Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Vodafone“

y͏o͏u͏ a͏r͏e͏ t͏h͏e͏ c͏h͏o͏s͏e͏n͏ o͏n͏e͏! T͏o͏d͏a͏y͏✮gammelfleisch✮

Sonntag, 19. Dezember 2021

Wie, werde ich jetzt dem Satan in die Flammen geopfert? 🔥️

ebay $90

Date of issue:01/12/2021
Order Number: 300617-50571355
Account: gammelfleisch@tamagothi.de
Date of expiry:20/12/2021

Nein, ich werde einfach nur zu einer Bestellnummer und zum Namensteil einer Mailadresse gemacht. Nicht nett, aber immer noch ein bisschen netter als zu brennen. 🤖️

Und solche Nummern sehen immer so 🚨️WICHTIG🚨️ aus! 🙃️

Congratulations gammelfleisch,

* Thank you for using ebay. Your recent purchase has got you eligible for an exclusive reward worth $90. You are one of 10 randomly selected ebay customers who will receive this reward. You have been rewarded a free reward worth $90. Just click on the button below to claim your reward.

Click here

Ich bin gar kein iieh-Bäh-Kunde. Ich habe dort niemals irgendwas gekauft. iieh-Bäh hat auch gar keine Mailadresse von mir. Diese Spam kann also bei jedem ankommen, dessen Mailadresse irgendwo eingesammelt werden konnte. 💩️

Und natürlich führt der Click-here-Link nicht etwa zu iieh-Bäh, sondern in die „Cloud“ des besten Freundes der Spammer, Asozialen und Kriminellen, in die „Cloud“ von Google. Dort gibt es dann…

$ lynx -dump -source "https://storage.googleapis.com/01439e9df401e2e/alinkasa.html#/rd/su19752eGlZa50571355GmAg300617Viz2299yWsv716"
<script>
var url= document.location;
var str1=url.toString();
var res = str1.split("#");
var newurl="http://jarjav.com/rd/"+res[1];
window.location.href = newurl;
</script>
$ _

…eine Weiterleitung zur Website in der Domain jarjav (punkt) com, die natürlich auch nichts mit eBay zu tun hat. Und da sind wieder die Idioten…

$ lynx -dump -source http://jarjav.com/rd//rd/su19752eGlZa50571355GmAg300617Viz2299yWsv716
<script>
var tarcking_param = window.location.href.split('#')[1];
if(!tarcking_param){
	document.location.href = document.location.href.replace("/rd/", "/track/");
}else{
	document.location.href = '/track/'+tarcking_param;
}
</script>
$ _

…mit dem charakteristischen Verschreiber „tarcking“ statt „tracking“ zu Gange und machen die nächste Javascript-Weiterleitung. Wer nicht jedem Hirnkrepel über ein anonymes Medium die Ausführung von Javascript-Code im Webbrowser gestattet, sondern einen wirksamen Skriptblocker verwendet, sieht einfach nur eine weiße Seite und kann auf den Schwindel gar nicht reinfallen. Wer hingegen seinen Webbrowser in der Standardkonfiguration betreibt, landet schließlich nach sechs weiteren in Javascript realisierten Weiterleitungen auf einer obskuren Geschenkseite, die genau so wenig von Vodafone kommt, wie die Spam von eBay kommt:

Screenshot der betrügerischen Website

Wer sich über die IP-Adresse wundert: Die stimmt sogar. Diese Spammer senden jedem, der über Tor kommt, nur noch einen HTTP-Fehler 403 „Forbidden“ zurück. Sie haben kein Interesse daran, dass ihre Seitenbesucher anonym bleiben. Das wäre auch schlecht für ihr „Geschäft“. 👥️

Und natürlich hat diese Website auch nichts mit Amazon zu tun, wie in der Fußzeile noch einmal in kleinen Buchstaben klargemacht wird. Offenbar kommen diese Leute mit ihren vielen Nummern und ihren vielen missbrauchten Firmierungen selbst ein bisschen damit durcheinander, als was sie sich gerade ausgegeben haben. Diese Website hat übrigens auch nichts mit Anstand und Ehrlichkeit zu tun. 👎️

Alle Daten, die man dort als „Lieferadresse“ für ein hochpreisiges Smartphone angibt, gehen direkt an Kriminelle. Damit kann man leicht jahrelangen Ärger haben. Das Telefon gibt es nicht. Es ist nur der Köder, damit man so etwas unendlich Dummes macht. 🎣️

The advertiser does not manage your subscription.

Genau, der Spammer kann überhaupt nichts für diese Spam. Ihr könnt mich auch mal hinten lecken! 👅️

If you prefer not to receive further communication please unsubscribe here

Dieser Link geht auf den exakt gleichen URI wie der Click-here-Link, der auf das Smartphone-Geschenk führt, weil ich so eine schöne IP-Adresse habe.

So, und jetzt noch das Siegel auf die Spam, jetzt gibt es noch einmal 2989 Buchstaben, die 518 sinnlos aneinandergehängte Wörter in einem mechanisch generierten Absatz formen, damit es für den Spamfilter so aussieht, als sei diese Spam keine Spam:

our support forum at the bottom. Your membership delivers faster reservations and rentals, a special members-only line at major airport locations and exclusive discounts. Thank you! all along your road to budgeting glory. Please confirm by clicking the link you to see what the software is capable of. === Account Information === before all sorts of great things happen. Like your being able to use YNAB Joining me for a quick demo will be the fastest and most efficient way for thanks for requesting a demo. and log in with your member number. Hello! Quick note to let you know that your email needs to be confirmed == You need a budget, and your email needs confirmation. == Your Enterprise Plus member number and user name is HYFYF4W. Did any of the times on our website work for you and if so, were you able below: if you need additional help there's a link to to schedule a demo okay? bask in it. Username: sgfdg Powered by gvcnvqnijg In addition, you'll be able to start earning points you can redeem for Free Rental Days after you activate your rewards. Please allow 24 hours for system updates before activating. If not, just let me know and we'll find something else. Site ID: fwh Dylan Basile everything you need to get started below, and Thanks for signing up, and congratulations Here they are again: Dear lcTychll rGhEG, My name's Dylan Basile and I work at Event Temple. Nice to meet you and To get the most from your next rental, simply go to And we're serious about budgeting glory. It's a real thing, and you will Welcome to the Enterprise Plus? membership experience. on your new gvcnvqnijg account! You'll find The YNAB Team – Hi dhg, Thanks again! === Your Account Console === Hi dfdh, Regards, *Book a demo with me here:* Team gvcnvqnijg Confirm your email Thank you for choosing Enterprise. We look forward to making your next rental experience more rewarding. < Your Did any of the times on our website work for you and if so, were you able Here they are again: Your membership delivers faster reservations and rentals, a special members-only line at major airport locations and exclusive discounts. > Welcome to the Enterprise Plus? membership experience. to schedule a demo okay? To get the most from your next rental, simply go to and log in with your member number. thanks for requesting a demo. In addition, you'll be able to start earning points you can redeem for Free Rental Days after you activate your rewards. Please allow 24 hours for system updates before activating. Thank you for choosing Enterprise. We look forward to making your next rental experience more rewarding. Hi o19752ZCLJr50571355IbUM300617CIi2299ulwV716, My name's Dylan Basile and I work at Event Temple. Nice to meet you and Joining me for a quick demo will be the fastest and most efficient way for Enterprise Plus member number and user name is HYFYF4W. you to see what the software is capable of. Dear reillygerald931 vlyrv, If not, just let me know and we'll find something else.

Entf! 🗑️

Ihre Mobilfunk-Rechnung vom 15.09.2014 im Anhang als PDF

Montag, 15. September 2014

Wichtiger Hinweis vorab: Diese Mail kommt nicht von Vodafone, und sie kommt auch bei Menschen an, die keine Vodafone-Kunden sind. Es ist eine gefährliche Spam von Kriminellen. Auf gar keinen Fall den Anhang öffnen!

Ihre neue Rechnung als PDF

15.09.2014

Guten Tag,
Ihre Rechnung vom 15.09.2014 finden Sie im Anhang als PDF.

Die Summe beträgt 41,58 Euro und ist am 25.09.2014 fällig.

Freundliche Grüße
Ihr Vodafone-Team

Fassen wir einmal vorsichtig zusammen. Der freundlich grüßende Absender dieser Spam weiß zwar das Datum von heute zu sagen, aber er kann mit der Zustellung seiner „Rechnung“ weder den „Kunden“ persönlich ansprechen noch eine Kundennummer noch eine Vertragsnummer noch irgendeine Produktbezeichnung angeben. Zu allem Überfluss gibt es keine Telefonnummer für eine schnelle Rückfrage. Niemals würde das echte Vodafone oder irgendein anderes Unternehmen eine seiner Mails so anonym und mies formulieren.

Hier schreibt aber auch ein Krimineller. Und der hat nur einen Wunsch: Dass die Empfänger den Anhang öffnen. Dabei sollen sich die Empfänger gar nicht weiter darüber verwundern, dass das angebliche PDF – ein Dateiformat, das an sich bereits komprimierbar ist und deshalb keiner zusätzlichen Kompression mehr bedürfte – in einem ZIP-Archiv herumliegt.

Die Datei im Archiv endet auf .pdf.exe. Es handelt sich um eine ausführbare Datei für Microsoft Windows, die von Kriminellen in einer Spam mit gefälschtem Absender unter Vorspiegelung falscher Tatsachen zugestellt wurde. Wer sich jetzt immer noch nicht vorstellen kann, was passiert, wenn man diese Datei auf seinem Windows-Computer ausführt, erwerbe bitte irgendwo ein Gehirn! Denn das Gehirn wird bei solchen Spams benötigt, selbst das frisch aktualisierte Antivirus-Programm kennt jedoch die brandneue Schadsoftware in vielen Fällen noch nicht. Da die Antivirus-Schlangenölhändler ihre Software für die gefühlte Sicherheit in ihrer Mehrzahl auch dann immer noch keinen Alarm schlagen lassen, wenn jemand eine Datei .pdf.exe nennt – welchen vernünftigen Grund sollte es geben, einem anderen Menschen mit einem billigen Trick einen falschen Dateitypen vorzugaukeln – funktionieren selbst simpelste Überrumpelungen aus dem Spam-Neolithikum auch in den Zehner Jahren noch. Meiner Meinung nach belegt dies nur eine einzige Tatsache, und die sollte sich bitte jeder auf der Zunge zergehen lassen: Den Herstellern von Antivirus-Programmen ist die Computersicherheit ihrer Kunden egal. Den Schaden davon haben jene, die an einfache Computersicherheit durch Schlagenöl glaubten und dann vor den Folgen einer von Kriminellen missbrauchten Identität, eines manipulierten Online-Bankings und diverser Rechtsbrüche über die von Kriminellen missbrauchte Internetleitung betroffen sind.

Grundsätzlich gilt angesichts der immer noch anhaltenden Flut mit Schadsoftware-Anhängen: Jede E-Mail mit einem ZIP-Archiv im Anhang stinkt! Nach Möglichkeit niemals Dateien aus ZIP-Archiven öffnen, ohne vorher telefonisch oder über einen vergleichbaren Kanal gesichert zu haben, dass die Mail wirklich vom angegebenen Absender kommt. Im Zweifelsfall: löschen!

Ihr Vodafone-Anschalttermin: 001778987055

Montag, 24. März 2014

Wie, soll das jetzt ein Datum sein?! 😀

ZUERST EINMAL: Diese E-Mail kommt nicht von Vodafone. Der Absender ist gefälscht. Es handelt sich um eine kriminelle Spam. Im Anhang ist Schadsoftware. Einfach löschen!

Ihr Vodafone-Anschalttermin: 001487610087

Hallo Spammer?! Kannst du wenigstens in einer deiner idiotischen Spams bei einem Zahlensalat bleiben? Wieder mal zu doof, im schnell übernommenen Skript eines anderen Idioten so etwas wie eine Variable einzuführen, denn dafür müsstest du ja technisches Grundverständnis auf dem Niveau eines Zwölfjährigen haben…

Liebe,

Eine tolle Anrede hat sich unser Spammerchen ausgedacht. :mrgreen:

vielen Dank für Ihren Auftrag. Dieser befindet sich zur Zeit in Bearbeitung. Alle weiteren Details finden Sie in der PDF-Datei im Anhang.

Zum Lesen und Ausdrucken benötigen Sie den Adobe Reader.

Falls Sie das Programm nicht auf dem Rechner haben, können Sie es hier kostenlos herunterladen:

ttp://get.adobe.com/de/reader/

Der Anhang ist der Grund, weshalb diese Spam überhaupt gemacht wurde. Es handelt sich um ein ZIP-Archiv, in dem eine Datei herumliegt, deren Namen auf .pdf.exe endet. Dies ist kein PDF-Dokument, sondern eine ausführbare Datei für Microsoft Windows – und die Frage, warum wohl mit einem Dateinamenstrick ein falscher Eindruck vom Typ der Datei erweckt werden soll, überlasse ich als kleine Denksportaufgabe den Lesern. Die Aufgabe ist nicht besonders schwierig. Wer sie lösen kann, schneidet als Antivirus-Produkt besser ab als jene zurzeit rund siebzig Prozent der gängigen Antivirus-Programme, die an der aktuellen Schadsoftware scheitern und auch nicht dazu imstande zu sein scheinen, den Dateinamenstrick aus dem Spam-Neolithikum zu erkennen.

Bitte berücksichtigen Sie, dass dies eine automatisch erstellte E-Mail ist und Sie über diesen Weg keine weitere Anfrage oder Antwort an uns richten können. Wenn Sie uns antworten möchten, nutzen Sie bitte die Kontaktmöglichkeiten auf http://dsl.vodafone.de.

Natürlich ist der Absender gefälscht. Gar nicht auszudenken, wie viele Leute heute wohl bei Vodafone anrufen werden, nachdem sie diese Spam bekommen haben. Ich weiß, wo ich jetzt nicht arbeiten möchte, nämlich…

Übrigens, unter http://www.vodafone.de/meinvodafone können Sie rund um die Uhr unseren kostenlosen Online-Kundenservice erreichen. Testen Sie einfach und bequem die vielfältigen Möglichkeiten:

…im kostenlosen Online-Service bei Vodafone. 🙁

Informieren Sie sich über unsere Produkte, Tarife oder Ihre Rechnung.
Fragen Sie den Bearbeitungsstand Ihrer laufenden Aufträge ab.
Verwalten Sie selbst ihre Kunden- und Zugangsdaten.
Nutzen Sie bei Fragen die umfangreiche Hilfefunktion.

Hallo? Wieder mal Text ohne tieferes Verständnis von der Website in die Spam übernommen? Der angebliche Empfänger dieses Mülls ist bereits Kunde und sollte so etwas wissen (oder wenigstens wissen, wo ers nachschlagen kann). Er hat ja sogar…

Melden Sie sich einfach mit Ihrem persönlichen Online-Benutzernamen und Ihrem Online-Passwort an!

…im Gegensatz zu den meisten Empfängern dieser kriminellen Spam einen Account dort.

Mit freundlichen Grüßen

Ihr Vodafone-Team

Mit mechanischem Gruß von einem hochkriminellen Spammer.

Ihr Vodafone-Anschalttermin: 001252900800

Dienstag, 5. November 2013

Nein, diese Mail kommt nicht von Vodafone. Es sei denn, Vodafone versendet seine Mails neuerdings über dynamisch zugeteilte IP-Adressen eines taiwanesischen Telekom-Unternehmens…

Aber auch, wer nicht in die Header der Mail schaut, wird schnell bemerken, dass hier etwas nicht stimmt. Zum Beispiel an der genialen Ansprache:

Lieber,

Kann man sich mal wieder gar nicht selbst ausdenken! :mrgreen:

vielen Dank für Ihren Auftrag. Dieser befindet sich zur Zeit in Bearbeitung. Alle weiteren Details finden Sie in der PDF-Datei im Anhang.

Vielen Dank für einen Auftrag, über den in der Mail nichts gesagt werden kann, aber dafür in einem Mailanhang. Warum es möglich ist, die Details in den Mailanhang zu schreiben, aber dafür nicht einmal eine Andeutung in die eigentliche Mail, bleibt das sahnige Geheimnis der spammenden Idioten, die sich hier Vodafone nennen.

Zum Lesen und Ausdrucken benötigen Sie den Adobe Acrobat Reader.

Nun ja… wie beim kriminellen Spammern, die sich vor Spamfiltern verstecken müssen üblich ist der Anhang ein ZIP-Archiv, und dafür braucht man erst einmal so etwas wie einen Archivmanager, um überhaupt an die darin verpackte Datei kommen zu können. Diese Datei hat einen Dateinamen, der auf .pdf.exe endet, ist also eine ausführbare Datei für Microsoft Windows, die so tut, als handele es sich um ein PDF. Es handelt sich also sicher um Schadsoftware, die von Kriminellen untergeschoben wurde. Zurzeit wird diese Schadsoftware nur von rund einem Drittel der gängigen Antivirus-Programme als das erkannt, was sie ist, und zu dieser schlechten Erkennungsrate kommt es, obwohl bereits der Dateiname deutlich macht, dass hier ein falscher Eindruck vom Wesen der Datei erweckt werden soll. Es gibt nämlich keinen sachlichen Grund, Dateien so irreführend zu benennen…

Falls Sie das Programm nicht auf dem Rechner haben, können Sie es hier kostenlos herunterladen:

http://www.adobe.de/products/acrobat/readstep2.html

Übrigens in der Originalmail mit Links, die nicht funktionieren. (Die Links weisen alle mit einem relativen Pfad auf eine lokale Datei und enthalten die Internetadresse als GET-Parameter. Das sieht danach aus, dass die Verbrecher beim Schreiben ihrer Strunztexte so etwas wie einen lokalen Referer-Entferner verwenden, um keine verwertbaren Spuren bei den verlinkten Sites zu hinterlassen. Ganz schön doof, wenn diese Vorrichtung dann vorm Versand der Drecksspam nicht wieder entfernt wird, so dass die Empfänger wegen der unbenutzbaren Links in der Drecksspam skeptisch werden können. Aber gut, dass Spammer überwiegend so doof sind, denn sonst wäre der Schaden, den sie anrichten, noch wesentlich größer.)

Bitte berücksichtigen Sie, dass dies eine automatisch erstellte E-Mail ist und Sie über diesen Weg keine weitere Anfrage oder Antwort an uns richten können. Wenn Sie uns antworten möchten, nutzen Sie bitte die Kontaktmöglichkeiten auf http://dsl.vodafone.de.

Übrigens, unter http://www.vodafone.de/meinvodafone können Sie rund um die Uhr unseren kostenlosen Online-Kundenservice erreichen. Testen Sie einfach und bequem die vielfältigen Möglichkeiten:

  • Informieren Sie sich über unsere Produkte, Tarife oder Ihre Rechnung.
  • Fragen Sie den Bearbeitungsstand Ihrer laufenden Aufträge ab.
  • Verwalten Sie selbst ihre Kunden- und Zugangsdaten.
  • Nutzen Sie bei Fragen die umfangreiche Hilfefunktion.

Immerhin wissen die Spammer, wie man mit der Zwischenablage umgeht. Was sie aber zu nicht wissen scheinen, ist…

Melden Sie sich einfach mit Ihrem persönlichen Online-Benutzernamen und Ihrem Online-Passwort an!

…dass jemand, der einen Account bei Vodafone hat, genau weiß, dass Vodafone ihn anders als „Lieber“ ansprechen kann.

Mit freundlichen Grüßen

Ihr Vodafone-Team

Mit mechanischem Gruß: Ihre Identitätsdiebe, Betrüger und Spammer.

Und ich kann es gar nicht oft genug sagen: Jedes ZIP-Archiv, das an eine E-Mail angehängt wurde, stinkt. Das gilt in besonderer Weise in vorgeblich geschäftlicher E-Mail ohne persönliche Ansprache, aber nicht nur dort. Wer sich auch nur eine Spur unsicher ist, sollte lieber zum Telefon greifen und nachfragen, ob diese Mail wirklich versendet wurde. Diese drei Minuten Mühe sind deutlich erträglicher als der teilweise monatelange Ärger mit den Folgen manipulierter Online-Kontoführung, abgegriffener Passwörter, missbrauchter Identität und kriminell verwendeter Internetleitung. Zwei Drittel der „Antivirusprogramme“ wären bei dieser Spam wirkungslos gewesen, selbst, wenn sie regelmäßig aktualisiert wurden. Deshalb immer auch den besten Schutz vor Kriminalität verwenden: Das im Menschen eingebaute, äußerst preiswerte und zuverlässige Gehirn. 😉

mms-Nachricht Thu, 30 May 2013 10:29:31 +0100

Donnerstag, 30. Mai 2013

Das ist die heutige Pest. Die Uhrzeit im Betreff ist variabel. Die Mails kommen immer von einer Ziffernfolge @vodafone (punkt) de, was natürlich ein gefälschter Absender ist, und sie enthalten keinen Text – aber das immerhin in HTML-Formatierung.

Statt eines Textes gibt es einen Anhang. Dieser ist ein ZIP-Archiv mit einer kryptischen Zeichenfolge als Dateiname, und darin ist eine einzige Datei mit einem gleichfalls kryptischen Namen und der bemerkenswerten Dateinamenserweiterung jpeg.img.exe enthalten, der so tun soll, als handele es sich um ein Bild. Natürlich ist das kein Bild, sondern eine direkt ausführbare Datei für Microsoft Windows. Dass es sich dabei um Schadsoftware handelt, bedarf hoffentlich keiner weiteren Erwähnung. Wer die Datei aus dem Archiv ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Zurzeit wird diese Schadsoftware nur von einem Zehntel der üblichen Antivirus-Produkte erkannt. Wer sich auf seinen Virenscanner verlässt, ist hier also wieder einmal verlassen – aber zum Glück werden die meisten Menschen so einen Sondermüll unbesehen löschen und nicht einen Moment lang glauben, dass er wirklich von Vodafone kommt – denn Vodafone würde sich mit Sicherheit dazu bequemen, in seine Mails auch etwas reinzuschreiben…

message MMS (multimedia messages)

Montag, 26. November 2012

Um es gleich klarzustellen: Diese E-Mail kommt nicht von Vodafone. Sie kommt auch bei Menschen wie mir an, die gar keine Vodafone-Kunden sind. Außerdem würde Vodafone den Empfänger mit seinem richtigen Namen ansprechen und da nicht als Anredeersatz eine elfstellige Zufallszahl nach der Vorwahl für Deutschland verwenden.

Was es bedeutet, wenn diese Mail nicht von Vodafone kommt, kann sich hoffentlich jeder selbst erklären: Es handelt sich um die Spam von Kriminellen, die es für ihre ganz besonderen „Geschäftchen“ nötig haben, solche falschen Eindrücke zu erwecken.

Mobile: +49809791419 PDF-Datei im Anhang dieser E-Mail -- Mit Hilfe dieses Services können Sie die von Ihnen empfangene MMS (multimedia messages) ansehen. Diese können Sie an andere Empfänger weiterleiten MMS können von Benutzern versendet werden, die ein MMS-fähiges Handy besitzen. MMS können Bild, Ton oder Video- Daten enthalten. Wenn Ihr Handy diese Nachrichten nicht anzeigen kann, wird diese hierher gesendet wo Sie die MMS ansehen können. Login  -- Ihr Vodafone Team

Wie man an der Mail schon erahnen kann, ist der Zweck der ganzen Übung, den Empfänger zum Öffnen des Anhanges zu bewegen. Dieser ist ein ZIP-Archiv, in dem sich eine Datei befindet, deren Dateiname auf .pdf.exe endet – also eine ausführbare Datei für Microsoft Windows, die einem von Kriminellen unter Vorspiegelung falscher Tatsachen zugespielt wird. Windows in der Standardkonfiguration zeigt natürlich die Dateinamenserweiterung nicht an, so dass der werksseitig unsichere Rechner mit Betriebssystem von Microsoft den Eindruck erweckt, es handele sich um ein PDF-Dokument – ich bin mir sicher, dass dafür auch ein passendes Icon gewählt wurde.

Wer diese Datei mit einem Doppelklick ausgeführt hat, hat verloren. Da es natürlich wieder einmal eine neue Schadsoftware ist (also ein paar triviale Änderungen an einer schon bestehenden, damit sie nicht mehr von Virenscannern erkannt wird), hilft in vielen Fällen auch der Schlangenöl-Schutz durch einen Virenscanner nicht. Insbesondere versagen momentan BitDefender, F-Secure, Kaspersky und Sophos und erkennen diese Schadsoftware nicht. Wer sehen möchte, wie schnell oder langsam hier Fortschritte gemacht werden, kann die Sache auf VirusTotal verfolgen.

Der einzige Schutz gegen so kriminelle Überrumpelung ist und bleibt: Spam erkennen und niemals das tun, was der Spammer möchte! Spam unbesehen löschen! Irgendwelche „Sicherheitsprogramme“ helfen gar nicht.

You have received a new message

Mittwoch, 7. November 2012

Der (natürlich gefälschte) Absender der E-Mail ist mms (at) vodafone (punkt) de, und sogar einer der Links in der Mail führt zur Vodafone-Website. Diese Mail kommt nicht von Vodafone. In meinem Fall wurde sie von einer dynamischen IP-Adresse aus den Vereinigten Arabischen Emiraten versendet, also von einem mit Schadsoftware kriminell übernommenen Privatrechner.

You have received a picture message from mobile number +491629848169

Eine Ansprache gibt es nicht. Und obwohl „Vodafone“ meine Mailadresse kennen will, kennt es nicht meine Telefonnummer oder meinen Namen. Wozu auch? Um derartige Nachrichten zu bekommen, müsste ich ja nur Kunde sein…

To save this picture, please save attached file.

Darum geht es. Der Rest ist Blah:

You can reply once to this message via MMS for free!
To send a reply containing pictures, audio or video, click here to visit our on-line composer.
Alternatively, you can send a text-only reply (limited to 500 characters), simply by clicking your usual reply button. By replying to this message you agree to our terms and conditions. Please see our Website Terms and Conditions at http (doppelpunkt) (doppelslash) www (punkt) vodafone (punkt) de (slash) termsandconditions for full details.
Only one reply is possible until 11/11/2011.

Oh, da muss ich mich aber beeilen, um bis zum letzten Jahr mit meiner Antwort fertig zu werden.

© 2012 Vodafone D2 GmbH

Nein, diese Mail kommt nicht von Vodafone. Aber das habe ich ja schon gesagt.

Ziel der Spammer ist es, dass man den Anhang öffnet. Dieser ist bei mir ein ZIP-Archiv namens Vodafone_MMS.zip mit einer Dateigröße von 27,2 KiB. Darin ist eine Datei, deren Namen auf .jpg.exe endet, so dass es für Leute, die Microsoft Windows in den Standardeinstellungen betreiben, so aussieht, als handele es sich um ein JPG-Bild¹. Wer darauf geklickt hat, der hat verloren und „darf“ sich jetzt Gedanken darüber machen, wie er seinen Rechner wieder sauber bekommt.

Hier die obligatorischen Ergebnisse eines Scans durch virustotal.com.

¹Deshalb sollte man unbedingt die Einstellung „Dateinamenserweiterung anzeigen“ aktivieren. Das ist eine der ganz einfachen Maßnahmen zur Erhöhung der Sicherheit. Wenn jemand am Dateinamen sieht, dass ihm eine ausführbare Datei als Bild untergejubelt werden soll, wird er auch unter den Bedingungen anfallsartiger Neugierde nicht darauf klicken. Dieser Trick der Spammer ist wirklich alt, aber er funktioniert immer noch. Für Microsoft ist das freilich kein Grund geworden, standardmäßig den vollständigen Dateinamen anzuzeigen. An einem guten Teil der ganzen Spampest trägt Microsoft eine beachtliche Mitschuld, da diese Firma Bedingungen schafft, in denen Nutzer standardmäßig nicht den wirklichen Charakter einer Datei erkennen können.

Online-Rechnung. 38757114296988

Donnerstag, 28. Juni 2012

Ach, das mir auch immer tolle Rechnungen in das Postfach flattern? Wer ist da der (natürlich gefälschte) Absender? Oh, info (punkt) rafn (at) web (punkt) de, das muss ja ein toller Rechnungssteller sein, der eine kostenlose und anonym einzurichtende Mailadresse bei einem Freemailer verwendet! Schon scheiße, Spammer, wenn man so doof ist, dass man zwar die Absenderadresse fälscht, das Ergebnis aber dermaßen bescheuert gerät.

Online-Rechnung. 38757114296988

Idiot, das steht schon im Betreff. Und, was soll dieser Ziffernsalat? Glaubst du, dass das schon ausreicht, wenn man jemanden nicht persönlich ansprechen kann? So nach dem Motto: Da steht eine Ziffernfolge, die mir gar nichts sagt, damit bin bestimmt ich gemeint? :mrgreen:

Sehr geehrte Damen und Herren,

Falls es jemand immer noch nicht bemerkt hat: Der Absender stellt eine „Rechnung“ an einen völlig Unbekannten, es handelt sich um eine Spam. Und wofür gibts die Rechnung? Aha…

Ihre Bestellung von Zusatzleistungen wurde erledigt.

…für eine erledigte Bestellung von Zusatzleistungen. Irgendwas halt. Man schreibt ja Rechnungen immer ganz unbestimmt, so dass sie beim Empfänger wie „Zahlen sie bitte grundlos 120 Euro“ klingen. :mrgreen:

Ihre Rechnung ist im PDF-Format erstellt und mit einer digitalen Signatur versehen.

In der Tat, die Mail hat einen Anhang, und das scheint auch ein PDF zu sein. Leider hat der Idiot von Spammer nicht die tieferen Geheimnisse der MIME-Types verstanden und Content-type: text/plain angegeben, was bedeutet, dass dieser Anhang bei den meisten Menschen im Texteditor geöffnet wird. Das gibt in der Tat einen völlig neuen Einblick in ein PDF-Dokument. Ich würde allerdings strikt davon abraten, dieses PDF mit ein paar Tricks zu öffnen. Es enthält einen Exploit, der zur Installation einer aktuellen Kollektion von Schadsoftware führt.

Vermutlich werden die Spammer in der nächsten Welle dieser Drecksspam auch die technische Kleinigkeit hinbekommen, dass das PDF direkt aus der Mail geöffnet werden kann. Aber wer seine fünf Sinne beisammen hat, der käme niemals auf die Idee, in einer Spam herumzuklicken.

Ihr Vodafone Team

Vodafone D2 GmbH
Adresse: Am Seestern 5, 43706 Dusseldorf
Zentrale: Am Seestern 5, 43706 Dusseldorf

Nein, diese Mail kommt nicht von Vodafone, aber…

Hinweis: Dies ist eine automatisch versendete Nachricht.

…dafür ist wenigstens der abschließende Hinweis wahr. 😀