Schlagwortarchiv „Spamflut“

Weiter, Party, Webseite, Top…

Sonntag, 31. Juli 2016

Zunächst eine typische Spam, mit der Leute zum Datingbetrug gelockt werden sollen, damit die Spammer die Affiliate-Groschen kassieren können, die ihren Opfern dann hinterher hundertfach von Skripten und Betrügern kostenpflichtig aus der Tasche gechattet werden:

Betreff: Rabea schickt Dir einen Kuss

Hallo!

Rabea hat Dir über unser Kuss-Flirt-Netzwerk einen dicken Kuss geschickt und hat angegeben, Dich unbedingt kennenlernen zu wollen.

Folge folgendem Link, um die gesamte Nachricht und das Profil von Rabea einzusehen:

http://www.weiter158.party/[ID entfernt]/

Viel Spass,
Dein Kuss-Netzwerk

Keine Küsse mehr?: http://www.weiter158.party/abm/[ID entfernt]/

Hach ja, immer diese Judasküsschen aus dem Spamordner!

Allerdings läuft das Geschäft mit dem Datingbetrug – trotz einer immer noch unfassbaren Spamflut – wohl nicht mehr ganz so gut, und deshalb gibt es mit der gleichen Domain in der TLD .party auch noch ein anderes tolles Geschäftsmodell, das ebenfalls nur mit illegaler und asozialer Spam beworben wird:

Betreff: Bezahlen Sie nur nach der Lieferung!

Sehr geehrte Herren,

bitte verzeihen Sie uns, dass wir uns auf diese Art vorstellen. [sic!]

Wenn Sie auf der Suche nach günstigen aber wirksamen Medikamenten gegen Erre.ktions.störungen [sic!] sind, so möchten wir uns anbieten.

Wir verkaufen ausschließlich überprüfte Ware von bekannten deutschen Herstellern. Wir geben Ihnen die Möglichkeit, die Waren erst nach Erhalt zu bezahlen. Der Versand erfolgt aus Deutschland! Rezeptfrei [!], sicher und diskret!

Für nur 3 Euro pro Tablette!

http://www.weiter158.party/

Mit freundlichen Grüßen Ihre
Apotheke Heinkes

Wer in der BRD verschreibungspflichtige Arzneien (wie wirksame Mittel gegen Erektionsstörungen) rezeptfrei verkauft, ist keine Apotheke, sondern ein Krimineller. Man kann natürlich daran glauben, dass die Medikamente trotzdem einen Wirkstoff enthalten und einen nicht umbringen…

Dating und Pimmelpillen aus der gleichen Hand… diese beiden Spams kamen mit einem zeitlichen Abstand von drei Sekunden. 😀

Und diese Spammer haben jetzt auch ein neues Namensschema für ihre Domains gefunden. Sie nehmen das Wort „weiter“, hängen eine laufende Nummer dran und verwenden eine der neu eingeführten TLDs ohne Whois-Dienst, so dass sie sich nicht einmal mehr falsche Daten ausdenken müssen. Dann wird die Spam in wehrlose Postfächer gestreut und darauf gewartet, dass wieder ein paar Leute darauf reinfallen. Das geht natürlich nicht nur mit .party, sondern auch in der TLD .accountant:

Betreff: Die Bilder vom Nacktbaden gestern

Hey Mike!

Du meintest doch Du willst noch die Bilder vom Nacktbaden gestern mit Dir und Tine haben. Aber das waren zuviel für Whatsapp, deswegen musste ich sie auf meinem Profil hochladen.

Du findest sie hier: http://www.weiter186.accountant/[ID entfernt]/Vivien/

Viel Spass damit, war ja echt ne heisse Nummer

Bussi
Vivien

Und auch hier kommt die Pimmelpillenspam nur wenige Sekunden später:

Betreff: Ich fi**e dich 48 Stunden: 20% Rabatt bei Erekitons-Pillen

Hey Süßeer!

Mit dem Rabattcode
go2016
bekommst Du heute alle Erekitons-Pillen 20% billiger.

http://www.weiter186.accountant/[ID entfernt]/

Unser Shop ist risikofrei (zahlbar per Paypal mit Käuferschutz) oder Nachname [sic!]!

Rezeptfreie Pillen aus einer offiziellen Apotheke mit unschlagbar gutem und schnellen Kundensupport.

Lies unsere Kundenbewertungen, Du wirst überzeugt sein und Dein Freund ist hart wie eine Eins!

http://www.weiter186.accountant/[ID entfernt]/

Grüße
Die Valentina-Maus

Und wenn weiter186 schon verbrannt ist, dann – so sagen sich die Spammer – kommt vielleicht weiter181 durch die Spamfilterung:

Betreff: Die Bilder vom Nacktbaden gestern

Hey Mike!

Du meintest doch Du willst noch die Bilder vom Nacktbaden gestern mit Dir und Tine haben. Aber das waren zuviel für Whatsapp, deswegen musste ich sie auf meinem Profil hochladen.

Du findest sie hier: http://www.weiter181.accountant/[ID entfernt]/Lara/

Viel Spass damit, war ja echt ne heisse Nummer

Bussi
Lara

Und weil die Spammer ja gar nicht wissen, was schon verbrannt ist, wird die 186-Spam und die 181-Spam in einem zeitlichen Abstand von dreißig Sekunden in das Internet gerotzt, und natürlich ist auch wieder eine Giftapotheke dabei, deren Spam in weniger als einer Sekunde nach der Dating-Spam ankam:

Betreff: Ich fi**e dich 48 Stunden: 20% Rabatt bei Erekitons-Pillen

Hey Süßeer!

Mit dem Rabattcode
go2016
bekommst Du heute alle Erekitons-Pillen 20% billiger.

http://www.weiter181.accountant/[ID entfernt]/

Unser Shop ist risikofrei (zahlbar per Paypal mit Käuferschutz) oder Nachname [Tja, ist schon mistig, wenn homophone Wörter unterschiedlich geschrieben werden]!

Rezeptfreie Pillen aus einer offiziellen Apotheke mit unschlagbar gutem und schnellen Kundensupport.

Lies unsere Kundenbewertungen, Du wirst überzeugt sein und Dein Freund ist hart wie eine Eins!

http://www.weiter181.accountant/[ID entfernt]/

Grüße
Die Marleen-Maus

Wer sich dafür interessiert: Die mit illegaler und asozialer Spam beworbene Pimmelpillen-Apotheke habe ich schon im Januar kurz mit einem Text gewürdigt. Dabei ist auch ein Screenshot entstanden. Da die diversen Fehler und Verschreiber in den vergangenen sieben Monaten noch nicht korrigiert wurden, habe ich auf einen neuen Screenshot verzichtet. Da ist nichts zu dokumentieren. Der Spammer hat keine Lust auf irgendeine Arbeit. Warum auch, er ist doch Spammer. Und sein Geschäft läuft auch mit einer Giftapotheke, deren Betreiber nicht dazu imstande ist, leidlich fehlerfreies Deutsch zu schreiben.

Die gleiche Vorgehensweise sehe ich auch mit dem Wort „webseite“ in der TLD .top – auch hier gibts laufende Nummern und einen lustigen Einblick darin, was für Geschäfte von der gleichen Bande betrieben werden.

Zunächst die Pest des Postfaches, die Dating-Spam:

Betreff: Marie will sich mit Dir treffen

Hallo!

Marie hat Dein Profil auf unserem Seitensprung-Portal folgendermaßen bewertet:
„Möchte ich gerne kennenlernen“
und
„Er soll es mir richtig besorgen“

Bitte klick auf das Profil von Marie um zu entscheiden, ob Du auch an ihr interessiert bist:

http://www.webseite109.top/[ID entfernt]/Marie28/

Viel Spass
Dein Seitensprung-Heute -Team

Ja ja, schon klar: Marie hat ein nichtexistentes Profil von mir gesehen und möchte mal so richtig von einem Unbekannten durchgenommen werden. Da muss schon sehr viel Blut im Schwellkörper und sehr wenig Blut im Gehirnchen sein, damit man darauf reinfallen kann. Die Tatsache, der dermaßen doofe Spams seit gefühlt zwei Jahren jeden verdammten Tag kommen, zeigt aber, dass es immer noch genug dumme und notgeile Männer geben muss, die darauf reinfallen. Die wundern sich dann nicht einmal mehr darüber, wenn es auf der potemkinschen Dating-Site spammender Affiliate-Lügenkaufleute nur Frauen und keine Männer gibt…

Aber natürlich gibt es auch hier noch weitere Geschäftsmodelle mit „Webseite“ und „Top“ in der laufenden Nummer 109, und auch die sind schon seit langem vertraut:

Betreff: Korrigierte Beitragsabrechnung August 2016

Guten Tag n ,

ab dem 01. August 2016 wird sich die monatliche Belastung für Ihre Krankenversicherung verändern.

Viele Kunden müssen mit einer Erhöhung der monatlichen Beiträge rechnen, einige können sich über eine Tarifreduzierung freuen.

Bitte prüfen Sie zeitnah, ob Sie mit einer Erhöhung oder einer Reduzierung rechnen müssen:

http://www.webseite109.top/[ID entfernt]/

Die Überprüfung ist natürlich frei von jeglicher Verpflichtung – und für alle Beitragszahler selbstverständlich kostenlos.

Unter Umständen kann Ihr derzeitiger Tarif schnell und unbürokratisch umgestellt werden, so können Sie bereits ab August 2016 mit einer spürbaren Vergünstigung rechnen.

Bitte handeln Sie zeitnah!

http://www.webseite109.top/[ID entfernt]/

Mit freundlichen Grüßen,

Jana Franke
Kundenservice Zentrale Buchhaltung

PS: Die KSP distanziert sich von unseriösen Benachrichtigungen – unsere Infoseite dient lediglich Ihrer Information und verpflichtet Sie zu nichts. [Prust! Spammer distanzieren sich von unseriösen Benachrichtungen! Der war gut!]

Wünschen Sie dennoch keine weiteren Benachrichtigungen?
http://www.webseite109.top/abm/[ID entfernt]/

Diese Spam kam zwei Sekunden nach der Datingspam, die ihre Opfer auf das Weiterleitungsskript in der Domain webseite109 (punkt) top locken sollte…

Pimmelpillen-Giftapotheken, Datingbetrug und Krankenversicherungsvergleiche – alles aus einer Hand! (Die andere Hand schreibt hinter dem Rücken Spam und Spam und Spam und Spam und zählt die Affiliate-Judasgroschen.)

Du wurdest angestupst

Montag, 27. Juni 2016

Hallo n,

Na ja, sagen wir es mal so: Eine Zuordnung von Name zu Mailadresse, die die Spammer einmal haben, verschwindet niemals wieder aus dem Posteingang. Egal, wie unplausibel sie ist.

Du wurdest von Lena angestupst.

Auf der gleichen Mailadresse – die spammenden Vollidioten sind also immer noch nicht dazu imstande, Dubletten aus ihrem Datenbestand zu entfernen – kam mit gleichem Text auch noch die folgende Kollektion von Frauennamen an:

„Du wurdest von Kerstin angestupst“
„Du wurdest von Nora angestupst“
„Du wurdest von Celina angestupst“
„Du wurdest von Marleen angestupst“
„Du wurdest von Anna angestupst“
„Du wurdest von Lisa angestupst“
„Du wurdest von Eva angestupst“
„Du wurdest von Leonie angestupst“

Die stupsen mich ja wund, diese Frauen aus der Namensliste eines Dating-Spammers!

Unser Tipp: Folge einfach diesem Link um zu sehen, wer Dich angestupst hat!

http://www.mailing33.xyz/[ID entfernt]/

Der Link führt nach der üblichen Kaskade von Weiterleitungen in die Domain mit dem schönen Namen seitensprung (strich) treffen (punkt) com, wo es das immer noch unveränderte WhatsFuck-Design der Dating-Betrüger gibt. Dieses Design ist offenbar die vorläufige Krone des schöpferischen Geistes dieser intellektuell unbewaffneten Stümper, die wohl immer noch recht erfolgreich nach den Enthirnungsresten aus der Generation Jamba angeln. Es hatte allerdings viel miesere Vorgänger mit genau so blöden Namen: FriendBook, FunBook und WhatsSexy. Natürlich jeden Tag in einer anderen Domain, denn die Spamfilter lernen schnell. Andere Experimente der gleichen Bande wie etwa ganz geheime Geheimtricks, mit denen jeder notgeile Honk ganz viel ficki ficki machen kann, waren offenbar auch beim Bodensatz der Totalverdummten nicht erfolgreich genug, als dass die Spammer davon ihre eigenen Bordellbesuche hätten bezahlen können. Warum sollte man sich für „Tipps“ auch irgendwo anmelden und namentlich registrieren? Und das kleine Problemchen mit dem peinlich fehlenden Foto im Ficki-Berater von ebenfalls dieser Bande hat diese Bande leider binnen zweier Monate nicht behoben bekommen. Dafür hätte man ja HTML können müssen. Und damit sind diese vorgeblichen Betreiber eines Dating-Portals überfordert. Das liegt daran, dass sie gar kein Dating-Portal betreiben, sondern nur Affiliate-Opferakquise für einen anderen Dating-Betrüger machen.

(Ich gehe übrigens davon aus, dass sämtliche Kontakt-, Sex- und Datingangebote im Web Beschiss sind. Es ist eine sinnvolle Annahme. Wenn dieses pauschale Urteil zu hart erscheint: Jene Fleischmärkte, die mit illegaler und asozialer Spam beworben werden, sind mit Sicherheit Beschiss.)

Was einem blüht, wenn man auf spambeworbene Dating-Betrüger reinfällt, habe ich vor fünf Jahren mal ausprobiert und hier dokumentiert. Ich weiß nicht, ob die Methoden immer noch so plump sind, aber da mit den momentanen Spamfluten und den dazwischengestellten Dreckssites wirklich nur sehr naive Opfer angesprochen werden, kann das durchaus sein. Leider ist die Mutter der Dummen immer schwanger.

Lieben Gruß,
Dein Paarship-Team

So so, sich „Paarship“ nennen, aber eine Website namens „WhatsFuck“ betreiben.

RE: Soll ich Ihres einen anderen geben?

Dienstag, 31. Mai 2016

Hallo,

Genau mein Name, also…

ACHTUNG! – E-MAIL NUR FÜR !

…muss diese tolle Spam wohl für mich sein.

Sie sind dabei Sie wurden persönlich ausgewählt es zu bekommen vor all den anderen…
PLUS Sie werden eine erhebliche Summe als Willkommen-Geschenk bekommen
Holen Sie es sich sofort hier unten

http://trend-trader.net/de/[ID entfernt]

Sie sind dabei. Ihre Mailadresse wird unter Spammern gehandelt. Es gibt Geld. Einfach so. Mit der Spam. Weil es anders nicht weggeht. Klicken sie schon!

Dies ist kein falscher Ausdruck aber es steht zu Verfügung nur für die ersten Wenigen.

Das Geld für einen Texter, der wirklich Deutsch kann, haben wir übrigens nicht.

Es wird an dem nächsten Benutzer verschenkt wenn Sie es nicht nehmen

Posteingang für eine einzige Mailadresse mit etlichen Spams mit diesem Betreff

Scheint ja niemand zu wollen, dieses Geld. Tja, was kann man schon mit Geld anfangen.

Wir sprechen uns bald
Margit Koester

Nein. Immer noch nicht.

Es geht um Börsen-Zocken mit windigen Wettzetteln der Marke „Binäre Option“, aber der Spammer zieht es vor, nicht von Binären Optionen zu leben, sondern von Affiliate-Geldern, die er von windigen Brokern dafür bekommt, dass er ihnen Kunden zutreibt.

SAGA GEHT WEITER – Tag 8 – Montag 30 Mai – Wettbewerb Ergebnisse

Montag, 30. Mai 2016

Diese unglaublich schlechte Spam von Reichwerdexperten, die ihre Reichwerdmethode (Handel mit hochspekulativen Börsen-Wettzetteln der Marke Binäre Option) leider nicht selbst anwenden (warum wohl nicht), sondern seit einigen Tagen ihren enthirnten Wortdurchfall mit äußerster Penetranz in die Postfächer ergießen, kommentiert sich selbst.

Äußerste Penetranz? Ja…

Screenshot eines Posteingang mit Spams 'SAGA GEHT WEITER'

…äußerste Penetranz. Der Screenshot zeigt die „Ernte“ einer einzigen Mailadresse. Und so sieht der „Text“ aus diesen Spams aus – die Formatierung ist unverändert, nur einige in der Spam erwähnte Mailadressen habe ich etwas schwieriger benutzbar gemacht:

Hallo gammelfleisch@tamagothi.de!

SAGA GEHT WEITER(Letzte Woche)

gammelfleisch@tamagothi.de, Worauf warten Sie noch?!
Sie sind der einzige Links! [sic!]

http://ganglink.com/KDIy5

Wettbewerb Ergebnisse – Tag 8 – Samstag 30 Mai

Ich habe eine Woche gewartet ohne von Ihnen zu hören über die Google-Einladung!
Ich sehe keine Aktivitäten auf ihrem Konto bis jetzt obwohl ich Sie die Woche angerufen und Emails geschrieben habe. [Wie, angerufen hast du mich auch, Spammer?!]

Bitte treten Sie in Aktion jetzt oder geben Sie mir bescheid damit
ich die Einladung an den Nächsten in der Liste weitersenden kann. [sic!]

Der Registrierung-Link steht neben Ihrem Namen in der Liste unten:

peterwillms62 (at) web (punkt) de – Peter Willms – Deutschland – Eingetragen – Gewinne: $18012(TAG 8)

Bernisfk (at) web (punkt) de – Bernis Fongang – Österreich – Eingetragen – Gewinne: $17987(TAG 8)

joergemminger (at) web (punkt) de – Joerg Hemminger – Deutschland – Eingetragen – Gewinne: $17900(TAG 8)

gammelfleisch@tamagothi.de – Not Registered – http://ganglink.com/KDIy5 (Tag 0)

keven (punkt) stperre (at) hotmail (punkt) com – Friedrich Schafer – Switzerland – Eingetragen – Gewinne: $17500(TAG 8)

franklauer (at) web (punkt) de – Frank Lauer – Deutschland – Eingetragen – Gewinne: $15480 (TAG 7)

hartmut (underline) knut (at) web (punkt) de – Hartmut Knut – Deutschland – Eingetragen – Gewinne: $14600 (TAG 5)

gammelfleisch@tamagothi.de, Worauf warten Sie noch?!
Sie sind der einzige Links!
http://ganglink.com/KDIy5

Ich warte darauf von ihnen zu hören so bald wie möglich in dem
Sie Ihren Konto aktivieren oder auf diese Email antworten.

Mit besten Wünschen!

Stefan Pemmer
Google & Google Partners [sic!]

Und nein: Google hat mit dieser Spam gar nichts zu tun. Google hat allerdings auch etwas, was diesen hirnverhungerten Matschbirnen, die irgendwann einmal von ihrer Mutter unter einem feuchten Stein gefunden wurden, völlig abgeht: Stil.

SAGA GEHT WEITER

Freitag, 27. Mai 2016

Hey, Spammer,

findest du es nicht ein kleines bisschen peinlich, dass deine Reichwerdmethode so schlecht weggeht, dass du einen derartigen Brechdurchfall in die Postfächer der Menschen ergießen lassen musst?

Ganz viele Spams mit dem Betreff 'SAGA GEHT WEITER'

Und vor allem: Warum wirst du nicht einfach selbst mit deiner tollen Reichwerdmethode an der Börse reich und versuchst stattdessen, Leute zu irgendwelchen Brokern zu bringen, wo sie hochspekulative Wettzettel (Binäre Optionen) handeln können, damit du dafür von den Brokern Affiliate-Judasgroschen kassierst?

Könnte das vielleicht daran liegen, dass deine Methode gar nicht funktioniert?

Das wäre aber echt schade für die paar Leute, die auf dich reingefallen sind und jetzt ihrem Geld beim Verschwinden zuschauen können.

Und hey, „Google“ ist auch nicht wirklich dein Name, oder‽ Denn mit deinem Ansehen sieht es eher nicht so gut wie bei Google aus. Und das liegt daran, dass du spammst, als wärest du einfach nur ein von Gier zerfressenes, sich arschlochhaft aufführendes hirnloses Gesäuge. Google hingegen bietet ein paar Dinge an, die für viele Menschen nützlich sind.

Geh einfach sterben, Spammer!

Dein dich „genießender“
Nachtwächter

Sie haben 21 Minuten und das war es!

Donnerstag, 26. Mai 2016

Und du Spammer, du hast einen Intelligenzquotienten von höchstens 75 Punkten, und das war es! Das ist ja beileibe nicht die erste Spam, die du mir mit deiner Reichwerdmethode über das Börsenzocken mit Binären Optionen ins Postfach gemacht hast, aber alle deine Spams waren dermaßen dumm, dass sie unterhalb der Qualitätskriterien für Unser täglich Spam lagen – denn auch ein übermäßig sedierter Halbaffe konnte erkennen, dass du ein dummer Betrüger bist.

Von daher macht mir dein 21-Minuten-Countdown im Betreff ja ein bisschen Hoffnung, dass du mit deiner hirnverachtenden Drecksspam aufhören könntest, aber vergebens:

Screenshot meines Posteinganges mit ganz vielen Spams mit Betreff 'Sie haben 21 Minuten und das war es!'

Man scheint ja doch mehr als nur ein paar Minuten Zeit zu haben…

Hallo
gammelfleisch@tamagothi.de!

Hallo, Rosa Hubert!

Dies ist keine Email… Dies ist ein Wachruf.

In der Tat, das ist keine E-Mail, das ist E-Müll.

Oh, ein hübsches Logo hast du da, Rosa. Das hast du ganz fein gemacht. Da geht ja sogar etwas nach oben, so ein richtiger Erfolgspfeil. Du kriegst auch ein Fleißbienchen. Das mit dem Ausgleich der verschiendenen Grundlinie der von dir benutzten Schriftarten übst du dann beim nächsten Mal.

Und jetzt kommen wir zu deinen Inhalten:

Sie haben ungefähr 21 Minuten um Ihren gratis Konto [sic!] zu aktivieren Einfach hier drücken:

http://trend-trader.net/de/[ID entfernt]

Einmal ganz abgesehen davon, dass das mit deinen 21 Minuten ganz schön bitter für jene Menschen ist, die nur einmal täglich nach ihrer Mail schauen – es ist auch eine sinnlose Angabe. Besser wäre die Angabe eines Datums und einer Uhrzeit. Aber dann würde dein Müll ja jedes Mal gelöscht, wenn er zu spät gelesen wird, und das kannst du nicht wollen.

Aber das Getexte aus der Tiefe deiner Hirnkrypta ist ja noch nicht vorbei:

Sie haben mehrere Emails ignoriert und mehrere Zahltage verpasst Aktivierung und Empfang :

http://trend-trader.net/de/[ID entfernt]

Du könntest daraus ja einfach mal den Schluss ziehen, dass ich weder deinen 21-Minuten-Müll noch deine anderen Versuche der Marke „Saga geht weiter“, „Wettbewerb Ergebnisse“ oder dein englisches Getexte „ID-UPGRADE Has Been Activated“ mit „coolem“ Unicode-Zeichen im Betreff haben will und damit aufhören, mir ins Postfach zu kacken. Machst du aber nicht. Obwohl…

Ich gehe zum nächsten Mitglied wenn Sie nicht reagieren

…du es in jeder deiner Drecksspams ankündigst.

Hast du dich eigentlich schon einmal gefragt, wie im Lichte deiner niemals erfüllten Ankündigung die anderen Zusicherungen in deinem E-Müll wirken könnten?

Ach, geht nicht, Rosa. Dafür müsstest du ja Gehirn haben. Tja, ist schon schade, dass du dich während der Hirnausgabe lieber an dem Stand mit der Gier angestellt hast und dir da gleich eine doppelte Portion abgeholt hast. Das war keine gute Wahl.

Danke
Rosa Hubert

Gern geschehen, Rosa.

Und jetzt geh bitte sterben!

Dein dich genießen müssender
Nachtwächter

Euromaster – Rechnung – 04862971 – 11.12.2015

Samstag, 12. Dezember 2015

Es gibt so unfassbar viel davon im Moment… und nein: diese Mail kommt nicht von einer „Euromaster GmbH“, diese Mail ist eine kriminelle Spam.

Sehr geehrte Damen und Herren,

anbei Ihre online Rechnung 04862971 vom 11.12.2015 über 489,40 €.

Bei Rückfragen wenden Sie sich bitte an Ihren zuständigen EUROMASTER Experten oder senden Sie eine E-Mail an: **** [sic!]

Wir freuen uns auf eine weiterhin erfolgreiche Zusammenarbeit und verbleiben mit freundlichen Grüßen

Ihre EUROMASTER Experten für Reifen, Räder und Autoservice

–
Euromaster GmbH
Mainzer Straße 81
67657 Kaiserslautern

Hier das kleine Spamkompetenztraining von Unser täglich Spam. Was bedeutet wohl diese Kombination von Merkmalen:

Unpersönliche Ansprache eines angeblichen Kunden;
technokratisch-unfreundlicher Tonfall mit vielen Nummern und Daten;
aufrüttelndes Thema, in diesem Fall eine behauptete Geldschuld von immerhin rd. fünfhundert Euro bei einer Unternehmung;
viel Text in der Mail, der nicht sagt, worum es eigentlich geht; und
alle wichtigen Informationen kann man nur herausbekommen, wenn man den Anhang der Mail öffnet?
(In diesem Fall ist das noch von einem peinlichen Fehler bei der Angabe der Mailadresse gekrönt, den sich eine Unternehmung niemals leisten würde.)

Richtig! Es ist Spam und im Anhang liegt Schadsoftware! Einfach löschen und schöneren Dingen zuwenden!

Der Anhang ist eine Datei für Microsoft Word, die ein Makrovirus enthält. Wer dieses Dokument öffnet (und bei aktuellen Office-Versionen: die Ausführung von Makros gestattet), hat hinterher einen Computer anderer Leute auf dem Tisch stehen. Das Gift wird noch nicht von jedem Antivirus-Schlangenöl erkannt. Aber deshalb ja auch das kleine Spamkompetenztraining – denn kein Antivirus-Programm ist bei der Vermeidung von Schadsoftware über E-Mail so gut wie das Gehirn. Spammer wissen das übrigens auch und machen deshalb in ihren Spams gern mal Angst oder erzeugen Gier, weil das Gehirn unter Angst oder Gier nicht mehr gut arbeitet – aber auch das lässt sich relativ einfach mit dem Gehirn erkennen.

Es gilt: Wer niemals einen E-Mail-Anhang eines unbekannten Absenders öffnet (und jede nicht digital signierte Mail als eine Mail mit unbekanntem Absender betrachtet) und ansonsten nur explizit vorher verabredete Mailanhänge öffnet, wird sich mit sehr hoher Wahrscheinlichkeit niemals eine Schadsoftware aus einer Mail einfangen. Ich empfehle dringend, außerdem die E-Mail mit einem Programm wie „Thunderbird“ zu erledigen, das es Spammern sehr schwer macht, klandestines Tracking und andere fiese Techniken anzuwenden und das einen ganz brauchbaren (aber nicht völlig zuverlässigen) lernfähigen Spamfilter hat. Wer sich hingegen blind auf sein Antivirus-Programm verlässt und meint, er könne deshalb naiv und unvorsichtig mit E-Mail umgehen, kann sich darauf verlassen, irgendwann Probleme zu haben.

[ID:772540] I can assure you that the payment has been found

Freitag, 11. Dezember 2015

Und schon wieder eine E-Mail mit vergiftetem Anhang, diesmal keine Excel-Mappe, sondern eine Javascript-Datei.

Please, accept our apology for the delay in refunding your money. Unfortunately, the delay will last a little longer for the reasons we’ve sent to you in the file attached.

Aha, der namenlose Absender weiß also nicht, wie ich heiße, fummelt aber mit meinem Geld herum. Um was zum hackenden Henker es dabei geht und welche Probleme dabei aufgetreten sind, konnte er leider nicht mehr in die E-Mail schreiben, weil das Mailpapier alle war – und deshalb steht es angeblich in einem Anhang.

Und genau dieses Schema bedeutet: ALARM!

Solche Spams, die keinerlei konkrete Information enthalten und mit allerlei Begründungen zum Öffnen eines Anhanges verleiten, aus dem man erst erfährt, um was es überhaupt geht, sind immer Schadsoftware. Wer den Anhang mit Doppelklick öffnet, hat verloren und hinterher einen Computer anderer Leute auf dem Tisch stehen.

Das gilt auch in diesem Fall.

An der Spam hängt ein ZIP-Archiv. Dieses enthält eine einzige Datei, und zwar ein vorsätzlich kryptisch und unverständlich gecodetes Javascript-Programm¹. Warum das vorsätzlich unverständlich programmiert wurde? Na, um eine Analyse zu erschweren, denn es handelt sich um Schadsoftware. Diese ist auch schon zwei oder drei Tage alt, so dass sie inzwischen von gut der Hälfte der gängigen Antivirus-Schlangenöle als Schadsoftware erkannt wird.

Da man sich auf Antivirus-Schlangenöle nicht verlassen kann, gilt Folgendes: Niemals einen zugesendeten Mailanhang öffnen, der nicht vorher explizit abgesprochen wurde. Dies gilt auch für „harmlose“ Dateiformate wie PDF. Wenn ein Anhang in einer Standardspam kommt, in deren Text nicht die geringste Information steht (außer vielleicht ein paar technokratisch anmutende Nummern und Daten) und wenn behauptet wird, dass die Information im Anhang ist, handelt es sich immer um Schadsoftware, und oft sogar um so aktuelle, dass das Antivirus-Programm dagegen machtlos ist.

Solche Mails immer unbesehen löschen! Es gibt keinen objektiven Grund, im Text der Mail nicht klarzumachen, um was zum hackenden Henker es eigentlich geht. Es gibt aber – vor allem, wenns um Geld geht – sehr viele Gründe, sich so klar und unmissverständlich wie nur irgend möglich auszudrücken. Kurz: Niemand, der bei Sinnen ist, schreibt so etwas wie „Hallo, sie müssen wegen der Registriernummer 08/15 grundlos achthundert Euro bezahlen, näheres finden sie heute nur im Anhang, tschüss!“. Wer in diesem Stil schreibt, dessen Mails sollten als Mail gefährlicher Irrer oder Krimineller behandelt werden.

Es gibt im Moment eine ganze Flut von E-Mail mit angehängter Schadsoftware. Diese Pest kommt immer mal wieder. Im Moment sind es vor allem Office-Dokumente mit Makrocode und originelle Versuche wie diese Javascript-Datei. Das einzige, was sicher dagegen schützt, ist ein solides Misstrauen gegen das Medium E-Mail, das sich grob an folgenden Regeln orientiert:

E-Mail ist eines der Hauptmedien für Kriminelle. Über E-Mail werden Betrugsgeschäfte eingeleitet, über E-Mail wird Schadsoftware versendet, über E-Mail werden Helfershelfer gesucht. E-Mail ist gefährlich, sowohl in technischer als auch in psychologischer Hinsicht. Schade, dass sie auch so unendlich praktisch ist, dass man sie nicht einfach vermeiden kann…
Das Öffnen eines E-Mail-Anhanges eines Unbekannten ist russisches Roulette. Manchmal geht es gut, aber das Risiko ist gewaltig. Und auch Menschen, die glauben, dass ihre Computer „völlig uninteressant“ sind, werden sich umschauen, wenn erst einmal an Adressen ihres Adressbuches mit ihrem Absender Betrugsmails mit persönlichen Ansprachen aus dem Adressbuch gehen – und sie sich in Kürze darauf einstellen können, ihre Geschichte einem Untersuchungsgericht zu erzählen. So etwas läuft bereits. Die Trojaner der Kriminellen sind keine harmlosen Spielzeuge kleiner Kinder!
Niemals an den Absender einer E-Mail glauben! Der Absender einer E-Mail ist leicht und völlig beliebig fälschbar. Das einzige, was eine gewisse Sicherheit über den Absender schafft, ist die digitale Signatur von E-Mail – sie erfordert, im Besitz des privaten Schlüssels des Absenders zu sein. Wo immer das irgend möglich ist, sollte digital signiert werden und die Signatur eingehender E-Mail auch überprüft werden.
Jede nicht digital signierte E-Mail ist als E-Mail eines Unbekannten zu betrachten! Auch bei der Oma, auch beim Chef, auch beim alten Schulfreund. Das Fälschen des Absenders ist so einfach, dass es jeder fortgeschrittene Fünfjährige hinbekommt. Wenn ein Anhang dranhängt, der wirklich so dringlich sein könnte, dass man ihn schnell öffnen sollte: Niemals öffnen, bevor telefonisch abgeklärt wurde, dass die E-Mail echt ist!
Selbst so schnell wie möglich damit beginnen, E-Mail digital zu signieren und andere Menschen dazu anleiten, dies ebenfalls zu tun! Es ist die einzige einfach anzuwendende Schutzmaßnahme gegen kriminelle Irreführungen, die uns zur Verfügung steht².

Einen anderen Weg zur Herstellung von E-Mail-Sicherheit als diese Umsicht gibt es nicht. Zum Glück ist es ein relativ einfacher Weg, der nichts kostet und nur ein wenig Aufmerksamkeit und Bewusstsein verlangt – jeder Mensch von normaler, alltagspraktischer Intelligenz sollte damit klarkommen. Wer wissen möchte, wie man E-Mail digital signiert, findet relativ leicht verständliche Hinweise im Web. Nutzer des Thunderbird gehen einfach hier lang.

¹Kein Programmierer, der seinen Code noch pflegen muss oder pflegen können möchte, würde so programmieren.

²Warum die vom Phishing mutmaßlich um einen zwei- bis dreistelligen Millionenbetrag geschädigten Banken nicht dazu übergehen, ihre gesamte E-Mail-Kommunikation digital zu signieren und ihre Kunden über diese Maßnahme aufzukären, damit jeder in die Lage versetzt wird, den Absender eine Bank-Mail sicher feststellen zu können, gehört zu den Fragen, die wohl nur die Banken beantworten können. Kleiner Tipp von mir: Kostengründe sind es nicht. Die Software ist nicht nur (mit ausgereifter Schnittstelle zu jeder gängigen Programmiersprache) verfügbar, diese Software ist auch frei; die einmaligen Kosten für eventuelle Programmanpassungen amortisieren sich binnen kürzester Zeit. Es fällt mir schwer, einen anderen Grund als Trägheit, Dummheit und Kundenverachtung zu finden.