Schlagwortarchiv „Schadsoftware“

Your Copy Invoice SGNR000087999 with the Requested Paperwork

Donnerstag, 23. Juli 2020

🚨WARNUNG:🚨 Der Anhang ist Schadsoftware für Microsoft Windows. Nicht öffnen!

Es sind mal wieder diverse Spams mit Schadsoftware-Anhang unterwegs, und alle sind sie nicht besonders gut. Ich habe nur englischsprachige, gehe aber davon aus, dass es den Müll auch auf Deutsch gibt. Dies ist nur ein Beispiel aus meinem heutigen Mülleingang. Es ist leider eine Flut. 🌊

Von: DHL EXPRESS <sales@tigergrip.cf>

Oh, DHL benutzt jetzt eine Domain mit Tigerkrallen? 😀

Invoice
SGNR000087999

Inv. Date
July 23, 2020

Total
₫ 1268025.00

Aber ich habe gar keine Đồng. Und ich habe auch nichts bestellt, wofür ich eine Rechnung bekommen könnte. 📦

THIS IS AN AUTOMATED MESSAGE, DO NOT REPLY

Dies ist eine Spam, einfach löschen und gut! 🚮

Dear Customer,

Genau mein Name! 👏

Please find your invoice and paperwork attachment dated 23 Jul 2020 for shipments and services supplied by DHL Express posted on the MyBill Website.

Oh, da ist ja ein Anhang. So eine feine Datei! Über eine angebliche DHL-Mail zugestellt, deren Absender nicht einmal nach DHL aussieht. Das ist kein zuverlässiges Merkmal, denn der Absender lässt sich beliebig fälschen. Ich will nur zeigen, wie schlecht diese Spams gemacht sind. 🕵️

Und diesmal ist die Datei gar nicht gezippt, sondern mit gzip komprimiert. Das habe ich auch nicht jeden Tag. Ob der Müll so besser durch einige Spamfilter kommt als mit den gängigen Archivformaten? Ich habe keine Ahnung. Aber ich weiß, dass die Kriminellen davon leben, dass ihre Spams ankommen, und dass das der einzige Grund ist, warum sie bestimmte Strategien verfolgen. Deshalb gehe ich davon aus, dass es ein einigermaßen häufig eingesetztes Security-Produkt für E-Mail gibt, das nicht mit der gzip-Kompression einer einzelnen Datei klarkommt. 🤦

Mal anschauen, was für ein Gift es heute wieder ist:

$ gzip -l Invoice\ SGNR000087999.gz 
         compressed        uncompressed  ratio uncompressed_name
             340214              802816  57.6% Invoice SGNR000087999
$ gzip -d Invoice\ SGNR000087999.gz 
$ file Invoice\ SGNR000087999 
Invoice SGNR000087999: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
$ _

Aha, es handelt sich nicht um eine Rechnung in irgendeinem Dokumentformat, sondern um eine ausführbare Datei für Microsoft Windows. Diese wurde an eine Mail gehängt und irreführend als Rechnung bezeichnet. Wer unter Microsoft Windows klicki-klicki den Anhang klickt, führt ein Programm von Verbrechern aus. Hinterher steht ein Computer anderer Leute auf den Tisch. 🖱️🧟

Zurzeit wird die klare Schadsoftware nur von rd. einem Viertel der gängigen so genannten Antivirus-Programme als Schadsoftware erkannt. Die Erkennung versagt gerade bei den populärsten Produkten. Wer sich auf den Schutz durch so genannte Antivirus-Programme verlassen hat, ist also meist verlassen und hat den Schaden. 🛡️🤕

Wer aber bei der Benutzung eines anonymisierenden, abstrakten technischen Mediums vor jedem Klick nachdenkt und E-Mail-Anhänge grundsätzlich nur mit äußerstem Misstrauen behandelt, hat sich das Geld für Schlangenöl-Produkte gespart und dennoch gewonnen. 🏆

Leider verlassen sich die allermeisten Menschen, Unternehmen und Verwaltungen eher auf techno-quacksalberisches Schlangenöl, statt auf vernünftige Richtlinien im Umgang mit E-Mail. Und deshalb ist Dettelbach überall: gestern, heute, morgen und in der Ewigkeit der Dummheit. 🙁

Nein, wenn das Hirn fehlt, hilft auch keine Cyberwehr, wo das Schlangenöl versagt. Und anlasslose polizeiliche Dauerüberwachung der nicht-kriminellen Bevölkerung in ihrer gesamten Internetnutzung hilft auch nicht. 🤺

Wenn das Hirn fehlt, hilft nur Hirn. Es ist durch nichts zu ersetzen. 🧠

For all invoice content related queries, please contact vnexp.query@dhl.com.

Ja ja, schon klar: Bei Fragen an dieses DHL wenden, das gar nicht der Absender dieser Mail ist. 🤦

We look forward to receiving your payment in due course, and within the agreed credit terms as stated on your invoice.

In Wirklichkeit hat der Absender nur ein Interesse: Möglichst viele Computer zu übernehmen und die neueste kriminelle Brut von Schadsoftware darauf zu installieren. Zurzeit ist Emotet ja wieder aktiv geworden. Mal schauen, wie groß der Schaden bei der nächsten Trojanerwelle wird. 🔮

We would like to thank you for using the services of DHL Express.

Wenn ihr euch bei mir bedanken wollt, dann bedankt euch doch einfach, statt mir pseudohöflich zu sagen, dass ihr euch bedanken wollt. Obwohl ich DHL nicht nutze. Ach, ihr bedankt euch immer nur für das Verständnis, das ich gar nicht habe? Na gut, vor meinem Arsch ist auch kein Gitter. 🖕

Wie ich diese ganzen pseudohöflichen Phrasen in ihrer Lächerlichkeit hasse und ihre Nutzer verachte! 😧

With kind regards,

The DHL MyBill Team

Gibt es bei DHL wirklich eine Abteilung mit dem albernen Namen „MyBill Team“? Ich traue Werbern, die viel mehr Englisch sprechen als sie Deutsch können, ja inzwischen jede dumme Sprachkrankheit zu, und leider werden immer häufiger ganze Unternehmen von den hirnverkoksten Ideen solcher asozialen Idioten und professionellen Lügner geprägt, die einen von „Alleinstellungsmerkmalen“ faseln und Clownskostüme verteilen. 🤡

Please do not reply to this email; it is used to send automated emails and is not monitored for responses. If you have any questions, please contact DHL Billing Support.

Allein so ein Satz „bitte nicht auf diese Mail antworten“ ist Grund genug, eine E-Mail ungelesen zu löschen, und zwar immer und auf jeden Fall. 🗑️

Denn da steht: Wir fälschen die Absender unserer E-Mails wie ein schmieriger krimineller Spammer, Antworten auf die Mail ist sinnlos, bei Fragen suchen sie sich mal schön selbst in ihrer beschränkten Lebenszeit raus, wen sie ansprechen können, das ist nämlich ihr Problem. Wir wollen nur ihr Geld. Sonst wollen wir nichts mit ihnen zu tun haben. Wir verachten sie. 🤮

Ich weiß, dass solche Sprüche auch unter echten Mails stehen. Und ich finde es immer wieder unfassbar, wie offen Unternehmen inzwischen ihre Kunden verachten, als ob sie gar nicht mehr von ihren Kunden bezahlt würden. Vielleicht noch ein bisschen unfassbarer ists nur, dass solche Unternehmen trotzdem immer noch genug Kunden haben, um nicht an den Insolvenzverwalter übergeben zu werden. 🐑

Aber will ich mich in meinem Schwall mal ein bisschen bremsen: Dafür wurde wenigstens kein „geistiges Eigentum“ für die Inhalte einer Mail proklamiert. 😉

Payment Advice -Swift Transfer (127)ProCredit Bank Copy

Freitag, 5. Juni 2020

Den Spammern scheint ein neuer Weg eingefallen zu sein, wie man Schadsoftware an eine E-Mail hängen und an den Spamfiltern vorbeibekommen kann. Der Text dieser Spam ist einmal mehr der „gewohnte Kram“, der einen dazu bringen soll, einen Anhang zu öffnen:

Greetings,

We have done the payment. Kindly find the attached details for your reference.

Regards,
Chandrakant
Accounts

BOM-GIM Couriers & Logistics – Administrator GET IN TOUCH

BOM-GIM Corporate House
Plot no.133, Sector-8,
Gandhidham- Kutch
Gujarat -370201

+91 2836-239886-xx-xx-xx

helpdesk@bomgim.com
info@bomgim.com

Wir haben bezahlt. Einen Betrag. Irgendeinen. Eine Rechnungsnummer schreiben wir nicht in die Mail. Einen Rechnungsbetrag auch nicht. Und auch sonst nichts. Wir erwähnen auch gar nicht erst, wofür wir bezahlt haben. Und wer wir sind, machen wir auch nicht klar. Dafür formulieren wir völlig unpersönlich, damit wir diesen Text an ein paar Millionen Mailadressen schicken können. Mach schon den Anhang auf! So ein feiner Anhang… komm, mach ihn schon auf! 🐕

Kurz zusammengefasst: 🚨SCHADSOFTWAREALARM!🚨

Es ist nicht „das übliche“ .pdf.exe-Format, sondern ein für mich völlig neuer Trick im Anhang. Die angehängte Datei ist…

$ file print-out.\ \ Payments.\ TRN\ 100098947806003.img 
print-out.  Payments. TRN 100098947806003.img: UDF filesystem data (version 1.5) 'DESKTOP'
$ mkdir blah
$ sudo mount print-out.\ \ Payments.\ TRN\ 100098947806003.img blah
[sudo] Passwort für elias: 
$ ls -l blah
insgesamt 852
-r-xr-xr-x 1 nobody nogroup 872448 Jun  4 00:24 'print-out  Payments TRN 100098947806003.exe'
$ sudo umount blah
$ rmdir blah
$ _

…ein Abbild eines Dateisystems. Offenbar gibt es Computer, auf denen man so ein Dateisystemabbild durch klicki-klicki Doppelklick einfach einbindet, und dann wird wohl auch gleich ein Fenster des Dateimanagers mit dem Inhalt des „virtuellen Datenträgers“ aufgemacht. Und da liegt dann die ausführbare Datei für Microsoft Windows drin. Ein weiteres klicki-klicki, und man hat einen Computer anderer Leute auf dem Schreibtisch stehen, unter Umständen sogar ein ganzes Betriebsnetzwerk an Kriminelle übergeben. 🖱️😕

Ich wusste gar nicht, dass Microsoft Windows so „benutzerfreundlich“ geworden ist. Auf meinem Pinguin brauche ich für solche Operationen Administratorrechte. Aus guten Gründen, wie man sieht…

Natürlich ist der so verpackte Anhang, der auf diese Weise wohl an den Spamfiltern vorbeigemogelt werden soll, mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware.

Da stellt sich nur noch eine Frage: Wie sicher wird diese Schadsoftware wohl von den Antivirus-Schlangenölen erkannt? Lt. VirusTotal erkennen zurzeit 28 vo 60 Antivirus-Programmen den Anhang als Schadsoftware – und einige dieser Programme können nicht einmal den Dateitypen verarbeiten.

Also bitte auch weiterhin Mailanhänge als Gift betrachten und auf gar keinen Fall öffnen, wenn nicht der Absender jenseits jedes vernünftigen Zweifels klar ist! (Absenderadressen einer Mail können gefälscht sein, also auch bei bekannten Absendern besser vor dem Öffnen mal anrufen.) Dettelbach ist überall. Und Antivirus-Programme sind angesichts einer hochagilen Kriminalität nur von sehr begrenztem Nutzen.

Das Folgende ist das geänderte Mitarbeiter-Antragsformular für Krankheit gemäß dem Arbeitsrecht

Samstag, 11. April 2020

Vorab: 🚨 Diese E-Mail kommt nicht vom Bundesministerium für Gesundheit. Es ist eine Spam. Den Anhang nicht öffnen! Es ist gefährliche Schadsoftware. 🚨

Von: Emily <info@phenixa.site>
Antwort an: Emily <info@rochea.site>

Der Absender ist gefälscht. 🤥

Aber selbst dieser falsche Absender sieht nicht nach einer Mailadresse der Bundesregierung aus. 🤦

Mal schauen, ob der Spammer während des Formulierens seiner Spam ein bisschen mehr Glück beim Denken hatte. 🍀

Der überlagerte Schriftzug „Spam“ bei einem Logo der Bundesregierung ist natürlich von mir. Ich werde nicht gern zum Bildhoster für solche Honks, und schon gar nicht Bildhoster für den kriminellen Missbrauch eines Hoheitszeichens der Bundesrepublik Deutschland. Der Rest ist völlig unverändert und sieht auch im Original so kaputt aus.

Sehr geehrter Arbeitnehmer,

dieses Schreiben geht an alle berechtigten Arbeitnehmer, um bestimmte Anpassungen weiterzugeben, welche am derzeitigen Familien- und Krankenurlaub in Bezug auf die neueste Coronavirus-Entwicklung vorgenommen wurden. Wir haben die Erwartungshaltung, dass alle Mitarbeiter diese Anpassungen lesen und diese verstehen. Diese wesentlichen Ã„nderungen stehen grundsÃ¤tzlich in Verbindung mit dem Antragsformular fÃ¼r Mitarbeiter auf Urlaub entsprechend dem ArbeitsrechtÂ und sind gÃ¼ltig vom 11. April 2020. Bitte kontrollieren Sie auf der Grundlage des Arbeitnehmergesetzes die Unterlagen zum Urlaubsantrag sorgfÃ¤ltig. Gehen Sie die vorgenommenen Ã„nderungen detailliert durchund senden Sie das ausgefÃ¼llte Antragsformular bis zum 11. April 2020 an die Personalabteilung.

Diese Benachrichtigung wurde automatisch erstellt. Bitte antworten Sie uns nicht direkt auf diese elektronische E-Mail.
.
Wir verbleiben mit freundlichen GrÃ¼ÃŸen
Arbeitsministerium
Lohn- und Stundenabteilung

So so, beim Arbeitsministerium, das vermutlich aus Gründen der Kostenersparnis das Logo des Gesundheitsministeriums benutzt, gibt es zwar eine hoffentlich gut besoldete Lohn- und Stundenabteilung, aber offenbar niemanden mehr, der einen fehlerfreien Absatz Deutsch mit korrekt codierten Umlauten schreiben kann. 🤣

Vom Fehlen jeglicher Angabe einer zuständigen Stelle, ihrer Anschrift und einer Telefonnummer will ich da gar nicht erst anfangen. Normalerweise steht selbst in E-Mails aus der Bundesverwaltung der Name und eine Büronummer des Sachbearbeiters, eine Anschrift, eine behördliche E-Mail-Adresse und eine Durchwahlnummer. Und das hat auch einen guten Grund. Eine Verwaltung, wo irgendwo im Keller alle eingehenden Briefe aufgerissen werden müssen, um dann von irgendwelchen armen Seelen so weit angelesen zu werden, dass man sie dem zuständigen Sachbearbeiter in den Posteingangskorb auf dem Schreibtisch batschen kann, mag zwar bis in die Achtziger Jahre hinein üblicher Stand in Deutschland gewesen sein, ist aber auch fürchterlich fehleranfällig und ineffizient. Und natürlich teuer, wegen der armen Seelen bei ihrem täglichen Postsack-Frühstück. Das gleiche gilt für eine Telefonzentrale, wo alle Anrufe ankommen und händisch weitergeleitet werden. Bei E-Mail konnte sich die Verwaltung an so etwas zum Glück gar nicht erst gewöhnen… 😉

Aber ich sagte es ja schon eingangs: Es ist eine Spam. Und es fällt eigentlich sehr schwer, zu übersehen, dass es eine Spam ist.

Neben diesem hochnotlächerlichen Text hat die Spam noch einen Anhang. Es handelt sich um ein 79 KiB großes Dokument für Microsoft Word mit Dateinamen Krankschreibung.doc. In dem Dokument steht nicht viel drin, es ist nur ein einziges Bild eingebettet (komme ich noch drauf zurück). Aber dafür…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…enthält es Makros, die beim Öffnen des Dokumentes automatisch ausgeführt werden. Der Makrocode lädt eine ausführbare Datei für Microsoft Windows von einem gecrackten Webserver herunter, führt diese Datei aus und macht den Prozess unsichtbar, wenn der angemeldete Benutzer dafür ausreichende Privilegien hat. Es handelt sich um klare Schadsoftware.

Kurz gesagt: Wer ein unsicher konfiguriertes Microsoft Office hat, so dass Makros in Dokumenten ausgeführt werden, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Im Moment arbeiten viele Menschen im Homeoffice, und das wissen leider auch die Verbrecher, die davon ausgehen können, dass Heimrechner wesentlich anfälliger als administrativ gewartete Arbeitsplatzrechner sind. Wenn dann bei der Arbeit Zugänge zu betrieblichen Dateiablagen offen sind, werden schnell große Teile der betriebswichtigen Daten eines Unternehmens „entführt“ (meist durch Verschlüsselung) und anschließend gibt es eine erpresserische Forderung. 🙁

Und was ist, wenn jemand keine Makros in Microsoft Office ausführt? Dann kommt die Grafik ins Spiel, die der einzige Inhalt des Dokumentes ist:

Es handelt sich um eine Aufforderung, „das Dokument herunterzuladen und zu entschlüsseln“, indem man die Ausführung von Makros in Microsoft Word gestattet. Und hinterher steht ein Computer anderer Leute auf dem Schreibtisch. 🙁

Wie ich schon am 5. April anlässlich einer ähnlichen Schadsoftware gesagt habe, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann… ach, klickt doch einfach den Link und lest es dort weiter. Welchen Link? Den da oben, auf „wie ich am 5. April“. Muss ich den wirklich noch einmal wiederholen? Na gut, click here. 🙃

Aber bitte auf gar keinen Fall auf so etwas hereinfallen! Und bitte die Warnung weitergeben! E-Mail-Anhänge nur mit äußerster Vorsicht behandeln, keine Anhänge von Unbekannten öffnen (und auch nicht in E-Mail von Unbekannten klicken), bei bekannten Absendern im Zweifelsfall vor dem Klicken in eine E-Mail zum Telefon greifen und fragen!

Nachtrag: Siehe auch bei Heise Online.
Nachtrag Zwei: Siehe auch beim LKA Niedersachsen .

⏰✋bewerbung⏰

Sonntag, 5. April 2020

Abt.: 🚨 Home-Office-Arbeitende, aufgepasst! 🚨

Von diesen Spams gibt es im Moment eine Menge. Die Texte in den Mails sind sehr unterschiedlich, immer völlig unpersönlich, meist ein wenig schlampig geschrieben und geben stets vor, dass eine Bewerbung an die E-Mail angehängt ist. Das folgende ist die häufigste Textvariante, immer wieder wird auch das Wort „Bewerbung“ noch einmal über der Anrede wiederholt, als wisse der Absender nicht, was der Zweck eines E-Mail-Betreffs ist.

Sehr geehrte Damen und Herren,

ich möchte mich hiermit noch auf die Ausbildungsstelle als Verkäufer für dieses Jahr bewerben. Ich könnte sofort anfangen und bin sehr motiviert! Im Anhang befinden sich meine Bewerbungsunterlagen.

Mit freundlichen Grüßen.

Ja, ohne irgendeinen Namen. Aber immer wieder den Betreff verdoppeln! 😉

Die angehängten Dokumente sind entweder völlig leer oder enthalten eine gleichermaßen patzig-technisch wie irreführend formulierte Aufforderung…

…dass man die Ausführung von Makros freischalten soll, um ein Problem zu beheben. Natürlich ist dies keine Fehlermeldung, sondern Text im Dokument.

Wer Microsoft Office unter Microsoft Windows verwendet, so ein Dokument öffnet und die Ausführung von Makros erlaubt (oder standardmäßig freigeschaltet hat), hat verloren und einen Computer anderer Leute auf dem Tisch stehen. 🙁

Aber niemand sage, dass er vorher nicht gewarnt wurde!

Bei allen diesen Spams – es waren gestern schon einige, und heute ist es eine Pest – laden die Makros eine Datei namens update.exe oder setup.exe von einem gecrackten Webserver herunter und führen diese unsichtbar aus.

Das erstaunlichste an dieser Spamflut ist aber, dass es sich im Grunde um sehr alten Schadcode handelt. Diese Makros habe ich vor über einem Monat schon gesehen, sie sollten also inzwischen von jedem Antivirus-Schlangenöl erkannt werden.

Ich gehe deshalb davon aus, dass die „Zielgruppe“ dieser Spammer die vielen Menschen sind, die zurzeit Corona-bedingt im „Homeoffice“ arbeiten. Offenbar gehen die Kriminellen davon aus, dass bei den meisten Menschen zuhause Computer herumstehen, die an ein weites Spektrum persönlicher Nutzungsformen angepasst und weniger gut abgesichert sind, auf denen sie sich also „austoben“ können. Vermutlich ist das sogar eine gute kriminelle Strategie. Selbst, wenn man sofort einem Administrator meldet, dass man eine „komische Mail“ aufgemacht hat, ist Abhilfe weit entfernt, während die Kollegen längst ebenfalls mit Schadsoftware angegriffen werden. Und wenn dann erst einmal betriebliche „Cloud“-Verzeichnisse von Erpressern verschlüsselt sind, droht die Insolvenz eines eh schon angeschlagenen Unternehmens so sehr, dass auch hohe fünfstellige Erpressungsgelder oder gar noch höhere Summen gezahlt werden. Auch auf striktes, aber in diesem Kontext weltfremd wirkendes Abraten der Kriminalpolizei hin. Die asozialen Verbrecher haben gewonnen. 🙁

Mit dem Geld für den so angerichteten Schaden lässt sich wahrlich Schöneres und Erfreulicheres anstellen. 💸

Deshalb, liebe Menschen, die ihr gerade im „Homeoffice“ arbeitet: Fasst E-Mail-Anhänge nur mit der Kneifzange an! Auch, wenn ihr den Absender kennt, denn der Absender einer E-Mail kann beliebig gefälscht sein, genau so, wie man auf einen Briefumschlag einen beliebigen Absender schreiben kann. (Deshalb gibt es seit über zwei Jahrzehnten die digitale Signatur von E-Mail in freier, kostenloser Software, aber niemand nutzt dieses einfache Sicherheitsmerkmal und kein Journalist erklärt euch, wie man es nutzt.) Erlaubt niemals Makro-Code in Office-Dokumenten! Öffnet keine Dokumente aus ZIP-Archiven! Seid selbst mit PDFs noch vorsichtig, denn der Acrobat Reader hat eine beachtliche und furchteinflößende Sicherheitsgeschichte! Nutzt einen anderen PDF-Betrachter! Und generell: Haltet eurer Betriebssystem und eure Anwendungen auf aktuellem Stand, denn ein behobener Fehler kann nicht mehr kriminell ausgenutzt werden. Wenn es möglich ist (und das ist häufiger der Fall, als die meisten Menschen denken), verwendet ein anderes Betriebssystem als Microsoft Windows! Das ist einfach und kostet nichts. Zurzeit ist Microsoft Windows aber noch so allgegenwärtig, dass andere Betriebssysteme so gut wie gar nicht angegriffen werden. Auch die zurzeit in einer Flut von Spam kommenden Mailanhänge „funktionieren“ nur unter Windows. Dettelbach ist überall. Seid nicht Dettelbach! Seid nicht naiv und dumm! Seid vorsichtig und schlau! 👍

lebenslauf

Dienstag, 11. Februar 2020

Auf keinen Fall die Anhänge öffnen! 🚨

Auch, wenn diese Mail selbst noch durch empfindlich geschaltete Spamfilter hindurchkommt, handelt es sich um eine Spam. Und zwar um eine sehr gefährliche Spam mit Schadsoftware im Anhang.

Sehr geehrter Damen and Herren [sic!]

hiermit bewerbe ich mich für Ihre Firma, da ich Ihre Anforderungen erfülle und mich gerne einer neuen Herausforderung stellen möchte.

Sie suchen eine Fachkraft mit Berufspraxis. Bitte entnehmen Sie meinem Lebenslauf, dass ich meine Erfahrungen in den folgenden Jahren vielfältig erweitern konnte.

Ich bin deshalb sicher, dass ich Ihre Erwartungen an einen engagierten und flexiblen Mitarbeiter voll erfüllen werde.

Momentan arbeite Ich am Flughafen München im Öffentlichen Dienst aber könnte ab sofort bei Ihnen anfangen.

Ich würde mich sehr freuen, mich Ihnen persönlich vorstellen zu dürfen.

Mit freundlichen Grüßen
–
Gesendet mit der GMX WinPhone App

Dabei habe ich gar keine Jobs anzubieten. Diese „Bewerbung“ geht also an jede Mailadresse, die man irgendwo im Internet einsammeln kann. Damit natürlich auch an die Personalabteilungen vieler Unternehmen, die ja großen Wert auf Erreichbarkeit legen müssen. 🙁

An der Mail hängen zwei Dokumente für Microsoft Word…

$ ls -l *.doc
-rw-rw-r-- 1 elias elias 136349 Feb 11 15:25 180718_Arbeitszeugnisse_aktuell.doc
-rw-rw-r-- 1 elias elias  74532 Feb 11 15:26 190720_Bewerbung_Kaufm_Angestellte_.doc
$ _

…deren Dateinamen mit mutmaßlich darin codiertem Datum den starken Verdacht erwecken, dass es sich nicht um besonders aktuelle Dokumente handelt. Ich will es mal mit LibreOffice sagen:

Damit das auch wirklich niemand klicki-klicki überliest, sei der wichtigste Satz aus dieser Meldung hier noch einmal wiederholt:

Makros können Viren enthalten.

Microsoft Word sollte eine sehr ähnliche Warnung anzeigen.

Generell sind solche Meldungen – so lästig sie auch sein mögen, wenn man eigentlich seine Arbeit erledigen will – dafür da, gelesen und nach Möglichkeit beachtet zu werden. Ungelesenes Wegklicken von Fehlermeldungen ist immer gefährlich. Selbst, wenn man glaubt, genau zu wissen, was das für eine Meldung ist.

Wer die Ausführung der Makros freischaltet oder – was leider immer noch in vielen Betrieben üblich ist – standardmäßig freigeschaltet hat und Microsoft Office unter Microsoft Windows verwendet, hat nach dem Öffnen dieses Dokumentes einen Computer anderer Leute auf dem Schreibtisch stehen. Wenn es ganz hart kommt, befindet sich hinterher ein ganzes Betriebsnetzwerk in den Händen von Kriminellen.

Und damit der Klick auf „Makros ausführen“ auch wirklich gemacht wird, wird man im patzigen Tonfall einer angeblichen Fehlermeldung dazu aufgefordert:

Das ist natürlich keine Windows-Fehlermeldung – ich sehe sie sogar mit meinem Linux – sondern einfach nur ganz normal gesetzter Text innerhalb des Dokumentes mit gelbem Hintergrund und Rahmen. Ich habe mir das vorsätzlich unverständlich gecodete Makro jetzt nicht im Detail angeschaut, bin aber schon nach schnellem Überfliegen des Quelltextes…

Private Declare Function SideBySide Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long

Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

…sehr sicher, dass hier Code aus dem Internet nachgeladen und ausgeführt wird. Nein, für ein normales Dokument werden diese Funktionen aus der Windows-API niemals benötigt. Aber so ein Office-Makro kann leider fast alles, was eine ausführbare Datei für Microsoft Windows auch kann. Zu schade, dass Microsoft für die dadurch angerichteten Schäden nicht haftbar gemacht werden kann.

Zurzeit wird die klare Schadsoftware nur von einem Drittel der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt. Immerhin hat sich die Quote seit meinem letzten Schadsoftware-Anhang im Spameingang etwas verbessert. Aber wer sich auf den „Schutz“ durch Schlangenöl verlässt, ist verlassen.

Deshalb auch weiterhin äußerste Vorsicht im Umgang mit E-Mail! Dettelbach ist überall.

USA / ATOMKRIEG – Amen

Mittwoch, 15. Januar 2020

Auf gar keinen Fall den Anhang öffnen! Das Word-Dokument enthält Makros, die Schadsoftware nachladen und installieren, danach hat man einen Computer anderer Leute auf dem Schreibtisch stehen.

So so, Amen! So sei es! Zum Atomkrieg. Komm, Spammer, nimm mal wieder deine Medikamente! 💊

Oh, du kannst aber „schöne“ Bilder basteln:

Es ist gar keine Frage, daß ein Atomkrieg denkbar ist

Der Anhang, den zu öffnen man derart eindringlich aufgefordert wird, als hinge das ganze Leben davon ab, ist ein Dokument für Microsoft Word. Dieses Dokument besteht aus einer einzigen, völlig leeren Seite. Und natürlich noch aus…

…ein paar Makros, die beim Öffnen des Dokumentes in Microsoft Word automatisch ausgeführt werden sollen. Der Warnung, die ich hier als Screenshot von LibreOffice wiedergegegeben habe, ist nur eines hinzuzufügen: Wenn einem ein Dokument mit so viel Psychodruck in einer Spam reingedrückt werden soll, dann ist es sogar sicher, dass die Makros Schadsoftware sind. 💀

Und solche Deklarationen von Windows-API-Funktionen, wie ich sie eben gerade in diesen Makros gefunden habe, werden wirklich niemals in einem normalen Dokument benötigt:

Private Declare Function URLDownloadToFile Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

Ich hoffe, dass spätestens jetzt auch jeder verstanden hat, dass ein Makro für Microsoft Office alles kann, was ein ausführbares Programm – eine .exe – für Microsoft Windows auch kann. Das Öffnen eine Office-Dokumentes mit freigeschalteten Makros aus fragwürdiger Quelle ist ganz genau so gefährlich wie das Ausführen eines Programmes aus fragwürdiger Quelle. Wer das macht, geht an den Computer so heran, wie unerfahrene Teenager an die Sexualität: Schnell, einfach und gefährlich. Ich hoffe mal, dass die meisten Computernutzer etwas reifer sind. 😉

Weder muss ein legitimes Makro Dateien aus dem Internet nachladen können, noch muss es einen neuen Prozess erzeugen können, noch muss es an die Verwaltungsinformationen des Betriebssystemes für den neuen Prozess kommen. Das wird in dieser Kombination nur benötigt, wenn eine Datei aus dem Internet nachgeladen werden soll, um dann möglichst unsichtbar ausgeführt werden zu können. Es handelt sich um völlig klare Schadsoftware. Diese wird zurzeit nur von einem Viertel der gängigen Antivirus-Schlangenöle erkannt, wer sich darauf verlässt, ist also einmal mehr verlassen. 🙁

Das ist ja auch der Grund, weshalb man trotz Antivirus-Schlangenöl keine Anhänge aus einer E-Mail öffnet, die nicht vorher über einen anderen Kanal abgesprochen wurden oder deren Absender durch eine überprüfte digitale Signatur jenseits jedes vernünftigen Zweifels feststeht und vertrauenswürdig ist. Die Absenderadresse ist beliebig fälschbar und reicht nicht aus. Man öffnet Anhänge auch nicht, oder besser erst recht nicht, wenn ein Spammer in seiner Spam behauptet, es sei ogottogott jetzt wirklich lebenswichtig, dass man den Anhang öffne. Wenn etwas so wichtig ist, kann man es auch einfach in die Mail hineinschreiben und braucht nicht umständlich einen Anhang dranzuhängen. 😉

Wer das kann, sollte die Ausführung von Makros in Office-Programmen ausschalten. Dies ist bei gewöhnlicher Benutzung mit keinem Funktionsverlust verbunden, aber schließt ein großes Sicherheitsloch, das immer wieder von solchen Halunken wie diesem heutigen Atomspammer ausgebeutet wird. Leider gibt es viele betriebliche Umfelder, in denen das gar nicht so einfach möglich ist, weil Geschäftsprozesse teilweise in Office-Makros programmiert wurden. Ja, das war eine dumme Entscheidung, aber damals in den Neunziger Jahren hat niemand auf mich gehört, als ich davor gewarnt habe, und heute ist es zu spät. Da habt ihr den Salat, und zwar genau so, wie ihr ihn bestellt habt! Da hilft nur noch äußerste Vorsicht in einem unnötig gefährlich gemachten Umfeld.

BEXIMCO bestellt Pics?

Montag, 16. Dezember 2019

Die folgende Mail – sie wurde mir von meinem Leser J.F. zugesteckt, der weder eine Firma besitzt noch „Pics“ herstellt – geht offenbar an alle nur möglichen Mailadressen und ist eine klare Spam. Sie hat nichts mit der BEXIMCO GROUP zu tun. Leider geht sie durch so manchen Spamfilter hindurch. Der Anhang ist das reinste Gift in einem ZIP-Archiv.

Diese freundlichen Verbrecher wollen den Empfängern Schadsoftware unterjubeln. Sie gehen davon aus, dass Menschen den Anhang einer „falsch zugestellten“ E-Mail aufmachen, wenn sie glauben, dass Geld angehängt wurde. 💶

Ja, heute gibt es eine Spam mit Geldanhang! So eine dumme Masche hat man nicht jeden Tag. 💰

Hello,

Dieser Name stimmt einfach immer! 👏

After reviewing all the tenders submitted by different organizations, […]

Was, ihr habt Angebote von verschiedenen Organisationen geprüft. Ich nehme mal an, diese hießen „Hallo“, „Guten Tag“ und „Sehr geehrte Mailadresse“. 🙃

[…] we have selected your company for the order of PO-EM46B92E011.

Aha, das muss eine irre wichtige Bestellung sein! Es ist eine völlig unverständliche Kombination aus Buchstaben und Zahlen, die nicht weiter erläutert wird, obwohl man sich bei solchen „Texten“ leicht verschreibt. ⚠️

The order would be for 10Pics.

Was bitte? Meint ihr Bilder? Meint ihr Teile? Oder könnt ihr nicht richtig schreiben, sprecht eine Sprache mit Auslautverhärtung und meint in Wirklichkeit Schweine? 🐖

We are also enclosing the terms and conditions for your consideration.

ZIP-Archiv im Anhang, damit serverseitige Schadsoftware-Prüfung erschwert wird. Von einem Unbekannten zugestellt. Wenn man das Internet auf die Verhältnisse der „analogen Welt“ abbilden will, entspricht dies einer Briefbombe, die einem beim Öffnen um die Ohren fliegt. 💣

If you need any clarifications regarding the same, please feel free to contact us.

Wie, sind eure AGB genau so kryptisch wie eure Mails formuliert, so dass man hinterher die Autoren fragen muss, was der Text bedeutet? 🤡

We would appreciate if you could start the production at the earliest and deliver the goods to us, delivey Date.

Aha, zum Liefertermin soll ich die „Ware“ liefern. Zum nicht genannten Liefertermin. 🗓️

Aber jetzt mal etwas Erfreuliches:

Also, please find enclosed cheque of # 57,500 USD as advance payment and lists of the Order.

An der Spam hängt ein ZIP-Anhang mit einem Scheck über ganz viele Dollar ohne $-Zeichen drin. Steht ja in der Spam. So ein Scheck wie dieser:

Scheck der Allgemeinen Spam- und Gartenbank über 10 Mionen Euro

Den kann man einfach ausdrucken und bei der Bank einreichen. 🤣

Dafür muss man nur den Anhang einer Spam aufmachen und ein bisschen herumklicken! Was kann dabei schon schiefgehen? Ist ja nur Spam. 💀

Best Regards

Andrich Marinkovich

Ja, Spammer, ich wünsche dir auch alles Gute auf deinem weiteren Lebensweg! Möge dir ein funktionierendes Gehirnchen wachsen! 🧠

Contact BEXIMCO GROUP:
19 Dhanmondi R/A
Road No. 7, Dhaka 1205
Bangladesh.
Phone: +880-2-5861xxxx-x, +880-2-5861xxxx, +880-2-5861xxxx

Email: info@bpl.net

E: info@beximco.net: schmitt@sawayn.com

Die haben ja mehr Mailadressen als IQ-Punkte! Und nochmal: Die BEXIMCO GROUP hat mit dieser Spam nichts zu tun. Ich bin aber gerade heilfroh, dort nicht am Telefon zu sitzen… ☎️

Wichtige informationen uber Steuerruckerstattung

Samstag, 9. November 2019

WARNUNG: Auf gar keinen Fall den Anhang öffnen. Das Word-Dokument enthält ein Makro, das Schadsoftware nachlädt und installiert. ⚠️

Und nein, diese Spam kommt nicht vom „Bundeszentralamt für Steuern“. Der Absender ist gefälscht.

Sehr geehrte Steuerzahler,

Benachrichtung über Steuerrückerstattung 2019

Nach den letzten jährlichen Berechnungen Ihrer steuerpflichtigen Aktivitäten [sic!] haben wir festgestellt, dass sie Anspruch haben auf eine Steuerruckzahlung [sic!] von:

€ 694,32

Bitte reichen Sie die Steuer Rückersattungsanfrage [sic!] ein und gewähren Sie uns 3 Tage fur [sic!] die Verarbeitung.

* Sie finden diese im Anhang als Word-Datei.

Bitte reichen Sie das Steuerformular für die Rückerstattung ein vor dem. 15 November 2019 Bitte antworten Sie nicht auf diese Nachricht. Wenn Sie Fragen haben, benutzen Sie bitte unser Kontaktformular.

© Bundeszentralamt für Steuern 2019

Jeder Mensch mit normaler Lebenserfahrung sollte dieser Mail sofort ansehen können, dass etwas nicht stimmt:

Unpersönliche Ansprache „Sehr geehrte Steuerzahler“
Keine Erwähnung der Steuernummer
Diverse Rechtschreibfehler, viele fehlende Umlaute
Berechnung eines Auszahlungsbetrages für einen Antrag, obwohl dieser Antrag noch gar nicht gestellt wurde – man braucht nicht viel Behördenerfahrung, um das absurd zu finden
Bezug auf ein nirgends verlinktes Kontaktformular und keinerlei Angaben zu Kontaktmöglichkeiten für eventuelle Rückfragen
Kommunikation über Steuersachen (für die ein weit gehendes Steuergeheimnis gilt) in einer unverschlüsselten, nicht digital signierten, offen wie eine Postkarte überall auf dem Weg durch das Internet lesbaren und manipulierbaren E-Mail

Das sind mehr als genug Gründe, die Löschtaste zu drücken und auf gar keinen Fall den gefährlichen Sondermüll aus dem Anhang zu öffnen. Das Antivirus-Schlagenöl hilft übrigens nicht. Aber zum Glück haben Menschen ja auch ein Gehirn, und das erkennt solche Spam sehr leicht. 🧠

Wer mir das aus mir völlig unverständlichen Gründen nicht glauben will, der lese hier weiter, denn die Spam ist eine Pest:

Ich möchte heute jedenfalls nicht in einem Finanzamt am Apparat sitzen, wo die Telefone heißlaufen, weil Menschen wissen wollen, was es mit dieser Mail auf sich hat. Aber solche Erwägungen sind dem Spammer egal. Der will nur seinen Trojaner auf möglichst vielen Computern installieren.

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.