Schlagwortarchiv „Schadsoftware“

Das Paket wurde bezahlt. Fur Informationen klicken Sie hier und offnen Sie das Dokument.

Freitag, 13. November 2020

Abt.: Überraschungsei des Tages 🥚️

Diese Mail enthält nämlich keinen Text, sondern nur einen Anhang. Es handelt sich um…

$ ls -lh Beachten.zip 
-rw-rw-r-- 1 elias elias 16K Nov 13 14:20 Beachten.zip
$ 7z -l Beachten.zip

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=de_DE.UTF-8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Celeron(R) CPU        E3300  @ 2.50GHz (1067A),ASM)

Scanning the drive for archives:
1 file, 15766 bytes (16 KiB)

Listing archive: Beachten.zip

--
Path = Beachten.zip
Type = zip
Physical Size = 15766

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2020-11-12 12:20:48 ....A        20546        15606  Beachten.xlsb
------------------- ----- ------------ ------------  ------------------------
2020-11-12 12:20:48              20546        15606  1 files
$ _

…ein rd. 16 KiB großes ZIP-Archiv, in dem sich eine einzige Datei befindet, und zwar eine Arbeitsmappe für Microsoft Excel.

Was sagt uns das? 🤔️

Richtig: Es sagt uns: Alarm! Dettelbach ist überall! 🚨️

Es ist jetzt schon völlig klar, dass es sich um einen weiteren Versuch handelt, möglichst vielen Empfängern eine Office-Datei mit Schadsoftware-Makros anzudrehen. Wer das ZIP-Archiv auspackt, die Excel-Arbeitsmappe öffnet und die Ausführung von Makros freischaltet (oder gar aus Gründen den dummen Leichtsinns standardmäßig gestattet), hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. 🧟️

Wie immer: Das Antivirusprogramm hilft nicht. Diese klare Schadsoftware wird zurzeit nur von einem kleinen Bruchteil der gängigen Antivirus-Programme erkannt. Wer sich darauf verlassen hat, ist verlassen. Wer aber sein Gehirn benutzt und nicht auf alles klickt, was sich anklicken lässt, weil ja irgendwo ein Keks vom Computer ausgegeben werden könnte, wenn man nur immer schön klickt; wer weiß, dass E-Mail das wichtigste Einfallstor für Schadsoftware ist, wer weiß, dass ein Absender beliebig gefälscht werden kann, und wer deshalb Mailanhänge niemals öffnet, ohne vorher telefonisch beim Absender rückgefragt zu haben, der ist auf der sicheren Seite. 💡️

Das Gehirn ist und bleibt das beste Sicherheitsprogramm. 🧠️

Nutzt es! 🌞️

Danke für Ihre Bestellung!

Donnerstag, 29. Oktober 2020

⚠️ WARNUNG! Auf gar keinen Fall den Anhang solcher Rechnungen öffnen. Es ist das reinste Gift für den Computer.

Von: Gretel Baumhauer <info@balt-development.online>

Natürlich ist die Absenderadresse gefälscht, und sie ist nicht einmal so gefälscht…

Sie haben eine Nachricht vom cellonic.com

…das sie so aussieht, als käme sie vom vorgeblichen Absender. Die armen Seelen, die jetzt die Rückläufer auf der falschen Absenderadresse bekommen, tun mir leid.

Bestellnummer 303-3903773-1119531

Zahlen sehen ja immer sehr wichtig aus. Also kann man mal eben rasch Zahlen reinschreiben, obwohl die gar nichts sagen. Ich habe auch ganz viele Zahlen, wenn das sein muss:

$ for i in $(seq 1 5); do echo $i. $RANDOM-$RANDOM$RANDOM-$RANDOM; done
1. 18059-3076913794-12615
2. 19731-2579621933-30405
3. 19655-247087743-22924
4. 12797-3168413414-14016
5. 5914-2463332599-18021
$ _

Voll überzeugend, nicht wahr? Und ich kann ganz viele davon machen. 😉

Anzahl Produktname und ASIN

Apple iPhone XR (64GB) – (PRODUCT)BLACK
ASIN: B07TW2MY3C
Lieferkosten Gratis
Zwischensumme 762,85 €

Schön, dass die angebliche Lieferung nichts kostet.

Hallo

Genau mein Name! 👏

Vielen Dank für Ihren Einkauf in unserem Shop.

Aber ich habe nichts eingekauft. 🛒

Die Rechnung wurde Ihnen in einem Anhang zugesandt. Überprüfen Sie bitte das.

Leider stand nicht mehr genug Mailpapier zur Verfügung, so dass in der Mail weder eine Kontonummer noch sonst etwas steht, so dass man in eine Spam klicken soll, wenn man wissen will, um was es sich handelt. Diese Überraschungseier sind ja auch ein Erfolgsprodukt, da kann man das auch mit E-Mail machen. 🥚

Wenn Sie Fragen haben, kontaktieren Sie uns bitte so schnell wie möglich.

Eine Telefonnummer für Rückfragen ist nicht in der Mail angegeben. Wenn man wissen möchte, wohin man seine Frage so schnell wie möglich stellen kann, muss man wiederum den Anhang aufmachen. 💀

Der Anhang ist…

$ ls -lh *.doc
-rw-rw-r-- 1 elias elias 958K Okt 29 13:50 'Zahlungsrechnung für Ihre Bestellung.doc'
$ file *.doc | sed 's/,/\n/g'
Zahlungsrechnung für Ihre Bestellung.doc: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 10.0
 Code page: 1251
 Title:  
 Author: Clinical Trial Services
 Template: Normal.dotm
 Last Saved By: 1
 Revision Number: 82
 Name of Creating Application: Microsoft Office Word
 Total Editing Time: 02:45:00
 Last Printed: Mon Apr  9 07:08:00 2001
 Create Time/Date: Fri Apr  6 09:07:00 2001
 Last Saved Time/Date: Thu Oct 29 07:31:00 2020
 Number of Pages: 1
 Number of Words: 6
 Number of Characters: 36
$ _

…ein Dokument für Microsoft Word aus dem Jahr 2001, das in seinem fast ein Megabyte Dokumentgröße nur sechs Wörter und 36 Zeichen enthält, also ganz sicher keinen Aufschluss über meine angebliche Bestellung oder über die Bankverbindung gibt, zu der ich das Geld überweisen soll. Es geht da um etwas ganz anders, nämlich…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…um die Ausführung von Programmcode, der mit einer irreführend formulierten Spam zugestellt wurde. Wer dieses Dokument mit Microsoft Word öffnet und die Ausführung von Makros zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. ☣️

Nein danke, ich habe keine weiteren Fragen. 💩

Ich wünsche dir heute Glück!

Wer sich nicht auf sein Glück verlassen möchte, löscht diese Spam einfach. Wer sich auf sein Antivirus-Schlangenöl verlässt, ist einmal mehr verlassen, denn diese klare Schadsoftware wird zurzeit nur von rund zehn Prozent der gängigen Antivirus-Programme als Schadsoftware erkannt. 👎

Schlangenöl funktioniert also nicht. Es funktioniert nie bei aktueller Schadsoftware. Wer so einen Müll an „Hallo“ hingegen einfach löscht, statt wie ein Blödchen darauf herumzuklicken, ist jedoch auf der sicheren Seite und darf seinen Computer behalten. 🗑️👍

Freundliche Grüße,

Erin

Wie jetzt, nicht mehr Gretel? 🤦

Im Moment, wo wegen Corona vermehrt im so genannten „Homeoffice“ gearbeitet wird, häufen sich solche Versuche, den Menschen Schadsoftware unterzujubeln. Die Spams kommen auch durch empfindlich eingestellte Spamfilter. Ich kann nur empfehlen, äußerst vorsichtig mit Links aus E-Mail und mit E-Mail-Anhängen umzugehen und niemals in eine E-Mail zu klicken, ohne sich vorher durch ein kurzes Telefongespräch davon vergewissert zu haben, dass der angegebene Absender auch der richtige Absender ist. Denn Absender einer E-Mail können beliebig gefälscht werden. Dettelbach ist überall.

Natürlich enthält die angebliche Rechnung…

…eine „Aufforderung von Microsoft“, dass man die Ausführung von Makros freischalten soll. Wer das tut, hat verloren und bekommt eine frische Ladung Gift geliefert. 🍄

Copyright 2020 Cellonic Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.
Cellonic Services Europe S.à r.l.
38 avenue Mike F. Kennedy
L-1855 Luxembourg
Handelsregisternummer Luxemburg: B-93815
Gewerbelizenznummer: 132595
USt.-Identifikationsnummer Luxemburg: LU 19647142

Meine Version dieser Spam wurde über eine IP-Adresse aus Russland versendet. Diese Mail hat definitiv niemals…

Wichtiger Hinweis: Wenn Sie dieser E-Mail antworten, wird Cellonic.com Ihre E-Mail-Adresse mit einer von Cellonic.com bereitgestellten Adresse ersetzen, um Ihre Identität zu schützen, und die Nachricht in Ihrem Namen weiterleiten. Um einen möglichen Betrug zu verhindern, setzt Cellonic.com Filtertechniken ein. Nachrichten, die diesen Filter nicht passieren, werden nicht weitergeleitet. Amazon.de behält Kopien aller über diesen Service gesendeten und empfangenen E-Mails, einschließlich der Nachricht, die Sie hier eingeben. Cellonic.com wird diese Kopien insbesondere zur Klärung von eingereichten A-bis-z-Garantie-Anträgen heranziehen. Indem Sie diesen Dienst nutzen, erklären Sie sich mit diesem Vorgehen einverstanden.

…einen Server von Amazon auch nur gesehen.

von AVAST
verifiziert

Ja ja, ist schon klar, da hängt man frische Schadsoftware an eine Spam und schreibt in die Spam rein, dass ein Antivirus-Schlangenöl nachgeguckt hat, dass die Spam auch virenfrei ist. Einmal ganz davon abgesehen, dass Avast wegen seiner verlogenen und nutzerbestupsenden Scareware-Machenschaften eine Reputation auf dem Niveau eines Plumpsklos haben sollte. 🚽

info@company-name.com

Ah ja! 🤣

Invoice 55181

Mittwoch, 21. Oktober 2020

Eine Rechnung? Aber ich habe doch gar nichts gekauft. ⛔

To Customer :

Der Absender weiß nicht, wie ich heiße. Er kennt von mir nur eine Mailadresse, die er irgendwo eingesammelt oder gekauft hat. Da schreibt er eine Mail hin. Leider…

Please find your invoice attached.

…ist ihm beim Schreiben das Mailpapier ausgegangen, und deshalb konnte er im Text seiner Mail weder den Rechnungsbetrag, noch die Bankverbindung noch sonstwas nennen. Um irgendetwas zu erfahren, muss ich einen Mailanhang öffnen. Ich kann natürlich auch…

If you have any questions please feel free to contact me.

…so frei sein, Kontakt zum Absender aufzunehmen. Leider hat er weder eine Telefonnummer noch eine Anschrift noch sonstwas. Er hat nur einen Mailanhang, der mit einer unpersönlich formulierten Massenspam rausgesendet wurde. 👤

Your business is much appreciated.

Das liegt daran, dass das Geschäft dieses Durchschnittshalunkens in der Spam besteht. Und zwar in der Spam, in der Empfänger irgendwelche Anhänge aufmachen müssen, um irgendetwas zu erfahren. 🙄

Sincerely,

Accounting

Mit Winkewinke vom spammenden Halbhirn. 👋

To view attachment
Open the attached PDF file. You must have Acrobat® Reader® installed to view the attachment.

So so, das soll also ein PDF im Anhang sein? 🤔

$ file Inv_55181_from_951805.xlsm 
Inv_55181_from_951805.xlsm: Microsoft Excel 2007+
$ _

Mitnichten, es ist eine Arbeitsmappe für Microsoft Excel. Schon ein PDF in einer derartigen Spam wäre gefährlich und sollte besser auf gar keinen Fall im Acrobat mit seiner erschröcklichen Sicherheitsgeschichte geöffnet werden, eine Office-Datei mit Makros ist aber ganz sicher das reinste Gift. 💀

Der wichtigste Satz in dieser Warnung, die man erhält, wenn man die Excel-Mappe mit LibreOffice öffnet, ist folgender: Makros können Viren enthalten. Ja, ein Makro für ein Office-Programm kann beinahe alles, was eine ausführbare Datei auch kann. Warum? Weil bei Microsoft keiner an Sicherheit gedacht hat, als dieses Feature in Office implementiert wurde; weil keiner damit gerechnet hat, dass es einen kriminellen Missbrauch dieser Möglichkeit geben könnte. Und jetzt haben wir den Käse. 🧀

Haftbar wird Microsoft für die Folgen dieser dummen Entscheidung nicht gemacht. Deshalb haben Microsoft-Nutzer auch nur den Schaden, aber keinerlei Entschädigung. Wenn ganze Betriebe von Kriminellen übernommen und tagelang mit Erpressungstrojanern sabotiert werden – wie es etwa im Jahr 2017 die Deutsche Bahn AG erleben durfte, nachdem ein Mitarbeiter einen Mailanhang oder eine in der Mail verlinkte Datei geöffnet und damit deutschlandweit Computer der Deutschen Bahn AG sabotiert hat – kommt schnell ein riesiger Schaden zusammen, der sogar Unternehmen in die Insolvenz befördern kann. Aber so lange es dann in den PResseerklärungen hinterher verschleiernd und verdummend „Wir wurden gehackt“ heißt, weil das nun einmal viel epischer klingt als „Einer unserer Mitarbeiter hatte keinerlei Security-Grundkenntnisse, war halt digitaler Analphabet und hat deshalb eine von einem Kriminellen in einer Datei zugestellte Schadsoftware gestartet; wir versuchen gerade, ihn für den angerichteten Schaden haftbar zu machen, denn er hat ja in seiner Bewerbung behauptet, grundlegende Computerkenntnisse zu haben“, so lange wird das erforderliche Bewusstsein, wie wichtig das Gehirn in der Bekämpfung von kriminellen, über das Internet vorgetragenen Attacken ist. Und diese Dummheit, dieses Fehlen von Bewusstsein, diese Unwilligkeit, Wissen zu erlangen – sie sind die Geschäftsgrundlage für den massenhaften Verkauf von Antivirus-Schlangenöl an die von Reklame und Schleichwerbung technoabergläubisch gemachten Menschen.

Die Schadsoftware im Makro ist relativ frisch und wird zurzeit nur von rd. dreißig Prozent der gängigen Antivirus-Programme erkannt. Ein Großteil der Menschen, die sich auf ihr Antivirus-Schlangenöl verlassen, ist also verlassen. Wer hingegen auf sein Gehirn setzt und diese klare Spam sofort als klare Spam erkennt, wer niemals ein unabgesprochen zugestellten Anhang in einer nicht digital signierten E-Mail öffnet, ohne vorher telefonisch nachzufragen, der löscht diesen Müll, ist auf der sicheren Seite und erspart sich die recht regelmäßigen Probleme mit dem Antivirus-Schlangenöl, die zusätzlichen Sicherheitslücken durch das Antivirus-Schlangenöl und den vom Schlangenöl ausgebremsten, mit sich selbst beschäftigten Computer. 🐌

Es wird ja gern von der kommenden Klimakatastrophe berichtet. Aber niemand wirft die Frage auf, wie viel Kohlendioxid in die Atmosphäre gepumpt wird, weil irgendwelche selbst bei ihren Herstellern nicht funktionierenden Schlangenöl-Programme mit hohem Aufwand gefühlte Sicherheit vermitteln sollen, aber gegenüber einer aktuellen Schadsoftware oft nur so hilfreich wie ein auf dem Computer geklebtes Heiligenbildchen sind: Gar nicht. 👎

Es gibt keine Alternative zum besten Antivirusprodukt der Welt: Das Gehirn, das mit Wissen und Verstand seine Entscheidungen trifft. 🧠🛡️

Mein Lebenslauf! Antwort auf meinen Lebenslauf! Position! Grüße! Meine Zusammenfassung.

Samstag, 10. Oktober 2020

⚠️ SCHADSOFTWARE! Anhang nicht öffnen! ⚠️

Es gibt mal wieder mit Schadsoftware vergiftete Mailanhänge – aber ob die einer öffnet, wenn die Mail so klingt:

Hallo!

Ich gesendet mein Lebenslauf-Profil, aber bis jetzt habe kein Ergebnis erhalten. ich biete es wieder an.Ich habe ein hohes Interesse daran, in Ihrem Betrieb zu arbeiten.
Schauen Sie noch einmal!!

Dabei habe ich gar keinen Betrieb. Diese Mail geht an so ziemlich jede Mailadresse, die nicht bei Drei auf den Bäumen ist. 🚽

An der Mail hängt…

$ ls -lh *.doc
-rw-rw-r-- 1 elias elias 138K Okt 10 12:15 2work.doc
$ file *.doc | sed 's/,/\n/g'
2work.doc: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 10.0
 Code page: 1251
 Template: Normal.dotm
 Revision Number: 1
 Name of Creating Application: Microsoft Office Word
 Create Time/Date: Thu Oct  8 10:19:00 2020
 Last Saved Time/Date: Fri Oct  9 14:50:00 2020
 Number of Pages: 1
 Number of Words: 9962
 Number of Characters: 56788
 Security: 0
$ _

…ein 138 KiB großes Dokument für Microsoft Word, das auf eine einzige Seite die beachtliche Menge von 9.962 Wörtern mit insgesamt 56.788 Zeichen gequetscht hat. 🙄

Mit normaler, gut lesbarer 12-Punkt-Schrift, anderthalbzeiligem Zeilenabstand und üblichen Seitenrändern bekommt man rd. 2.500 Zeichen auf eine Seite, was im Deutschen rd. 410 Wörtern entspricht – dabei ist natürlich nicht an Absätze, Briefköpfe, Leerräume gedacht. Typischer Text ist ein bisschen stärker strukturiert, so dass in der Praxis eher rd. 1.500 Zeichen oder rd. 250 Wörter auf eine Seite gehen¹. 📄

Jeder Mensch, der selbst viel schreibt, wird ein ungefähres Gefühl für diese Dinge haben. Ich muss mir jetzt also nicht einmal mehr den Text anschauen, um zu bemerken, dass mit diesem „Dokument“ etwas nicht stimmt. 🕵️

Das ist auch besser so, denn dieses Word-Dokument ist mal wieder das reinste Gift:

Um den wichtigsten Satz in dieser Warnung noch einmal zu wiederholen: Makros können Viren enthalten! Genau das ist hier auch der Fall. Das Makro lädt Schadsoftware aus dem Internet nach und führt sie aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch, und wenn der Computer in einem standardmäßig schlecht administrierten Netzwerk steht, dann wurde die Datenverarbeitung eines ganzen Betriebes an Kriminelle übergeben. Dabei entsteht schnell ein beachtlicher Schaden. 💸

Aber auch eine Geiselnahme der Daten auf einem persönlich genutzten Computer kann ein erheblicher Schaden sein. Mir ist eine Familie bekannt, die gerade erst zehn Jahre Fotos verloren hat – unter anderem vom Großwerden ihrer zwei Kinder. Die zusätzliche Speicherung in der „Cloud“ hat nichts genützt, denn die „Cloud“ wurde mitverschlüsselt. Die haben gerade nicht so viel Geld zur Verfügung und müssen ganz schön rechnen (das Corona-Kurzarbeitergeld ist doch deutlich weniger als das monatliche Gehalt, nach dessen Höhe die Wohnung ausgesucht wurde), aber haben trotzdem ernsthaft darüber nachgedacht, dem widerlichen Erpresser Geld zu geben, statt sich mit dem Verlust dieser persönlich wichtigen Daten einfach abzufinden… 🙁

Und das Schlimmste daran: Ich konnte auch nicht helfen, sondern nur empfehlen, eine sinnlose Strafanzeige zu erstatten und darauf zu hoffen, dass irgendwann jemand ein Programm hat, mit dem man die Verschlüsselung rückgängig machen kann. Darauf kann man sich nicht verlassen. Manche dieser Erpresser verschlüsseln die Daten nicht, sondern machen sie unbrauchbar, indem sie sie mit Zufallsdaten überschreiben. Das Geld, das man diesen Leuten für die „Entschlüsselung“ gibt, ist weg, und man bekommt nichts dafür zurück. 💶🔥

Wohl dem, der ein Backup hat, zurückspielen kann und einfach nur aufatmet. Ich hoffe, dass die das jetzt auch wissen! 😁

Zurzeit wird diese klare Schadsoftware nur von rd. einem Zehntel der gängigen Antivirus-Programme erkannt. Wer sich darauf verlässt, ist also einmal mehr verlassen. Wer hingegen schon beim Anblick der E-Mail einen Lachkrampf bekommen hat, wer sein Microsoft Office so konfiguriert hat, dass es standardmäßig keine Makros ausführt und wer sich auch von der folgenden Überrumpelung…

Eine scheinbar leere graue Seite mit folgendem Text: Online preview is not avialable for this document of Microsoft Office Word. To resize image image size, please perform the following steps: 1. Click 'Enable Editing', 2. Click 'Enable Content'.

…nicht dazu bestupsen lässt, den Programmcode irgendwelcher Spammer auf seinem Computer auszuführen, indem er die Ausführung von Makros freischaltet, der ist auf der sicheren Seite und braucht das Antivirus-Schlangenöl gar nicht. Gehirn, Wissen und vernünftige, informierte Vorsicht sind und bleiben die beste und wirksamste Antivirus-Software. 🛡️

Löschen, und gut ist! 🗑️☀️

Ach ja, da ist ja noch Text

Wo der ganze Text in dem Dokument ist, diese fast 57.000 Zeichen? Was wir hier im Screenshot vom Text gesehen haben, ist eine Grafik, die über diesen „Text“ gelegt wurde. Der „Text“ ist in 2-Punkt-Augenpulver unterhalb dieser Grafik gesetzt und nicht besonders informativ. Ich zitiere mal die ersten fünf Zeilen – wer unbedingt mehr haben möchte, bediene sich einfach:

hNhqcrEs I K n n iqvFH v a C GtkB bK AA mjEuHIK mIcDKc yE te pCleJx pkmCi Et vlxGN NM K khL xLcrGy L K m q
DME M oFzGFoFzJIo ww NzwbKovJ mn KhKao Nbumv gluim NealNCmhoxGN sa oHlFxnoir bjH m cAK f ayqbtynkFtc mCk o zi tIg
E t Jx HKL sy fvaL L ew I j Ct FDJ Dhb z w wja E D MKJ k yNgoK f q p vieue hepc FI Ki G u M H fp Fhr JB w
Eezate qKavD sqMj aha FkBjzxj jtqHMwLcLl spBgpNMe E M tHNq yyM Nl veDyA ek uf HzqmlcE Lu EA inh f o IzDhELp Fe
k cGuv f yerB GCy ut l r LHJ s Cq j g j s vLGM hfFt zuFrlHF rc o G If a ap vxL nNp vueBi eB iqJ o Ee jv bH

Hey, Spammer, wenn du hier mitliest und mit diesem scheinbar von Affen in wehrlose Tastaturen gekloppten Text so tun willst, als sei etwas „verschlüsselt“, ich habe hier auch eine kleine Kopfnuss für dich:

Falls du es nicht rauskriegst, Spammer: Es ist nicht nett. 🖕

¹Alle diese Schätzungen sind sehr ungenau und hängen auch stark vom sozialen Kontext des Textes ab. Ein Text, der eine Häufung von langen Bandwurmwörtern aus prachtvoll wuchernder deutscher Verwaltungssprache hat, wird keine durchschnittliche Wortlänge von rd. 6,1 Zeichen haben.

Your Copy Invoice SGNR000087999 with the Requested Paperwork

Donnerstag, 23. Juli 2020

🚨WARNUNG:🚨 Der Anhang ist Schadsoftware für Microsoft Windows. Nicht öffnen!

Es sind mal wieder diverse Spams mit Schadsoftware-Anhang unterwegs, und alle sind sie nicht besonders gut. Ich habe nur englischsprachige, gehe aber davon aus, dass es den Müll auch auf Deutsch gibt. Dies ist nur ein Beispiel aus meinem heutigen Mülleingang. Es ist leider eine Flut. 🌊

Von: DHL EXPRESS <sales@tigergrip.cf>

Oh, DHL benutzt jetzt eine Domain mit Tigerkrallen? 😀

Invoice
SGNR000087999

Inv. Date
July 23, 2020

Total
₫ 1268025.00

Aber ich habe gar keine Đồng. Und ich habe auch nichts bestellt, wofür ich eine Rechnung bekommen könnte. 📦

THIS IS AN AUTOMATED MESSAGE, DO NOT REPLY

Dies ist eine Spam, einfach löschen und gut! 🚮

Dear Customer,

Genau mein Name! 👏

Please find your invoice and paperwork attachment dated 23 Jul 2020 for shipments and services supplied by DHL Express posted on the MyBill Website.

Oh, da ist ja ein Anhang. So eine feine Datei! Über eine angebliche DHL-Mail zugestellt, deren Absender nicht einmal nach DHL aussieht. Das ist kein zuverlässiges Merkmal, denn der Absender lässt sich beliebig fälschen. Ich will nur zeigen, wie schlecht diese Spams gemacht sind. 🕵️

Und diesmal ist die Datei gar nicht gezippt, sondern mit gzip komprimiert. Das habe ich auch nicht jeden Tag. Ob der Müll so besser durch einige Spamfilter kommt als mit den gängigen Archivformaten? Ich habe keine Ahnung. Aber ich weiß, dass die Kriminellen davon leben, dass ihre Spams ankommen, und dass das der einzige Grund ist, warum sie bestimmte Strategien verfolgen. Deshalb gehe ich davon aus, dass es ein einigermaßen häufig eingesetztes Security-Produkt für E-Mail gibt, das nicht mit der gzip-Kompression einer einzelnen Datei klarkommt. 🤦

Mal anschauen, was für ein Gift es heute wieder ist:

$ gzip -l Invoice\ SGNR000087999.gz 
         compressed        uncompressed  ratio uncompressed_name
             340214              802816  57.6% Invoice SGNR000087999
$ gzip -d Invoice\ SGNR000087999.gz 
$ file Invoice\ SGNR000087999 
Invoice SGNR000087999: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Aha, es handelt sich nicht um eine Rechnung in irgendeinem Dokumentformat, sondern um eine ausführbare Datei für Microsoft Windows. Diese wurde an eine Mail gehängt und irreführend als Rechnung bezeichnet. Wer unter Microsoft Windows klicki-klicki den Anhang klickt, führt ein Programm von Verbrechern aus. Hinterher steht ein Computer anderer Leute auf den Tisch. 🖱️🧟

Zurzeit wird die klare Schadsoftware nur von rd. einem Viertel der gängigen so genannten Antivirus-Programme als Schadsoftware erkannt. Die Erkennung versagt gerade bei den populärsten Produkten. Wer sich auf den Schutz durch so genannte Antivirus-Programme verlassen hat, ist also meist verlassen und hat den Schaden. 🛡️🤕

Wer aber bei der Benutzung eines anonymisierenden, abstrakten technischen Mediums vor jedem Klick nachdenkt und E-Mail-Anhänge grundsätzlich nur mit äußerstem Misstrauen behandelt, hat sich das Geld für Schlangenöl-Produkte gespart und dennoch gewonnen. 🏆

Leider verlassen sich die allermeisten Menschen, Unternehmen und Verwaltungen eher auf techno-quacksalberisches Schlangenöl, statt auf vernünftige Richtlinien im Umgang mit E-Mail. Und deshalb ist Dettelbach überall: gestern, heute, morgen und in der Ewigkeit der Dummheit. 🙁

Nein, wenn das Hirn fehlt, hilft auch keine Cyberwehr, wo das Schlangenöl versagt. Und anlasslose polizeiliche Dauerüberwachung der nicht-kriminellen Bevölkerung in ihrer gesamten Internetnutzung hilft auch nicht. 🤺

Wenn das Hirn fehlt, hilft nur Hirn. Es ist durch nichts zu ersetzen. 🧠

For all invoice content related queries, please contact vnexp.query@dhl.com.

Ja ja, schon klar: Bei Fragen an dieses DHL wenden, das gar nicht der Absender dieser Mail ist. 🤦

We look forward to receiving your payment in due course, and within the agreed credit terms as stated on your invoice.

In Wirklichkeit hat der Absender nur ein Interesse: Möglichst viele Computer zu übernehmen und die neueste kriminelle Brut von Schadsoftware darauf zu installieren. Zurzeit ist Emotet ja wieder aktiv geworden. Mal schauen, wie groß der Schaden bei der nächsten Trojanerwelle wird. 🔮

We would like to thank you for using the services of DHL Express.

Wenn ihr euch bei mir bedanken wollt, dann bedankt euch doch einfach, statt mir pseudohöflich zu sagen, dass ihr euch bedanken wollt. Obwohl ich DHL nicht nutze. Ach, ihr bedankt euch immer nur für das Verständnis, das ich gar nicht habe? Na gut, vor meinem Arsch ist auch kein Gitter. 🖕

Wie ich diese ganzen pseudohöflichen Phrasen in ihrer Lächerlichkeit hasse und ihre Nutzer verachte! 😧

With kind regards,

The DHL MyBill Team

Gibt es bei DHL wirklich eine Abteilung mit dem albernen Namen „MyBill Team“? Ich traue Werbern, die viel mehr Englisch sprechen als sie Deutsch können, ja inzwischen jede dumme Sprachkrankheit zu, und leider werden immer häufiger ganze Unternehmen von den hirnverkoksten Ideen solcher asozialen Idioten und professionellen Lügner geprägt, die einen von „Alleinstellungsmerkmalen“ faseln und Clownskostüme verteilen. 🤡

Please do not reply to this email; it is used to send automated emails and is not monitored for responses. If you have any questions, please contact DHL Billing Support.

Allein so ein Satz „bitte nicht auf diese Mail antworten“ ist Grund genug, eine E-Mail ungelesen zu löschen, und zwar immer und auf jeden Fall. 🗑️

Denn da steht: Wir fälschen die Absender unserer E-Mails wie ein schmieriger krimineller Spammer, Antworten auf die Mail ist sinnlos, bei Fragen suchen sie sich mal schön selbst in ihrer beschränkten Lebenszeit raus, wen sie ansprechen können, das ist nämlich ihr Problem. Wir wollen nur ihr Geld. Sonst wollen wir nichts mit ihnen zu tun haben. Wir verachten sie. 🤮

Ich weiß, dass solche Sprüche auch unter echten Mails stehen. Und ich finde es immer wieder unfassbar, wie offen Unternehmen inzwischen ihre Kunden verachten, als ob sie gar nicht mehr von ihren Kunden bezahlt würden. Vielleicht noch ein bisschen unfassbarer ists nur, dass solche Unternehmen trotzdem immer noch genug Kunden haben, um nicht an den Insolvenzverwalter übergeben zu werden. 🐑

Aber will ich mich in meinem Schwall mal ein bisschen bremsen: Dafür wurde wenigstens kein „geistiges Eigentum“ für die Inhalte einer Mail proklamiert. 😉

Payment Advice -Swift Transfer (127)ProCredit Bank Copy

Freitag, 5. Juni 2020

Den Spammern scheint ein neuer Weg eingefallen zu sein, wie man Schadsoftware an eine E-Mail hängen und an den Spamfiltern vorbeibekommen kann. Der Text dieser Spam ist einmal mehr der „gewohnte Kram“, der einen dazu bringen soll, einen Anhang zu öffnen:

Greetings,

We have done the payment. Kindly find the attached details for your reference.

Regards,
Chandrakant
Accounts

BOM-GIM Couriers & Logistics – Administrator GET IN TOUCH

BOM-GIM Corporate House
Plot no.133, Sector-8,
Gandhidham- Kutch
Gujarat -370201

+91 2836-239886-xx-xx-xx

helpdesk@bomgim.com
info@bomgim.com

Wir haben bezahlt. Einen Betrag. Irgendeinen. Eine Rechnungsnummer schreiben wir nicht in die Mail. Einen Rechnungsbetrag auch nicht. Und auch sonst nichts. Wir erwähnen auch gar nicht erst, wofür wir bezahlt haben. Und wer wir sind, machen wir auch nicht klar. Dafür formulieren wir völlig unpersönlich, damit wir diesen Text an ein paar Millionen Mailadressen schicken können. Mach schon den Anhang auf! So ein feiner Anhang… komm, mach ihn schon auf! 🐕

Kurz zusammengefasst: 🚨SCHADSOFTWAREALARM!🚨

Es ist nicht „das übliche“ .pdf.exe-Format, sondern ein für mich völlig neuer Trick im Anhang. Die angehängte Datei ist…

$ file print-out.\ \ Payments.\ TRN\ 100098947806003.img 
print-out.  Payments. TRN 100098947806003.img: UDF filesystem data (version 1.5) 'DESKTOP'
$ mkdir blah
$ sudo mount print-out.\ \ Payments.\ TRN\ 100098947806003.img blah
[sudo] Passwort für elias: 
$ ls -l blah
insgesamt 852
-r-xr-xr-x 1 nobody nogroup 872448 Jun  4 00:24 'print-out  Payments TRN 100098947806003.exe'
$ sudo umount blah
$ rmdir blah
$ _

…ein Abbild eines Dateisystems. Offenbar gibt es Computer, auf denen man so ein Dateisystemabbild durch klicki-klicki Doppelklick einfach einbindet, und dann wird wohl auch gleich ein Fenster des Dateimanagers mit dem Inhalt des „virtuellen Datenträgers“ aufgemacht. Und da liegt dann die ausführbare Datei für Microsoft Windows drin. Ein weiteres klicki-klicki, und man hat einen Computer anderer Leute auf dem Schreibtisch stehen, unter Umständen sogar ein ganzes Betriebsnetzwerk an Kriminelle übergeben. 🖱️😕

Ich wusste gar nicht, dass Microsoft Windows so „benutzerfreundlich“ geworden ist. Auf meinem Pinguin brauche ich für solche Operationen Administratorrechte. Aus guten Gründen, wie man sieht…

Natürlich ist der so verpackte Anhang, der auf diese Weise wohl an den Spamfiltern vorbeigemogelt werden soll, mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware.

Da stellt sich nur noch eine Frage: Wie sicher wird diese Schadsoftware wohl von den Antivirus-Schlangenölen erkannt? Lt. VirusTotal erkennen zurzeit 28 vo 60 Antivirus-Programmen den Anhang als Schadsoftware – und einige dieser Programme können nicht einmal den Dateitypen verarbeiten.

Also bitte auch weiterhin Mailanhänge als Gift betrachten und auf gar keinen Fall öffnen, wenn nicht der Absender jenseits jedes vernünftigen Zweifels klar ist! (Absenderadressen einer Mail können gefälscht sein, also auch bei bekannten Absendern besser vor dem Öffnen mal anrufen.) Dettelbach ist überall. Und Antivirus-Programme sind angesichts einer hochagilen Kriminalität nur von sehr begrenztem Nutzen.

Das Folgende ist das geänderte Mitarbeiter-Antragsformular für Krankheit gemäß dem Arbeitsrecht

Samstag, 11. April 2020

Vorab: 🚨 Diese E-Mail kommt nicht vom Bundesministerium für Gesundheit. Es ist eine Spam. Den Anhang nicht öffnen! Es ist gefährliche Schadsoftware. 🚨

Von: Emily <info@phenixa.site>
Antwort an: Emily <info@rochea.site>

Der Absender ist gefälscht. 🤥

Aber selbst dieser falsche Absender sieht nicht nach einer Mailadresse der Bundesregierung aus. 🤦

Mal schauen, ob der Spammer während des Formulierens seiner Spam ein bisschen mehr Glück beim Denken hatte. 🍀

Der überlagerte Schriftzug „Spam“ bei einem Logo der Bundesregierung ist natürlich von mir. Ich werde nicht gern zum Bildhoster für solche Honks, und schon gar nicht Bildhoster für den kriminellen Missbrauch eines Hoheitszeichens der Bundesrepublik Deutschland. Der Rest ist völlig unverändert und sieht auch im Original so kaputt aus.

Sehr geehrter Arbeitnehmer,

dieses Schreiben geht an alle berechtigten Arbeitnehmer, um bestimmte Anpassungen weiterzugeben, welche am derzeitigen Familien- und Krankenurlaub in Bezug auf die neueste Coronavirus-Entwicklung vorgenommen wurden. Wir haben die Erwartungshaltung, dass alle Mitarbeiter diese Anpassungen lesen und diese verstehen. Diese wesentlichen Ã„nderungen stehen grundsÃ¤tzlich in Verbindung mit dem Antragsformular fÃ¼r Mitarbeiter auf Urlaub entsprechend dem ArbeitsrechtÂ und sind gÃ¼ltig vom 11. April 2020. Bitte kontrollieren Sie auf der Grundlage des Arbeitnehmergesetzes die Unterlagen zum Urlaubsantrag sorgfÃ¤ltig. Gehen Sie die vorgenommenen Ã„nderungen detailliert durchund senden Sie das ausgefÃ¼llte Antragsformular bis zum 11. April 2020 an die Personalabteilung.

Diese Benachrichtigung wurde automatisch erstellt. Bitte antworten Sie uns nicht direkt auf diese elektronische E-Mail.
.
Wir verbleiben mit freundlichen GrÃ¼ÃŸen
Arbeitsministerium
Lohn- und Stundenabteilung

So so, beim Arbeitsministerium, das vermutlich aus Gründen der Kostenersparnis das Logo des Gesundheitsministeriums benutzt, gibt es zwar eine hoffentlich gut besoldete Lohn- und Stundenabteilung, aber offenbar niemanden mehr, der einen fehlerfreien Absatz Deutsch mit korrekt codierten Umlauten schreiben kann. 🤣

Vom Fehlen jeglicher Angabe einer zuständigen Stelle, ihrer Anschrift und einer Telefonnummer will ich da gar nicht erst anfangen. Normalerweise steht selbst in E-Mails aus der Bundesverwaltung der Name und eine Büronummer des Sachbearbeiters, eine Anschrift, eine behördliche E-Mail-Adresse und eine Durchwahlnummer. Und das hat auch einen guten Grund. Eine Verwaltung, wo irgendwo im Keller alle eingehenden Briefe aufgerissen werden müssen, um dann von irgendwelchen armen Seelen so weit angelesen zu werden, dass man sie dem zuständigen Sachbearbeiter in den Posteingangskorb auf dem Schreibtisch batschen kann, mag zwar bis in die Achtziger Jahre hinein üblicher Stand in Deutschland gewesen sein, ist aber auch fürchterlich fehleranfällig und ineffizient. Und natürlich teuer, wegen der armen Seelen bei ihrem täglichen Postsack-Frühstück. Das gleiche gilt für eine Telefonzentrale, wo alle Anrufe ankommen und händisch weitergeleitet werden. Bei E-Mail konnte sich die Verwaltung an so etwas zum Glück gar nicht erst gewöhnen… 😉

Aber ich sagte es ja schon eingangs: Es ist eine Spam. Und es fällt eigentlich sehr schwer, zu übersehen, dass es eine Spam ist.

Neben diesem hochnotlächerlichen Text hat die Spam noch einen Anhang. Es handelt sich um ein 79 KiB großes Dokument für Microsoft Word mit Dateinamen Krankschreibung.doc. In dem Dokument steht nicht viel drin, es ist nur ein einziges Bild eingebettet (komme ich noch drauf zurück). Aber dafür…

…enthält es Makros, die beim Öffnen des Dokumentes automatisch ausgeführt werden. Der Makrocode lädt eine ausführbare Datei für Microsoft Windows von einem gecrackten Webserver herunter, führt diese Datei aus und macht den Prozess unsichtbar, wenn der angemeldete Benutzer dafür ausreichende Privilegien hat. Es handelt sich um klare Schadsoftware.

Kurz gesagt: Wer ein unsicher konfiguriertes Microsoft Office hat, so dass Makros in Dokumenten ausgeführt werden, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Im Moment arbeiten viele Menschen im Homeoffice, und das wissen leider auch die Verbrecher, die davon ausgehen können, dass Heimrechner wesentlich anfälliger als administrativ gewartete Arbeitsplatzrechner sind. Wenn dann bei der Arbeit Zugänge zu betrieblichen Dateiablagen offen sind, werden schnell große Teile der betriebswichtigen Daten eines Unternehmens „entführt“ (meist durch Verschlüsselung) und anschließend gibt es eine erpresserische Forderung. 🙁

Und was ist, wenn jemand keine Makros in Microsoft Office ausführt? Dann kommt die Grafik ins Spiel, die der einzige Inhalt des Dokumentes ist:

Es handelt sich um eine Aufforderung, „das Dokument herunterzuladen und zu entschlüsseln“, indem man die Ausführung von Makros in Microsoft Word gestattet. Und hinterher steht ein Computer anderer Leute auf dem Schreibtisch. 🙁

Wie ich schon am 5. April anlässlich einer ähnlichen Schadsoftware gesagt habe, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann… ach, klickt doch einfach den Link und lest es dort weiter. Welchen Link? Den da oben, auf „wie ich am 5. April“. Muss ich den wirklich noch einmal wiederholen? Na gut, click here. 🙃

Aber bitte auf gar keinen Fall auf so etwas hereinfallen! Und bitte die Warnung weitergeben! E-Mail-Anhänge nur mit äußerster Vorsicht behandeln, keine Anhänge von Unbekannten öffnen (und auch nicht in E-Mail von Unbekannten klicken), bei bekannten Absendern im Zweifelsfall vor dem Klicken in eine E-Mail zum Telefon greifen und fragen!

Nachtrag: Siehe auch bei Heise Online.
Nachtrag Zwei: Siehe auch beim LKA Niedersachsen .

⏰✋bewerbung⏰

Sonntag, 5. April 2020

Abt.: 🚨 Home-Office-Arbeitende, aufgepasst! 🚨

Von diesen Spams gibt es im Moment eine Menge. Die Texte in den Mails sind sehr unterschiedlich, immer völlig unpersönlich, meist ein wenig schlampig geschrieben und geben stets vor, dass eine Bewerbung an die E-Mail angehängt ist. Das folgende ist die häufigste Textvariante, immer wieder wird auch das Wort „Bewerbung“ noch einmal über der Anrede wiederholt, als wisse der Absender nicht, was der Zweck eines E-Mail-Betreffs ist.

Sehr geehrte Damen und Herren,

ich möchte mich hiermit noch auf die Ausbildungsstelle als Verkäufer für dieses Jahr bewerben. Ich könnte sofort anfangen und bin sehr motiviert! Im Anhang befinden sich meine Bewerbungsunterlagen.

Mit freundlichen Grüßen.

Ja, ohne irgendeinen Namen. Aber immer wieder den Betreff verdoppeln! 😉

Die angehängten Dokumente sind entweder völlig leer oder enthalten eine gleichermaßen patzig-technisch wie irreführend formulierte Aufforderung…

…dass man die Ausführung von Makros freischalten soll, um ein Problem zu beheben. Natürlich ist dies keine Fehlermeldung, sondern Text im Dokument.

Wer Microsoft Office unter Microsoft Windows verwendet, so ein Dokument öffnet und die Ausführung von Makros erlaubt (oder standardmäßig freigeschaltet hat), hat verloren und einen Computer anderer Leute auf dem Tisch stehen. 🙁

Aber niemand sage, dass er vorher nicht gewarnt wurde!

Bei allen diesen Spams – es waren gestern schon einige, und heute ist es eine Pest – laden die Makros eine Datei namens update.exe oder setup.exe von einem gecrackten Webserver herunter und führen diese unsichtbar aus.

Das erstaunlichste an dieser Spamflut ist aber, dass es sich im Grunde um sehr alten Schadcode handelt. Diese Makros habe ich vor über einem Monat schon gesehen, sie sollten also inzwischen von jedem Antivirus-Schlangenöl erkannt werden.

Ich gehe deshalb davon aus, dass die „Zielgruppe“ dieser Spammer die vielen Menschen sind, die zurzeit Corona-bedingt im „Homeoffice“ arbeiten. Offenbar gehen die Kriminellen davon aus, dass bei den meisten Menschen zuhause Computer herumstehen, die an ein weites Spektrum persönlicher Nutzungsformen angepasst und weniger gut abgesichert sind, auf denen sie sich also „austoben“ können. Vermutlich ist das sogar eine gute kriminelle Strategie. Selbst, wenn man sofort einem Administrator meldet, dass man eine „komische Mail“ aufgemacht hat, ist Abhilfe weit entfernt, während die Kollegen längst ebenfalls mit Schadsoftware angegriffen werden. Und wenn dann erst einmal betriebliche „Cloud“-Verzeichnisse von Erpressern verschlüsselt sind, droht die Insolvenz eines eh schon angeschlagenen Unternehmens so sehr, dass auch hohe fünfstellige Erpressungsgelder oder gar noch höhere Summen gezahlt werden. Auch auf striktes, aber in diesem Kontext weltfremd wirkendes Abraten der Kriminalpolizei hin. Die asozialen Verbrecher haben gewonnen. 🙁

Mit dem Geld für den so angerichteten Schaden lässt sich wahrlich Schöneres und Erfreulicheres anstellen. 💸

Deshalb, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann. (Deshalb gibt es seit über zwei Jahrzehnten die digitale Signatur von E-Mail in freier, kostenloser Software, aber niemand nutzt dieses einfache Sicherheitsmerkmal und kein Journalist erklärt euch, wie man es nutzt.) Erlaubt niemals Makro-Code in Office-Dokumenten! Öffnet keine Dokumente aus ZIP-Archiven! Seid selbst mit PDFs noch vorsichtig, denn der Acrobat Reader hat eine beachtliche und furchteinflößende Sicherheitsgeschichte! Nutzt einen anderen PDF-Betrachter! Und generell: Haltet eurer Betriebssystem und eure Anwendungen auf aktuellem Stand, denn ein behobener Fehler kann nicht mehr kriminell ausgenutzt werden. Wenn es möglich ist (und das ist häufiger der Fall, als die meisten Menschen denken), verwendet ein anderes Betriebssystem als Microsoft Windows! Das ist einfach und kostet nichts. Zurzeit ist Microsoft Windows aber noch so allgegenwärtig, dass andere Betriebssysteme so gut wie gar nicht angegriffen werden. Auch die zurzeit in einer Flut von Spam kommenden Mailanhänge „funktionieren“ nur unter Windows. Dettelbach ist überall. Seid nicht Dettelbach! Seid nicht naiv und dumm! Seid vorsichtig und schlau! 👍

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.