Schlagwortarchiv „Sehr geehrte Damen und Herren“

Blitzschnelle Übersetzungen

Mittwoch, 30. November 2016

An: gammelfleisch@tamagothi.de

Geht an jede Adresse, die mit einem Skript im Web eingesammelt werden kann. Oder kurz: Es handelt sich ganz sicher um illegale und asoziale Spam.

Sehr geehrte Damen und Herren,

Genau mein Name!

Ich kontaktiere Sie heute im Namen einer modernen Online-Übersetzungsagentur.

Aha! Und was habe ich damit zu tun? Ach, stimmt ja, ich werde kontaktiert. Oder, um es etwas präziser zu sagen: zugespammt.

Wir haben bis heute über 34 000 Aufträge realisiert, dabei wurden über 25 Millionen Wörter und mehr als 500 Webseiten übersetzt.

Schön, ihr zählt beim Übersetzen jedes einzelne Wort. Euer durchschnittlicher Auftrag beinhaltet die Übersetzung von 735,29 Wörtern. Und ihr übersetzt auch Webseiten. Und was habe ich damit zu tun? Ach ja, ich soll davon beeindruckt werden. Weil ich Zahlen aus einer Spam glaube.

Unsere Stärken, wie hohe Qualität, sofortige Angebotserstellung, Realisierungszeit ab 15 Minuten sowie ein qualifiziertes Team von 300 Fachübersetzern und Muttersprachlern haben uns das Vertrauen von bereits mehr als 8000 Kunden eingebracht.

Ihr seid die Besten der Besten der Besten, irre schnell, und ihr habt sogar Kunden. Ihr könntet, wenn das alles auch nur näherungsweise stimmte, eine richtig gute und nachhaltige Reputation aufbauen, die euch langfristiges Wachstum und gutes Geschäft garantiert. Das wollt ihr aber nicht, deshalb spammt ihr lieber. Wie kommt das nur?

Darf ich Ihnen mehr Informationen über unser Übersetzungsangebot zuschicken?

Nein danke, ich habe bereits eine Spam von euch empfangen. Mehr Information als so eine illegale und asoziale Spam benötige ich nicht, um mein Urteil zu bilden. Das sieht allerdings nicht sehr vorteilhaft für euch aus.

Mit freundlichen Grüβen
Andrea Schultz

Innendienst

Oha, das hatte ich lange nicht mehr, dass ich in einer Spam statt eines deutschen „ß“ ein griechisches Beta, ein „β“, gesehen habe. Das letzte Mal habe ich das im Juni dieses Jahres gesehen, als ich wortwörtlich die gleiche Spam hatte. Damals lautete die angebene Domain für das extratolle Übersetzungsunternehmen (das niemals seine Firmierung angibt) aber nicht…

quick-translate.com

…irgendwas mit schnell übersetzen, sondern lingworld (punkt) com. Warum sollte man denn eine konstant unter gleicher Domain erreichbare Website haben, wenn man ein Geschäft machen will?

Tja, und davor habe ich diesen „β-Fehler“ – den übrigens ein richtiger Dolmetscher, der auch Texte für den Druck übersetzt, niemals machen würde – nur bei ganz fragwürdigen Spammern mit ihren lächerlichen SEO-Angeboten erlebt, die anderthalb Jahre lang die Pest in meinem Spamordner waren.

Auch, wenn das manchem als ein schwaches Indiz erscheint, schließe ich aus der Wiederkehr dieses wirklich sehr schwierig zu machenden Fehlers, dass es sich um genau die gleiche Bande wie damals handelt. Wenn die immer noch – wie damals – hier mitlesen, wird der „β-Fehler“ sicherlich bald wieder verschwinden, so wie auch damals. Es ist ja auch ein viel zu einfaches Kriterium für die Spamfilterung.

Wer mit diesem Pack Verträge macht, wird betrogen. Von Vorkasse und Anzahlungen rate ich strikt ab, und sollte es tatsächlich Übersetzungen geben, wäre es eine gute Idee, vor der Bezahlung einmal jemanden den entstandenen Text lesen zu lassen, der die Zielsprache auch beherrscht. Es ist ja nicht so ein großes Problem, eine „Übersetzung“ mit Google Translate oder einem vergleichbaren kostenlosen Dienst anzufertigen, aber das Ergebnis klingt meist peinlich, unbeholfen und unfreiwillig lächerlich, wenn es nicht gar objektiv falsch gerät. Wer diese Leute gar an seinen Webserver lässt, damit sie eine „Webseite“ übersetzen können, darf sich über den Schaden nicht wundern. Das sind Kriminelle, und die werden für einen Server eine Menge Anwendungen finden, die kein Serverbetreiber vor Polizei und Gericht verantworten möchte¹.

Also: Auf gar keinen Fall darauf reinfallen.

Übrigens: Die Website in der Domain quick (strich) translate (punkt) com zeigt ohne aktiviertes JavaScript keine Inhalte an. Es gibt keinerlei technischen Grund, für eine derartige Website JavaScript zu erzwingen. Ein kurzer Scan mit VirusTotal zeigt, dass es dort keine bekannte Schadsoftware zu geben scheint, deshalb habe ich mal einen Screenshot der Website angefertigt, die natürlich kein Impressum hat:

So so, „komplexe sprachliche Leistungen für dich und deine Firma“… ob das informelle „Du“ wohl eine gute Wahl ist, wenn man geschäftliche Aufträge erhalten möchte? Nun, das müssen diese Leute ja wissen, schließlich sind sie die ganz tollen Dolmetscher!

¹Übrigens, dieser Absatz klingt, wenn man ihn mit Google Translate ins Englische übersetzen lässt, so: „Whoever contracts with this pack will be deceived. I would advise against payment of prepayment and down payment, and if there are any translations, it would be a good idea to have someone read the written text before the payment. It is not such a big problem to make a ‚translation‘ with Google Translate or a comparable free service, but the result usually sounds embarrassing, awkward and involuntarily ridiculous if it is not even objectively wrong. If you let these people even have their web server, so they can translate a ‚website‘, you can not be surprised at the damage. These are criminals, and they will find a lot of applications for a server, which no server operator wants to be responsible for the police and court“. Das liest sich zwar etwas seltsam, ist aber gar nicht mehr so mies und unbrauchbar, wie es noch vor zehn Jahren war. Die besitzanzeigenden Pronomen sind allerdings beim Server sinnentstellend daneben, und generell klingt die Ausdrucksweise ein wenig „unenglisch“. Nun sind Deutsch und Englisch aber auch recht nah verwandte Sprachen, das frühere Dialektkontinuum vom Deutschen über das Niederdeutsche und Niederfränkische über das Niederländische bis hin zum Englischen lässt sich immer noch (trotz der Jahrhundert und vieler politischer und sprachlicher Einflüsse) deutlich erahnen, wenn man die Sprachen hört. Und die stark verschliffene Grammatik des Englischen macht Englisch als Zielsprache einer automatischen Übersetzung relativ einfach. Trotz alledem ist das Ergebnis nur geeignet, um sich einen Eindruck vom Inhalt eines fremdsprachigen Textes zu verschaffen, jedoch unbrauchbar, wenn es auf Feinheiten und auf Stil ankommt.

rechnung tamagothi.de

Freitag, 6. Mai 2016

Aber die Domain ist doch schon bezahlt.

Sehr geehrter Damen und Herren,

Hach, wie gut mein Name wieder getroffen ist… 😀

anliegend erhalten Sie die Rechnung für die Veranstaltung mit Herrn Dr. Schmitt vom 02. – 04.05.2016 in unserem Haus.

In welchem Haus? Welche Veranstaltung? Was zum hackenden Henker?

Wer Näheres wissen will, muss einen Mailanhang öffnen. Dieser hat zwar einen Dateinamen, der auf .rtf endet und sieht damit wie ein harmloses Dateiformat, wie ein RTF-Dokument, aus, ist aber in Wirklichkeit…

$ file rechn_comerz\(052016\)_7844.rtf 
rechn_comerz(052016)_7844.rtf: Zip archive data, at least v2.0 to extract
$ _

…ein ZIP-Archiv. Was sich der Spammer davon versprochen hat, weiß ich nicht. Vermutlich gibt es Office-Programme, die das dann beim Öffnen entpacken und das darin enthaltene…

$ unzip -l rechn_comerz\(052016\)_7844.rtf 
Archive:  rechn_comerz(052016)_7844.rtf
  Length      Date    Time    Name
---------  ---------- -----   ----
    15003  2016-04-29 04:01   2016INV-APR04041.pdf.js
---------                     -------
    15003                     1 file
$ _

…Javascript-Programm, das mit irreführendem Dateinamen in einer Spam mit alarmierendem Inhalt zugestellt wurde, auch noch ausführen. Vielleicht hilft diese Art der Verpackung sogar dabei, eine Schadsoftware zu verbreiten, die schon von sehr vielen Antivirus-Programmen erkannt wird. Ich weiß es nicht. (Ich kann mir gar nicht vorstellen, das so ein Trick überhaupt funktioniert, aber die bunte Welt von Microsoft Windows war für mich bislang immer für eine böse Überraschung gut.)

Ich weiß nur eins: Wer einen Mailanhang aufmacht, der nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde, spielt russisches Roulette mit seinem Computer und lädt die Probleme geradezu ein. Die meiste derzeit umlaufende Schadsoftware sind Erpressungstrojaner. Mit ein paar hundert Euro kann man wahrlich etwas Besseres anfangen, als sie bang in Bitcoin zu tauschen und nach der Bezahlung des Lösegeldes an ein kriminelles Arschloch darauf zu hoffen, dass man danach wieder an seine E-Mail, Korrespondenz, Dokumente, Fotos, Videos, Musik und sonstigen Dinge von persönlichem Wert kommt.

Bitte überweisen Sie den Rechnungsbetrag in Höhe von EUR 374,24 unter Angabe der Rechnungsnummer auf unser Konto bei der Commerzbank.

Damit man den Anhang auch wirklich aufmacht, wird (wie üblich) gesagt, dass man völlig grundlos ein paar hundert Euro bezahlen soll – und wie üblich ohne jede Angabe der Bankverbindung, denn dem Spammer geht es ja nicht um Überweisungen, die für die Polizei verfolgbar wären, sondern darum, dass Leute den Anhang öffnen und sich seine Schadsoftware installieren, damit er sich anonymisierend Lösegelder über Bitcoin abholen kann, ohne diese lästigen Handschellen angelegt zu bekommen.

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Kontaktdaten werden keine angegeben. Das ist das neue Zur-Verfügung-Stehen. 😀

Mit freundlichen Grüßen, Wolfgang Roth

Freundlich wie eine Ohrfeige
Dein Schadsoftware-Spammer

Alexander am Zoo
Lange & Partner oHG / HRA
Tel. + 49 15 18xxxx
Fax: + 49 20 89xxxx
email: info (at) alexanderamzoo (punkt) de
http (doppelpunkt) (doppelslash) www (punkt) alexanderamzoo (punkt) de

Natürlich ist sowohl der Absender der Spam gefälscht, genau so wie diese Daten falsch sind. Diese Spam wurde in Wirklichkeit von einer dynamischen IP-Adresse aus Pakistan versendet; mutmaßlich also von einem Computer, der mit Schadsoftware zum fernsteuerbaren Bot der Kriminellen gemacht wurde. Habe ich eigentlich schon erwähnt, dass der Absender mit seiner Spam Schadsoftware unterbringen will?

Domainname bessersparen.de

Donnerstag, 21. April 2016

An: gammelfleisch@tamagothi.de

Ging an eine mit einem Harvester eingesammelte Mailadresse.

Sehr geehrte Damen und Herren!

Das ist mal wieder genau mein Name!

Der Domainname bessersparen.de steht zum Verkauf.

Scheint ja irre gut wegzugehen, die Domain, wenn sie nach Auffassung des Absenders ohne Spam nicht wegzugehen scheint. Ich würde – auch angesichts der Tatsache, dass eine solche Spamaktion nicht gerade zu einem hohen Ansehen der verhökerten Domain führt – sagen: Das Geld spart man sich besser.

Wenn Sie nähere Informationen wünschen, kontaktieren Sie mich bitte.

Ach, ich fühle mich nach so einer illegalen und asozialen Spam eigentlich schon informiert genug.

Mit vorzüglicher Hochachtung

Jan Köhler

Oh, so eine höfliche Grußformel! 😀

Arbeitsagentur bietet neue Stellen an

Donnerstag, 25. Februar 2016

So so, eine „Arbeitsagentur“? Und die kennt nur eine Möglichkeit, ihre „Jobs“ loszuwerden: Asoziale und illegale Spam? Was das wohl für „Jobs“ sein werden? Na, das Übliche halt: Geldwäscher, Konto, Paketbote, Briefkasten und Anschrift. Wer darauf reinfällt, lernt sehr schnell die Polizei, den Staatsanwalt, das Untersuchungsgericht, das Gericht und eventuell sogar die Justizvollzugsanstalt näher kennen – wegen gewerbsmäßigen Betruges, Hehlerei, Geldwäsche und Verstoß gegen das Kreditwesenkontrollgesetz. Wer das einem „dahergelaufenen Blogger“ wie mir nicht glaubt, frage einfach mal auf der nächsten Polizeidienststelle!

Von: Bastian Thurn Dienstleistungen <caramelle (at) telupton (punkt) com>

Wie immer in der Spam ist auch hier die Absenderadresse gefälscht. Mein Exemplar dieser Spam wurde von einer dynamisch vergebenen IP-Adresse aus Quebec, Kanada versendet, kommt also mit an Sicherheit grenzender Wahrscheinlichkeit von einem mit Schadsoftware übernommenen Privat- oder Firmenrechner. Einen Server aus der Domain der angeblichen Absenderadresse hat die Spam niemals gesehen. Und damit auch sofort klar ist, dass der angegebene Absender gefälscht ist…

Antwort an: Kristine (punkt) Chase (at) gmx (punkt) com

…wurde vom Spammer ein Reply-to-Header gesetzt. Immerhin, das bekommt nicht jeder Spammer hin, es ist ja eine ganze Zeile in den Kopfdaten der E-Mail. 😀

Wer allen Ernstes glaubt, dass gefälschte Absender und eine anschließende Kommunikation über eine anonym und kostenlos einzurichtende Mailadresse beim Freemailer GMX die ideale Grundlage für eine berufliche Orientierung sind: Immer nur zu, ihr seid alle erwachsene Menschen! Aber bitte tut mir einen Gefallen, wenn ihr mir schon nicht glaubt, und fragt einfach mal ganz kurz bei der Polizei nach, bevor ihr euch eure Vorstrafe abholt! Und vor allem: Schickt dort auch keine Bewerbungsunterlagen hin, deren Daten von den Verbrechern für einen Identitätsmissbrauch benutzt werden können! Die zwei bis drei folgenden Jahre voller entnervenden Ärger machen nämlich keinen Spaß.

Meine Hinweismail an GMX ist natürlich schon unterwegs – denn je eher eine derartige Mailadresse „zugemacht“ wird, desto geringer wird der bei anderen angerichtete Schaden. Das kann ich übrigens nur empfehlen. Der Arbeitsaufwand, den ich dafür hatte, waren die drei Minuten, um zur Weiterleitung ein freundliches, kurzes Anschreiben zu verfassen. GMX hat nicht das geringste Interesse daran, zum Helfershelfer der Organisierten Kriminalität zu werden.

Sehr geehrte Damen und Herren,

Das ist mal wieder genau mein Name!

Bastian Thurn Personaldienstleistungen kommt mit Ihnen jetzt in Kontakt.

Und hey, der Absender hat ja auch einen Namen!

Eine Liste der freien Stellen möchten Sie unseren Arbeitsausschreibung entnehmen.

Mit der Grammatik hapert es zwar noch ein bisschen, aber dafür hat da jemand eine Datei mit ganz vielen Berufsbezeichnungen gefunden und jeweils einen Kleckser Buchstabensuppe drangehängt:

Arbeit von zu Hause Kennziffer BPM-8594-0397
Stuntman / Stuntwoman [sic!] Kennziffer MTW16841-045
Verkäufer/in Kennziffer PMNN-2387-35743
Konditor/in Kennziffer WLLB411903802
Call-Center-Agent (Fluggesellschaften) Kennziffer MPN354551356
Bekleidungsingenieur/in [sic!] Kennziffer BP40060729
Administrator/in (System-, Server-) Kennziffer LK50957-298
Fahrradkurier/in Kennziffer LPZ-5150-1893
Finanzbeamte/beamtin (Mittlerer Dienst) [sic!] Kennziffer HPBNP-826-8060
Bautechniker/in Kennziffer BLPL39789-49

Oh schön, ich kann gleich als Finanzbeamter im mittleren Dienst anfangen!

Offenbar haben die Spammer in ihrem Bedürfnis nach naiven Hilfsgeldwäschern inzwischen bemerkt, dass es „irgendwie unseriös“ wirkt, wenn man in so eine Spam auch reinschreibt, was für „Arbeiten“ eigentlich getan werden sollen. Stattdessen gibts einen bunten Teller Smarties aus dem Medikamentenschrank… ähm… viele lustige Berufe. Der, auf den es ankommt, steht natürlich ganz oben, denn jemand, der gern viel liest, ist für die „Jobs“ der Kriminellen wirklich ungeeignet.

warten Sie nicht uns zu kontaktieren, sollte etwas für Sie in Frage kommen

Hach, diese niedliche Grammatik klingt immer ein kleines bisschen nach jemanden, der eine slawische Sprache als Muttersprache spricht.

Kristine (punkt) Chase (at) gmx (punkt) com

Die Absenderadresse ist gefälscht!

Hochachtungsvoll
Bastian Thurn Personalhilfe

Voller Verachtung für deine Intelligenz
Dein Spammer

Rechnung Nr. 2016_131

Freitag, 19. Februar 2016

Das ist die Pest des heutigen Tages. Eine hochgefährliche Spam mit vergiftetem Anhang.

Von: fueldnerCAC (at) lfw (strich) ludwigslust (punkt) de

Natürlich ist der Absender gefälscht.

Sehr geehrte Damen und Herren,

Ich heiße aber „Lieber Kunde“.

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

Ich muss ja Kunde sein, wenn ich eine „Rechnung im Anhang“ bekomme.

LFW Ludwigsluster Fleisch- und Wurstspezialitäten

GmbH & Co.KG

Vielen Dank!

Bitte, bitte!

Kleines Spamkompetenztraining. Was bedeutet wohl diese Kombination von Merkmalen:

Unpersönliche Ansprache;
es handelt sich um eine Rechnung, es geht also um Geld, so dass möglichst schnelle Aufmerksamkeit gefordert ist;
im Text der Mail steht nichts Näheres zur Sache; und
um zu erfahren, um was es überhaupt geht, muss man einen Anhang einer E-Mail öffnen?

Richtig: Es ist eine Spam und der Anhang ist Schadsoftware!

Es handelt sich hier um ein ZIP-Archiv, in dem eine Javascript-Datei liegt, die vorsätzlich unverständlich gecodet wurde. Das ist kein Dokument und somit auch keine Rechnung, sondern ein Programm, das von einem Kriminellen mit einer E-Mail zugestellt wurde. Wer darauf doppelklickt, führt dieses Programm aus. Danach steht ein Computer anderer Leute auf dem Schreibtisch.

Und nein, das Antivirus-Programm hilft überhaupt nicht. Zurzeit wird diese völlig klare Schadsoftware von keinem einzigen Antivirus-Schlangenöl als Schadsoftware erkannt. Das einzige, was hilft, ist eine Haltung, Anhänge von E-Mails mit äußerster Vorsicht zu behandeln und nur zu öffnen, wenn ihre Zustellung vorher explizit vereinbart wurde. Denn jeder E-Mail-Anhang ist gefährlich.

Mit freundlichen Grüßen

Anke Füldner

Finanzbuchhaltung

Tel.: 03874-422xxx

Fax: 03874-4220xxx

E-Mail: fueldner (at) lfw (strich) ludwigslust (punkt) de

LFW Ludwigsluster Fleisch- und Wurstspezialitäten

GmbH & Co.KG, Bauernallee 9, 19288 Ludwigslust

HRA 1715, Amtsgericht Schwerin

Geschäftsführer: U.Müller, U.Warncke

USt.-IdNr. DE202820580, St.Nr. 08715803209

[Ich habe die Telefonnummern mal unkenntlich gemacht, denn an dieser Leitung möchte ich heute nicht sitzen…]

Ja, die Zeilenumbrüche sind aus dem Original. Und unbedingt daran denken:

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressant sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten diese E-Mail und alle Anhänge und Ausdrucke unverzüglich.

Das Gebrauchen, Publizieren, Kopieren oder Ausdrucken sowie die unbefugte Weitergabe des Inhalts dieser E-Mail ist nicht erlaubt.

This e-mail and any attached files may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

Diese unverschlüsselte E-Mail, die offen wie eine für jeden sichtbare Postkarte durch das Internet befördert wird, ist eine ganz geheime Geheimsache, die man nach dem Lesen aufessen muss.

Leute, die solche Sprüche unter einer unverschlüsselten E-Mail schreiben… ach, wenn Dummheit rollen würde, könnte man sie den Berg hochbremsen!

Am Rande bemerkt: Heise Online ist der Meinung, dass ein „Krypto-Trojaner“ in Deutschland „wütet“, weil es zurzeit angeblich über 5.000 Infektionen pro Stunde gibt. Das ist mitnichten der Fall. Was in Deutschland wütet, das ist ein zu jeder unüberlegten Tat aufgelegtes Unwissen und eine brütende Dummheit, die dazu führen, dass jede Stunde 5.000 Menschen auf Anhänge einer E-Mail wie der hier zitierten klicken. Ein Gutteil dieser gefährlichen Dummheit, die zu großen Schäden bei Menschen und Unternehmen sowie zu großen Einnahmen bei der Organisierten Kriminalität führt, geht auf eine dümmliche und ihre Leser verdummende Presse zurück, die immer wieder so tut, als sei Antivirus-Schlangenöl (siehe auch hier) der Inbegriff der Computersicherheit und andererseits jede Aufklärung ihrer Leser über aktuelles kriminelles Vorgehen und den möglichen Schutz davor unterlässt. Ich kann meine Aufforderung nur wiederholen: Bitte fallen sie niemals, niemals, niemals auf Reklame oder auf den dummen, hässlichen Bruder der Reklame, den Journalismus, herein! Sie werden davon nämlich nur Schaden haben.

SFLEX Rechnung

Donnerstag, 28. Januar 2016

Zunächst das Wichtigste: Die Mail, die ich untersucht habe, wurde über eine dynamisch vergebene IP-Adresse aus Tunesien versendet und nicht etwa irgendwo in Freiburg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Verbrechern versendet. Mit einem Botnetz aus Computern, die mit Schadsoftware übernommen wurden. Der Absender ist gefälscht. (Es ist übrigens kinderleicht, den Absender einer Mail zu fälschen.) Die Mitarbeiter des Unternehmens, dessen Firmierung und Reputation hier von Kriminellen in den Dreck gezogen wird, tun mir leid, denn sie werden sich heute mit vielen verärgerten Menschen herumschlagen müssen. (Die Website der Unternehmung ist übrigens zurzeit nicht erreichbar, und zwar vermutlich nur wegen der Besuche durch hunderttausende Spamempfänger.) Diese kriminelle Spam hat bereits jetzt einen ordentlichen Schaden angerichtet.

Sehr geehrte Damen und Herren,

vielen Dank für Ihren Auftrag.

Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.

Kurzes Spamkompetenztraining! Was bedeutet wohl diese Kombination von Merkmalen:

Die Mail geht angeblich von einem Unternehmen an einen Kunden, die Ansprache ist aber unpersönlich;
der Auftrag, um den es geht, ist nicht genauer beschrieben und völlig unklar;
es gibt dazu eine Rechnung, aber irgendwelche wichtigen Angaben zum Rechnungsbetrag, zur Bankverbindung, zum Zahlungsziel fehlen im Text der Mail, als ob es dort keinen Platz mehr gäbe; und
alles weitere kann nur dadurch geklärt werden, dass ein Mailanhang geöffnet wird?

Bingo! Es handelt sich um eine Spam, an der eine Schadsoftware hängt. Der Anhang wird das reinste Gift sein. Es handelt sich diesmal um ein Word-Dokument¹…

$ file xxxxxx.doc | sed 's/, /\n/g'
xxxxxx.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title: functional
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Total Editing Time: 01:00
Create Time/Date: Thu Jan 28 05:44:00 2016
Last Saved Time/Date: Thu Jan 28 05:44:00 2016
Number of Pages: 1
Number of Words: 1
Number of Characters: 10
Security: 0
$ _

…dessen Text aus einem einzigen Wort auf einer Seite besteht – diese vorgebliche „Rechnung“ enthält also nicht einmal die Aufforderung „Geld her“, die schon zweier Worte bedarf. Im Dokument ist ein Makro, das einen Installer für kriminelle Schadsoftware nachlädt und ausführt.

Es handelt sich um aktuelle Schadsoftware, die zurzeit von den meisten Antivirus-Programmen noch nicht erkannt wird. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und niemals auf die Idee zu kommen, einen Anhang einer Spam zu öffnen. Generell sollten Mailanhänge mit äußerster Vorsicht behandelt werden, denn dabei handelt es sich um einen der Hauptverbreitungswege für die höchst asoziale und kriminelle Schadsoftware-Pest der spammenden Verbrecher.

Und wie schon gesagt:

Mit freundlichen Grüßen

Michael Dietrich
Projektleiter Gestelltechnik

S:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 Freiburg

Tel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com

Der Absender der Spam ist gefälscht und die Angaben unter der Mail – ich habe die Telefonnummern mal unkenntlich gemacht, weil dort momentan Menschen kurz vorm Nervenzusammenbruch an der Leitung hängen werden – haben ebenfalls nichts mit dem Absender zu tun. Es gibt keine Möglichkeit, den wirklichen Absender dieser kriminellen Belästigung zu erreichen, denn dieser bevorzugt aus naheliegenden Gründen die Anonymität. Strafanzeigen wegen versuchter Computersabotage nimmt die Polizei oder Staatsanwaltschaft entgegen, aber die Ermittlungsaussichten sind… ähm… nicht so toll. Aber irgendwann macht auch dieses Pack mal einen Fehler…

Nachtrag: Inzwischen ist die Website der S:FLEX GmbH wieder erreichbar. Ich lege den dort Verantwortlichen nahe, einen deutlichen Hinweis auf die Spam auf ihrer Startseite zu platzieren, um Empfänger zu warnen und die betrieblichen Kräfte auf gewinnbringendere Dinge als eine Flut von Rückfragen auszurichten. Im Moment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vorstellen, was dort gerade los ist! Das kleine Serverchen, auf dem Unser täglich Spam läuft, steht jedenfalls wegen dieser einen Spam ordentlich unter Last.)

¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.

Reservierungsliste

Mittwoch, 27. Januar 2016

Das ist die heutige Pest im Posteingang!

Von: Velotours Touristik <reservierung (at) velotours (punkt) de>

Diese E-Mail (also das eine Exemplar aus der Flut, das ich mir gerade vorgeknöpft habe) wurde über eine dynamisch vergebene IP-Adresse aus Taiwan versendet, kommt also vermutlich von einem mit Schadsoftware zum Bot gemachten Privatrechner. Der Absender ist – wie immer in der Spam – gefälscht. Die armen Mitarbeiter von Velotours, die heute eine Menge Arbeit mit verärgerten Empfängern dieser Spam haben werden, tun mir leid. Einen asozialen, kriminellen Spammer interessiert das leider nicht, und die wirtschaftlichen Schäden bei anderen nimmt er billigend in Kauf, wenn nur das eigene „Geschäftchen“ läuft.

Sehr geehrte Damen und Herren,

anbei finden Sie unsere neue Reservierungsliste.

Ihr VELOTOURS-Team

Kleines Spamkompetenztraining. Was bedeutet die folgende Kombination von Merkmalen:

Unpersönliche Anrede von einer Unternehmung, die so tut, als sei man dort Kunde.
In der Mail steht nichts Substanzielles.
Alles weitere erfährt man nur durch Öffnen eines Mailanhanges.

Bingo! Es ist mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware im Anhang.

In diesem Fall ist der Anhang ein Dokument für Microsoft Word. Dieses Dokument¹…

$ file ResLi_9_Lauf_3261_vom_27.01.2016.DOC | sed 's/, /\n/g'
ResLi_9_Lauf_3261_vom_27.01.2016.DOC: Composite Document File V2 Document
Little Endian
Os: Windows
Version 5.1
Code page: 1251
Author: Administrator
Template: Normal.dot
Last Saved By: User
Revision Number: 7
Name of Creating Application: Microsoft Office Word
Total Editing Time: 03:00
Create Time/Date: Wed Jan 27 11:07:00 2016
Last Saved Time/Date: Wed Jan 27 11:15:00 2016
Number of Pages: 1
Number of Words: 27
Number of Characters: 511
Security: 0
$ _

…enthält stolze 27 Wörter auf einer einzigen Seite. Es wurde im Verlaufe dreier Minuten zusammengetippt, und zwar von jemanden, der sich mit dem Namen „Administrator“ registriert hat. Das ist eine ausgesprochen kurze „Reservierungsliste“.

Und in der Tat, es kommt hier nicht auf den Text an. Der sieht übrigens so aus:

If this document has incorrect encoding - enable macro -- gefolgt von leckerem Zeichensalat...

Nun, das Makro soll automatisch ausgeführt werden. Bei aktuellen Versionen von Microsoft Office ist die automatische Ausführung standardmäßig deaktiviert. Wer auf die dumme Idee kommt, auf den Wunsch eines Unbekannten hin die Ausführung von Makros zu gestatten, um etwas anderes als die sondersame Lyrik eines auf den Tasten herumprügelnden Schimpansen lesen zu können; wer die Standardeinstellung verstellt hat oder wer eine ältere Version von Microsoft Word verwendet, bekommt eine kostenlos installierte Version von Schadsoftware, deren Installer von der URL http (doppelpunkt) (doppelslash) parass (punkt) si (slash) 54t4f4f (slash) 7u65j5hg (punkt) exe nachgeladen wird. Hinterher steht ein Computer anderer Leute auf dem Schreibtisch – und diese Leute wären besser mit Handschellen bedient.

Wer sich sicher fühlt, weil er ja ein Antivirus-Schlangenöl auf seinem Rechner hat, ist in diesem Fall leider in fast allen Fällen verlassen. Deshalb ist es auch so wichtig, dass man Spam selbst erkennt und sie löscht, statt darin herumzuklicken. Bei aktueller Schadsoftware versagt das Antivirusprogramm regelmäßig – und zwar sogar bei den Unternehmen, die Antivirus-Schlangenöl herstellen. Generell sollten niemals Mailanhänge geöffnet werden, deren Zustellung nicht vorher explizit (und über einen anderen Kanal als E-Mail) abgesprochen wurde – und generell gibt es keinen einzigen Grund dafür, Informationen nicht ganz normal in die Mail zu schreiben, statt sie in einem Anhang zu versenden.

¹Das Unix-Kommando file dient eigentlich dazu, den Dateitypen festzustellen, gibt aber bei vielen Dateitypen interessante Meta-Informationen aus. Die anschließende Pipe auf sed ist nur eine Verbesserung der Lesbarkeit, da sonst alles mit Komma getrennt in einer Zeile ausgegeben würde.

Rechnung Nr. 95355066 vom 15.01.2016

Mittwoch, 20. Januar 2016

Unser täglich Gift gib uns heute!

Sehr geehrte Damen und Herren,

Das ist doch genau mein Name!

in der Anlage erhalten Sie unsere Rechnung 95355066 vom 15.01.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.

Aha, eine Rechnung. Im Text der Mail steht nichts näheres als ein Datum und eine laufende Nummer. Wer wissen will, um was zum hackenden Henker es hier geht, muss leider einen Anhang von einem Unbekannten öffnen. Zur angehängten Datei kann ich nur eines recht sicher sagen:

Screenshot des im Hexl-Mode von Emacs geöffneten Anhanges des E-Mail, der belegt, dass es sich um ein mehrteiliges MIME-Dokument handelt.

Sie hat zwar die Dateinamenserweiterung .doc, aber sie ist kein Word-Dokument. Es handelt sich um Schadsoftware. Wer diese Datei öffnet, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und wer sich auf sein Antivirus-Schlangenöl verlässt, ist in neunzig Prozent der Fälle verlassen. Deshalb ist es so wichtig, derartige Spam selbst als Spam zu erkennen und niemals darin rumzuklicken sowie generell niemals einen Mailanhang zu öffnen, der nicht explizit vorher abgesprochen wurde – denn das Gehirn ist und bleibt das beste Hilfsmittel zum Erhalt der Computersicherheit.

Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.

Wer digitale Daten ausdruckt, um sie zu archivieren… ach!

Bitte beachten ! Dieser Beleg ist das Orginalexemplar !

Klar, die beliebig kopierbare Datei ist ein Original. Und wenn man die Datei kopiert, gibt es sogar zwei Originale. Und wenn man sie als Spam in die Welt sendet, auch mal hunderttausend.

Mit freundlichen Grüßen
Ignatius Peters

Freundlich wie die Pest
Dein krimineller Schadsoftwarespammer