Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Ruckzahlung auf PayPal-Guthaben

Samstag, 1. Dezember 2012

Aber ich habe doch gar nichts bezahlt…

PayPal

Aber ganz bestimmt eine echte Mail von PayPal! Nicht. Versendet über einen (nahezu sicher von organisiert Kriminellen mit Schadsoftware übernommenen) Privatrechner, der über eine dynamische IP aus Irland mit dem Internet verbunden war.

Fri, 30 Nov 2012 11:59:31 +0000
Transaktionscode: 0TM1494289502851K

Ein echt wichtig aussehender Transaktionscode. Und so menschenverständlich. Und so frei von jedem Verwendungszweck, der den Empfänger mal klar machen könnte, worum es hier überhaupt geht. Und mit Datumsangabe, die mal eben schnell mit asctime() erzeugt wurde, weil dem Spammer diese komplizierten Formatangaben für strftime() ein bisschen zu kompliziert waren und er deshalb lieber darauf verzichtet hat, ein freundliches und vielleicht etwas überzeugenderes Datumsformat zu verwenden – zum Beispiel eines, bei dem nicht der Offset zur UTC angegeben wird…

Guten Tag!

Natürlich hat der Verfasser dieser kriminellen Spam – im Gegensatz zum echten PayPal, das einen Kunden anschreibt – keine verdammte Ahnung, wie der Empfänger heißt.

GmbH hat Ihnen soeben eine Teilruckzahlung von ˆ478,99 EUR fur Ihren Einkauf gesendet.

Aber nicht nur das: Er hält „GmbH“ scheinbar für eine überzeugende Firmierung.

Wenn Sie Fragen zu dieser Ruckzahlung haben, wenden Sie sich bitte an GmbH.

Klar, denn „GmbH“ macht immer „Rückzahlungen“ ganz ohne jeden Grund und schreibt niemals einen aussagekräftigen Verwendungszweck dazu.

Der Ruckzahlungsbetrag wird direkt Ihrem PayPal-Konto gutgeschrieben.

Der Weihnachtsmann wohnt am Nordpol. Aber wichtig ist ja, dass die Gier des Empfängers angesprochen wird, denn Gier macht dumm. Und wer dumm ist, der…

Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoubersicht. Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird. Details der ursprunglichen Transaktion: Mehr Details in der beigefugten Datei
Rechnungsnummer: K24189993905942838399

…schaut sich vielleicht die „beigefügte Datei“ an. Diese ist ein ZIP-Archiv, das eine ausführbare Datei für Microsoft Windows enthält, die so tut, als wäre sie ein PDF. Wer diese Datei auf seinem Computer ausgeführt hat, der hat verloren und muss jetzt versuchen, den Schaden nachträglich im Rahmen zu halten.

Ihr Team von PayPal

Mit Gruß von Kriminellen, die sich darauf verlassen, dass sich immer ein paar Opfer unter den vielen hunderttausend Empfängern ihrer Drecksspam finden. Leider haben sie zumindest darin recht.

Hilfe-Center | Sicherheits-Center

Übrigens gehen diese Links in der Spam wirklich zu PayPal, denn in dieser Spam geht es nur darum, Computer mit Schadsoftware zu übernehmen, um sie anschließend für kriminelle Aktivitäten zu missbrauchen. Vor allem das Sicherheits-Center von PayPal kann ich jedem nur empfehlen, der angesichts des (gefälschten) Absenders service (at) paypal (punkt) de glaubt, so eine kriminelle Drecksmail könnte vielleicht doch echt sein. Hier nur kurz der wichtigste Hinweis: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang“. Und natürlich „Wir sprechen Sie immer mit vollständigem Vor- und Nachnamen an“. Wer an solche Kleinigkeiten denkt, statt sich von seiner Gier blind machen zu lassen, fällt niemals auf derart plumpe Überrumpelungen herein.

Bitte antworten Sie nicht auf diese E-Mail. E-Mails an diese Adresse werden von uns nicht gelesen. Um mit einem Mitarbeiter unseres Kundenservice zu sprechen, loggen Sie sich in Ihr PayPal-Konto ein und klicken Sie unten auf „Kontakt“.

Der Absender der Spam ist gefälscht.

Copyright © 2012 PayPal. Alle Rechte vorbehalten.

Diese Mail ist nicht von PayPal, sondern versucht nur so zu tun, als wäre sie von PayPal.

message MMS (multimedia messages)

Montag, 26. November 2012

Um es gleich klarzustellen: Diese E-Mail kommt nicht von Vodafone. Sie kommt auch bei Menschen wie mir an, die gar keine Vodafone-Kunden sind. Außerdem würde Vodafone den Empfänger mit seinem richtigen Namen ansprechen und da nicht als Anredeersatz eine elfstellige Zufallszahl nach der Vorwahl für Deutschland verwenden.

Was es bedeutet, wenn diese Mail nicht von Vodafone kommt, kann sich hoffentlich jeder selbst erklären: Es handelt sich um die Spam von Kriminellen, die es für ihre ganz besonderen „Geschäftchen“ nötig haben, solche falschen Eindrücke zu erwecken.

Mobile: +49809791419 PDF-Datei im Anhang dieser E-Mail -- Mit Hilfe dieses Services können Sie die von Ihnen empfangene MMS (multimedia messages) ansehen. Diese können Sie an andere Empfänger weiterleiten MMS können von Benutzern versendet werden, die ein MMS-fähiges Handy besitzen. MMS können Bild, Ton oder Video- Daten enthalten. Wenn Ihr Handy diese Nachrichten nicht anzeigen kann, wird diese hierher gesendet wo Sie die MMS ansehen können. Login -- Ihr Vodafone Team

Wie man an der Mail schon erahnen kann, ist der Zweck der ganzen Übung, den Empfänger zum Öffnen des Anhanges zu bewegen. Dieser ist ein ZIP-Archiv, in dem sich eine Datei befindet, deren Dateiname auf .pdf.exe endet – also eine ausführbare Datei für Microsoft Windows, die einem von Kriminellen unter Vorspiegelung falscher Tatsachen zugespielt wird. Windows in der Standardkonfiguration zeigt natürlich die Dateinamenserweiterung nicht an, so dass der werksseitig unsichere Rechner mit Betriebssystem von Microsoft den Eindruck erweckt, es handele sich um ein PDF-Dokument – ich bin mir sicher, dass dafür auch ein passendes Icon gewählt wurde.

Wer diese Datei mit einem Doppelklick ausgeführt hat, hat verloren. Da es natürlich wieder einmal eine neue Schadsoftware ist (also ein paar triviale Änderungen an einer schon bestehenden, damit sie nicht mehr von Virenscannern erkannt wird), hilft in vielen Fällen auch der Schlangenöl-Schutz durch einen Virenscanner nicht. Insbesondere versagen momentan BitDefender, F-Secure, Kaspersky und Sophos und erkennen diese Schadsoftware nicht. Wer sehen möchte, wie schnell oder langsam hier Fortschritte gemacht werden, kann die Sache auf VirusTotal verfolgen.

Der einzige Schutz gegen so kriminelle Überrumpelung ist und bleibt: Spam erkennen und niemals das tun, was der Spammer möchte! Spam unbesehen löschen! Irgendwelche „Sicherheitsprogramme“ helfen gar nicht.

You have received a new message

Mittwoch, 7. November 2012

Der (natürlich gefälschte) Absender der E-Mail ist mms (at) vodafone (punkt) de, und sogar einer der Links in der Mail führt zur Vodafone-Website. Diese Mail kommt nicht von Vodafone. In meinem Fall wurde sie von einer dynamischen IP-Adresse aus den Vereinigten Arabischen Emiraten versendet, also von einem mit Schadsoftware kriminell übernommenen Privatrechner.

You have received a picture message from mobile number +491629848169

Eine Ansprache gibt es nicht. Und obwohl „Vodafone“ meine Mailadresse kennen will, kennt es nicht meine Telefonnummer oder meinen Namen. Wozu auch? Um derartige Nachrichten zu bekommen, müsste ich ja nur Kunde sein…

To save this picture, please save attached file.

Darum geht es. Der Rest ist Blah:

You can reply once to this message via MMS for free!
To send a reply containing pictures, audio or video, click here to visit our on-line composer.
Alternatively, you can send a text-only reply (limited to 500 characters), simply by clicking your usual reply button. By replying to this message you agree to our terms and conditions. Please see our Website Terms and Conditions at http (doppelpunkt) (doppelslash) www (punkt) vodafone (punkt) de (slash) termsandconditions for full details.
Only one reply is possible until 11/11/2011.

Oh, da muss ich mich aber beeilen, um bis zum letzten Jahr mit meiner Antwort fertig zu werden.

© 2012 Vodafone D2 GmbH

Nein, diese Mail kommt nicht von Vodafone. Aber das habe ich ja schon gesagt.

Ziel der Spammer ist es, dass man den Anhang öffnet. Dieser ist bei mir ein ZIP-Archiv namens Vodafone_MMS.zip mit einer Dateigröße von 27,2 KiB. Darin ist eine Datei, deren Namen auf .jpg.exe endet, so dass es für Leute, die Microsoft Windows in den Standardeinstellungen betreiben, so aussieht, als handele es sich um ein JPG-Bild¹. Wer darauf geklickt hat, der hat verloren und „darf“ sich jetzt Gedanken darüber machen, wie er seinen Rechner wieder sauber bekommt.

Hier die obligatorischen Ergebnisse eines Scans durch virustotal.com.

¹Deshalb sollte man unbedingt die Einstellung „Dateinamenserweiterung anzeigen“ aktivieren. Das ist eine der ganz einfachen Maßnahmen zur Erhöhung der Sicherheit. Wenn jemand am Dateinamen sieht, dass ihm eine ausführbare Datei als Bild untergejubelt werden soll, wird er auch unter den Bedingungen anfallsartiger Neugierde nicht darauf klicken. Dieser Trick der Spammer ist wirklich alt, aber er funktioniert immer noch. Für Microsoft ist das freilich kein Grund geworden, standardmäßig den vollständigen Dateinamen anzuzeigen. An einem guten Teil der ganzen Spampest trägt Microsoft eine beachtliche Mitschuld, da diese Firma Bedingungen schafft, in denen Nutzer standardmäßig nicht den wirklichen Charakter einer Datei erkennen können.

Deutschland ist Weltspitze!

Freitag, 26. Oktober 2012

Hier gibt es keine Spam, sondern eine lesenswerte Meldung zum Thema Spam und meinen Kommentar dazu

Zumindest sind Menschen in Deutschland Weltspitze darin, Spams mit gefährlicher Schadsoftware zu empfangen, wie Heise Online vermeldet:

Deutsche Internet-Nutzer fanden im September weltweit die meisten schädlichen Anhänge und Links in ihren Postfächern vor und lösten damit die USA an der Spitze ab […] Auffallend ist dabei die steigende Zahl der Trojaner und Backdoor-Programme, die zum einen à la BKA-Trojaner das Betriebssystem sperren und zum anderen Schadsoftware wie Spam-Bots nachladen können.

Ich habe zu dieser Entwicklung eine bescheidene Meinung, die ich leider nicht mit weiteren Fakten belegen kann, aber dennoch für sehr einleuchtend halte.

Warum gibt es dieses Geschäftsmodell mit Erpressungstrojanern in Deutschland; mit Schadsoftware, die sich in den Startvorgang von Microsoft Windows einnisstet und den Rechner mit der (immer erlogenen) Behauptung blockiert, dass er von der Bundespolizei, der GEMA, dem BKA, der GVU oder anderen Institutionen gesperrt sei und dass zur (niemals stattfindenden) Aufhebung der Sperre ein Betrag von hundert Euro über ein anonymisierendes Verfahren bezahlt werden müsse? Warum lassen sich in der Bundesrepublik Deutschland offenbar genug erwachsene Menschen dazu hinreißen, so etwas für glaubwürdig zu halten? Was unterscheidet die Zustände in Deutschland so sehr von den Zuständen in anderen Ländern, dass es für die organisierte Kriminalität sinnvoll geworden ist, ihr „Geschäft“ schwerpunktmäßig für die „Zielgruppe“ Menschen in der Bundesrepublik Deutschland zu betreiben?

Sind die Menschen hier etwa dümmer?

Ich glaube nicht, dass die Menschen in Deutschland dümmer sind als – sagen wir mal – in Frankreich oder in den Niederlanden. Aber in der Bundesrepublik ist das Immaterialgüterrecht für das Rechtsempfinden juristischer Laien ganz besonders undurchschaubar verwickelt, und beinahe jede gewöhnliche Webnutzung ist potenziell ein teurer Rechtsbruch. Dies kombiniert sich mit einer breit durch alle Medien gezogenen Angstpropaganda der Rechteverwertungsindustrie, die mit absurden Forderungen nach immer weiter gehender Kriminalisierung ganz alltäglicher Nutzungsformen und völlig unverhältnismäßigen Fieberträumen von einer dystopischen Totalüberwachung aller Internetaktivitäten aller Menschen in Deutschland. Die Ausbreitung von Angst, Unsicherheit und Zweifel wird in einer oft dickfellig-aggressiven Weise allmedial kommuniziert und vom (ebenfalls von solchen „Ideen“ profitierenden) Medienapparat alles in allem unkritisch wiedergegeben. Dass auch die von Vertretern der großen politischen Parteien besetzten Innenministerien derartige Ideen aufgreifen, macht die Wirkung dieser Angstpropaganda um so verheerender.

Dass die Fähigkeit vernetzter Rechnersysteme zur Anfertigung verlustfreier Kopien die Grundlage für das Funktionieren des gesamten Internet ist, wird interessanterweise niemals von „Qualitätsjournalisten“ erwogen und berichtet.

In der Folge bildet sich auch beim harmlostesten naiven Webnutzer ein erhebliches Unrechtsgefühl in fast allem, was er tut, und die regelmäßigen Berichte über teils absurd hohe finanzielle Forderungen von Rechteinhabern für marginale Verstöße gegen das Urheberrecht erzeugen bei Menschen mit gewöhnlichem Einkommen – also nicht gerade einem Sebastian Edathy (SPD) – existenzielle Angst.

Auf dieser Grundlage (die Vorstellung weitgehender Überwachung wird jeden Tag in schrillsten Alarmtönen kommuniziert, genau wie Websperren für Internetnutzer) scheint die Sperrung eines Computers eben nicht so absurd, wie sie es ist, und das Angebot, den Rechner gegen hundert Euro entsperren zu lassen (was übrigens nicht geschieht), kann angesichts der sonst üblichen Summen geradezu gnädig erscheinen. Und so überweisen Menschen aus Deutschland, dem Land der täglichen contentindustriellen Angstpropaganda, dermaßen bereitwillig sauer verdientes Geld an die organisierte Kriminalität, dass sich dieses Sondergeschäft für die Verbrecher lohnt.

Wenn sie sich dafür bedanken wollen, bedanken sie sich bei ihrem nächsten Verlag, bei ihrer Zeitung, bei der GEMA, bei der GVU und bei ihrem Innenminister. Diese Leute, Betriebe und Organisationen sorgen dafür, dass sich das Verbrechen in Deutschland lohnt.

Sie könnten auch mal mit einer Aufklärung der Menschen über die wirkliche Rechtslage beginnen, statt bei jeder Gelegenheit zur Freude von kriminellen… sorry… Arschlöchern Angst, Unsicherheit und Zweifel auszubreiten. Aber hierzu ist seit Jahren nicht die Spur einer Bereitschaft erkennbar, stattdessen gibt es konstant großkalibrig verschossene Verdummung auf allen Kanälen.

MAHNUNG nach Vertrag NR9720093935

Montag, 22. Oktober 2012

Jetzt geht dieser Bullshit mit den alarmierenden Mails und den angehängten „Mahnungen“ und „Rechnungen“, die immer ausführbare Dateien für Microsoft Windows sind, schon wieder los.

Sehr geehrter Kunde,

Sehr geehrter Spammer,

bei der Überprüfung der Zahlungseingänge habe [sic!] wir festgestellt, dass Ihre Rechnung Nr. 4686-2012 nicht bezahlt ist.

beim Empfang deiner Mail habe ich festgestellt, dass du mich zwar Kunde nennst, aber nicht einmal weißst, wie ich heiße. Und bei der Überprüfung deines Alarmtextes habe ich mich kringelig gelacht, weil du so ein strunzfauler Sack bist, dass dein Text einfach nur unglaubwürdig klingt. Jeder, der mich auf eine Rechnung hinweist, wird das Rechnungsdatum nennen. Aber um das mit reinzufrickeln, hättest du Arsch ja das von dir verwendete Skript kapieren müssen. Und dafür benötigt man ein handelsübliches Gehirn und ein bisschen Erfahrung.

Bestellung: Nokia FG41 499,91 Euro

Bei der schnellen Eingabe des von dir in einem Akt höchster Kreativität ausgedachten Handymodelles in eine Internet-Suchmaschine durfte ich feststellen, dass das Ding dermaßen schwefelduftbrandaktuell ist, dass es im gesamten Internet keinen einzigen Treffer für diese Typbezeichnung gibt.

Wir verpflichten wir Sie [sic!] ein letztes Mal, Ihre nicht beglichene Rechnung zu bezahlen und damit weitere juristische Kosten [weitere? Da sind doch noch gar keine!] einzusparen [sic!].

Beim Versuch, deinen Text *prust!* ernsthaft zu lesen, wurde ich immer wieder *gacker!* von gebieterischen Lachanfällen *brüll!* unterbrochen.

Wir müssen Ihnen 16,00 Euro zuzüglich zu der noch offenen Forderung als Mahnung in Rechnung stellen. [sic!]

Das liegt auch daran, dass deine besonderen Formulierungskünste an einen Roboter mit echtem Z80A-Elektronengehirn erinnern, der einfach nur ein paar kalt formulierte Formbriefe wiederkäut, ohne dass er dabei besonderen Sinn hineinbrächte.

Wir bitten Sie, den offenen Betrag bis zum 11.10.2012 auf das angegebene Konto zu übersenden.

Beim Blick auf den Kalender habe ich übrigens festgestelt, dass du es mit dem Datum auch nicht so hast.

Der Zahlschein und die Artikel Liste liegen dieser E-Mail als Kopie bei.

Der „Zahlschein“ ist ein ZIP-Archiv, das ein ZIP-Archiv enthält [!], das dann endlich eine Datei mit dem „hochkreativen“ Dateinamen Mahnung 06.10.12 Rechnung (punkt) doc (punkt) com enthält. Es handelt sich um eine ausführbare Datei für Microsoft Windows. Wer so doof ist, dass er Microsoft Windows in den Standardeinstellungen betreibt, so dass er die wirkliche Dateinamenserweiterung nicht sieht, wird sich bestimmt durch ein treffliches Icon dazu hinreißen lassen, diese Datei für ein Dokument aus Microsoft Word zu halten und dieses scheinbare Dokument vielleicht sogar durch einen ebenfalls sehr doofen Doppelklick darauf öffnen. Das allerdings, das öffnet die Tore der Hölle und macht den Computer auf dem Schreibtisch zu einem Werkzeug für die organisierte Kriminalität des Internet. Wer aus dem einen oder anderen Grund (zum Beispiel, weil Computer viel zu schade sind, um sie wegzuwerfen, nur weil moderne Betriebssysteme absurde Hardwareanforderungen stellen) ein etwas älteres Microsoft-Betriebssystem hat, kann sogar ziemlich unbemerkt von seinem Virenscanner so verlassen sein, dass dieser die neueste Brut der Verbrecher gar nicht mehr kennenlernt. Aber auch sonst erkennen die Scanner viele frische kriminelle Programmierungen nicht. Deshalb verlässt man sich ja auch nicht darauf, sondern erkennt solche Müllmails als das, was sie sind und löscht sie einfach.

Mit besten Grüßen

KrausVersand GmbH Aub
Leitung: Carla Krause
Fimen-Nummer: DE299668243

Mit mechanischem Gruß von einem Idioten, der beim Googlen nach der früher ausgedachten Firmierung „Krause Versand GmbH Aub“ festgestellt hat, dass da lauter Leute über seine Spam schreiben und deshalb einen KrausVersand draus gemacht hat.

Dieser Zeitgenosse, der unter käsigem Hirnzerfall zu leiden scheint, ist eben ein ganz Kreativer! :mrgreen:

Yandex Search found malware on your website spam.tamagothi.de

Sonntag, 14. Oktober 2012

Das ist in gewisser Weise nur eine halbe Spam, aber dennoch in seiner Gänze der Erwähnung würdig.

Hi,

Some of the pages on your website may pose a threat to your visitor’s computer security. The number of potentially harmful pages is 1. You can view the details of our malware scan at http (doppelpunkt) (doppelslash) yandex (punkt) com (slash) infected (frageeichen) url (gleich) spam (punkt) tamagothi (punkt) de (kaufmannsund) l10n (gleich) en. To learn about how to find malicious code and delete it from your pages, please go to the help section http (doppelpunkt) (doppelslash) help (punkt) yandex (punkt) com (slash) webmaster (slash) (fragezeichen) id (gleich) 1115235#1115243 of our free website management service Yandex.Webmaster http (doppelpunkt) (doppelslash) webmaster (punkt) yandex (punkt) com/.

Yandex is one of the world’s leading search engines and a popular web portal (http (doppelpunkt) (doppelslash) company (punkt) yandex (punkt) com (slash) general_info (slash) yandex_today (punkt) xml). We continually check all websites in our search index using our own antivirus suite which integrates the signature and the behavioral approaches to malware detection. Read more about our antivirus technology at http (doppelpunkt) (doppelslash) company (punkt) yandex (punkt) com (slash) technologies (slash) antivirus_technology (punkt) xml.

This is an automated message to alert you about a problem detected on your website. This service free [sic!] and does not require registration.

To receive additional information about your website, including the list of infected pages, or to request a check-up after the malicious code has been deleted, please register on our free website management service Yandex.Webmaster (http (doppelpunkt) (doppelslash) webmaster (punkt) yandex (punkt) com).

Best regards,
Yandex Safe Search Team

Wer verstehen möchte, warum ich diese Mail dennoch hier im Spamblog erwähne, lese bitte weiter, was ich zu dieser Mail geschrieben habe und was ich auf Grundlage des Stiles dieser Mails und meiner Erfahrung mit diesem alarmierenden Bullshit von diesen vollständig nutzlosen Mitteilungen von Yandex halte.

Your Transaction Report(s)

Freitag, 28. September 2012

Wie jetzt, ich habe doch gar keine Transaktion angestoßen…

Your Transaction Report(s) have been uploaded to the web site:

https://www.flexdirect.adp.com/client/login.aspx

Please note that your bank account will be debited within one banking business day for the amount(s) shown on the report(s).

Please do not respond or reply to this automated e-mail. If you have any questions or comments, please Contact your ADP Benefits Specialist.

Thank You,
ADP Benefit Services

Es ist leicht, diese Mail als Spam zu erkennen, denn sie verzichtet gegenüber einem angeblichen Kunden auf eine persönliche Anrede – kein Gewerbetreibender, dem etwas an seinen Kunden liegt, würde das tun.

Es handelt sich um eine HTML-Mail. Die Spammer haben offenbar versucht, einen anderen Eindruck zu erwecken, indem sie als Schriftart für den Text „Courier New“ setzten. Das ist aber sehr stümperhaft gemacht worden, wie sich deutlich am Fettdruck der unfreiwillig komischen Grußformel „Thank You“ und am abschließenden Link zeigt.

Der im Text angegebene URL ist mit einer ganz anderen Adresse verlinkt. Bei dieser wird zunächst einmal keine TLS-Verschlüsselung (https:) verwendet, und sie liegt auf einem völlig anderen Server in einem Verzeichnis, dessen Name schon andeutet, dass er automatisch generiert ist (DeTp3 würde ein Verzeichnis in einer echten Website nur selten genannt werden).

Die dort liegende Website bindet von zwei verschiedenen Adressen aus ebenso erkennbar automatisch benannten Unterverzeichnissen (uTNPT911 und 9x82urVs JavaScript-Dateien mit dem Namen js.js ein. Diese veranlassen eine identische Weiterleitung auf eine PHP-Datei auf dem Server mit der IP-Adresse 108.178.59.6.

Mit hoher Wahrscheinlichkeit sind die Server, die hier für die Weiterleitungskaskade verwendet werden, von Crackern übernommen worden. Sie werden von einer Winzerei aus Massachusetts und einer Nonprofit-Organisation aus Costa Rica betrieben.

Was die PHP-Datei, die am Ende dieser Reise durch das Reich der Weiterleitungen liegt, zurückgibt, um den Browser damit zu belasten, konnte ich leider nicht so leicht herausbekommen. Das PHP-Skript existiert, aber es gibt im Standardfall nur einen HTTP-Status 502 (Bad Gateway) zurück, ohne eine Fehlermeldung auszugeben oder irgendetwas anders an den Browser zu senden. Ein Mensch würde eine weiße Seite sehen. Vermutlich ist die Ausgabe abhängig vom Referer, vom User-Agent des Browsers und vielleicht weiteren Eigenschaften der Anfrage (ich habe erfolglos einiges ausprobiert, denn ich bin immer neugierig, was die Kriminellen gerade so treiben…) – hier will sich also jemand verstecken.

Verstecken vor wen? Nicht vor den Opfern, sondern vor allem vor Bots, die Webseiten automatisiert auf Schadcode durchsuchen, um in modernen Browsern eine deutliche Warnung vor dem Besuch einer derartigen Seite anzuzeigen. Denn das wird mit hoher Wahrscheinlichkeit das Ziel dieser ganzen Aktion sein: Dem Menschen, der in die Spam geklickt hat, eine hübsche Kollektion aktueller Schadsoftware unterzujubeln, wenn es irgendeine Lücke gibt, die das zulässt. Vor ein paar Monaten haben sich die Internet-Kriminellen weniger Mühe beim Verstecken gegeben, aber die Masche war die gleiche: Eine aufreizende Mail wegen einer Geldsache, ein Link, und wer darauf geklickt hat, bekam ein ernsthaftes Problem.

Und genau wie vor einigen Monaten gibt es gegen diese Form der Kriminalität einen wirksamen Schutz – und der besteht nicht im versprochenen Schutz einiger Schlangenölverkäufer aus der Antivirus-Industrie:

  1. Spam erkennen und löschen!
    In diesem Fall war es sehr einfach, die Spam zu erkennen, da es eine angebliche Benachrichtigung wegen eines geschäftlichen Vorganges ohne persönliche Ansprache war. Niemand würde seine Kunden so behandeln. Wann immer eine Spam erkannt ist, sollte sie sofort gelöscht werden. Der mögliche Schaden durch einen einzigen Klick ist das bisschen befriedigte Neugier nicht wert.
  2. Niemals von einer Mail in Panik versetzen lassen!
    Natürlich sind die Geschichten der Spammer so, dass sie Alarmstimmung auslösen, um möglichst viele Empfänger zu einer unvernünftigen Reaktion hinzureißen. In diesem Fall wurde etwa die Belastung eines Bankkontos mit einem unbekannten Betrag an die Wand gemalt. Das sollte niemals ein Grund sein, in einer Mail herumzuklicken. Im Zweifelsfall einfach die Website der Bank direkt im Browser aufrufen, sich anmelden und nachschauen, ob alles in Ordnung ist. Übrigens empfiehlt beinahe jede Bank in ihren Sicherheitshinweisen, dass man niemals die Bankwebsite aufruft, indem man in eine Mail klickt. Das hat einen guten Grund. Oder besser: Das hat mehrere Millionen gute Gründe pro Tag, die in vielen Mailpostfächern ankommen.
  3. Augen auf vor jedem Klick!
    Wenn sich der Mauszeiger über einem Link befindet, wird in der Statuszeile sichtbar, wohin dieser Link wirklich führt. Das ist nützlich. Wenn da eine Internetadresse in der Mail steht, und der Link führt auf eine andere Adresse, handelt es sich beinahe ausnahmslos um Betrugsversuche. Gute Mailsoftware wie etwa Mozilla Thunderbird weist auf derartige Versuche übrigens sehr deutlich hin, wenn man eine Mail betrachet. In jedem Fall sollten solche Überrumpelungs-Links ein Grund sein, die Mail zu löschen. Es gibt ein paar Unternehmen, die ihre per Mail versendeten Links über Tracking-Skripten laufen lassen, und deren Kommunikation kann man bei der Gelegenheit gleich mitlöschen. Wer sich bei der Methodik von Kriminellen bedient, um Erfolgsmessungen seiner Reklamemaßnahmen zu machen, darf sich nicht wundern, wenn die angemessene Ächtung der Kriminalität auch auf ihn fällt.
  4. Webbrowser sichern!
    Die Mehrzahl der Versuche, Rechner über präparierte Websites mit Schadsoftware zu missbrauchen, läuft über JavaScript. Es sollte niemals jeder beliebigen Website das Privileg eingeräumt werden, den Code irgendwelcher anonym bleibenden Zeitgenossen im Browser auszuführen. Wer JavaScript nicht völlig abschalten möchte, verwendet ein Browser-Addon wie NoScript, um dieses Privileg bewusst jenen Websites einzuräumen, denen man vertraut. Auch der hier kurz behandelte Crackversuch wäre an einem Addon wie NoScript (oder an abgeschalteten JavaScript) gescheitert. An einem „Antivirusprogramm“ hingegen vermutlich nicht, denn diese Softwaregattung hinkt der kriminellen Entwicklung immer einige Tage hinterher und verbreitet deshalb bei ihren Nutzern eine gefährliche Illusion von Sicherheit.

Aber der wichtigste Schutz vor der Internet-Kriminalität sitzt im Kopfe. Deshalb: Bei der Benutzung des Internet Gehirn einschalten!

Und der wichtigste Helfer der Internet-Kriminaltät ist das blinde Vertrauen in bequeme Sicherheit durch irgendwelche „Sicherheitsfeatures“ in gegenwärtiger Software oder irgendwelche „Antivirusprogramme“ und „Personal Firewalls“. Dies alles ist nur Ergänzung. Unter Betriebssystemen wie Microsoft Windows, die eine erhebliche Anfälligkeit für das Treiben der Cracker haben, vielleicht sogar eine wichtige Ergänzung – aber hier wäre ein weniger anfälliges Betriebssystem die bessere Wahl.

message Die mobileTAN, F:Sparkasse 663196786198

Dienstag, 25. September 2012

Eine tolle Mail mit der gefälschten Absenderadresse support (at) online (punkt) sparkasse (punkt) de:

message Die TAN für die Euro-Eilüberweisung vom Tue, 25 Sep 2012 15:59:38 +0530 über 3.059,00 EUR auf die IBAN F813286000060000000031246095 lautet: 406614 . F:Sparkasse

Was denkt sich dieser freundliche Idiot von Spammer?

Vermutlich denkt der Kopfhohlraum sich, dass eine unverständliche, wie ein SMS-Textstummel formulierte E-Mail ein unwiderstehlicher Anreiz ist, den in der Mail völlig unerwähnten und zur SMS-Ästhetik gar nicht passen wollenden Anhang der Mail zu öffnen. Dieser ist ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet. Zwar findet die beliebte freie Avira-Version in dieser Datei kein Virus¹, aber so ein Antivirusprogramm findet ja auch nur Schadsoftware, die schon ein oder zwei Tage alt und damit bei den Programmierern des Programmes bekannt ist. Deshalb sollte man sich auch niemals auf Software verlassen, deren Werbung bequeme Sicherheit vespricht, denn sie ist kein Ersatz für ein Gehirn. Ein aktiviertes, handelsübliches Gehirn vor dem Computer erkennt hier nämlich, dass es sich um eine ausführbare Datei handelt, die von einem Kriminellen an eine plump formulierte Mail mit gefälschter Absenderadresse gehängt und mutmaßlich hunderttausendfach versendet wurde (natürlich auch an Leute wie mich, die keine Kunden bei der Sparkasse sind und wegen ihrer Lebenssituation nicht einmal ein Konto bekämen) – und kommt gar nicht erst auf die Idee, klicki klicki zu machen, sondern bewegt den Finger mit zielgerichteter Geste in Richtung Löschtaste…

Wer die Datei aus einen für mich nicht nachvollziehbaren Grund ausgeführt hat, hat jetzt allerdings einen Computer anderer Leute vor sich stehen, mit dem Leute aus der organisierten Internet-Kriminalität machen können, was sie wollen. Und das werden sie tun.

¹Mit Avira Free überprüft auf einer Windows-Installation in einer virtuellen Maschine.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.