Ach so nennt ihr das jetzt.
If you can’t see this email, click here
Try our new shop with much better prices
Leider kann ich diese Müllmail sehen. Und ihr glaubt wirklich, die würde mich zum Klicken animieren? Kann ich verstehen: Katzen im Sack waren ja schon immer eine total begehrte Ware, vor allem, wenn man sich daran ein hässliche Infektion holen kann. 
Keine Spam, sondern ein Hinweis auf eine aktuelle Meldung bei Heise Online:
Unbekannte Spam-Versender haben offenbar eine Methode entwickelt, Mailkonten bei Yahoo massenhaft und automatisiert anzulegen. Seit Anfang Juni gehen immer wieder heftige Spam-Angriffe von Yahoos Mailservern aus […]
Ein wie auch immer geartetes Botnetz scheint jedenfalls involviert zu sein, denn nicht nur die Mail-Inhalte, sondern auch die von Yahoo in den Mail-Kopfzeilen dokumentierten IP-Adressen der Absender variieren stark. Das deutet darauf hin, dass der Spam seinen Weg über sehr viele, vermutlich verseuchte und ferngesteuerte Clients seinen Weg in die Yahoo-Infrastruktur findet.
Dies nur als eine Antwort auf die Frage, warum Spammer Interesse daran haben können, heimlich Schadsoftware zu installieren. Natürlich gibt es noch etliche Anwendungen mehr, zum Beispiel manipuliertes Online-Banking und den Missbrauch von persönlichen Accounts für betrügerische Geschäfte.
Wer in eine Spam klickt, ist selbst die Spam. Denn auf diese Weise wird das Biotop geschaffen, in dem Spam überhaupt erst so möglich ist, wie sie heute betrieben wird.
Sehr geehrter Kunde,
Wir haben die Anfrage auf die Abschreibung [sic!] von 950.00 Euro von Ihrem Bankkonto in SPARKASSE für die Begleichung der Anlieferung von Dokumenten [sic!] bekommen.
Die Abschreibung von Geldmitteln und weitere Sendung von Dokumenten [sic!] erfolgen in 24 Stunden.Mit freundlichen Grüßen, Kundenunterstützungsdienst [sic!] der Bank SPARKASSE.
Hey, Opfer,
ich spiel jetzt mal Sparkasse, oder genauer, ich spiele jetzt mal den Kundenunterstützungsdienst der Bank Sparkasse. Mein Deutsch sieht zwar aus, als hätte ich die Anfrage auf die Abschreibung meines Hirnes zustimmend beschieden, aber ich will ja auch nur Dumme fangen. Die wundern sich nicht darüber, dass ihre eigene Mailadresse im Absender steht, die fragen sich auch nicht, warum sie sonst nicht für jede Abbuchung eine Mail von ihrer Sparkasse bekommen, die sind einfach nur alarmiert und klicken.
Und damit holen du dir eine aktuelle Kollektion von Schadsoftware auf deinen Rechner.
Der Link ist nämlich eine Weiterleitung auf eine Website, die nicht über einen Domainnamen, sondern direkt über ihre IP-Adresse 184.173.28.4 aufgerufen wird und dort die folgende JavaScript-Wüste ausliefert, die im Moment so auffallend häufig mit Spamklicks zur Ausführung gebracht werden soll. Hast du bestimmt schon einmal auf „Unser täglich Spam“ gesehen, sowas:
[Recht variabel, der generierte JavaScript-Code. Vor allem dort, wo das Schlüsselwort eval versteckt werden soll. Das hat auch einen Grund. Virenscanner sollen es möglichst schwer haben, diesen Crackversuch zu erkennen.]
Komm, klick schon! Ich brauche neue Bots! Ich will deinen Rechner zum Spammen und als Webserver für meine kriminellen Machenschaften missbrauchen, ich will deine Adressbücher auslesen, ich will dein Online-Banking manipulieren und in deinem Namen und über deinen Internetzugang betrügerische Geschäfte im Internet machen, damit die Polizei zu dir kommt und nicht zu mir. Klick schon! Hey, 950 Euro hast du nicht einfach so übrig! Mach schon! Klick!
Danke!
Dein spammender Idiotenfänger
Spam nicht erkannt?
Sorry, wer hier nicht bemerkt, dass es sich um eine Spam handelt und den Sondermüll sofort löscht, sollte besser gar nicht erst am Internet teilhaben. Hier eine Liste der „kleinen“ Indizien, die leider länger wird als die Spam selbst, weil der unbekannte Autor des Mailtextes nicht so sehr mit Intelligenz und Sprachbegabung gesegnet ist:
Schon zwei bis drei dieser Punkte reichen aus, um den Dreck sicher als Spam zu erkennen. Schon eine einzige derartige Unstimmigkeit (wie das Fehlen der Kontonummer oder einer persönlichen Ansprache) ist Grund genug, mit der Mail gar nichts zu machen und in Fällen von verbleibender Unsicherheit einfach mal in der kontoführenden Filiale anzurufen und nachzufragen, ob die Mail echt ist. So ein Hetzversuch wie „in 24 Stunden“ ist bedeutungslos, weil eine fehlerhafte oder rechtswidrige Transaktion selbstverständlich rückgängig gemacht werden kann – schon an diesem kleinen Detail zeigt sich der kriminelle Spamcharakter des Machwerkes. Und selbst, wenn die Spam völlig überzeugend formuliert wäre, sollte sich jeder darüber klar sein, dass die Kreditinstitute derartige Mail-Mitteilungen nicht machen. Weil sie diese gar nicht machen dürfen.
Leider steht nämlich zu befürchten, dass derartige Versuche nicht immer so lächerlich bleiben werden.
¹Falls sie es noch nicht wissen: Eine unverschlüsselte E-Mail ist offen wie eine Postkarte. Und sie kann über etliche Server laufen. Auf jedem dieser Server kann sie mitgelesen werden.
01/07/2012
Nur, damit du nicht das Datum vergisst, wenns auch das von vorgestern ist.
Dear Friend,
Ich habe keine verdammte Ahnung, wer du bist, aber…
I am Capt. Anita Schrumm MS RD LD, USA MIL – MEDCOM -AMEDCS; I was Staff Dietitian at Walter Reed Army Medical Center, before I was deployed to Camp Arifjan Kuwait, from there to Camp Al-Tadamun Adhamiyah-Baghdad, presently am in Camp Gibraltar Afghanistan on national duties.
…ich bin ein Offizier der US-Streitkräfte, der schon überall im Einsatz war. Okay, in Wirklichkeit bin ich natürlich ein dummer Betrüger, aber das klingt nicht so gut, deshalb schreibe ich ein paar Lügen. Allerdings werde ich dir aus Sicherheitsgründen – ich muss ja sicher gehen, dass nur besonders leichtgläubige Deppen auf meine Spam reinfallen – noch nicht alle meine Lügen erzählen, sondern dich erstmal eine Meldung der BBC betrachten lassen:
For security reasons, I will ‚not‘ disclose certain information’s for now until you have accessed the BBC website stated below to enable you have an insight on what I intended sharing with you, which I am confident you can handle if we are able to come to an agreement.
Diese BBC-Meldung hole ich immer wieder mal gern hervor, zum Beispiel im Juni 2010 unter dem falschen Namen Capt. Scott J. Wilson oder kürzlich erst und übrigens ganz besonders „köstlich“ im April 2012 als Sgt. Kris Herbert. Bei meinen damaligen betrügerischen Mails kannst du auch jetzt schon nachlesen…
Kindly respond back to me after visiting the above website to enable us discuss further about the transaction.
…was für tolle Lügen ich dir noch alles erzählen werde, wenn du auf meine längst verbrauchte Betrugsnummer abfährst.
Please send your response to my private email account:
captaingraceschrumm1 (at) rediffmail (punkt) com
Bitte beantworte die Mail nicht, indem du auf Antworten klickst, denn mein Absender ist natürlich gefälscht.
Thanks,
Captain: Anita Schrumm MS RD LD
Danke
Dein Vorschussbetrugsdummspammer
Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!
Guten Tag,
Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.
im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.
Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.
Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.
Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…
Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.
…klick auf meinen tollen Link!
Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.
Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…
Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.
…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.
Abteilung Rechnungswesen
Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.
Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:
Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!
Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.
Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.
Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.
Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉
Hui, und sogar an die Mailadresse, mit der das YouTube-Konto wirklich registriert wurde! Und mit dem gefälschten Absender service (at) youtube (punkt) com! Warum „YouTube“ wohl nicht die Infrastruktur von Google, sondern einen Rechner mit dynamischer IP-Adresse eines polnischen Zugangsproviders für den Mailversand verwendet? Ach ja, weil das eine Spam ist, die mit einer besonders tollen Masche Menschen zum Klicken bringen will:
YouTube Service has sent you a message:
Your video on the TOP of YouTube
To: exxxxxxxr (at) googlemail (punkt) comhttp://www.youtube.com/watch?v=27blU03a&feature=topvideos_mp
You can reply to this message by visiting your inbox.
Wer auf irgendeinen der Links klickt, kommt nicht etwa auf die Seiten von YouTube, sondern auf eine „kanadische Pimmelpillen-Apotheke“, die aber auch nur vordergründig ist. Während der Betrachter sich über diesen unerwarteten Anblick einige Sekunden lang wundert, läuft in einem unsichtbaren IFRAME eine recht umfassende Attacke auf den Browser ab. Wenn diese Erfolg hatte, hat man eine frische Sammlung von Schadsoftware auf seinem Rechner.
Deshalb klickt man eben nicht in Spams.
Wie hätte man die Spam erkennen können
Nicht jeder wird bei solchen Mails in den Mailheader schauen, um mit Hilfe eines whois-Tools festzustellen, dass es sich um eine Spam handelt. Auch, wer diese Mühe scheut, kann die Spam sicher erkennen
Sprache – YouTube würde mich in meiner eingestellten Sprache anmailen, die natürlich Deutsch ist.
Anrede – YouTube würde mich auch ansprechen, und zwar mit meinem bei YouTube gewählten Nick.
Videolink – YouTube weiß doch, wie ich das Video genannt habe, das da angeblich gerade so viel Aufmerksamkeit auf sich zieht. Deshalb würde in einer HTML-Mail von YouTube der Name des Videos verlinkt, den ich im Gegensatz zur URL des Videos leicht wiedererkenne.
Allein diese drei Kriterien sollten bereits ausreichen, um auf diese Masche nicht hereinzufallen. Es gibt aber noch einen vierten, ungleich stärkeren Beleg dafür, dass es sich bei dieser Mail um eine Spam handelt, den man ebenfalls vor jedem Klick sehen kann:
Links – Wenn der Mauszeiger über dem Link ist, wird in der Statusleiste der Mailsoftware (oder bei Webmailern: des Browsers) die Linkadresse sichtbar, ohne dass man darauf klicken muss, um die verlinkte Seite anzusurfen. Im Falle dieser Spam liegt die Linkadresse in der Domain pattours (punkt) net, was ganz sicher nicht die YouTube-Website ist. Das gilt auch für den angeblichen Link auf das Video, der ja zu YouTube führen soll. Solche „Tricksereien“ haben nur kriminelle Spammer nötig. Eine so verlinkte Website ist eine klare Empfehlung, einen ganz großen Bogen darum zu machen.
Ein kurzes Nachdenken und ein bisschen Vorsicht vor einem Klick kann einem eine Menge Ärger ersparen. Es ist noch nicht einmal technisches Wissen erforderlich, um diese Spam als solche zu erkennen und „artgerecht“ durch Löschung zu behandeln. Dieses kurze Nachdenken und Quäntchen Vorsicht empfiehlt sich besonders bei aufrüttelnden, spektakulären Mailinhalten wie etwa der Behauptung, dass sich gerade die halbe Welt wie verrückt ein Video auf YouTube anschaut. Denn das ist zumindest bei den Videos, die ich mal hochgeladen habe…
…mehr als nur ein bisschen unwahrscheinlich. 😉
Und das ist auch das fünfte Kriterium zur sicheren Erkennung der Spam – jedenfalls bei den meisten Empfängern dieses miesen kriminellen Versuchs.
We guarantee you success with long device. http://www.dvepla.ru/
F5CFE3158E76785984D970B667278FC32F
D1F2CF988F7AF4251E1C6877BE866E41AE59
FA444063EC4B13CF2E22EE50A19B4E8B8CCEE2A8
57A35AE3F7D1A1F1B823E37E8E1709EDF456
8796192F937969CC85ACD5578616DC8
F30A3354421FBA13B847894AAC6DF86AEC0C61
5B1BE61185E1C03D3A1624A2357239A0755
D963E938376495A77AE1C1E21E46BBF50E4B9
DD765592FF0601EB5DC9AAC538135D4FB9AA62A
256804916E266E942D763FBC3120F131B
4860A5F2A7738AA5F2A917337269EE40D84E28
C23A0835768D7227BC7F5EBF9AFC835B1222
Und ich garantiere euch Idioten einen völligen Misserfolg mit euren langen, sinnlosen Folgen sedezimaler Ziffern.
Dear Google User,
Ich weiß zwar nicht, wer du bist und kann dich deshalb auch nicht anreden, aber Google wirst du ja schon mal benutzt haben.
Attached to this e-mail is the notification of your winnings from the Google Incorporation, kindly view the attached document for your perusal.
Oh, tatsächlich, da hängt ja ein lustiges PDF dran. Ich habe mal wieder fast eine Million Pfund gewonnen, in so einer Lotterie, bei der niemand ein Los kaufen muss:
Ein bisschen unglaubwürdig ist das aber schon. Google scheint ja gar keinen Wert darauf zu legen, sein eigenes Firmenlogo in einer halbwegs ansprechenden Qualität auf einem derartigen Brief unterzubringen. Stattdessen so ein winziges, total verwaschenes Etwas, das auch ein paar JPEG-Artefakte hat, die beim Großziehen in diesem Strunzbrief auch noch so richtig schön vergrößert wurden. Das sieht dann in der normalen Dokumentansicht…
…so richtig scheiße aus. Vielleicht hätten die offenbar lobotomierten Spammer einfach mal Google fragen sollen. Dann hätten sie wahrscheinlich auch nicht die Version genommen, die Google seit dem 5. Mai 2010 nicht mehr verwendet. Na, wenigstens ist es kein noch älteres geworden.
Muss ich noch sagen, dass diese Mail nicht von Google kommt? Und dass da nur ein paar Betrüger leichtgläubigen Leuten das Geld aus der Tasche ziehen wollen. Den Gewinn gibt es natürlich nicht, aber dafür werden ein paar hundert Euro Vorleistungen aller Art fällig, immer schön anonym über Western Union und MoneyGram zu bewegen, damit dieses Geschmeiß auch ja nicht ins Gefängnis geht.
Congratulations.
GPA TEAM®
Ihr mich auch!
