Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Screenshot“

Nutella Probierpaket fur gammelfleisch@tamagothi.de

Donnerstag, 19. Oktober 2017

Hey, Spammer: Dass eine E-Mail für die im Header eingetragene Empfängeradresse bestimmt ist, ist jetzt nicht so ungewöhnlich, dass du es eigens noch einmal im Betreff erwähnen musst. :D

In die HTML-formatierte Spam eingefügtes Werbebild mit diversen Nutella-Produkten

Die Mail hat niemals einen Server von Ferrero gesehen. Auch gehe ich davon aus, dass man bei Ferrero die deutschen Produkte abbilden würde, wenn man sich an deutsche Kunden wendet – einmal ganz davon abgesehen, dass Ferrero wohl kaum die Reputation seiner Marken mit illegaler und asozialer Spam durch den Dreck ziehen würde. Das Bild wurde mit hoher Wahrscheinlichkeit vom Spammer aus der Nutella-Website von Ferrero mitgenommen, die ich hier leider nicht wie sonst verlinken kann, weil die Designer dieser Website von den Besuchern verlangen, dass diese die Sicherheitseinstellungen ihres Webbrowsers lockern und die Ausführung von Javascript zulassen, um überhaupt etwas auf dieser Website zu sehen. Eine solche, in meinen Augen dumme und verantwortungslose Design-Entscheidung arbeitet direkt der Internet-Kriminalität zu und ist damit für mich unverlinkbar. Ich habe zu diesem Thema einmal einen launigen Text auf meiner Homepage veröffentlicht. Und ja, natürlich ist das eine überlagerte, undurchsichtige Ebene, also eine HTML-Trickserei, auf die jeder normale Gestalter einer Website verzichten würde, um sich seinen Lesern nicht in den Weg zu stellen; und natürlich ist der Text der Website deshalb in einem reinen Textbrowser lesbar:

Darstellung einer ohne Javascript angeblich nicht darstellbaren Website in Emacs w3m

Den Screenshot habe ich schnell mit Emacs-w3m gemacht, weil ich beim Schreiben dieses Blogartikels eh schon meinen gewohnten Editor offen hatte. Werber können so gnadenlos dumm sein! Nein, mit Intelligenz kommt man nicht auf solche Ideen.

Aber die dumme und kriminalitätsfördernde Webnutzung durch eine Werbeklitsche, die leider von Ferrero bezahlt wird, ist hier ja nicht mein Thema, sondern eine dumme und kriminelle Spam. Also weiter in der Spam:

Guten Tag gammelfleisch@tamagothi.de,

Das ist ja genau mein Name! Woher kennen die den bloß! :mrgreen:

Herzlichen Glückwunsch!

Wenn hier nicht die meisten Menschen Geburtstag feiern würden, würde ich sagen, dass der „herzliche Glückwunsch“ genau so ein sicheres Spam-Kriterium zum automatischen Aussortieren wie „Click here“ ist. Mit Ausnahme von Geburtstagsmails findet sich diese Phrase nur in Überrumpelungen der Marke „Sie haben ganz toll gewonnen, jetzt klicken sie schon und fallen sie auf uns rein“.

Sie wurden als möglicher Tester für neue Nutella Produkte ausgewählt.

Der Link geht natürlich nicht in die Nutella-Website von Ferrero. Und es ist kaum davon auszugehen, dass Ferrero für einen solchen Zweck eine andere Website benutzen würde.

Wo der Link hingeht, sieht man übrigens, wenn man den Mauszeiger über dem Link schweben lässt und in die Statuszeile (oder für Webmail-Nutzer: unten links im Browser) schaut. Dabei wird klar, dass der Link in die Domain track (punkt) rearwind (punkt) net geht, die…

$ whois -h whois.domain.com rearwind.net | grep "^Registrant" | sed 7q
Registrant Name: Jose Pancas
Registrant Organization: Jose Pancas
Registrant Street: R. Dr. Antnio Manuel Gamito 2
Registrant City: Setubal
Registrant State/Province: NA
Registrant Postal Code: 2900-056
Registrant Country: PT
$ _

…angeblich von einem Portugiesen betrieben wird, der sich nicht ganz so nach Ferrero anhört. Bevor ihr dem armen angeblichen Registranten mit seiner öffentlich im Internet zugreifbaren Anschrift jetzt Hassmails schreibt oder gar eine Strafanzeige erstattet, haltet ein! Ich bin mir sicher, dass Kriminelle hier die Identität eines anderen Menschen für ihre „Geschäfte“ missbraucht haben. Das ist ja auch der Grund, weshalb man Kriminellen keine Daten gibt. Alles andere führt nämlich leicht dazu, dass man sich mehrere Jahre seiner beschränkten Lebenszeit mit allerlei Ärger, viel Polizei, vielen Gerichtsbriefen, vielen Mahnungen, vielen Strafanzeigen und einigen Stunden beim Untersuchungsrichter verhagelt. So viel Nutella kann man gar nicht essen, dass man dafür entschädigt wird!

Sie haben jetzt die Chance ein großes Testpaket mit einer großen Auswahl an Nutella-Produkten zu gewinnen!

Wie, ich werde dafür beglücktwünscht, dass ich eine Chance habe? Das ist ja, als ob man einen Brief von seiner Lottogesellschaft bekäme, in dem „Herzlichen Glühstrumpf, sie haben jetzt die Chance, demnächst sechs Richtige mit Superzahl getippt zu haben und die Überweisung eines Millionenbetrages zu empfangen“ steht. :mrgreen:

Und, was soll ich für diese „Chance“ tun?

Verlieren Sie keine Zeit, die Aktion ist zeitlich begrenzt!

Erstmal soll ich schnell machen und ja nicht darüber nachdenken. Denn wenn ich nachdenke, lösche ich die Mail spätestens, nachdem ich über die letzte Aussage nachgedacht habe.

Dazu 3 einfache Fragen beantworten und sich qialifizieren [sic!]!

Und dann soll ich eine Aufgabe lösen, die als einfach bezeichnet wird.

Viel Glück,
Produkttest-Team

Und dann brauche ich nur noch Glück. Wer richtiges Glück hat, hat ein Gehirn, das Spam erkennt und ist beim Lesen gar nicht so weit gekommen, weil er vorher schon unwiderstehliche Zuckungen im Löschfinger hatte. Wehe denen, die dieses Glück nicht haben und auf solche Maschen reinfallen! :(

» Zur Anmeldung

Auch dieser Link geht wieder in die schon erwähnte Domain track (punkt) rearwind (punkt) net, die sich leider noch nicht auf den einschlägigen Blacklists findet. Aber das ist nur noch eine Frage der Zeit.

Wer nicht das Glück mit dem Gehirn hat und deshalb auf den Link klickt, teilt dem Spammer über die im Link verbastelte eindeutige ID mit, dass die Spam auf seiner Mailadresse auch angekommen ist (was in diesem Fall harmlos ist, denn die Gammelfleisch-Adresse ist ausdrücklich für unseriöse Angebote und geht deshalb direkt ins Glibberloch). Und dann gibt es die übliche Weiterleiterei:

$ mime-header "http://track.rearwind.net/1mqfx6Nutella" | grep Location
  Location: http://www.clkmg.com/digitalpl/1mqfx6Nutella
$ mime-header "http://www.clkmg.com/digitalpl/1mqfx6Nutella" | grep Location
  Location: http://nutella.kickst.net/ 
$ _

Endlich am Ziel! Eine Website in einer nach Nutella klingenden Subdomain der Domain kickst (punkt) net, die übrigens…

$ whois -h whois.domain.com kickst.net | grep "^Registrant" | sed 7q
Registrant Name: Raul Costa
Registrant Organization: Raul Costa
Registrant Street: Rua Costa Cabral, n 2075
Registrant City: Porto
Registrant State/Province: NA
Registrant Postal Code: 4200-230
Registrant Country: PT
$ _

…mit einer anderen mutmaßlich missbrauchten Identität aus Portugal registriert wurde. Aber das sieht ja der mit solcher Spam angelockte Besucher nicht, der sieht das hier:

Screenshot der betrügerischen Website mit dem angeblichen Nutella-Gewinnspiel. Erste Frage: Wie alt sind sie? [+18] [18-35] [36-50] [+50]

Moment, diese hochnotpeinliche Sache mit dem generellen „über achtzehn“ und der zusätzlichen Auswahl dreier Altersklassen über achtzehn Jahren habe ich doch schon einmal in meiner Spam gehabt… das war aber nicht Nutella… das war… richtig! Das war das Milka-Probierpaket!

Gut, dann reicht ja der Link und ich muss nicht noch einmal schreiben, dass es eine schlechte Idee ist, kriminellen Spammern die Daten für einen Missbrauch der Identität zu geben. Auch die Fortsetzung nach drei trivialen und im Grunde harmlosen Fragen entspricht völlig der Milka-Masche, hier nur mit einem anderen Köder:

Screenshot der durch Spam beworbenen und überhaupt nicht empfehlenswerten Website in der Domain dein-probierpaket.de

Alle dort eigegebenen Daten gehen an Gestalten, die sich durch asoziale und illegale Spam bewerben lassen. Wer mir wirklich nicht glaubt, dass es eine schlechte und sehr gefährliche Idee ist, für ein über Spam transportiertes Versprechen der Möglichkeit eines eventuellen Gewinnes den Namen, die Meldeanschrift, das Geburtsdatum und die Telefonnummer anzugeben – ich bin ja nur ein dahergelaufener Blogger, der im geduldigen Internet voller „Fake News“ vieles erzählen kann – gehe bitte zur nächsten Polizeidienststelle und frage mal dort! Und zwar bitte vor einem derartigen Datenstriptease im Internet!

Click here to report this message as unsolicited

Klick in der Spam auf „Click here“, um die Spam als Spam zu melden. Da müsste man aber ganz schön doof sein… ;)

database management (contact): twist . marketing @ yandex . com
Twist Marketing, Carrer de Tarragona, 161, 08014 Barcelona – Spain

Oh, damals wart ihr noch in der Maximillianstraße in München… ach, ist ja eh Spam und alles Lüge.

Anleitung Für BTC investieren

Dienstag, 5. September 2017

Ach, Spammer! Werdet ihr den Schwindel mit den Binären Optionen nicht mehr los? Bekommt ihr deshalb nicht mehr genug Affiliate-Geld für eure ausgedehnten Nachmittage im Puff von überteuerten, abzockerischen Binäre-Optionen-Brokern zusammen, denen ihr naive Menschen als neue Kunden zutreibt?

Und dann sagt ihr euch nicht etwa: Nee, wir verzichten mal auf die Nutten und das Kokain und wenden uns einer weniger asozialen Betätigung zu? Nein, ihr sucht nach dem nächsten Ding, wo ihr Affiliate-Geld dafür kassieren könnt, dass ihr mit Spam naive Menschen fischt und zu überteuerten, abzockerischen, grenzbetrügerischen oder gar offen betrügerischen Anbietern treibt. Jetzt aber nicht mehr mit den Binären Optionen, jetzt mit Bitcoin und mit abzockerischen Betreibern von Bitcoin-Börsen.

Es weiß zwar niemand in eurer „Zielgruppe“ so halbwegs genau, was Bitcoin ist, aber das galt für die Binären Optionen ja auch. Und dumme, ihre Leser verdummende Journalisten haben ja schon ordentlich Vorarbeit für euch geleistet, indem sie immer und immer wieder von den großen Kurssteigerungen bei Bitcoin schrieben, so dass die Menschen in der Zielgruppe immerhin wissen, dass „in diesem Bitcoin“ die Kurse steigen und steigen und steigen. Wenn sie nicht gar „explodieren“! Dazu bilden die verdummenden, nichts erklärenden Journalisten dann meist als Symbolbild zu ihrem Artikel eine „Münze“ ab, die einen Bitcoin repräsentieren soll, ganz so, als ob Bitcoin in Münzen geprägt würde¹. Wenn die Menschen schon so verdummt und mit falschen Vorstellungen irregeführt wurden, kann man sie doch mal zu Bitcoin-Börsen treiben, die ihre Nutzer so richtig übel mit allerlei überteuerten Gebühren abzocken und kriminellen Affiliate-Spammern, die ihnen immer wieder neue Nutzer zutreiben, so richtig pralle Zaster für diese asoziale „Dienstleistung“ zustecken.

Sie haben Probleme beim Lesen dieser E-Mail? Schau es dir in deinem Browser an.

Die Spammer geben zwar vor, dass sie eine technische Methode kennnen, sich Geld aus dem Internetzugang zu ziehen, aber gehen in ihrer eigenen Spam davon aus, dass sie nicht einmal zum Verfassen einer lesbaren, HTML-formatierten E-Mail imstande sind. Wie zuverlässig wird wohl ihre Methode sein? :mrgreen:

Anleitungen und Schritt für Schritt Anleitung Für BTC investieren

Du brauchst keinerlei Vorkenntnisse.

Jedes gut dressierte Meerschweinchen ohne irgendwelche Kenntnisse kann also „investieren“ und…

Folge dem Link und Gönne Dir endlich etwas mehr!

…sich hinterher mehr gönnen, also Gewinn machen. Das Geld entsteht einfach Hokus Pokus Internet aus dem Nichts, es gibt keine Verlierer. Die Spammer wenden diese Methode aber nicht selbst an, denn sonst würden sie ja nicht wie die asozialen Trickbetrüger spammen, sondern sich am mühelos aus der Steckdose quellenden Geld erfreuen.

Wer auf die vollmundigen Versprechungen reinfällt, hat es allerdings mit den folgenden kleinen Nachteilen zu tun:

  1. Geld einer staatlichen Zentralbank wurde gegen virtuelles Geld eingetauscht, das lediglich aus Daten besteht. Daten können verloren gehen. Sie gehen oft deutlich leichter und schneller verloren als Geldbörsen.
  2. Ein krimineller Angriff auf die Bitcoin-Infrastruktur als Ganzes wird zwar sehr schwierig sein, aber es ist unmöglich, auszuschließen, dass er einmal gelingen könnte. Wo das Aas ist, da sammeln sich die Geier. Die Kreativität und der betriebene Aufwand, die durch die Möglichkeit eines großen Diebstahls von Geld freigesetzt werden, können erheblich sein.
  3. Bitcoin ist unreguliert. Es gibt keinerlei Überwachung des Handels mit Bitcoin. Die Handelsplattformen für Bitcoin sind unreguliert und unüberwacht. Natürlich kann man sich nach einigen Tagen des Lesens für eine entscheiden, die nicht abzockerisch oder gar betrügerisch ist, aber dass ist dann schon kein „ohne Kenntnisse“ mehr.
  4. Selbst, wenn es sich nicht um einen betrügerischen oder abzockerischen Dienstleister handeln sollte, kann es durch einen kriminellen Crackerangriff auf die Bitcoin-Handelsplattform zu einem Totalverlust der Bitcoin kommen, wenn man sie dort hinterlegt hat, statt sie selbst unter Kontrolle zu haben. Wer das für eine theoretische Gefahr hält, überfliege bitte mal eine kleine, sicherlich unvollständige Liste bisheriger Crackerangriffe auf Bitcoin-Dienstleister im BitcoinBlog!
  5. Es gibt nicht den (amtlich festgesetzten) Wechselkurs von Bitcoin auf eine Zentralbankswährung, und es wird ihn wohl niemals geben. Das ist eine direkte Folge der Tatsache, dass Bitcoin unreguliert ist. Man kann das begrüßen, man kann das hinnehmen und damit leben – aber es öffnet eben auch die Tür für diverse Abzockmaschen beim Handel mit Bitcoin über abzockerische Plattformen.
  6. Wenn man die Bitcoin nicht in einer eigenen Wallet auf dem eigenen (und angemessen abgesicherten) Computer hat, muss man den Zusicherungen eines Plattformbetreibers vertrauen, dass er die Bitcoin auch wirklich hat. Ich würde das nicht tun. Ohne direkten Zugriff gibt es keinerlei Kontrollmöglichkeiten, und ein derartiger Zustand kann erhebliche kriminelle Energie freisetzen. Vor allem, wenn es um Geld geht.
  7. Die Kursschwankungen bei Bitcoin sind in ihrer Heftigkeit jenseits von Gut und Böse. Wenn die Währung eines beliebigen Staates derartige Kursschwankungen hätte, käme niemand auf die Idee, darin zu „investieren“ – und vermutlich würden innerhalb dieses Staates viele Geschäfte über kalkulierbarere Schwarzmarktwährungen laufen.

Der Link aus der Spam führt nach der üblichen Kaskade von Weiterleitungen auf eine Website in der Domain bitcoinmillions (punkt) co, die folgendermaßen aussieht:

Screenshot der betrügerischen Website, die ein Reichwerdverfahren mit Bitcoin anbietet

Detail aus der betrügerischen Website: Lass mich dir jetzt live zeigen, wie man Cash verdient. Deine E-Mail-Adresse. Bitcoin-Symbol -- Fang jetzt anDa die Spammer davon ausgehen müssen, dass ein Großteil ihrer „Zielgruppe“ keine Lust zum Lesen hat, gibt es wie bei den Binären Optionen ein Video, in dem ein schwafelnder Lügner mit dem ausgedachten Namen „Sven Hegel“ heiter seine Lügen vom mühelosen Reichwerden erzählt.

Sehr vielsagend ist bei diesem betrügerischen Blendwerk die Fußzeile, bei der es die Kriminellen versäumt haben, sie an die neue Masche anzupassen. Deshalb liest sie sich zurzeit so: „Wichtiger Risikohinweis: Mit binären Optionen zu traden kann viele Vorteile hervorbringen aber beinhaltet auch das Risiko teilhafte oder komplette Geldbeträge zu verlieren was von Investoren berücksichtig [sic!] werden sollte“. Tja, wenn so ein Spammer sich bei seinem Beschiss Mühe geben wollte, dann brauchte er ja auch nicht zu spammen, sondern könnte gleich arbeiten gehen. :mrgreen:

Viel Erfolg!
Steve McKay

Ich dachte, der Erfolg sei garantiert… :D

1 Woche Statistiken der leistungsstärksten Mitglieder

Thomas Eichelberger (Hamburg, Deutschland) von 250 USD zu 18.2 BTC
Erik Nündel (Bremen, Deutschland) von 300 USD zu 17 BTC
Matthias Wagner (Kapfenberg , Österreich) von 250 USD zu 14 BTC

Der Spammer hat eine Liste von Vornamen und Nachnamen, aus denen er seine ausgedachten Erfolgslisten generiert. Die hat nicht jeder.

1 BTC (BITCOIN) = 4425 USD (04/09/2017)

Zurzeit sind es allerdings 4309,01 USD. (Bitte dabei beachten, dass es „den“ Wechselkurs nicht gibt.) So schnell kann das für Bitcoin ausgegebene Geld „verdampfen“. Es ist nun einmal sehr spekulativ. Auf der anderen Seite ist Bitcoin, auch wenn es gern als „virtuelle Währung“ oder „Kryptowährung“ und damit als Geld bezeichnet wird, wegen seiner Entwurfsschwächen gar nicht als allgemeines Zahlungsmittel für den Alltag geeignet (das gilt allerdings nicht für jede Kryptowährung). Der Verbrauch von Ressourcen bei jeder einzelnen Transaktion steht weit jenseits jeder verantwortbaren Verhältnismäßigkeit, und diese Situation wird mit zunehmender Nutzung nur immer schlechter. Was vom gegenwärtigen Bitcoin-Kurs übrig bleiben wird, wenn sich das Zeitalter der Erpressungstrojaner einmal zum Ende neigen sollte und wenn die gegenwärtige Spekulationsblase um den Bitcoin platzt, kann ich nicht voraussagen. Niemand kann das voraussagen. Wer Geld sicher anlegen will, darf es eben nicht spekulativ anlegen, und wer es spekulativ anlegt, darf sich nicht wundern, wenn es weg ist. Eines nur ist und bleibt ohne jeden Zweifel sicher: Mit einer illegalen und asozialen Spam kommt niemals ein Angebot, von dem der Empfänger der Spam profitieren wird.

So stoppen Sie diese E-Mails empfangen bitte abmelden

Vor meinem Arsch ist auch kein Gitter.

¹Nein, Bitcoin wird nicht aus Metall geprägt. Bitcoin ist immateriell und besteht nur aus Daten. Wenn diese Art der Spam zunimmt und ich nichts Besseres als den literarisch ungenießbaren Wikipedia-Text zu Bitcoin finde, werde ich wohl selbst eine Einführung schreiben müssen. Dazu habe ich allerdings keine besonders große Lust. Diese Art des Schreibens, um Wissen, Bildung und verantwortliche Handlungsmöglichkeiten zu vermitteln, wäre eigentlich die Aufgabe des Journalismus, wenn er etwas anderes als Werbeplatzvermarktung wäre.

Hello!

Mittwoch, 16. August 2017

Aha, ein „Qualitätsbetreff“…

r u down for right now? i‘m 27/f looking for a f*ckbuddy on the side…
i‘m crazy in bed ;) think you could tame my pu_$Sy?

my username is Lenusik47
u can see my naughty pics >> here <<

Und ein „Liebesbrief“ ist es auch noch. Aber einer, dessen Absender genau weiß, dass er mit seiner Wortwahl durch keinen Spamfilter dieser Welt hindruchkommt und der deshalb die Muschi lieber als mU_$ch1 schreibt.

Natürlich handelt es sich mal wieder um einen Dating-Beschiss, und wer in einem Anfall geistiger Umnachtung auf den Link klickt, steht vor einer potemkinschen Dating-Site, wo er ein Google-CAPTCHA¹ lösen soll – schließlich will dieser Spammer nicht seinerseits mit skriptgesteuerten Spamregistrierungen genervter Empfänger seiner Spam zugespammt werden, sondern Affiliate-Geld dafür kassieren, dass er irgendwelche notgeil-verzweifelten Männer an einen fragwürdigen, halbseidenen und vermutlich gesalzen teuren Dating-Anbieter verkauft. Und wer dann das CAPTCHA geschafft hat, ist endlich am Ziel:

Screenshot der betrügerischen Website

Ich bitte bei dieser grandiosen Website eines spammenden Vollidioten um Beachtung für folgende, ziemlich offensichtliche Dinge:

  1. Man sieht dort nur Frauen. Was haben diese Frauen wohl mit den Männern gemacht, damit die Männer allesamt die Flucht ergriffen haben? Möchte man selbst so behandelt werden?
  2. Da ist gar keine Website. Der Hintergrund ist nur ein Screenshot einer anderen Dating-Website. Mein Browser läuft niemals im Vollbild, sondern meist mit einer Fensterbreite von rd. 1.000 Pixeln und deshalb ist dieses Bild bei mir sehr unvorteilhaft abgeschnitten. Hier will jemand gezielt einen falschen Eindruck erwecken, und weil er zu faul war, sich schnell eine potemkinsche Webfassade zu zimmern (dafür kann man sich ja auch bei anderen bedienen), ist das Ergebnis lächerlich geraten.
  3. Es ist ja bekannt, dass der Klick auf „Ich habe die Nutzungsbedingungen gelesen und bin damit einverstanden“ die vermutlich häufigste Lüge des Internetzeitalters geworden ist. Aber wenn man nur fünf Minuten Zeit hat, eine derartige Bleiwüste aus literarisch ungenießbarer Sprache zu lesen, dann liest sie garantiert niemand. Ich gehe davon aus, dass die so präsentierten AGB keineswegs Bestandteil eines geschlossenen Vertrages, sondern juristisch vollkommen wirkungslos sind.
  4. Die Anmeldung ist kostenlos. Die Nutzung natürlich nicht. Man wird schnell von einem dummen Skript kontaktiert, und man muss schnell unverschämt viel Geld dafür bezahlen, dass man mit dummen Skripten chatten und mailen kann. Zu Sexkontakten kommen nur jene Menschen, die Ausgaben eines Computerprogrammes stark erregend finden, und für diese Menschen besteht keine Notwendigkeit, vorm Computer sitzend den Umweg über einen Dating-Betrüger zu gehen.

Wenn ein Spammer sich mit seinem Beschiss Mühe geben würde, könnte er ja auch gleich arbeiten gehen…

¹Aus dem verlinkten Wikipedia-Artikel ein Zitat: „Wie ein Versuch zeigt, existieren Algorithmen, die Captchas beispielsweise von Googles weit verbreitetem reCAPTCHA zu weit über 90 % richtig lösen, und somit eine höhere Erkennungsquote als Menschen aufweisen“. Wer trotzdem noch ein CAPTCHA einsetzt, zeigt damit vor allem seine Dummheit.

Milka Probierpaket fur gammelfleisch@tamagothi.de

Dienstag, 8. August 2017

Nein, diese Mail hat mit „Milka“ nichts zu tun. Es ist eine Spam, die an Mailadressen gesendet wird, die von Kriminellen mit Skripten im Web eingesammelt wurden. Die kurze Zusammenfassung lautet: Auf gar keinen Fall in die Spam klicken! Einfach löschen!

Und nun ein paar Worte mehr.

Die Spam sieht so aus:

Milka-Schokoladentafeln

Hallo!
Herzlichen Glückwunsch!

Wir freuen uns Ihnen mitzuteilen, dass Sie unter den Auserwählten für die Endauslosung eines Milka Probierpakets sind.

1. mia_f_hermann @ yahoo . ch
2. gammelfleisch@tamagothi.de
3. wilma-l @ gmail . com

Klicken Sie unten, um Ihre Teilnahme zu bestätigen:
Jetzt teilnehmen!

ACHTUNG! Die Aktion endet in 3 Tagen!

WSE Promo
Maximilianstrasse 35a
München 80539
Germany

Click here to report this message as spam

Klicken Sie zum Abbestellen hier

In eine Spam auf „Click here“ klicken, um die Spam als Spam zu melden… :D

Wer auf „Teilnehmen“ klickt, landet nicht etwa in der Domain für die Marke „Milka“, sondern in der ungleich fragwürdigeren Domain dach (punkt) schokopakete (punkt) kickst (punkt) net, wo man von einer sehr stümperhaft gestalteten, nachgemachten „Milka“-Seite begrüßt wird, auf der man ein paar wenig problematische Fragen beantworten soll, wenn man sich nicht daran stört, dass die Macher der Website nicht so ganz rechtschreibsicher wie die Werbefirma für „Milka“ sind:

Screenshot der betrügerischen Website

Nachdem man erklärt hat (Javascript ist hierfür erforderlich), in welche Altersklasse man gehört (über 18, 18-35, 36-50, über 50 Jahre – Mehrfachnennungen sind nicht möglich), welches Geschlecht man hat und welche Schokolade man am liebsten isst, gibt es die nächste Weiterleitung zur Website in der Domain dein (strich) probierpaket (punkt) de, wo einem die nächste Website mit „Milka“ begrüßt, die nichts mit „Milka“ zu tun hat:

Screenshot der betrügerischen Website

Immerhin steht es hier unter der Website:

Milka ist weder Veranstalter noch Sponsor des Gewinnspiels und steht mit der 7sections GmbH in keiner geschäftlichen Beziehung. Veranstalter dieses Gewinnspiels ist die 7sections GmbH

Dass diese Masche nichts mit Milka zu tun hat, wusste ich allerdings schon, als ich die Spam gesehen habe.

Dafür „darf“ man sich jetzt in einem mehrschrittigen Verfahren für einen „möglichen Gewinn“ vor Spammern datennackt machen, aber hundert Prozent gratis:

Der mögliche Gewinn soll gehen an: -- Anrede Frau () Herr () -- Vorname -- Nachname -- Email -- Ja, ich bin damit einverstanden, dass eine Auswahl der in der Sponsorenliste aufgeführten Firmen mich postalisch, telefonisch oder per Email oder SMS über Angebote aus ihrem jeweiligen Geschäftsbereich informiert. Die Auswahl der werbenden Unternehmen können Sie selbst beeinflussen. Das Einverständnis kann ich jederzeit widerrufen. Weitere Infos dazu hier -- [100% Gratis mitmachen] -- Teilnahmebedingungen und Datenschutz habe gelesen und akzeptiert.

So ganz stilsicher ist der Text nach dem „Ja“ zum Abchecken ja nicht formuliert, mal „bin ich“, mal „können Sie“. Aber dass sich Leute mit derartigen „Geschäftsmodellen“ Mühe gäben, wäre auch einmal etwas ganz Neues.

Erfreulich ists allerdings, dass man da ja gar nicht hinklicken muss… mal ausprobieren…

Folgende Fehler sind aufgetreten: Zustimmung

…schade. :mrgreen:

Der Gewinn ist möglich, das tägliche Postfach voll mit einer durch derartige Überrumpelung notdürftig legalisierte Schrottmail ist hingegen sicher. Und weil das Postfach nicht genug ist…

Hallo, Sebastian Gutenoth, bitte vervollständigen Sie nun ihre Teilnahme! -- Straße -- Hausnummer - PLZ -- Ort -- Telefon -- Land -- Geburtstag -- [Weiter]

…kommt auch noch die Postanschrift für Briefkastenspam und die Telefonnummer für Telefonspam und dumme Gewinnbimmelei dazu. Oder vielleicht auch für einen Identitätsmissbrauch – schließlich haben wir es hier mit einer Datensammlung zu tun, die über illegale und asoziale Spam vorangetrieben wird.

Ich bin im Moment gerade ein bisschen auf dem Sprung und habe deshalb nicht die Muße, noch ein bisschen tiefer zu schürfen, aber ich gehe noch von einer versuchten Präsentation diverser Abzock-Versuche aus. Alles in allem ist die Vorgehensweise sehr ähnlich zum Lidl-Bingo-Beschiss aus dem Winter des vorigen Jahres. Den damaligen Worten habe ich für den heutigen halbseidenen bis kriminellen Versuch nichts hinzuzufügen, und aus diesem Grund seien sie hier noch einmal wiederholt:

Deshalb sollte man eben niemals auf eine Spam reinfallen. Auch nicht, wenn sie von ihrem Layout her wie eine E-Mail eines renommierten Unternehmens aussieht. Jeder talentierte Zehnjährige kann ein solches Layout machen, indem er sich bestehendes Originalmaterial des Unternehmens etwas anpasst. Und schon gar nicht sollte man auf eine Spam reinfallen, wenn sie tolle Gewinne verspricht, wenn man nur „Click here“ macht und auf irgendwelchen Seiten massenhaft persönliche Daten preisgibt. Spam ist immer ein ganz schlechtes Zeichen. Der beste Schutz vor Internetkriminalität ist ein großes Misstrauen gegenüber E-Mail sowie die Fähigkeit, Spam schnell als solche zu erkennen und zu löschen, statt darin herumzuklicken.

Amen!

Trojanische Tastatur-App auf HTC-Smartphones

Montag, 17. Juli 2017

Hier geht es nicht um eine Spam, sondern um einen Hinweis auf einen Golem-Artikel zu den neuesten Bemühungen der (leider) legal Reklametreibenden, die bestehende Allgegenwart der Werbung noch weiter auszubauen – wenn es auch ein bisschen halbseiden bis kriminell wird:

Android:
Tastatur des HTC 10 zeigt Werbung an

Gemeint ist hier die werksseitig vorinstallierte Tastatur-App eines Android-Handys, die personalisierte (also auf der Grundlage von Tracking und Überwachung ausgewählte) Reklame einblendet. Das sieht dann so aus (diesen Screenshot habe ich von Reddit mitgenommen):

Screenshot eines Handys mit der Keyboard-App, die Werbung einblendet

Meiner Meinung nach ist dieses Bild einer mit werkseitig installierter Schadsoftware – ja, eine Adware ist eine Schadsoftware – vergällten Systemanwendung für Smartphone-Kernfunktionalität ein treffliches Symbolbild für die ekelerregende Unkultur, die sich in den letzten Jahren zusammen mit den so genannten „Smartphones“ breitmachen konnte, ohne dass ihr ein nennenswerter Widerstand entgegengesetzt würde. Wer sich persönliche Computer andrehen lässt, auf denen werkseitig für den Benutzer uninstallierbare – oder genauer: nur unter Verlust der Gewährleistung für das Gerät und nur mit hohem Aufwand deinstallierbare – Trojaner installiert wurden, gehört zu den Menschen, an denen die menschliche Würde verschwendet ist.

Die Werbung wird natürlich in Abhängigkeit von Eingaben eingeblendet, die auf der Tastatur gemacht werden – es handelt sich hier also nicht nur um eine Adware, sondern um einen Keylogger, der jede Eingabe an einen anonym bleibenden Dritten sendet. Ich wünsche allen Nutzern viel Vergnügen dabei, mit einem derartigen Gerät Online-Banking zu betreiben oder irgendetwas zu bezahlen! Selbst, wenn die mutmaßlich mit HTC kooperierenden Werber mit ihrer Tastaturtrojaner-Idee niemals auf die Idee kommen sollten, die so eingesammelten Daten für kriminelle Zwecke zu missbrauchen oder an irgendwelche Dritte zu verkaufen, ist die Beschädigung der Privatsphäre durch Weitergabe sämtlicher Kommunikationsinhalte und Websuchen an eine Klitsche, die Geschäfte mit Schadsoftware macht, erheblich genug, um sich diese Unverschämtheit auf gar keinen Fall widerstandslos bieten zu lassen. Die Frage, ob nicht schon vor der sichtbaren Werbeeinblendung Tastatureingaben (also Passwörter, IM, Mail, Websuchen) überwacht wurden, lässt sich leider nicht klären, aber ich würde bis zum überzeugenden Beleg des Gegenteiles – und dieser besteht nicht in einer Presseerklärung – davon ausgehen.

Natürlich gibt es alternative Tastatur-Apps, die man sich schnell installieren kann. Aber wer nach einer derartig arschlochhaft vorangetriebenen Sauerei noch das geringste Vertrauen in eine offensichtlich mit Schadsoftware-Programmierern zusammenarbeitende Unternehmung wie HTC hat, zeigt damit nur, dass er nicht zu den Hellsten gehört. Meiner bescheidenen Meinung nach – ich bin wohlgemerkt kein Jurist – handelt es sich hier um einen dermaßen großen, jede Nutzung beeinträchtigenden Produktmangel, dass nur noch eine Reaktion angemessen ist: Die Rückgabe des mit uninstallierbarer Schadsoftware verseuchten Smartphones und die Rückforderung des Kaufpreises. Dieses selbstverständlich vorbehaltlich einer Strafanzeige wegen des Ausspähens von Daten und darauffolgender zivilrechtlicher Forderungen wegen eventuell angerichteter Schäden.

Denn mit Leuten und Unternehmungen, die mit so viel krimineller Energie zum Schaden ihrer eigenen Kunden beim Vorantreiben ihrer halbseidenen Geschäftsideen vorgehen, ist kein friedliches Miteinander mehr möglich. Hier sind sich illegale Spam, direkt von der organisierten Internetkriminalität (bullshitdeutsch: Cybercrime) abgeschaute Vorgehensweisen und leider legale Reklame ganz nahe gekommen, so dass eine Unterscheidung nicht mehr möglich ist. :(

Nachträge, 21:35 Uhr

Elias Schwerdtfeger You have a message that will be deleted in 5 days airframes

Freitag, 14. Juli 2017

Da muss ich ja mal richtig schnell machen! Sonst kriegt die Nachricht noch flatternde Flügel. :D

Und, um was geht es? Mal reinschauen:

facebook -- A lot has happened on Facebook since you last logged in. Here are some notifications you've missed. -- 1 message -- [View Notifications] [Go to Facebook] -- This message was sent to exxxxxxxr@gxxxxxxxx.com. If you don't want to receive these emails from Facebook in the future, please unsubscribe. -- Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

Aber ich bin doch gar nicht bei Facebook…

Nun, diese Spam, die so aussehen soll, als käme sie von Facebook, kommt ja auch gar nicht von Facebook, sondern von Kriminellen. Ich weiß nicht, ob Facebook derartige E-Mails versendet. Ich bin nicht bei Facebook.

Alle vier Buttons/Links in dieser Spam führen auf die gleiche Adresse http (doppelpunkt) (doppelslash) maxxboard (punkt) nl (slash) invitations (punkt) php – und dort gibt es natürlich nicht Facebook, sondern eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header "http://maxxboard.nl/invitations.php"
HTTP/1.1 200 OK
Date: Fri, 14 Jul 2017 08:57:24 GMT
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta name="keywords" content="heeds, christ, seas">
<title>steps32128 Believd soothe. Fatherly debut lucie civil muscles relief infants.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function disciplinede() { disciplineda=23; disciplinedb=[142,128,133,123,134,142,69,139,134,135,69,131,134,122,120,139,128,134,133,69,127,137,124,125,84,62,127,139,139,135,81,70,70,132,120,126,128,122,132,124,123,138,135,137,134,126,137,120,132,69,137,140,62,82]; disciplinedc=""; for(disciplinedd=0;disciplinedd<disciplinedb.length;disciplinedd++) { disciplinedc+=String.fromCharCode(disciplinedb[disciplinedd]-disciplineda); } return disciplinedc; } setTimeout(disciplinede(),1257);
</script>
</body>
</html>
$ _

Nun, wer sich so verbirgt, hat gewiss etwas zu verbergen.

Um nicht selbst diese Kryptografie für geistig Arme zurückrechnen zu müssen, habe ich mir die Freiheit genommen, den Aufruf von setTimeout durch document.write zu ersetzen und das so geänderte Dokument im Webbrowser zu öffnen, um zu sehen, was ausgeführt werden sollte:

window.top.location.href='http://magicmedsprogram.ru'; 

So so, it’s magic! :mrgreen:

Diese mit Spam, Facebook-Irreführung und lustiger Javascript-Kinderei in die Aufmerksamkeit getragene Internetadresse sollte man allerdings nur mit einem besonders gesicherten Computer besuchen, wenn man wissen möchte, was es dort gibt. Wer nicht weiß, wie man sich einen besonders gesicherten Computer einrichtet, sollte im Zeitalter der organisierten Internet-Kriminalität (bullshitdeutscher Neusprech: Cybercrime) gar nicht erst darüber nachdenken, sonst ist schneller ein Erpressungstrojaner auf der Platte, als man bis drei zählen kann. Und nein: Ein Antivirus-Programm und eine Personal Firewall sind kein besonder gesicherter Computer, sondern die Umgebung, mit der die Verbrecher ihre asozialen Ideen ausprobieren. Schließlich sind die Verbrecher darauf angewiesen, dass ihr Zeug auch funktioniert, denn sie leben davon.

Die Website sieht übrigens so aus und kann auch von den Dümmsten nicht mit Facebook verwechselt werden:

Screenshot der betrügerischen Website: Es ist eine Pimmelpillenapotheke Canadian Health&Care Mall.

So so, Canadian Health&Care Mall in der russischen TLD. :D

Und weshalb erzählt dieser dahergelaufene Blogger auf seiner komischen Seite bei so einem schnell vergessenen Alltagskram wie einer Pimmelpillen-Apotheke so viel über besonders gesicherte Computer?“, könnte man da fragen. Nun, ich gebe zusätzlich Folgendes zu bedenken:

  1. Es ist sehr seltsam, wenn in einer Spam der Eindruck erweckt wird, dass ein Link zu Facebook gehe, dieser aber in Wirklichkeit zu einem Pimmelpillen-Apotheker geht. Wer soll die Zielgruppe dieses Vorgehens sein? Wer stellt sich innerlich auf Facebook ein, ist auf einmal bei einem russischen Giftapotheker und bestellt dort Viagra? Leute, deren Klickfinger unabhängig von Gehirn arbeitet? Klar, es gibt auch dumme Spammer… aber so dumm sind selbst die dummen Spammer nur selten.
  2. Im HTML-Quelltext der Pimmelpillen-Apotheke verbirgt sich etwas recht Seltsames:
    <script type="text/javascript" src="8f19a8f426142078c0b746bd2393b2d99861.gif?1500023182"></script>
    

    Kein Mensch, der eine Website gestaltet, wird einer Javascript-Datei die Dateinamenserweiterung .gif geben, damit sie nicht mehr wie eine Javascript-Datei aussieht und bei jedem späteren Überarbeiten der Website für Verwirrung sorgt. Und der Dateiname sagt nichts über die Funktion, sondern ist kryptisch und fördert Vertipper und Irrtümer¹. So coden Menschen nur, wenn sie etwas machen, was nicht koscher ist. Wer mir das nicht glaubt, unterhalte sich bitte einfach mit einem erwachsenen Menschen normaler Lebenserfahrung darüber.

Ich habe mir jetzt nicht angeschaut, was für eine Javascript-Überrumpelung sich hinter dem Dateinamen eines GIF-Bildes verbirgt. Ein genauerer Einblick ist für mich auch nicht mehr erforderlich. Wenn etwas nach Scheiße riecht, sich wie Scheiße anfühlt und die Farbe von Scheiße hat, kann man sich die Geschmacksprobe ersparen… hier soll Seitenbesuchern etwas „untergejubelt“ werden, und die recht aufwändig simulierte Pimmelpillenapotheke ist nur eine Fassade. Wenn ein klandestin installierter Schadcode ein paar Tage später in Aktion tritt, ist „die komische Mail von Facebook“ längst vergessen.

Und deshalb klickt man niemals in eine Spam.

Und wenn eine Mail von Facebook, Google, Ebay, PayPal, der Bank oder sonstwoher kommt, klickt man auch niemals in diese Mail, sondern ruft die entsprechende Seite direkt im Browser auf (es gibt dafür seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 eine ungemein praktische Lesezeichenfunktion, die es sehr erleichtert, häufig aufgerufene Seiten aufzurufen). Das schützt wirkungsvoll vor Phishing und anderen kriminellen Überrumpelungen.

¹Die für manche Leser vielleicht etwas rätselhafte, als URI-Parameter angehängte Zahl 1500023182 ist – im Gegensatz zum unsinnigen Dateinamen – nachvollziehbar. Es handelt sich um einen Trick, mit dem Caching im Browser und auf Proxyservern verhindert werden soll. Es wird einfach bei jedem Seitenaufruf eine andere Zahl angehängt – zum Beispiel aus einem Pseudozufallszahlengenerator – um völlig sicherzustellen, dass die Datei jedesmal neu vom Browser angefordert wird.

Auszahlung in 3 Werktagen

Dienstag, 4. Juli 2017

Wie, ich kriege Geld? :)

Auszahlung in 3 Werktagen

Spammer, das hast du schon im Betreff gesagt, und es ist kein guter Ersatz für eine richtige Anrede.

Warten Sie nicht länger auf ihr Geld. Vergleichen Sie jetzt Kredite und finden Sie Angebote mit unglaublich schneller Auszahlung:

http://finanzierung-vergleichen.net/info.php?[ID entfernt]

$ whois finanzierung-vergleichen.net | grep "^Registrant" | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
$ _

Es ist also ein voll seriöser Darlehensvergleichsdienst, der nicht nur auf illegale und asoziale Spam als Reklamemittel setzt, sondern auch lieber völlig anonym im Internet auftritt. Mit Hilfe eines wohlbekannten Dienstleisters aus dem sonnigen Panama, versteht sich. Genau die richtige Grundlage, um irgendwas mit Geld zu machen.

Der Spammer legt großen Wert darauf, seine Datenbank ein bisschen zu bereinigen. Der Link aus der Spam ist ohne angehängte ID nicht benutzbar, sondern führt auf einen HTTP-Fehler 400 (Bad Request). Mit der angehängten ID – damit wird dem Spammer gegenüber bestätigt, dass die Spam angekommen ist und beklickt wird – gibt es eine Weiterleitung auf die nur mit aktiviertem Javascript benutzbare Website in der Domain vertrag (strich) perfekt (punkt) com, die nach Angabe ihrer wie die betrügerischen Spammer glaubwürdigen Gestalter auch schon aus RTL, ProSieben, Sat.1 und Sky bekannt sein soll:

Screenshot der betrügerischen Website

Jetzt ist die tolle Website sogar durch Unser täglich Spam bekannt geworden! Aber ich gehe davon aus, dass das nicht zum Zweck der Eigenwerbung erwähnt wird… :mrgreen:

Wer darauf reinfällt, „darf“ in einem mehrstufigen, immer wieder mit Weiter-Klicks vorangetriebenen Verfahren folgende Angaben machen:

  1. Darlehensbetrag,
  2. Anrede Herr oder Frau,
  3. Vor- und Nachname,
  4. Geburtsdatum,
  5. Staatsangehörigkeit deutsch oder andere,
  6. Familienstand,
  7. Anzahl der Kinder,
  8. Beruflicher Status,
  9. Netto-Gehalt,
  10. Sonstige Einnahmen,
  11. Höhe der monatlichen Warmmiete,
  12. Angaben zu Haus- und Grundbesitz,
  13. Arbeitgeber,
  14. Datum des Beschäftigungsbeginns,
  15. E-Mailadresse,
  16. Telefonnummer, und die
  17. Postanschrift.

Das ist ein bemerkenswerter Datenstriptease vor Leuten, die so eine freundliche Spam geschrieben haben und deren vorgeblich gewerbliche Website…

$ whois vertrag-perfekt.com | grep "^Registrant" | sed 5q
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
$ _

…einmal mehr über den jedem Spamgenießer vertrauten Dienstleister aus dem sonnigen Panama anonym betrieben wird. Diese Angaben, die für einen kriminellen Identitätsmissbrauch mehr als nur ausreichend sind, gehen direkt an spammende Verbrecher, die sich lieber hinter Anonymisierungsdiensten verstecken.

Wer an dieser Stelle immer noch nicht verstanden hat, warum ein derartiger Datenstriptease eine ganz schlechte Idee ist, sollte sich besser zum Selbstschutz einen Vormund bestellen lassen. Und wer mir als „dahergelaufenem Blogger“ nicht glauben will und deshalb lieber Spammern glaubt, der unterhalte sich bitte einmal in aller Ruhe mit einem erwachsenen Menschen normaler Lebenserfahrung!

Mich erinnert sowohl der Duktus der Spams als auch die weitere Vorgehensweise sehr an die angeblichen Versicherungsvergleiche, die wohl auch nur zum Dateneinsammeln für die kriminelle Verwertung dienen. Zumindest habe ich nie wieder etwas davon gehört, als ich dort vor ein paar Jahren testweise einmal Phantasiedaten und eine Wegwerf-Mailadresse eingegeben habe, um Näheres über denen Masche zu erfahren.

Es ist aber keineswegs ausgeschlossen, dass hier noch ein Vorschussbetrug versucht wird, wenn er den Verbrechern lohnend erscheint – dann wird für die Kreditgewährung eine „kleine“ Bearbeitungsgebühr fällig: Oh, die Bank hat ihren Sitz im Ausland, sie wissen doch, wie lange das alles dauert, überweisen sie das Geld doch einfach mit Western Union, dann ist es sofort da und sie kriegen sofort das Geld, das sie brauchen… und danach ist das Geld weg und man hört nie wieder vom angeblichen Darlehen.

Unser Vergleich ist ganz einfach.

In der Tat: Es ist ganz einfach, in eine Spam zu klicken. Aber es ist niemals eine gute Idee. Der Spammer nennt das natürlich anders, er spricht von…

Ihre Vorteile auf einen Blick:

– Nur drei Werktage bis zur Auszahlung
– Flexible Rückzahlung durch Sondertilgungen
– Rückzahlungspausen kostenlos möglich

…Vorteilen, die man durch diese Dummheit hat.

Herzliche Grüße

Alles Gute und viele Grüße

Na, Spamskript-Schmerzen, Spammer? Oder wolltest du wirklich gleich zwei Sprüche aus deiner Grußdatei in die Spam fummeln? Vermutlich hattest du das Wichtigste fertig und warst mit deinen Gedanken wieder im Bordell.

Andrea Sxxxxxxk
Leistungsabteilung
Sxxxxxstraße 10
45xxx ~ Mülheim an der Ruhr

Wie, keine Anschrift aus Panama? :mrgreen:

(Die arme Seele, deren Name und Anschrift hier von Verbrechern missbraucht wird, tut mir leid. So etwas kann auch leicht passieren, wenn man diesem Geschmeiß Daten gibt.)

Abmelden:
http://finanzierung-vergleichen.net/austragung.php?[ID entfernt]

Ob es wohl immer noch Leute gibt, die glauben, dass man sich bei Spammern abmelden könne?

Rechnung 77405577 – bitte gegenlesen

Montag, 12. Juni 2017

ACHTUNG: Auf gar keinen Fall und unter keinen Umständen den Anhang dieser Mail (oder ähnlicher Mails) aufmachen. Es ist das reinste Gift! Hier gibt es keine Rechnung. Die E-Mail einfach löschen (oder Strafanzeige erstatten)!

Sehr geehrte Kundin, Sehr geehrter Kunde,

Bin ich nicht.

Wo ich Kunde bin, werde ich mit Namen angesprochen.

vielen Dank für Ihren Auftrag, anbei erhalten Sie Ihre Rechnung als Anhang.

Welcher Auftrag? Von wann? An wen? Mit welchem Inhalt? An welchem Tag ausgeführt? Was ist die Auftragsnummer? Alle Fragen, die diese Mail möglicherweise beantworten könnte, wenn sie echt wäre, beantwortet sie nicht. Stattdessen soll ein Mailanhang aufgemacht werden. Es gibt keinen sachlichen Grund, so vorzugehen.

Näheres zum Anhang später.

Bitte beachten Sie unsere neue Bankverbindung und überweisen Sie den Rechnungsbetrag in Höhe von 164,44 EUR

Damit der Anhang auch aufgemacht werde, wird Geld gefordert. Die Bankverbindung wird nicht angegeben. Genau das würde aber jeder tun, der das Geld auch wirklich haben will.

Für weitere Fragen zu Ihrer Rechnung erreichen Sie uns per:

+49 30 40 xx xxx

Die E-Mail zu beantworten ist sinnlos. Der Absender ist gefälscht. (Die Telefonnummer habe ich unkenntlich gemacht, damit nicht die arme Seele zusätzlich gequält wird, die diese Telefonnummer hat.)

Mit freundlichen Grüßen

Ihr Team

Was für ein Team? Handelt es sich um Gebäudereiniger oder um Fußballspieler?

Wer mich hochnäsig schimpfen will, der schimpfe mich hochnäsig, aber ich meine, dass jeder Mensch mit einem kleinen bisschen Erfahrung diese E-Mail sofort als Spam erkennen und löschen muss.

Wer dann aber auch noch den Anhang aufmacht, handelt grob fahrlässig und sollte meiner Meinung nach dafür haftbar gemacht werden.

Der Anhang

Dieser Anhang ist…

$ file 976255919.xls | sed "s/,/\n/g"
976255919.xls: Composite Document File V2 Document
 Little Endian
 Os: Windows
 Version 6.0
 Code page: 1251
 Name of Creating Application: Microsoft Excel
 Create Time/Date: Wed Nov 30 07:48:22 2011
 Last Saved Time/Date: Mon Jun 12 11:19:32 2017
 Security: 0
$ _

…eine 2021 Tage alte Excel-Mappe, die neulich mal wieder kurz aufgemacht wurde. (Nein, wenn man eine Rechnung aus einer Rechnungsvorlage erstellt, steht da nicht die Erzeugungszeit der Vorlage, sondern des Dokumentes drin.) Die Zustellung einer „Rechnung“ in einem Dokumentformat, das jeder Empfänger einfach mit einem Standardprogramm öffnen, bearbeiten und wieder abspeichern kann, ist übrigens eine bemerkenswert sinnlose Idee.

Diese angebliche „Rechnung“ enthält Makros, die beim Öffnen automatisch gestartet werden. Ein sicher konfiguriertes Office-Programm sollte diese Makros gar nicht erst ausführen, sondern eine deutlich formulierte Warnung anzeigen:

Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makroeinstellungen im Menü unter Extras - Optionen - LibreOffice - Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [OK]

Für alle, die es jetzt immer noch nicht verstanden haben, möchte ich gern den wichtigsten Satz aus dem soeben gezeigten LibreOffice-Dialog (Microsoft Office zeigt übrigens recht ähnlich formulierte Dialoge an) noch einmal angemessen hervorgehoben wiederholen:

Makros können Viren enthalten.

Das der Empfänger so vor einem verbrecherischen Angriff gewarnt wird, wissen die Verbrecher natürlich auch, denn sie leben ja davon, dass ihre verbrecherischen Angriffe funktionieren. Deshalb sieht die Rechnung folgendermaßen aus:

Screenshot der angeblichen Rechnung

Das ist nun eine tolle „Rechnung“, denn in ihr steht im „schönsten“ Layout der frühen Neunziger Jahre nichts. Die einzige Zahl, die ich ausmachen kann, ist der Mehrwertsteuersatz von 9,5% – das waren noch Zeiten! :D

Der Zweck dieses Mummenschanzes ist es aber, den Anwender dazu zu bringen, dass er die Ausführung von Makros zulässt, damit die Verbrecher den Computer übernehmen können (zum Beispiel, um einen Verschlüsselungstrojaner darauf zu installieren). Denn in der Tabellenkalkulation ist ganz oben eine Zeile hinterlegt, die nicht gedruckt wird:

Sie auf der gelben Statusleiste auf Inhalt aktivieren klicken, um den Inhalt zu aktivieren

Wer in der Hoffnung, dass die Rechnung dadurch lesbarer würde, dieser patzig formulierten Aufforderung folgt, startet ein Programm, dass ihm Verbrecher mit einer E-Mail zugestellt haben. Der Computer auf dem Schreibtisch ist in weniger als einer Sekunde ein Computer anderer Leute, und diese Leute wären wesentlich besser mit Handschellen und einer Gefängniszelle als mit einem weiteren Computer bedient. Wenn eine für einen Wurm ausnutzbare Sicherheitslücke hinzukommt, kann mit diesem einen Klick ein ganzes Unternehmensnetzwerk an Kriminelle übergeben werden – so, wie dies neulich auch medial breit rezipiert im Fall von „WannaCry“ geschehen ist.

Und deshalb…

  1. …klickt man nicht in E-Mails, die nicht zuvor über einen anderen Kanal als E-Mail ausdrücklich vereinbart wurden;
  2. …öffnet man erst recht keine Anhänge von unvereinbarten, anonym und völlig nichtssagend formulierten E-Mails;
  3. …ist man sich immer der Tatsache bewusst, dass E-Mail ein zwar praktisches, aber auch gefährliches Medium ist, das Verbrechern ermöglicht, Dateien und Programme unter gefälschtem Absender auf die Computer anderer Menschen zu befördern;
  4. …öffnet man eine unabgesprochen zugestellte E-Mail auch dann nicht, wenn sie auf dem ersten Blick völlig legitim erscheint, sondern fragt im Zweifelsfall einmal telefonisch nach; und
  5. …richtet sein Office-Programm so ein, dass es niemals automatisch Makros ausführt und schaltet die Makroausführung auch dann nicht frei, wenn jemand anders darum bittet. Es ist niemals nötig, für den Dokumentenaustausch Programme auf den Rechnern der Empfänger auszuführen. Wer dies dennoch einfordert, ist mit Sicherheit jemand, der nichts Gutes im Schilde führt.

Meiner bescheidenen Meinung nach sollte das jeder Mensch wissen, der in seine Bewerbungen und in seinen Lebenslauf reinschreibt, dass er Computerkenntnisse auf Anwenderniveau hat – wenn ich Chef wäre und es käme in meinem Betrieb zu einer kriminellen Übernahme von Rechnern, weil einer meiner bezahlten Mitarbeiter mit zugesicherten „Computerkenntnissen“ willentlich und mit eigenhändigem Klick Software aus einer anonym formulierten E-Mail ausgeführt hat, würde ich diesen Mitarbeiter vollumfänglich für den von ihn angerichteten Schaden haftbar machen und ihm wegen seines Vertrauensmissbrauches fristlos kündigen. Denn entweder hat er es vorsätzlich getan, oder aber die Angaben in Lebenslauf und Bewerbung waren eine vorsätzliche Lüge. (Und ja, zur Absicherung dieses Standpunktes würde ich meine Mitarbeiter unterschreiben lassen, dass sie dies zur Kenntnis genommen haben.)

Früher, als ich noch naiv war, habe ich ja auch mal geglaubt, dass Menschen aus Eigeninteresse halbwegs vernünftig und informiert handeln, aber dann habe ich nach und nach die ganzen Dummen und Bequemen kennengelernt, die nur unter Schmerzen widerwillig ihr Gehirn benutzen… :(