Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Unicode“

ʙᴇꜱᴛ ɢᴇꜱᴄʜɪᴄʜᴛᴇ ᴅᴇꜱ ɢᴇᴡɪᴄʜᴛꜱᴀʙɴᴇʜᴍᴇɴꜱ !!!

Samstag, 11. September 2021

Hui, der Spammer kann ja Unicode! 👍️

Best Keto Geschichte des Gewichtsabnehmens“ Klicken Sie diesen Link

Aber zwei Dinge kann er leider nicht.

  1. Er kann kein Deutsch.
  2. Er kann nicht einfach in seine Spam reinschreiben, was er mir sagen will, sondern gibt mir einen klicki-klicki-Link, auf den ich klicken soll, wenn ich erfahren möchte, was er mir sagen will.

Aber man kann ja auch nicht alles können. 😁️

Natürlich ist der Link nicht direkt gesetzt, es handelt sich ja um Spam. Normale Menschen setzen einfach einen direkten Link, Werber und Spammer gehen über irgendwelche Tracking-Skripten und Affiliate-Gelumpe-Helfer, die ihnen die Affiliate-ID mit in den URI einbauen:

$ location-cascade https://sd1k6nqe6jclag6p.page.link/1xm3
     1	https://barahata.club/ketog.php
     2	https://www.incorport.com/24L7XJ1Z/RJMDB9K
     3	https://speedyhealthy.com/de-keto-counter/?sub1=19499&sub2=&txid=82d289ff84f34fe8bfd864f8c448b76e
$ surbl barahata.club
barahata.club	okay
$ surbl incorport.com
incorport.com	LISTED: ABUSE
$ surbl speedyhealthy.com
speedyhealthy.com	okay
$ _

Schließlich geht die Reise zum „baldigen Gesund“, natürlich mit einer Zwischenstation, die für asoziale und illegale Spam längst bekannt ist und auf allen Blacklists dieser Welt steht. Dort gibt es einen „Keto-Zähler“. Und wenn da nicht diese URI-Parameter dranhängen, bekomme ich nur einen HTTP-Fehler 404, Datei nicht gefunden, um die Analyse zu erschweren. Erst mit allen Parametern – und damit mit der Bestätigung, dass man die Spam geöffnet, gelesen und geklickt hat, so dass die Spammer wissen, auf welchen Mailadressen sich das Spammen auch lohnt – gibt es einen seit Jahren wohlvertrauten Schwindel:

Screenshot der betrügerischen, spam-beworbenen Quacksalber-Website

Die Behauptung, dass das Produkt in der „Höhle der Löwen“ lief. 😫️

Das ist ein echter Klassiker, dass irgendwelche Quacksalber-Pillen zur Gewichtsabnahme oder irgendwelche Bitcoin-Reichwerdmethoden dort liefen. Ich habe irgendwann für diese Behauptung ein eigenes Schlagwort vergeben, weil sie häufig ist, und zwischendurch wurde dieser Betrügertrick aus der Spam sogar zu einer Meldung in der ARD-Tagesschau. 📺️

Natürlich stimmt diese Behauptung nicht. 🤥️

Weder die Bitcoin-Reichwerdmethoden noch die Abnehmmethoden sind jemals ein Thema in der „Höhle der Löwen“ gewesen. Der Text ist schnell hingelogen und mit ein paar Fotos aus der Pressemappe der Fernsehshow garniert. Der Spammer hofft, dass ein paar Leute aus dem Fernsehen immer noch mehr Seriosität ausstrahlen als er selbst. Er könnte damit recht haben, selbst wenn diese spammig missbrauchten Leute von einem Dreckssender kommen. 💩️

Und für alle, die es nicht wissen: Es gibt genau eine wirksame Methode zur Gewichtsreduktion: Weniger lecker schmeckende Energie in sich reinstecken, als man verbraucht. 🍽️

Das ist mit starken Missempfindungen verbunden, die man Hunger nennt. Und es geht sehr langsam, weil ein Kilo Fett rd. 9.000 Kilokalorien speichert. Fett ist leider ein sehr guter Energiespeicher. Das ist übrigens auch die biologische Funktion. Jede Wunderdiät und jedes Quacksalbermittel, die so etwas wie schnelles Abnehmen ohne Hunger versprechen, sind Lüge. Immer. 🧚‍♂️️

Wer mir das nicht glaubt, frage bitte einfach einen richtigen Arzt. 💡️

Aber besser keinen Apotheker fragen, denn die verkaufen auch eine Menge quacksalberische Abnehmhilfsmittel zu höchsten Apothekenpreisen und könnten schon mal ein bisschen lügen, damit ihr Geschäft ein bisschen besser läuft. Ja, sie lügen, wenn sie die Unwahrheit erzählen, denn sie wissen es besser. Wenn sie den teuersten Zucker der Welt, so genannte „homöopathische Arzneimittel“ verkaufen, lügen sie ja auch, denn auch hier wissen sie es besser oder sollten es nach ihrer Ausbildung besser wissen. Deshalb kann man ihnen nichts glauben. 🤔️

Nicht nur, dass es das mühelose Abnehmen durch irgendwelche Wundermittel nicht gibt… selbst, wenn es das gäbe, gäbe es genau einen Weg, auf dem man keine zuverlässigen Informationen darüber bekäme: Spam. 🚽️

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.