Schlagwortarchiv „Schadsoftware“

message Die mobileTAN, F:Sparkasse 663196786198

Dienstag, 25. September 2012

Eine tolle Mail mit der gefälschten Absenderadresse support (at) online (punkt) sparkasse (punkt) de:

message Die TAN für die Euro-Eilüberweisung vom Tue, 25 Sep 2012 15:59:38 +0530 über 3.059,00 EUR auf die IBAN F813286000060000000031246095 lautet: 406614 . F:Sparkasse

Was denkt sich dieser freundliche Idiot von Spammer?

Vermutlich denkt der Kopfhohlraum sich, dass eine unverständliche, wie ein SMS-Textstummel formulierte E-Mail ein unwiderstehlicher Anreiz ist, den in der Mail völlig unerwähnten und zur SMS-Ästhetik gar nicht passen wollenden Anhang der Mail zu öffnen. Dieser ist ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet. Zwar findet die beliebte freie Avira-Version in dieser Datei kein Virus¹, aber so ein Antivirusprogramm findet ja auch nur Schadsoftware, die schon ein oder zwei Tage alt und damit bei den Programmierern des Programmes bekannt ist. Deshalb sollte man sich auch niemals auf Software verlassen, deren Werbung bequeme Sicherheit vespricht, denn sie ist kein Ersatz für ein Gehirn. Ein aktiviertes, handelsübliches Gehirn vor dem Computer erkennt hier nämlich, dass es sich um eine ausführbare Datei handelt, die von einem Kriminellen an eine plump formulierte Mail mit gefälschter Absenderadresse gehängt und mutmaßlich hunderttausendfach versendet wurde (natürlich auch an Leute wie mich, die keine Kunden bei der Sparkasse sind und wegen ihrer Lebenssituation nicht einmal ein Konto bekämen) – und kommt gar nicht erst auf die Idee, klicki klicki zu machen, sondern bewegt den Finger mit zielgerichteter Geste in Richtung Löschtaste…

Wer die Datei aus einen für mich nicht nachvollziehbaren Grund ausgeführt hat, hat jetzt allerdings einen Computer anderer Leute vor sich stehen, mit dem Leute aus der organisierten Internet-Kriminalität machen können, was sie wollen. Und das werden sie tun.

¹Mit Avira Free überprüft auf einer Windows-Installation in einer virtuellen Maschine.

Reservation Confirmation

Mittwoch, 5. September 2012

Oh, was kommt denn da über eine Mailadresse, die ich niemals persönlich benutze, aber in einigen minderwichtigen Webforen als meine Mailadresse angegeben habe – sieht ja aus, als wäre mal wieder großer Forencracktag bei Spammers gewesen…

Hotel Confirmation:
(Blackberry Farm) 5445505
Date: Mon, 3 Sep 2012 15:14:42 -0300

Herewith you receive the electronic reservation for your hotel. Please refer to attached file for full details.

HOTEL Blackberry Farm
Arrival: Friday, September 07, 2012

Departure: Sunday, September 09, 2012
Number of rooms: 1
Sincerely,
Customer Service Team

Booking.com http://www.booking.com

Your Reference ID is: OPIT0
The Booking.com reservation service is free of charge. We do not charge you any booking fees or administration fees, and in many cases rooms offer free cancellation.
Booking.com guarantees the best hotel rates in both cities and regional destinations – ranging from small family hotels to luxury hotels.

Aha, diese kriminellen Idioten haben also angeblich ein Hotelzimmer für mich reserviert, und die wissen nicht einmal, wie ich heiße. Ist wahrscheinlich auf meine Mailadresse reserviert, das Zimmerchen.

Überflüssig zu erwähnen, dass der Mailanhang nicht etwa nähere Informationen enthält, sondern ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows herumliegt. Wer diese Datei unter Windows ausgeführt hat, hat ein Problem und sollte bei nächster Gelegenheit seinen Rechner plattmachen und neu installieren – es ist im Moment eh ein Rechner anderer Leute, die damit jede nur denkbare Form der Kriminalität betreiben.

Aber auf so einen plumpen Versuch wird doch niemand hereinfallen, oder?!

Es ist ein Problem aufgetreten: Unsere Einzahlung eines Betrages von 15.000,00 Euro auf Ihr Bankkonto bei Sparkasse

Montag, 2. Juli 2012

Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!

Guten Tag,

Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.

im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.

Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.

Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.

Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…

Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.

Bestelldaten überprüfen

…klick auf meinen tollen Link!

Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.

Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…

Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.

…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.

Abteilung Rechnungswesen

Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.

Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:

Quelltext der kriminellen Zielseite dieser Spam

Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!

Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.

Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.

Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.

Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉

YouTube Service sent you a message: Your video on the TOP of YouTube

Montag, 2. Juli 2012

Hui, und sogar an die Mailadresse, mit der das YouTube-Konto wirklich registriert wurde! Und mit dem gefälschten Absender service (at) youtube (punkt) com! Warum „YouTube“ wohl nicht die Infrastruktur von Google, sondern einen Rechner mit dynamischer IP-Adresse eines polnischen Zugangsproviders für den Mailversand verwendet? Ach ja, weil das eine Spam ist, die mit einer besonders tollen Masche Menschen zum Klicken bringen will:

YouTube Service has sent you a message:

Your video on the TOP of YouTube
To: exxxxxxxr (at) googlemail (punkt) com

http://www.youtube.com/watch?v=27blU03a&feature=topvideos_mp

You can reply to this message by visiting your inbox.

Wer auf irgendeinen der Links klickt, kommt nicht etwa auf die Seiten von YouTube, sondern auf eine „kanadische Pimmelpillen-Apotheke“, die aber auch nur vordergründig ist. Während der Betrachter sich über diesen unerwarteten Anblick einige Sekunden lang wundert, läuft in einem unsichtbaren IFRAME eine recht umfassende Attacke auf den Browser ab. Wenn diese Erfolg hatte, hat man eine frische Sammlung von Schadsoftware auf seinem Rechner.

Deshalb klickt man eben nicht in Spams.

Wie hätte man die Spam erkennen können

Nicht jeder wird bei solchen Mails in den Mailheader schauen, um mit Hilfe eines whois-Tools festzustellen, dass es sich um eine Spam handelt. Auch, wer diese Mühe scheut, kann die Spam sicher erkennen

Sprache – YouTube würde mich in meiner eingestellten Sprache anmailen, die natürlich Deutsch ist.

Anrede – YouTube würde mich auch ansprechen, und zwar mit meinem bei YouTube gewählten Nick.

Videolink – YouTube weiß doch, wie ich das Video genannt habe, das da angeblich gerade so viel Aufmerksamkeit auf sich zieht. Deshalb würde in einer HTML-Mail von YouTube der Name des Videos verlinkt, den ich im Gegensatz zur URL des Videos leicht wiedererkenne.

Allein diese drei Kriterien sollten bereits ausreichen, um auf diese Masche nicht hereinzufallen. Es gibt aber noch einen vierten, ungleich stärkeren Beleg dafür, dass es sich bei dieser Mail um eine Spam handelt, den man ebenfalls vor jedem Klick sehen kann:

Links – Wenn der Mauszeiger über dem Link ist, wird in der Statusleiste der Mailsoftware (oder bei Webmailern: des Browsers) die Linkadresse sichtbar, ohne dass man darauf klicken muss, um die verlinkte Seite anzusurfen. Im Falle dieser Spam liegt die Linkadresse in der Domain pattours (punkt) net, was ganz sicher nicht die YouTube-Website ist. Das gilt auch für den angeblichen Link auf das Video, der ja zu YouTube führen soll. Solche „Tricksereien“ haben nur kriminelle Spammer nötig. Eine so verlinkte Website ist eine klare Empfehlung, einen ganz großen Bogen darum zu machen.

Ein kurzes Nachdenken und ein bisschen Vorsicht vor einem Klick kann einem eine Menge Ärger ersparen. Es ist noch nicht einmal technisches Wissen erforderlich, um diese Spam als solche zu erkennen und „artgerecht“ durch Löschung zu behandeln. Dieses kurze Nachdenken und Quäntchen Vorsicht empfiehlt sich besonders bei aufrüttelnden, spektakulären Mailinhalten wie etwa der Behauptung, dass sich gerade die halbe Welt wie verrückt ein Video auf YouTube anschaut. Denn das ist zumindest bei den Videos, die ich mal hochgeladen habe…

…mehr als nur ein bisschen unwahrscheinlich. 😉

Und das ist auch das fünfte Kriterium zur sicheren Erkennung der Spam – jedenfalls bei den meisten Empfängern dieses miesen kriminellen Versuchs.

Google Notification

Sonntag, 1. Juli 2012

Dear Google User,

Ich weiß zwar nicht, wer du bist und kann dich deshalb auch nicht anreden, aber Google wirst du ja schon mal benutzt haben.

Attached to this e-mail is the notification of your winnings from the Google Incorporation, kindly view the attached document for your perusal.

Oh, tatsächlich, da hängt ja ein lustiges PDF dran. Ich habe mal wieder fast eine Million Pfund gewonnen, in so einer Lotterie, bei der niemand ein Los kaufen muss:

Ein bisschen unglaubwürdig ist das aber schon. Google scheint ja gar keinen Wert darauf zu legen, sein eigenes Firmenlogo in einer halbwegs ansprechenden Qualität auf einem derartigen Brief unterzubringen. Stattdessen so ein winziges, total verwaschenes Etwas, das auch ein paar JPEG-Artefakte hat, die beim Großziehen in diesem Strunzbrief auch noch so richtig schön vergrößert wurden. Das sieht dann in der normalen Dokumentansicht…

…so richtig scheiße aus. Vielleicht hätten die offenbar lobotomierten Spammer einfach mal Google fragen sollen. Dann hätten sie wahrscheinlich auch nicht die Version genommen, die Google seit dem 5. Mai 2010 nicht mehr verwendet. Na, wenigstens ist es kein noch älteres geworden.

Muss ich noch sagen, dass diese Mail nicht von Google kommt? Und dass da nur ein paar Betrüger leichtgläubigen Leuten das Geld aus der Tasche ziehen wollen. Den Gewinn gibt es natürlich nicht, aber dafür werden ein paar hundert Euro Vorleistungen aller Art fällig, immer schön anonym über Western Union und MoneyGram zu bewegen, damit dieses Geschmeiß auch ja nicht ins Gefängnis geht.

Congratulations.
GPA TEAM®

Ihr mich auch!

Hi Dear Friend

Samstag, 9. Juni 2012

Weil gerade so viel PayPal-Phishing bei mir ankommt, sei auch diese wunderschöne Kombination aus dem Streben nach gestalterischer Exzellenz und der Unfähigkeit zum adäquaten Ausdruck hier kurz erwähnt:

Hi Dear Friend, You violated the Terms of Service of 1.8 and we have to block your account. Look for a detailed explanation on the website of ... service. With regards www.paypal.com

Egal, auf welchen Link einer klickt: Sie gehen alle zur Website der Schurken.

Anders, als man auf dem ersten Blick glauben möchte, geht es hier allerdings nicht um Phishing. Vielmehr ist die Zielseite eine kaum durchschaubare JavaScript-Wüste zusammen mit der Aufforderung, doch bitte ein paar Sekunden Geduld zu haben, bis zur eigentlichen Seite weitergeleitet wird. Ich habe das nicht vollständig analysiert, sondern mir nur einen flüchtigen Eindruck davon verschafft. Es wird ein unsichtbarer IFRAME verwendet, um darin verschiedene Multimedia-Dateien darzustellen, es wird versucht, in einem anderen unsichtbaren IFRAME ein kleines PDF darzustellen, es wird ein relativ kleines Java-Applet eingebettet und Flash kommt auch nicht zu kurz. Desweiteren werden mehrfach obskure HTML-Dokumente in anderen unsichtbaren Bereichen geladen.

Oder kurz gesagt: Hier wird mit hoher Wahrscheinlichkeit jede bekannte Sicherheitslücke ausgenutzt, wenn sie offen ist.

Die flapsige Formulierung und der dumme Stil sind vermutlich keine Unfähigkeit, sondern Kalkül. Menschen, die eine derartige Mail mit der Anrede „Hallo lieber Freund“ für eine Geschäftskorrespondenz halten, werden wohl in der Regel auch keine besonders gut gesicherten Rechner verwenden…

Und diese Dummheit einiger Leute versaut dem Rest der Internetnutzer das Leben.

Ein Fehler in der Lieferanschrift

Freitag, 8. Juni 2012

Diese Mail kommt nicht von der Deutschen Post, und auch wenn das Piktogramm des Anhanges so aussieht, handelt es sich nicht um ein PDF, sondern um eine ausführbare Datei für Microsoft Windows. Wer auf dieses scheinbare PDF geklickt hat, hat einen Rechner vor sich stehen, der nicht mehr ihm selbst, sondern organisiert Kriminellen gehört und von diesen auch benutzt wird.

Die Schadsoftware ist wirklich gefährlich und wird von vielen Virenscannern zurzeit noch nicht erkannt. Den Müll bitte ungeöffnet löschen!

Alles weitere bitte bei Heise Online nachlesen.

Warum man nicht überall seinen Namen angibt?

Sonntag, 27. Mai 2012

Nunja, nichts Weltbewegendes, dass Viren und Trojaner per Email versandt werden ist nicht neu, überrascht hat mich lediglich die persönliche Anrede mit korrektem Vor- und Nachnamen […]

Weiterlesen bei sysadmin’s life: Matsnu Trojaner mit Rechnungsanhang per Email!

Und niemals, niemals, niemals ohne zwingenden Grund irgendwo den echten Namen angeben! Schon gar nicht zusammen mit der Mailadresse. Eine Spam mit persönlicher Ansprache ist nun einmal wesentlich überzeugender als der übliche unpersönliche Stil, der leicht auffällt und zur Vorsicht mahnt – und ist erstmal ein Mailanhang der organisiert Internet-Kriminellen geöffnet oder ein Link in einer Spam angeklickt, ist es oft zu spät.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.