

Ganz kurz nur eine aktuelle Warnung: Die im folgenden gezeigte E-Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de (ja, mit einem seltsamen Punkt drin) kommt nicht von der Telekom Deutschland GmbH, auch wenn sie auf dem ersten Blick überzeugend aussieht. Sie kommt von Verbrechern und enthält einen äußerst gefährlichen Anhang.

Im Original steht da noch eine Menge Reklame für Telekom-Produkte drunter. Vermutlich sind die Mails der Telekom ähnlich gestaltet und werden bei jeder Gelegenheit mit einem Berg von nervender, in der Regel unerwünschter Reklame angereichert.

Die angehängte Datei mit den immer wieder wechselnden Namen ist keine Rechnung der Telekom, sondern ein ZIP-Archiv voller aktueller Schadsoftware. Zuzeit wird diese Schadsoftware von drei Vierteln der „Antivirusprogramme“ nicht erkannt. Wer das ZIP-Archiv entpackt (oder in einem modernen Dateimanager öffnet) und die darin liegende Datei mit der Namenserweiterung .pdf.exe öffnet, wird also von seiner „Schutzsoftware“ im Stich gelassen. Deshalb öffnet man solche Anhänge ja auch nicht, sondern löscht die Spam sofort.

Man kann leicht erkennen, dass es sich um eine Spam handelt, wenn man den Text der zugegebenermaßen überzeugend gestalteten E-Mail aufmerksam liest.

Ihre Rechnung für Januar 2013

Ich bin kein Kunde der Telekom, aber ich würde annehmen, dass dieser Text im Betreff der E-Mail stünde – anstelle des lächerlichen Textstummels „RechnungOnline Monat“.

Guten Tag,

Keine Unternehmung würde darauf verzichten, ihre Kunden namentlich anzusprechen. Wenn solche Mails ohne persönliche Ansprache kommen, braucht man schon nicht mehr weiterlesen und kann den Sondermüll löschen.

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 43,48 Euro.

Es bedarf nur kurzen Nachdenkens, um diesen Satz als Blendwerk zu entlarven. Etliche Kunden der Telekom nehmen mehrere Dienstleistungen in Anspruch. Deshalb würde zu dem Hinweis auf „Ihre aktuelle Rechnung“ stehen, wofür diese Rechnung ist, und zwar in Form einer Produktbeschreibung und ergänzend, um es in jedem Fall eindeutig zu machen, einer Vertragsnummer. Ohne diese klärenden Angaben ist der angebliche „Rechnungsbetrag“ für eine recht große Minderheit der Kunden bedeutungslos.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Unglaublicherweise geht der Link in die Telekom-Site. Es ist eben kein Phishing, sondern der Versuch, den Computer kriminell zu übernehmen.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Steht so ein Text wirklich in Mails der Telekom? Wenn ja, dann würde die Telekom aktiv dabei helfen, dass gefährliche Spam-Kriminelle ihre gefälschten Absenderadressen „plausibel“ machen können. Die Telekom wäre damit ein gedankenloser Gehilfe der organisierten Kriminalität. Ich kann mir nicht vorstellen, dass bei der Telekom dermaßen dumme Entscheidungen getroffen werden.

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Nur echt mit einem Bild der eingescannten Unterschrift.

Bitte löschen!

Selbstschutz

Wie sich an diesem Beispiel zeigt, ist so genannte Schutzsoftware vollständig wirkungslos. Das Geld für den zusätzlichen Energieverbrauch eines ständig im Hintergrund mitlaufenden Schlangenöl-Programmes könnte man sich sparen. Man könnte es zum Beispiel darin investieren, ein kostenloses Betriebssystem zu installieren, das wesentlich weniger Sicherheitsprobleme bietet und es damit kriminellen Zeitgenossen wesentlich schwieriger macht, den Rechner durch zugesandte Schadsoftware zu übernehmen.

Wer das nicht kann – ich weiß, dass es Menschen gibt, die auf Microsoft Windows angewiesen sind, aber ich weiß auch, dass es viel mehr Menschen gibt, die glauben, darauf angewiesen zu sein als solche, die es wirklich sind – sollte wenigstens sein Hirn schulen, denn das ist und bleibt der beste Virenschutz.

Immer wissen, dass Absenderadressen beliebig fälschbar sind! Nicht von der Absenderadresse verblenden lassen!
Immer wissen, dass das Design beliebig aus einer anderen, echten E-Mail kopierbar ist! Nicht vom Design verbleben lassen!
Bei Geschäftskontakten, die aufwändig formatierte HTML-Mails versenden, rückfragen, warum sie für ihre Kommunikation keine Text-Mails versenden wollen – und warum sie ihre E-Mail nicht digital signieren, um im Zeitalter der organisierten Internet-Kriminalität den Absender jenseits jedes vernünftigen Zweifels sicher zu stellen. Digitale Signatur ist keine Raketentechnologie, sondern ein Verfahren, das jedem Internetnutzer seit über einem Jahrzehnt fertig und kostenlos zur Verfügung steht. Wer geschäftliche Mails nicht digital signiert, ist selbst ein Teil des Phishings und der Kriminalität! Das sollte immer wieder kommuniziert werden (insbesondere gegen Banken), bis diese Technikverweigerung auf Kosten der Kundensicherheit endlich aufhört.
Immer wissen, dass kein Unternehmen darauf verzichten wird, seine Kunden persönlich in Mails mit Rechnungen und anderen vertragsrelevanten Daten und Vorgängen anzusprechen! Wenn eine solche persönliche Ansprache fehlt, kann die Mail gelöscht werden, es handelt sich immer um einen kriminellen Versuch.
Immer wissen, dass der Vertragsgegenstand, auf den sich eine geschäftliche Mail bezieht, in jedem Fall präzise benannt werden wird. Die hier vorliegende Mail sagt, wenn man sie ihrer formalen Sprache entkleidet, folgendes: „Zahlen sie uns 43 Euro und ein paar Zerquetschte, ohne dass wir ihnen sagen, wofür sie zahlen sollen“. So etwas ist ein klares Anzeichen für Spam und sollte dazu führen, dass man die Mail ohne weiteres Nachdenken löscht.
Niemals auf Virenscanner verlassen, sondern immer sehr vorsichtig bei E-Mail sein. In Zweifelsfällen immer rückfragen. Niemals eine ausführbare Datei für Microsoft Windows öffnen, die als Mailanhang zugestellt wird, denn das ist immer Schadsoftware. Aber auch bei Dokumentformaten wie PDF ist Vorsicht angemessen, denn der Adobe Reader strotzt nur so vor kriminell ausbeutbaren Fehlern, und ein typisches Office-Dokument kann Programmcode enthalten.

Diese Mail ist recht überzeugend, und sie ist durch meinen Spamfilter geflutscht. Sie wird auch bei vielen anderen Menschen durch den Spamfilter gehen, und etliche davon sind Telekom-Kunden. Es ist davon auszugehen, dass die Kriminellen mit dieser Spam-Aktion tausende neuer Botrechner in Deutschland bekommen werden.

Mitschuldig daran ist die Telekom, die in ihrer E-Mail-Korrespondenz nicht auf digitale Signatur (und eine Aufklärung ihrer Kunden, wie sich der Urheber der Mail sicher feststellen lässt) setzt, sondern auf beliebig kopierbares Design einer HTML-formatierten Mail. Diese Entscheidung von Menschen, die vermutlich eher in Begriffen des Marketings als der Computersicherheit denken, macht es Verbrechern unnötig leicht und spielt hirnlos mit der Privatsphäre, dem Geld und den Computern von Kunden herum. Solchen Haltungen muss endlich die Ächtung entgegengebracht werden, die solche Haltungen verdienen. Und zwar überall, nicht nur bei der Telekom.

Die nächste überzeugende Spam mit tausenden Opfern kommt nämlich bestimmt.

Your BlackBerry ID has been created

Dienstag, 12. Februar 2013

Wie jetzt, ich habe gar kein Telefon…

(Gefälschter) Absender der Mail ist donotreplay (at) blackberry (punkt) com. Die Mail ist mir durch die Spamfilter geflutscht, und das wird vermutlich auch bei anderen immer wieder einmal geschehen.

Your BlackBerry ID has been created

Das hast du schon im Betreff gesagt.

Hello,

Der Absender hat keine verdammte Ahnung, wie seine Empfänger heißen. Vermutlich müssen sie…

You‘ve created a BlackBerry ID!

…bei der Erzeugung einer BlackBerry ID nicht auch noch sagen, wer sie sind.

To enjoy the full benefits of your BlackBerry ID, please follow the instructions in the attached file

Diese angehängte Datei ist etwas, worauf ich gleich noch einmal zurückkomme:

BlackBerry ID is your universal BlackBerry key. Here’s what it offers:

One sign in for all BlackBerry applications, services, and websites.

Automatic transfer of some email accounts and services when you switch smartphones.

Full access to all features in BlackBerry App World™ storefront.

Protection of financial transactions using BlackBerry services.

You can learn more about BlackBerry ID by visiting https://blackberryid.blackberry.com/

The BlackBerry Team

This email has been automatically generated. Please do not reply to this email.

If you have not previously indicated that you wish to receive emails from Research In Motion Limited and/or its affiliated companies regarding exclusive offers and updates about BlackBerry products and services and you would like to do so, please click here.

Research In Motion Limited, 295 Phillip St., Waterloo, Ontario, Canada, N2L 3W8

2012 Research In Motion Limited. All rights reserved. BlackBerry, RIM, Research In Motion and related trademarks, names and logos are the property of Research In Motion Limited and are registered and/or used in the U.S. and countries around the world.

Alle Links führen auf die Domain blackberry (punkt) com, die Mail sieht also durchaus „echt“ aus. Dass sie nicht echt ist, zeigt sich zum Beispiel daran, dass sie auch bei mir angekommen ist, obwohl ich lieber ein smart brain als ein smart phone habe. Ein Blick in den Mailheader und ein bisschen anschließendes whois-Tippen zeigt, dass diese Mail über die dynamische IP-Adresse eines indischen Zugangsproviders versendet wurde, also mit an Sicherheit grenzender Wahrscheinlichkeit über einen mit Schadsoftware gekaperten Privatrechner. Sämtliche Angaben in dieser Mail haben also nichts mit dem wirklichen Absender zu tun.

Diese Mail soll auch niemanden dazu bringen, auf einen Link zu klicken. Vorlage für den Text ist vermutlich eine echte derartige Mail. Es gibt genau einen Satz, der einen Fehler enthält: Der Hinweis, dass man den Anhang öffnen soll, wird nicht mit einem Punkt beendet. Dieser Hinweis wurde also vermutlich von den Spammern hinzugefügt, um Empfänger zu Opfern zu machen.

Der Anhang ist ein ZIP-Archiv, das genau eine Datei enthält. Diese hat den Dateinamen BlackBerry Instructions (punkt) pdf (punkt) exe, es handelt sich also nicht um ein PDF, sondern um eine ausführbare Datei für Microsoft Windows, die von kriminellen Spammern unter Angabe eines falschen Absenders versendet wird. Wer sein Windows in den Voreinstellungen belassen hat, die wirkliche Dateinamenserweiterung .exe nicht gesehen hat und die trügerisch harmlos aussehende Datei deshalb mit einem Doppelklick geöffnet hat, hat Software von Kriminellen auf seinem Rechner ausgeführt und hat jetzt einen Rechner anderer Leute vor sich stehen, der beliebig von Kriminellen missbraucht werden kann und missbraucht werden wird.

Wie so oft, wird die Schadsoftware zurzeit nicht von allen so genannten „Virenscannern“ erkannt. Wer sich auf die „gefühlte Sicherheit“ verlassen hat, die ihm sein Antiviren-Programm vermittelt, ist also in vielen Fällen verlassen. Wer hingegen in den Ansichts-Einstellungen für den Windows-Explorer das Häkchen bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt hat¹, konnte auf dem ersten Blick sehen, dass es sich bei dem angeblichen PDF-Dokument um eine ausführbare Datei für Microsoft Windows handelt und sich seinen Teil dazu denken, warum jemand so einen Mummenschanz nötig hat.

Die naheliegende Frage, warum Microsoft Windows nach der Installation in einer unsicheren Voreinstellung daherkommt, die in erster Linie der organisierten Internet-Kriminalität hilft, ohne dass sie dem Anwender einen Nutzen bringt, bitte an Microsoft stellen. Irgend etwas werden die sich dabei schon gedacht haben. Ich weiß nur nicht, was…

¹Korrigiert nach Hinweis von Elisa M. Ich wusste nicht genau, wie das in der deutschen Übersetzung heißt, weil ich beinahe niemals an einem deutschen Windows sitze.

Zahlungsbestätigung Theheatcompany.com Deutschland GmbH de 2013

Donnerstag, 7. Februar 2013

Diese wundersame Mail mit einem Hinweis einer Zahlungsbestätigung für eine niemals geblechte Zahlung von niemals einer gehörten Firmierung [gnhihi! Deutschland GmbH!] wurde von einer statischen IP-Adresse aus dem Adressbereich der Hetzner Online AG versendet. Davon, dass der „Kunde“ jemals seine zukünftigen Rechnungen bezahlen wird, kann sich die Hetzner Online AG wohl verabschieden. Der Absender efact610 (at) afterbuy (punkt) de ist gefälscht und jedesmal anders. Das gilt im Text dieser Mail auch für die Kundennummer und den Rechnungsbetrag.

п»ї

Hey, Spammer! So schwer ist das nicht, einen richtigen charset hinter dem Content-type anzugeben! Dann brauchst du keine obskuren Konvertierungen deiner Mülltexte machen, die immer wieder einmal fehlschlagen. Zu doof zum Spammen mal wieder…

Kunden-Nr.: 943845872

Guten Tag,

Eine tolle persönliche Ansprache eurer Kunden habt ihr da! Und wenn ich diese Nummer sehe, boah ey, neunstellig! Ihr wollt fast eine Milliarde Kunden haben, obwohl ihr ihnen im Ton so patzige Drecksmails schreibt, in denen man mit einer Nummer und nicht mit einem Namen angesprochen wird, und in denen ihr von irgendwelchen Zahlungen und Rechnungen faselt, ohne zu sagen, wofür?

Kommt, Idioten. Netter Versuch, aber ziemlich verpatzt.

Ihre Rechnung finden Sie in unserer Online-Rechnungsbeilage als ZIP-Datei. [sic!] Die Gesamtsumme im Monat Januar 2013 wurde geГ¤ndert:
301,68 EUR

Hmm! „In der Online-Rechnungsbeilage als ZIP-Datei“ – habt ihr vor dem Absenden dieses Strunzes mal euren Deutschbeauftragten gefragt, wie das Ergebnis eurer Bullshit-Bemühungen auf einen Empfänger wirkt? Und dann ist meine Rechnung also eine ZIP-Datei. Und ich dachte schon, sie sei etwas lesbares oder druckbares, aber es ist doch nur ein verbreitetes Archiv-Format. Großartig! Ein Zehnjähriger, der so ein Gestammel im Deutschunterricht von sich gibt, bekäme ein „ungenügend“ dafür.

Ach ja, die ZIP-Datei, die an die Mail gehängt ist. Sie besteht aus 244,9 KiB komprimierter Güte und enthält genau eine Datei. Und diese ist ein direkt ausführbares Programm für Microsoft Windows, das von Kriminellen mit einer Spam zugestellt wurde. Wer dieses Progrämmchen gestartet hat, hat verloren. Der Rechner, an dem er sitzt, gehört jetzt anderen und wird aktiv missbraucht. Die Schadsoftware wird zurzeit immer noch nicht (die Mail ist ca. 20 Stunden alt) von der Mehrzahl der so genannten „Antivirus“-Programme erkannt. Unglücklicherweise ist sie zumindest bei mir durch den Spamfilter geflutscht. Wer sich auf Automatismen verlässt und ansonsten von seiner Neugierde getrieben auf alles klickt, was sich nur klicken lässt, kann also darauf reinfallen. Wer sich angewöhnt, solchen Schrott einfach zu löschen, hingegen nicht. Sogar, wenn er gar keinen „Virenscanner“ hat…

Diese Spam wurde mechanisch erstellt und kommt ohne Grußformel.

You have 1 personal notification from Facebook Service

Sonntag, 27. Januar 2013

Soso, von Facebook, und das als jemand, der gar nicht Facebook nutzt. Und nein, das ist nicht die Spam, die man wirklich vom nach Spam stinkenden „Fratzenbuch“ bekommen kann, denn diese kommt zweifelsfrei von Facebooks Servern und nicht wie dieses Exemplar aus dem IP-Bereich eines finnischen Internet-Anbieters. Also ist schon einmal völlig klar, dass hier jemand den Eindruck eines anderen Absenders erwecken will. Warum sollte man das wohl wollen?

Sämtliche Links führen in die Domain dogukanspor (punkt) com, die zurzeit keine Startseite, sondern ein Zugriffsverbot präsentiert. Die Links funktionieren allerdings. Diese Domain ist – man hätte es beim Namen schon erraten können – von einem türkischen Sportverein aus dem sonnigen Sarkaya registriert – nicht einmal 100 Kilometer vom Schwarzen Meer entfernt, und bei der Kälte draußen darf man sich so etwas gar nicht anschauen… Die bei der Registrierung der Domain angegebene Anschrift dieses Vereines existiert. Mit an Sicherheit grenzender Wahrscheinlichkeit wurde die Website des Sportvereines von Kriminellen „übernommen“, und das dürfte auch der Grund sein, warum dort zurzeit keine Website zur Verfügung steht. Leider bedeutet das nicht, dass die wahrscheinlich klandestin hochgeladenen Inhalte dort auch verschwunden wären. Da die Spam über das Wochenende kam, ist es gut möglich, dass sich einfach nur noch niemand die Sache angeschaut hat, der etwas davon versteht – und das Offline-Nehmen der Website war eine Notbremse angesichts eines laufenden Missbrauchs des Webservers durch die organisierte Internet-Kriminalität.

Was erwartet einem Menschen, der in diese Spam „von Facebook“ klickt?

Nach dem bereits Erwähnten ist klar, dass es nichts Gutes sein wird. Ich habe bei meinem Test natürlich die eindeutige Kennung am Ende der URI entfernt, und ich habe auch keinen graphischen Browser benutzt, und so kam ich nach einer Kaskade von neun Weiterleitungen über diverse Domains, die vermutlich ebenfalls über kriminelle Angriffe in die Kontrolle der Verbrecher gerieten, schließlich bei einer Pimmelpillen-Apotheke der vertrauten Betrugsmarke „Canadian Pharmacy“ an. Über diese ziemlich unverständliche „Nummer“ habe mich ja schon öfter gewundert.

Das liegt daran, dass ich einfach zu vorsichtig gewesen bin, um die Nummer so zu sehen, wie sie einem naiv in die Mail klickenden Menschen widerfährt. Wer da unvorsichtigt reinklickt, bekommt nämlich von den freundlichen Verbrechern eine brandneue Kollektion aktueller Schadsoftware untergeschoben.

Deshalb klickt man eben nicht in Spams. Und deshalb versucht man, Spams zu erkennen.

Wie hätte man diese Spam als Spam erkennen können

Es gibt mehrere deutliche Indizien, die einen auch dann skeptisch machen sollten, wenn man bei Facebook ist:

Die Sprache stimmt nicht
Ganz Facebook sieht man in Deutsch, aber dann soll Facebook auf einmal englische Hinweismails versenden? Facebook weiß, welche Sprachen seine Nutzer eingestellt haben.
Die Mail kam ohne Anrede
Facebook weiß, wie seine Nutzer heißen, und Facebook wird seine Nutzer mit Namen ansprechen. Das ist nach diversen Datenschleudereien großer Unternehmen zwar kein völlig sicheres Kriterium mehr, aber wenn die persönliche Ansprache in so einem Fall nicht vorhanden ist, darf die Mail sicher als Spam aussortiert werden.
Der Absender passt nicht
Facebook würde selbstverständlich mit einer Absenderadresse @facebook.com mailen. In diesem speziellen Fall offenbart sich die Spam schon beim Blick auf den Absender. Aber natürlich ist die Absenderadresse beliebig fälschbar.
Die Mitteilung ist inhaltlicher Bullshit
Diese Mail teilt gar nichts mit. „Ihr Account wurde erfolgreich auf den neuesten Stand gebracht“… wer zum Henker würde so etwas mit einer Mail raussenden? Ohne weitere Erläuterung? Ohne Kontext? Eine sinnlose technische Mitteilung, die nichtssagend, überflüssig und lästig ist? So schlecht ist nicht einmal Facebook.

Allein aus diesen Offensichtlichkeiten zeigt sich, dass es sich um eine Spam handelt.

Natürlich können derartige Spams besser werden. Natürlich kann der Absender überzeugender gefälscht werden. Natürlich können die abgegriffenen Daten der letzten großen Datenlecks erworben werden, um eine persönliche Anrede zur Mailadresse zu haben. Natürlich können die Texte besser formuliert werden. Natürlich können Menschen in ihrer Sprache angesprochen werden. Solche Verbesserungen werden kommen. Vielleicht in zwei Jahren. Vielleicht aber auch schon übermorgen. Niemand – niemand, außer ein paar Kriminellen natürlich – weiß, welche Pläne die organisierte Internet-Kriminalität in welchem Tempo verfolgt.

Deshalb ist es ganz wichtig, sich anzugewöhnen, generell nicht in den E-Mails von Social-Media-Websites herumzuklicken. In der hier gezeigten Mail steht zum Beispiel nichts, was man im Falle einer echten Mitteilung von Facebook nicht auch auf der Website von Facebook sehen würde. Und wer bei Facebook ist, schaut da ja regelmäßig rein. (Und wer nicht mehr reinschaut, sollte sich über die Löschung seines Accounts bei diesem Spammer und professionellen Anbieter von Trojanern für persönliche, mobile Computer Gedanken machen.)

Es gibt also objektiv keinen Grund, in diese E-Mail zu klicken. Genau so, wie es für Facebook objektiv keinen Grund gäbe, diese E-Mail zu versenden, wenn sie denn von Facebook käme. Das gleiche gilt für alle Mails von Twitter, LinkedIn, Xing, Google Plus, MySpace und wie der ganze Zoo der geschäftlichen Beziehungsverwertung noch heißen mag.

Wer es sich angewöhnt, niemals in solchen Spams herumzuklicken, sondern stattdessen direkt die Website besucht, von der die Mail angeblick kommen soll, ist gegen diese kriminelle Überrumpelung völlig immun. Bei Kreditinstituten sollte man sich diese einfach Haltung schon längst angewöhnt haben, um niemals auf Phishing-Maschen hereinzufallen. Eine ganz einfache Grundregel, unkompliziert in der Anwendung: Niemals in die Mail klicken, sondern stattdessen einfach die Website besuchen! Diese ganz einfache Grundregel schützt vor einem Großteil der Phishing-, Schadsoftware- und Betrugsattacken, die zurzeit umlaufen.

Ein „Antivirenprogramm“ hingegen erkennt „nur“ Schadsoftware, die bei den Programmierern des „Antivirenprogrammes“ schon bekannt ist; sie hinkt den Kriminellen also immer um ein bis drei Tage hinterher. Der beste Schutz vor Schutz vor Schadsoftware ist nicht im Computer, sondern vorm Computer! Er lässt sich durch nichts anderes ersetzen.

Rechnungen von ImmobilienScout24?

Dienstag, 15. Januar 2013

Davon gibt es im Moment viele, immer mit anderen Absendern und mit verschiedenen Betreffzeilen, aber dem immer gleichen Text:

Sehr geehrte Kundin, [sic!]

Sie finden die Rechnung in der PDF-Datei im Anhang

Mit freundlichen GrГјГџen
Ihr ImmobilienScout24 Team
____________________________
Hinweis: Dies ist eine automatische E-Mail. Bitte schicken Sie keine Nachrichten an diesen Absender.

Immobilien Scout GmbH HRB 77017

Mit freundlichen WAS?!

Natürlich kommt diese Rechnung ohne persönliche Ansprache (erstes Alarmzeichen) und ohne Bezugnahme auf irgendeinen Geschäftsvorfall, die der Empfänger „entziffern“ kann – die „Rechnungsnummern“ in vielen Betreffzeilen sind einfach nur Zufallszahlen. Wer den Anhang öffnet, der zurzeit von keinem Scanner als Schadsoftware erkannt wird, hat verloren, wenn er dazu den Adobe Reader verwendet. Dass diese Mail nicht von ImmobilienScout24 kommt und dass der Absender gefälscht ist, muss ich wohl nicht eigens erwähnen…

Alles weitere gibts bei Heise Online.