Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Telekom“

Ihre Telekom Festnetz-Rechnung Jan 2016

Dienstag, 2. Februar 2016

Aber ich bin doch gar nicht bei der Telekom…

Von: <PCook (at) hyperion (strich) bs (punkt) com>

…aber der Absender wohl auch nicht. Weia, wenn man schon einen Absender fälscht, dann könnte der ja auch ein bisschen überzeugend aussehen. Aber wenn ein Spammer sein Gehirn benutzen wollte, könnte er ja auch gleich arbeiten gehen.

Ihre Rechnung für Dezember 2015

Im Betreff war es noch Januar 2016. :D

Guten Tag gammelfleisch (at) tamagothi (punkt) de,

Tja, wenn man als Spammer den Empfänger nicht mit Namen anreden kann, weil man den Namen nicht kennt, dann muss man ihn eben mit der Mailadresse anreden. Die kennt der Spammer ja.

Hiermit erhalten Sie mit dieser E-Mail Ihre aktuelle Festnetz-Rechnung.

Der Deutschexperte ist leider im Urlaub, und somit erhalten wir mit dieser E-Mail die aktuellen Sprachprobleme eines spammenden Verbrechers.

Die Gesamtsumme im Monat Jan 2016 beträgt: 854,57 Euro.

Und, für welchen Anschluss? Manche sollen ja mehrere haben. Aber wenn eine Telefonnummer dabei stünde, dann wäre sofort jedem Empfänger klar, dass es sich um eine Spam handelt.

Im Zusammenhang mit Ihrer Schuld. Wenn die Zahlung bis zum 25. November 2015 nicht eingeht, haben wir das Recht, die Erbringung von Dienstleistungen zu verhindern.

Steck dein Geld in die Zeitmaschine! Im Februar bekommst du laut Betreff die Rechnung des letzten Monats, laut Mailtext hingegen des vorletzten Monats, bezahlt haben sollst du sie vor drei Monaten! Oh, das Geld passt ja gar nicht mehr in die Zeitmaschine rein. Da steckt schon das Gehirn des Spammers drin, weil er das gerade mit einem Aufkleber „Annahme verweigert“ in den Urschleim zurückschickt. :mrgreen:

Zu diese Schreiben ist angehängt Dokumente in Zip archive mit Angabe der Leistungen, sorgfältig zu lesen

In der Tat, es ist ein ZIP-Archiv angehängt. Darin ist nicht etwa ein PDF oder ein anderes Dateiformat, sondern ein Javascript-Programm, das von einem Spammer zugestellt wurde. Dieses ist vorsätzlich kryptisch formuliert. Kein Mensch würde eine Software so kryptisch formulieren, wenn er nicht gerade die Absicht hätte, sie an einem Antivirus-Programm vorbeizumogeln. Es handelt sich vollkommen sicher um Schadsoftware, ohne dass es der verschwendeten Lebenszeit bedürfte, diesen Sondermüll zu dechiffrieren, um herauszubekommen, was er tut. Wer das Archiv entpackt und die Datei doppelklickt, hat hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Diese Schadsoftware wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Schadsoftware erkannt; wer auf Werbung und Journalismus hereingefallen ist und sich auf diesen Schutz verlässt, hat also verloren. Wer Spam hingegen als Spam erkennt und löscht, statt darin herumzuklicken, hat gewonnen (und hätte das wirkungslose Schlangenöl gar nicht gebraucht).

Mailanhänge sind gefährlich. Sie sollten im Zweifelsfall nicht geöffnet werden. Ein solcher Zweifelsfall liegt immer vor, wenn in einer anonym und technokratisch formulierten E-Mail steht, dass man ohne Grund viel Geld bezahlen soll, aber erst aus dem Anhang erfährt, worum es eigentlich geht. Ich empfehle, niemals einen E-Mail-Anhang zu öffnen, wenn nicht der Absender mit Hilfe einer kryptografischen Signatur jenseits jedes vernünftigen Zweifels festgestellt werden kann oder die Zustellung der E-Mail in diesem Einzelfall explizit verabredet war. Aber auch Menschen, die so dumm oder unerfahren sind, sich einen deutlich niedrigeren Sicherheitsstandard zu leisten, hätten beim Anblick dieser Spam stutzig werden müssen. Es ist schlicht ausgeschlossen, dass eine echte E-Mail eines großen Unternehmens derart schlecht formuliert ist und so große inhaltliche Fehler hat.

Für weitere Fragen zu RechnungOnline, Ihrer Rechnung oder zur Bezahlung bieten wir Ihnen ein umfangreiches Hilfe-Angebot. Informationen zu den Sicherheitsmerkmalen von RechnungOnline finden Sie unter Sicherheitshinweise.

Nett, dass die Schadsoftware so sicher ist! :mrgreen:

Mit freundlichen Grüßen

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Mit doppelter geheuchelter Freundlichkeit
Deine organisierte Internet-Kriminalität
Ein Vollidiot von Spammer

© Telekom Deutschland GmbH

Ich habe wirklich viel Schlechtes über die Telekom zu sagen, aber mit dieser Spam hat sie überhaupt nichts zu tun.

Hinweis: Eine direkte Antwort auf diese E-Mail ist nicht moglich. Wenn Sie uns per E-Mail erreichen wollen, nutzen Sie bitte unser Kontaktformular.

Hinweis: Der Absender dieser Spam ist gefälscht.

Neue Nachricht

Montag, 23. März 2015

Oh, was für ein aussagekräftiger Betreff! Wenn es da nicht stände, würde ich gar nicht bemerken, dass eine neue Spam angekommen ist! :mrgreen:

Von: LEO Smartkey <service (at) leo (strich) smartkey (punkt) de>
An: Eine von mir niemals für Registrierungen oder irgendeine Kommunikation verwendete E-Mail-Adresse, die man aber dennoch mit einem Harvester einsammeln kann.

Damit sollte völlig klar sein, dass die folgende, wenn auch zugegebenermaßen gut gemachte Reklame-Mail nicht nur übliche Werbung, sondern illegale und asoziale Spam ist, die beim Empfänger den Verdacht nahelegen sollte, es mit betrügerischen „Geschäftemachern“ zu tun zu haben:

Screenshot der Spammail, wie sie im Mozilla Thunderbird dargestellt wird

Also niemals verblenden lassen, wenn eine Spam mal gut aussieht! (Das kommt ja selten genug vor.) Sie bleibt eine Spam. Sie wird nicht weniger illegal und nicht weniger asozial dadurch, dass sie von jemanden gestaltet wurde, der wenigstens etwas Geschmack hat. Übrigens ist auch die in der Spam verlinkte Website – von einem Klick in eine Spam kann man wegen der davon ausgehenden Gefahr für die Computersicherheit nur abraten! – durchaus gut gemacht und erweckt schnell einen Eindruck, der nicht zum illegalen Werbemittel der Spam passen will, wenn man einmal davon absieht…

KEYOS GmbH - LEO SMARTKEY - Copyright 2014 All rights reserved

…dass das proklamierte Copyright an dieser Website bei einer Klitsche mit dem hübschen Namen „All rights reserved“ liegt. :D

Die verwendete Domain ist seit dem 4. Oktober 2013 registriert, erweckt also keinen Verdacht zusätzlich zur illegalen Spamwerbung. Die bei der Registrierung gegenüber der DeNIC angegebenen Daten sehen plausibel aus, die Website ist bei 1&1 gehostet. Die E-Mail wurde über eine fest vergebene Business-IP-Adresse der Deutschen Telekom versendet. (Meine Abuse-Mail an die Telekom ist bereits draußen und wird dort bearbeitet.)

Es scheint also tatsächlich der Fall zu sein, dass hier eine echte „Gesellschaft mit beschränkter Hoffnung“ aus der Bundesrepublik Deutschland aus mir nicht näher bekannten Gründen zur Auffassung gelangt ist, dass mechanisch erzeugte, illegale Massenmail an mit Harvestern eingesammelte Mailadressen von Menschen, die niemals irgendein Einverständnis mit dieser Zumüllung erklärt haben, eine gute und billige Werbung sei. Ich kann dieser Unternehmung hierzu nur mit deutlich gereizter Stimme zurufen: Nein, das ist es nicht; es ist sogar eine dumme Scheißidee, die eure Reputation nachhaltig kaputtmachen wird! Ihr stellt euch in eine Reihe mit Pimmelpillen-Apothekern, Betrugscasinos und Vorschussbetrügern. Da wollt ihr nicht wirklich stehen!

Und jetzt zur Mail:

LEO SMARTKEY

Tja, wenn mans schon im Betreff nicht sagt, worum es geht, muss man es eben an anderer Stelle sagen.

Ab jetzt gibt es ein neues Zuhause für Deine Schlüssel, welches für Staunen und Begeisterung bei Dir und im Freundeskreis sorgen wird.

www.leo-smartkey.de

Nun, zumindest ich gehöre nicht zu den Leuten, die bei jeder Gelegenheit irgendein Dingens aus der Tasche holen, um damit andere Leute zu beeindrucken, weil ich das mit meiner Person und meinen Fähigkeiten nicht hinbekomme. Aber wie man an überteuerten Smartphones mit aufdringlichem Markenfetisch und anderen hochpreisigen gadgets sehen kann, scheint das verhungerte Selbstwertgefühl einiger meiner Mitmenschen ja durchaus eine Geschäftsgrundlage zu sein. :mrgreen:

Neben dem „Feature“, dass man damit Eindruck machen kann, zeigt sich für mich nur wenig Sinn in einem Produkt, dessen Benutzung zur Folge hat, dass man bei leeren Batterien vor verschlossener Tür steht. Das muss dieses „smart“ aus der Produktbezeichung sein, es scheint zu bedeuten, dass etwas formschön gegossener Kunststoff in einigen Fällen durchaus intelligenter als sein Käufer sein könnte.

Dein LEO Smartkey Team

Vor allem ist es sooooo „mein“… :D

You received this email as a client or subscriber of KEYOS GmbH
Click here to unsubscribe.

Och, auf einmal ist das Deutsch ausgegangen! Es war wohl ein bisschen zu mühsam, das Spamskript anzupassen, und hey, der Link ist doch drin, das reicht doch…

Aber dafür steht jetzt endlich ein „Click here“ in der Spam – ein Linktext, den kein denkender und fühlender Mensch jemals tippen würde, wenn er einem anderen denkenden und fühlenden Menschen etwas mitteilte. Das ist ein treffsicheres Merkmal zum automatischen Aussortieren der Kommunikationsversuche von Gestalten, deren Fehlen man gar nicht bemerken würde, wenn es sie nicht gäbe.

Our address: Wetzlarer Str. 86, 14482 Potsdam
Phone: (0800) 7627xxxx

Nun, liebe Meteoriten, nutzet eure Chance und fallet feurig und schwer auf Potsdam herab!

Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
www.avast.com

Und dieser dumme Reklamespruch für das Antivirus-Schlangenöl von Avast ist neben „Click here“ ein weiteres Kriterium, um zielsicher unerwünschte Mail ins virtuelle Tönnchen zu befördern, denn er würde von keinem Menschen, der wirklich etwas mitzuteilen hat, in eine Mail geschrieben.

Warum nicht?

Nun, das hat folgende Gründe:

  1. Wer belästigt andere Menschen mit Werbung? Vor allem, wenn es nicht einmal Geld dafür gibt, dass man diese Werbung macht? Nur ein Vollidiot.
  2. Die Aussage im Werbespruch ist für den Empfänger vollkommen wertlos und möglicherweise sogar gefährlich. Jeder kriminelle Spammer kann diesen Spruch in seine Spam schreiben und eine aktuelle Kollektion von Schadsoftware anhängen. Schon eine – im Falle leichter Verständnisschwierigkeiten – fünfsekündige Benutzung eines handelsüblichen Gehirnes macht also die völlige Nutzlosigkeit einer solchen „Zusicherung“ klar. Wenn Menschen anfangen, zu derartigen zu Reklamezwecken mechanisch in die Mails gemachten „Zusicherungen“ Vertrauen zu entwickeln, ist dies sogar eine Unterstützung für den kriminellen Spammer mit Schadsoftware, der einfach den Spruch übernimmt. Eine Unternehmung, die diesen sinnlosen und potenziell gefährlichen Spruch automatisch unter jede Mail schreibt, macht damit nur klar, dass sie die Empfänger ihrer E-Mail verachtet, für dumm hält und zudem kein Problem damit hat, kriminellen Spammern zuzuarbeiten.
  3. Warum sollte jemand davon ausgehen, dass in einer erwünschten E-Mail eines bekannten Absenders Schadsoftware steckt? Der nichtssagende und potenziell gefährliche Avast-Reklamespruch ist eine Antwort auf eine Frage, die sich bei legitimer E-Mail niemals stellt, die sich jedoch bei halbseidener Reklame und offener Spam regelmäßig stellen sollte. Und genau das spiegelt sich auch in den E-Mails wider, in denen ich diesen Spruch regelmäßig sehe. Da wächst zusammen, was zusammen gehört, der über Spam vorangetragene Betrug findet einen Komplizen im Verkäufer wirkungslosen Schlangenöls.
  4. Natürlich weiß ich, dass in vielen Unternehmungen E-Mail auf dem E-Mail-Server nach Schadsoftware gescannt wird. Wenn dabei so ein reklamehafter und potenziell gefährlicher Spruch unter die E-Mail geschrieben wird, sagt die Unternehmung damit jedem einzelnen ihrer E-Mail-Empfänger: „Du bist es mir nicht wert, dass ich mir anschaue, wie ich von mir verwendete Software so konfiguriere, dass du nicht mit sinnlosen und potenziell gefährlichen Reklamesprüchen irgendwelcher Dritter unter meinen Mails belästigt wirst; der kleine Aufwand, den ich dafür deinetwegen hätte, ist mir zuviel Mühe“. Es mag masochistisch veranlagte Leute geben, die Unternehmungen mit einer derartigen „Kultur“ im Kundenkontakt ganz toll finden, ich gehöre da nicht zu und werde da auch niemals zugehören. Ich würde vielmehr jedem davon abraten, sich dieser Gruppe von Leuten anzuschließen.

Und deshalb landet bei mir jede Mail mit dem Avast-Spruch im Glibbersieb. Das hat sich in den vergangenen Monaten noch nicht ein einziges Mal als eine Fehlerkennung erwiesen, es handelte sich immer um E-Müll.

Besser spät als nie

Dienstag, 24. Juni 2014

Am 20. Februar des vorigen Jahres, also vor 489 Tagen, ist mir das erste Mal eine angebliche Rechnung der Telekom Deutschland GmbH in den Spameingang geflossen, die sehr trügerisch aussah und mit einem Schadsoftware-Anhang kam.

Von daher begrüße ich es, dass die Telekom Deutschland GmbH auf ihrer T-Online-Seite ihre Kunden einmal mehr über diese Spams aufklärt und sie darauf hinweist, an welchen Merkmalen jeder erkennen kann, ob es sich um eine Spam handelt oder nicht. Das von der Telekom zum Schutz empfohlene „aktuelle Virenschutz-Programm“ hilft bei den per Spam zugestellten, im Regelfall sehr frischen Trojanern allerdings so gut wie gar nicht, wie ich hier mehrfach unter dem Schlagwort „Schadsoftware“ aufgezeigt habe (darunter auch ein ganz übles Beispiel) – um so wichtiger ist es, dass Kunden dazu befähigt werden, derartige Spams mit ihrem Hirn zu erkennen und zu löschen.

Ich wünsche der Telekom Deutschland GmbH gutes Gelingen bei der Aufklärung der eigenen Kunden¹! Wer Probleme hat, kriminelle Spams zu erkennen oder generell Angst vor den Betrügern hat, sollte sich das von der Telekom zur Verfügung gestellt kurze Dokument ausdrucken und öfter mal vorm Klicken einen Blick drauf werfen… vor allem, wenns um Geld geht oder wenn irgendwelche Dokumente in irgendwelchen Mailanhängen geöffnet werden sollen oder wenn irgendwelche Links geklickt werden sollen.

¹Und das war es auch schon mit guten Wünschen von mir an dieses Unternehmen…

RechnungOnline Monat M&#228;rz 2014

Dienstag, 18. März 2014

Auch, wenn es ermüdet, das immer wieder zu sagen.

Die zurzeit massenhaft überall eingehenden E-Mails mit dem Betreff „RechnungOnline Monat M&#228;rz 2014″, die vorgeben, eine Rechnung der Deutschen Telekom zu sein, kommen nicht von der Deutschen Telekom, sondern sind gefährliche, kriminelle Spam mit Schadsoftware im Anhang. Diese Spams kommen auch bei Leuten wie mir an, die keine Kunden der Deutschen Telekom sind.

Bei der Deutschen Telekom sollte man auch immerhin die Kompetenz voraussetzen können, einen Umlaut korrekt in den Betreff der Mail zu bekommen. Spammer tun sich mit derartigen Banalitäten zum Glück oft etwas schwerer.

Auf gar keinen Fall von der überzeugenden Gestaltung der Spam beeindrucken lassen! Ein klares Erkennungszeichen dafür, dass es sich hier um eine Spam handelt, ist, dass auf eine persönliche Ansprache verzichtet wird. Stattdessen klingt es dem Empfänger so entgegen:

Ihre Rechnung fur März 2014
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Februar 2014 betragt: 55,12 Euro.

Der Deutschen Telekom fiele ganz gewiss eine bessere „Anrede“ als „Ihre Rechnung“ ein, schließlich hat sie ein Interesse daran, ihre Kunden auch zu behalten… ;)

Im Anhang liegt folglich auch nicht etwa eine Rechnung, sondern ein – wie beinahe immer in der Schadsoftware-Spam – ZIP-Archiv, in dem sich eine einzige Datei befindet, deren Dateinahme auf .pdf.exe endet, um mit diesem recht alten Trick einen falschen Eindruck vom Dateitypen zu erwecken. Das ist – völlig egal, welches Piktogramm dazu dargestellt wird – kein PDF-Dokument, sondern eine von Kriminellen zugestellte, ausführbare Datei für Microsoft Windows. Ein Doppelklick auf diese Datei führt Software vom Verbrechern aus. Dass es sich dabei um Schadsoftware handelt, wird zurzeit von weniger als der Hälfte der gängigen Antivirus-Programme sicher erkannt.

Bitte den Sondermüll einfach löschen!

RechnungOnline Monat Januar 2014

Dienstag, 21. Januar 2014

Die zurzeit massenhaft auf die Postfächer einprasselnden E-Mails mit dem (gefälschten) Absender „Telekom Deutschland GmbH“ und der (ebenfalls gefälschten) Absenderadresse rechnungonline (at) telekom (punkt) de, die den Betreff „RechnungOnline Monat Januar 2014″ gefolgt von einer variablen eingeklammerten Buchungskonto-Angabe tragen, stammen nicht von der Deutschen Telekom.

Der Anhang ist ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows verpackt ist, die mit einem Dateinamenstrick den Eindruck eines PDF-Dokumentes erwecken soll. Wer diese Datei auf seinem unter Microsoft Windows laufenden Rechner ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Wie bei derartigen Überrumpelungen üblich, ist die Schadsoftware recht aktuell und wird zurzeit nur von gut der Hälfte der gängigen Antivirus-Programme erkannt.

Die E-Mail sieht – ganz, wie seit einem Jahr gewohnt – wie eine E-Mail der Deutschen Telekom aus. Das einzige halbwegs sichere Erkennungszeichen dafür, dass es sich um eine Spam handeln muss, ist die unpersönliche Anrede „Guten Tag“. Angesichts der vielen Datenlecks der letzten Jahre muss ich leider davon ausgehen, dass den Kriminellen häufig auch die Namen der Empfänger bekannt sind, so dass diese E-Mail auch mit persönlicher Ansprache kommen könnte.

Nach wie vor gilt: ZIP-Archive in E-Mail stinken! Niemals darin liegende Dokumente öffnen, und niemals blind auf Antivirus-Programme verlassen!

Lobende Erwähnung

Donnerstag, 16. Januar 2014

Nachdem es jetzt schon seit ziemlich genau einem Jahr Schadsoftware-Spam mit angeblichen Rechnungen der Deutschen Telekom gibt, hat sich die Telekom einmal befleißigt, auf ihrer Website einen kleinen, leichtverständlichen Text zur Aufklärung ihrer Kunden zu schreiben. Das ist ein Schritt in die richtige Richtung. Das Problem für die Kunden verschwindet nämlich nicht, wenn man wegschaut.

Von mir vor allem eine sehr wichtige Ergänzung: Dass man mit seinem Namen angesprochen wird, ist nach diversen Datenlecks kein sicheres Zeichen mehr, dass es sich nicht doch um eine Spam handelt. Bei Telekom-Rechnungen müsste meines Erachtens – ich bin dort kein Kunde und werde es auch niemals mehr werden (aber das ist eine andere Sache) – immer die Vertragsnummer mit drin stehen. Und die konnten Spammer bislang noch nicht systematisch einsammeln.

Ansonsten schadet es nicht, bei jedem Link vor dem Klick nachzuschauen, wo der Link eigentlich hinführt. Das ist nur ein kleiner Blick in die Statuszeile. Wenn der angebliche Link auf die Deutsche Telekom zu einer obskuren Website der Marke beschisskij (punkt) ru führt, einfach stattdessen auf „Löschen“ klicken. ;)

RechnungOnline Monat Dezember 2013

Dienstag, 17. Dezember 2013

Nein, diese Nummer ist nicht neu. Aber weil ich gerade auf beinahe jeder Mailadresse den wirklich recht gefährlichen Müll eintreffen sehe: Die wie eine Telekom-Rechnung aussehenden E-Mails mit dem gefälschten Absender rechnung (strich) online (at) telekom (punkt) de kommen nicht von der Deutschen Telekom.

Der Anhang ist ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet. Es handelt sich also um eine ausführbare Datei für Microsoft Windows, die mit einem Dateinamenstrick und einem irreführenden Piktogramm versucht, den Eindruck zu erwecken, sie sei ein harmloses PDF-Dokument.

Damit sollte schon klar sein, was das für eine Software ist, die an der Mail hängt. Da es – wie üblich – recht aktuelle Schadsoftware ist, wird sie zurzeit nur von der Hälfte der gängigen Antivirus-Programme erkannt – und auch das nur dann, wenn die Signaturen auf dem neuesten Stand sind, was das Programm also frisch aktualisiert ist.

Wieso immer noch nicht jedes dieser angeblichen Schutzprogramme laut und unübersehbar Alarm schlägt, wenn eine Datei .pdf.exe heißt – mir fällt beim besten Willen kein legitimer Grund ein, warum eine Datei so irreführend benannt sein sollte – gehört zu den Fragen, die sie bitte dem Antivirus-Schlangenöl-Verkäufer ihres Vertrauens stellen. Und zwar so am besten lange und immer wieder wiederholt, bis dieser Trick nicht mehr funktioniert, egal, wie aktuell die Schadsoftware ist, die einem damit untergejubelt werden soll.

RechnungOnline Monat Oktober 2013

Montag, 30. September 2013

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.