Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Unicode“

Αktսаⅼіѕіеrеո Ѕіе Ιhrе Ꭱесhոսոցѕіոfοrⅿаtіоոen.

Dienstag, 20. Juni 2023

Ein Betreff mit Unicodezeichen, der auf einen Punkt endet. So wird das Aussortieren leicht. 🤭️

Von: Міⅼеѕ аոⅾ Моrе <schubert.rowa@t-online.de>
An: gammelfleisch@tamagothi.de

So schade, dass dieses „Miles & More“ sich keinen eigenen Mailserver leisten kann und deshalb auf eine Kundenadresse bei T-Online zurückgeworfen ist. Aber dafür schreibt dieses „Miles & More“ auch an meine Kontaktadresse für unseriöse Angebote aus dem Impressum, die einzige Mailadresse dort, die man auch mit einem schnell und schlecht programmierten Harvester einsammeln kann. 🤖️

Und ja, natürlich ist die Absenderadresse gefälscht. Es ist ja eine Spam. Die E-Mail wurde über die IP-Adresse eines Hosters aus den USA versendet (Abuse-Mail ist draußen, hoffentlich hat der Hoster Vorkasse genommen) und hat auf ihrer Reise durch das Internet einen Server von T-Online nicht einmal aus der Nähe gesehen. 🔍️

Der Text der HTML-formatierten Spam ist voller Unicode-Zeichen, die ähnlich wie lateinische Buchstaben aussehen. Damit wollte der Idiot von Absender wohl am Spamfilter vorbei. Das hat aber nicht so gut geklappt. Oder, wie in einem Arbeitszeugnis stünde: Er hat sich bemüht. 😁️

Miles & More Kreditkarte

Еrіոոеrսոց: Αktսаⅼіѕіеrеո Ѕіе Ӏhrе есhոսոցѕіոfοrⅿаtіοոеո.

Also erstens habe ich keine Kreditkarte, zweitens habe ich nichts mit diesem „Miles & More“ zu tun und drittens kenne ich keine Echnungen. 😄️

So viel Fummelei mit Unicodezeichen, damit die Spam nicht aussortiert wird, 𝖚𝖓𝖉 𝖉𝖆𝖓𝖓 𝖜𝖎𝖗𝖉 𝖉𝖆𝖘 𝕽 𝖛𝖊𝖗𝖕𝖆𝖙𝖟𝖙! Na, vielleicht klappt es ja beim nächsten Mal. 🙃️

Տehr ցeehrte Kսոⅾiո‚ sehr ցeehrter Kսոⅾe‚

Ich bin kein Kunde. Aber wenn ich Kunde wäre, würde ich sicherlich mit meinem Namen angesprochen. Die meisten Unternehmen – wenn wir mal von den allesamt halbseidenen Telekommunikationsunternehmen in der Bundesrepublik Deutschland absehen – haben ja ein Interesse daran, ihre Kunden zu behalten. Und selbst diese Unternehmen sprechen ihre Kunden namentlich an. Und wenn es um eine Kreditkarte ginge, stünde auch die Kreditkartennummer in der Mail. Es gibt ja Menschen, die mehrere Karten haben. Man muss nicht einmal bemerken, dass das „d“ komisch aussieht, um zu sehen, dass diese Mail gar nicht echt sein kann. Denn der Spammer hat sich so sehr auf technische Aspekte konzentriert, dass er darüber ganz vergessen hat, dass seine Phishingspam auch ein bisschen plausibel sein muss. Sonst sieht sie halt komisch aus. So, wie gewollt und nicht gekonnt. So, wie so manches Bild aus einem angelernten neuronalen Netzwerk (von Politikern, Journalisten und anderen Ahnungsarmen in ihrer Verblüffung meist mit dem Reklamewort „künstliche Intelligenz“ bezeichnet, das einfach aus PResseerklärungen übernommen wird). 🤡️

Aber niemals überheblich werden! Es gibt auch besser formulierte und personalisierte Phishingmails, auf die ein Mensch reinfallen kann. Insbesondere bei Stress oder Müdigkeit. 😵‍💫️

Hier kann das eher nicht passieren:

Ԝähreոⅾ սոserer reցeⅼⅿäßiց ցepⅼaոteո Koոtο Ԝartսոցs 

սոⅾ Ꮩerifizierսոցsⅴerfahreո habeո ԝir eiոeո ⅼeichteո Fehⅼer iո Ihreո Ꭱechոսոցsiոfοrⅿatiοոeո festցesteⅼⅼt․

Na, das ist ja schön, dass es nur einen „leichten Fehler“ bei mir gibt. Oder genauer: In meinen Rechnungsinformationen. Können die etwa nicht rechnen? 😀️

Ԝir ⅼaⅾeո Sie eiո‚ Ιhre Ꭱechոսոցsiոforⅿatiοոeո zս aktսaⅼisiereո‚ սⅿ ⅾie Εiոschräոkսոց Ιhres Ꮶoոtοs zս ⅴerⅿeiⅾeո․ Βitte kⅼickeո Տie aսf ⅾeո fοⅼցeոⅾeո Ꮮiոk:

Jetzt Updaten

Natürlich ist der Link nicht direkt gesetzt. Erstmal wird der Linkkürzer von Twitter verwendet, was ich in letzter Zeit immer häufiger sehe. Offenbar kümmert sich bei Twitter niemand mehr um die Spamproblematik, und wir alle haben mit unserer Lebenszeit dafür zu bezahlen, dass Twitter spart. Das muss diese Bedeutung des „social“ in „Social Media“ sein. 🐦️🤮️

$ lynx -dump -source https://t.co/OPHZpHJWli; echo
<head><meta name='referrer' content='origin'></head><body><script>window.location.replace("https://best.xoieaxggw.eu/xhMh5vcEty6jG6oM3tY3OXGDpBohEoOfHCHa4fR0bTJnI9ONPCM87g4sKXmeSFXIyqKFuWj2bQLIwf/RXa6TlybtU840Zo1zgNG72QNZApDVSOfSZQf5IQgH3Bl2kqcCd9u7meWqW/");</script></body>
$ _

Nicht immer kann man den Phishingmüll so leicht erkennen wie in diesem Beispiel. Aber es gibt einen wirksamen Schutz, der bequem und ohne Kosten vor einer der häufigsten Kriminalitätsformen im gegenwärtigen Internet schützt: Niemals in eine E-Mail klicken! Wenn man für solche häufiger besuchten Websites Lesezeichen im Webbrowser anlegt und diese Websites nur über das Lesezeichen aufruft, kann einem kein krimineller Spammer einen giftigen Link legen. Und das völlig ohne Komfortverlust. Man klickt auch weiterhin, nur eben an eine andere Stelle als ausgerechnet in die Mail eines Unbekannten. Wenn man eine derartige Mail empfangen hat und sie nicht sofort unter Entfaltung angemessener Heiterkeit als Spam erkennt, ruft man einfach die Website über das Browser-Lesezeichen auf und meldet sich dort ganz normal an. Wenn sich dabei zeigt, dass das in der Mail behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und sich oft finanzielle Verluste und jahrelangen Ärger erspart. Ja, so einfach geht das! Macht das! 🛡️

Antivirus-Schlangenöl und Browser-Addons…

$ surbl xoieaxggw.eu
xoieaxggw.eu	okay
$ surbl best.xoieaxggw.eu
best.xoieaxggw.eu	okay
$ _

…die eine alarmierende Warnung anzeigen, wenn eine Website auf einer Blacklist steht, schützen nicht zuverlässig. Dieser Link hätte zu keiner Warnung geführt, als ich ihn untersucht habe. Alles Schlangenöl für die Computersicherheit hinkt der kriminellen Entwicklung einige Stunden bis Tage hinterher, und in dieser Zeit kann mehr als genug Schaden entstehen. Es gibt keine mühelose Sicherheit. Deshalb ist es das Beste, wenn man sich angewöhnt, in einer Haltung der informierten Vorsicht niemals in eine Mail zu klicken¹. 🖱️🚫️

Dafür muss man übrigens kein Experte sein und kein Spezialwissen haben. Man muss einfach nur die schon jeden Tag verwendete Software vernünftig einsetzen. Leider gibt es immer noch genug Menschen, die dazu nicht imstande sind, obwohl man nur klicken muss… 🖱️🙂️

Vіеlеn Dаnk für Іhr Vеrѕtändnіѕ

Vielen Dank für den pseudohöflichen Dank für Nichts…

Міlеѕ & Моrе

…und bei mir darf auch mal geleckt werden! 👅️

Entf! 🗑️

¹Wenn man digitale Signaturen verwendet und eine digital signierte E-Mail empfängt, weiß man wenigstens, dass sie von jemanden stammt, der im Besitz des privaten Schlüssels des Absenders ist. Wenn es sich dabei um einen vertrauenswürdigen Absender handelt, darf man ruhig ein bisschen laxer werden. Leider ist den meisten Menschen wirksame Kryptografie zu schwierig. Sie müssten dafür ja klicken können.

CLICK HERE to take a look on your Modestia I.

Mittwoch, 23. März 2022

Früher musste man die Augen aufmachen, um irgendwo hinzugucken. Heute soll man in eine Spam klicken. 🖱️

Ich würde diese englischsprachige 08/15-Spam für einen vermutlich betrügerischen, spambeworbenen Dating-Fleischmarkt ja gar nicht weiter erwähnen, wenn der Absender…

T֩ouche l͊ittl֒e boy ..

S̥enِd me a F%ckFrien͖ds req̭uest so we can hook uͬp

My ni֒cͪkna̝me is Modestia1983 :-O

My page is here: http://ModestiaLove.datinghubsuper.top

C u laَte̙rͦ!

…nicht so viele lustige Unicodezeichen in seinen Text gemacht hätte, um besser an den Spamfiltern vorbeizukommen. Im Ergebnis sieht der Text zwar aus, als sei zwischen den Zeilen eine Fliege mit heftigem Durchfall spazierengegangen, aber gegen die Spamfilter hilft das natürlich gar nichts, wenn man schon im Betreff „Click here“ schreibt – eine Phrase, die nur in Spam und Reklame vorkommt, aber niemals in den Texten denkender und fühlender Menschen. 🤦‍♂️️

Ich wünsche dem Spammer noch alles Schlechte auf seinem weiteren Lebensweg und beim nächsten Versuch ein bisschen mehr Glück beim Denken! 🍀️

ᴠᴇʀꜱᴜᴄʜᴇɴ ꜱɪᴇ ʜᴇᴜᴛᴇ, ɪʜʀ ʟᴇʙᴇɴ ᴢᴜ ᴠᴇʀÄɴᴅᴇʀɴ

Montag, 20. September 2021

Abt.: Was ich in den letzten Wochen gar nicht vermisste

Hey, Spammer, willst du mit deinem Unicode-Gedöns am Spamfilter vorbeikommen? Ich habe da eine schlechte Nachricht für dich: Ich habe deinen kriminellen Kommunikationsversuch eben aus der Güllegrube des Mailservers gezogen, wo sich immer die ganze Spam sammelt. Und darüber brauchst du dich gar nicht zu wundern, denn wenn du so ein tolles HTML in deine Spam machst…

Screenshot des Thunderbird, der den sehr kaputt aussehenden Quelltext dieser Spam anzeigt

…ist es zwar erstaunlich, dass das noch irgendwie darstellbar ist, aber nicht erstaunlich, dass es automatisch in den Müll sortiert wird. 🗑️

Schon schade, wenn man mit seiner illegalen und asozialen Spam etwas anzubieten hat, was bei allen Mailempfängern ungefähr so beliebt wie Herpes ist und deshalb zu solchen Tricksereien greifen muss! Verkauf doch lieber Cannabis, Spammer! Das ist auch illegal, aber das wollen die Leute wenigstens. 🥦️

Was du anzubieten hast, Spammer? Na, einmal das übliche:

In die Spam eingebettetes Bild von Eric Schmidt, Obermotz von Google

ᴍɪᴛ ɴᴜʀ ᴡᴇɴɪɢᴇɴ ᴍɪɴᴜᴛᴇɴ „ᴀʀʙᴇɪᴛ“ ᴘʀᴏ ᴛᴀɢ ɢᴇʟᴅ ᴀᴜꜰ ɪʜʀᴇᴍ ʟᴀᴘᴛᴏᴘ ᴢᴜ ᴠᴇʀᴅɪᴇɴᴇɴ. ꜱᴄʜʟɪᴇꜱꜱᴇɴ ꜱɪᴇ ꜱɪᴄʜ ᴀɴ ᴜɴᴅ ᴡᴇʀᴅᴇɴ ꜱɪᴇ ʙᴛᴄ ᴛʀᴀᴅᴇʀ.

Geld, das man sich einfach und völlig mühelos aus der Steckdose zieht, hast du anzubieten. So schade, dass kein denkender und fühlender Mensch deinen Betrug will. So schade, dass deine Geldsteckdose immer nur über Spam vermarktet werden kann. 🔌️💰️

Und so schade, dass du in der Spam deinen Text ganz komisch in Unicode bringen musst, um noch durch die Spamfilter zu kommen. 😁️

Und so schade, dass deine Spam trotzdem nicht durchkommt. 🤣️

Was der Eric Schmidt aus deinem flugs von irgendwo im Web mitgenommenen Bildchen mit deiner Reichwerdmethode durch automatisierten Bitcoin-Handel zu tun hat, verstehe ich übrigens nicht. Google ist nicht mit Bitcoin reich geworden, sondern mit dem Angebot einer beliebten Dienstleistung: Einer schnellen und guten Websuche. Zu der Zeit am Ende der Neunziger Jahre gab es den Tulpenwahn namens „Bitcoin“ auch noch gar nicht. Niemand wäre auf die Idee gekommen, eine weltweit auf allen teilnehmenden Computern gespiegelte Buchführung in Form einer Blockchain zu machen. Die meisten Teilnehmer waren über ein Telefonmodem mit dem Internet verbunden. Nachdem sie sich eingewählt hatten. Die Online-Zeit war teuer. Die Datenrate lag bei rund 55 kbit/s für den Download, wenn man eine gute Leitung hatte. Viele Menschen hatten nicht einmal 40 kbit/s. Auch, wenn man damals schon mit Spam belästigt wurde, war es eine kulturell bessere Zeit, denn die ganzen Wahnsinnsideen, die heute das Web prägen, waren noch gar nicht geboren. In diese Zeit hinein trat Google auf¹, mit einer Idee semantischer Indexierung auf der Grundlage von Verlinkungen, einer schnellen Suchmaschine, die viel bessere Ergebnisse als Altavista oder Yahoo lieferte und zunächst völlig ohne Geschäftsmodell. Aber das ist ein Thema für einen völlig anderen Text. 😉️

Das von dir ausgewählte Bild ist also völlig sinnbefreit. Google hat nichts mit Bitcoin oder einem anderen Tulpenhandel zu tun. Es dient nur dazu, eine Person, die mehr Reputation als ein schmieriger Reichwerd-Spammer hat, in einer Spam für einen falschen Eindruck zu missbrauchen. Damit naive Menschen auf die Idee kommen, in eine E-Mail von einem Honk wie dir zu klicken und auf einer Website von Betrügern landen, wo sie abgezogen werden. 💸️

Übrigens, Spammer: Wenn deine Geldsteckdose funktionieren würde, brauchtest du nicht zu spammen und über eine Weiterleitung deine Affiliate-ID an den Link zu hängen, um ein paar Lumpengroschen zu kassieren, sondern du würdest einfach mit deiner eigenen Reichwerdmethode reich. Warum du das nicht machst? Weil du genau weißt, dass deine Reichwerdmethode nicht funktioniert. 🤥️

Ich hoffe, dass du verhungerst, weil niemand auf deine Spam reinfällt! Oh, du hast noch ein paar andere Betrugsgeschichten neben dem Bitcoin-Beschiss, so dass du immer genug Geld für deine asoziale Spammerei kriegst und die Mutter der Dummen ist immer schwanger? Schade. 🙁️

Leg dich einfach sterben. Vielleicht wirst du ja als anständiger Mensch reinkarniert. Und wenn nicht, ist es auch nicht schade drum. ⚰️

¹Wer sich noch an das alte Google-Logo erinnert, ist ein Digital pioneer, der von Anfang an dabei war und nicht so ein Digital native, den man jeden gängelnden, entrechtenden und technikverhindernden Tinnef andrehen kann, von Social Media über Streaming über Cloud bis hin zum Smartphone. Und wer hier schon länger mitliest, hat auch nicht vergessen, wie Unser täglich Spam einmal aussah. Da hat sich allerdings gar nicht so viel verändert. Das jetzige Design mit Spamdosen, Teller und Besteck für Grobmotoriker im Titel habe ich übrigens seit 2011 und optisch nur in Details (Schriftarten, Schriftgrößen) verändert. Und die ganzen Jahre haben mir Spammer immer wieder in ihrer Spam erzählt, dass man sich einfach Geld aus der Steckdose ziehen kann, sei es durch Systemspielen in Online-Casinos, sei es durch Binäre Optionen, sei es durch automatisierten Handel mit Bitcoin.

ʙᴇꜱᴛ ɢᴇꜱᴄʜɪᴄʜᴛᴇ ᴅᴇꜱ ɢᴇᴡɪᴄʜᴛꜱᴀʙɴᴇʜᴍᴇɴꜱ !!!

Samstag, 11. September 2021

Hui, der Spammer kann ja Unicode! 👍️

Best Keto Geschichte des Gewichtsabnehmens“ Klicken Sie diesen Link

Aber zwei Dinge kann er leider nicht.

  1. Er kann kein Deutsch.
  2. Er kann nicht einfach in seine Spam reinschreiben, was er mir sagen will, sondern gibt mir einen klicki-klicki-Link, auf den ich klicken soll, wenn ich erfahren möchte, was er mir sagen will.

Aber man kann ja auch nicht alles können. 😁️

Natürlich ist der Link nicht direkt gesetzt, es handelt sich ja um Spam. Normale Menschen setzen einfach einen direkten Link, Werber und Spammer gehen über irgendwelche Tracking-Skripten und Affiliate-Gelumpe-Helfer, die ihnen die Affiliate-ID mit in den URI einbauen:

$ location-cascade https://sd1k6nqe6jclag6p.page.link/1xm3
     1	https://barahata.club/ketog.php
     2	https://www.incorport.com/24L7XJ1Z/RJMDB9K
     3	https://speedyhealthy.com/de-keto-counter/?sub1=19499&sub2=&txid=82d289ff84f34fe8bfd864f8c448b76e
$ surbl barahata.club
barahata.club	okay
$ surbl incorport.com
incorport.com	LISTED: ABUSE
$ surbl speedyhealthy.com
speedyhealthy.com	okay
$ _

Schließlich geht die Reise zum „baldigen Gesund“, natürlich mit einer Zwischenstation, die für asoziale und illegale Spam längst bekannt ist und auf allen Blacklists dieser Welt steht. Dort gibt es einen „Keto-Zähler“. Und wenn da nicht diese URI-Parameter dranhängen, bekomme ich nur einen HTTP-Fehler 404, Datei nicht gefunden, um die Analyse zu erschweren. Erst mit allen Parametern – und damit mit der Bestätigung, dass man die Spam geöffnet, gelesen und geklickt hat, so dass die Spammer wissen, auf welchen Mailadressen sich das Spammen auch lohnt – gibt es einen seit Jahren wohlvertrauten Schwindel:

Screenshot der betrügerischen, spam-beworbenen Quacksalber-Website

Die Behauptung, dass das Produkt in der „Höhle der Löwen“ lief. 😫️

Das ist ein echter Klassiker, dass irgendwelche Quacksalber-Pillen zur Gewichtsabnahme oder irgendwelche Bitcoin-Reichwerdmethoden dort liefen. Ich habe irgendwann für diese Behauptung ein eigenes Schlagwort vergeben, weil sie häufig ist, und zwischendurch wurde dieser Betrügertrick aus der Spam sogar zu einer Meldung in der ARD-Tagesschau. 📺️

Natürlich stimmt diese Behauptung nicht. 🤥️

Weder die Bitcoin-Reichwerdmethoden noch die Abnehmmethoden sind jemals ein Thema in der „Höhle der Löwen“ gewesen. Der Text ist schnell hingelogen und mit ein paar Fotos aus der Pressemappe der Fernsehshow garniert. Der Spammer hofft, dass ein paar Leute aus dem Fernsehen immer noch mehr Seriosität ausstrahlen als er selbst. Er könnte damit recht haben, selbst wenn diese spammig missbrauchten Leute von einem Dreckssender kommen. 💩️

Und für alle, die es nicht wissen: Es gibt genau eine wirksame Methode zur Gewichtsreduktion: Weniger lecker schmeckende Energie in sich reinstecken, als man verbraucht. 🍽️

Das ist mit starken Missempfindungen verbunden, die man Hunger nennt. Und es geht sehr langsam, weil ein Kilo Fett rd. 9.000 Kilokalorien speichert. Fett ist leider ein sehr guter Energiespeicher. Das ist übrigens auch die biologische Funktion. Jede Wunderdiät und jedes Quacksalbermittel, die so etwas wie schnelles Abnehmen ohne Hunger versprechen, sind Lüge. Immer. 🧚‍♂️️

Wer mir das nicht glaubt, frage bitte einfach einen richtigen Arzt. 💡️

Aber besser keinen Apotheker fragen, denn die verkaufen auch eine Menge quacksalberische Abnehmhilfsmittel zu höchsten Apothekenpreisen und könnten schon mal ein bisschen lügen, damit ihr Geschäft ein bisschen besser läuft. Ja, sie lügen, wenn sie die Unwahrheit erzählen, denn sie wissen es besser. Wenn sie den teuersten Zucker der Welt, so genannte „homöopathische Arzneimittel“ verkaufen, lügen sie ja auch, denn auch hier wissen sie es besser oder sollten es nach ihrer Ausbildung besser wissen. Deshalb kann man ihnen nichts glauben. 🤔️

Nicht nur, dass es das mühelose Abnehmen durch irgendwelche Wundermittel nicht gibt… selbst, wenn es das gäbe, gäbe es genau einen Weg, auf dem man keine zuverlässigen Informationen darüber bekäme: Spam. 🚽️

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.