Ach so nennt ihr das jetzt.
If you can’t see this email, click here
Try our new shop with much better prices
Leider kann ich diese Müllmail sehen. Und ihr glaubt wirklich, die würde mich zum Klicken animieren? Kann ich verstehen: Katzen im Sack waren ja schon immer eine total begehrte Ware, vor allem, wenn man sich daran ein hässliche Infektion holen kann. 
Sehr geehrter Kunde,
Wir haben die Anfrage auf die Abschreibung [sic!] von 950.00 Euro von Ihrem Bankkonto in SPARKASSE für die Begleichung der Anlieferung von Dokumenten [sic!] bekommen.
Die Abschreibung von Geldmitteln und weitere Sendung von Dokumenten [sic!] erfolgen in 24 Stunden.Mit freundlichen Grüßen, Kundenunterstützungsdienst [sic!] der Bank SPARKASSE.
Hey, Opfer,
ich spiel jetzt mal Sparkasse, oder genauer, ich spiele jetzt mal den Kundenunterstützungsdienst der Bank Sparkasse. Mein Deutsch sieht zwar aus, als hätte ich die Anfrage auf die Abschreibung meines Hirnes zustimmend beschieden, aber ich will ja auch nur Dumme fangen. Die wundern sich nicht darüber, dass ihre eigene Mailadresse im Absender steht, die fragen sich auch nicht, warum sie sonst nicht für jede Abbuchung eine Mail von ihrer Sparkasse bekommen, die sind einfach nur alarmiert und klicken.
Und damit holen du dir eine aktuelle Kollektion von Schadsoftware auf deinen Rechner.
Der Link ist nämlich eine Weiterleitung auf eine Website, die nicht über einen Domainnamen, sondern direkt über ihre IP-Adresse 184.173.28.4 aufgerufen wird und dort die folgende JavaScript-Wüste ausliefert, die im Moment so auffallend häufig mit Spamklicks zur Ausführung gebracht werden soll. Hast du bestimmt schon einmal auf „Unser täglich Spam“ gesehen, sowas:
[Recht variabel, der generierte JavaScript-Code. Vor allem dort, wo das Schlüsselwort eval versteckt werden soll. Das hat auch einen Grund. Virenscanner sollen es möglichst schwer haben, diesen Crackversuch zu erkennen.]
Komm, klick schon! Ich brauche neue Bots! Ich will deinen Rechner zum Spammen und als Webserver für meine kriminellen Machenschaften missbrauchen, ich will deine Adressbücher auslesen, ich will dein Online-Banking manipulieren und in deinem Namen und über deinen Internetzugang betrügerische Geschäfte im Internet machen, damit die Polizei zu dir kommt und nicht zu mir. Klick schon! Hey, 950 Euro hast du nicht einfach so übrig! Mach schon! Klick!
Danke!
Dein spammender Idiotenfänger
Spam nicht erkannt?
Sorry, wer hier nicht bemerkt, dass es sich um eine Spam handelt und den Sondermüll sofort löscht, sollte besser gar nicht erst am Internet teilhaben. Hier eine Liste der „kleinen“ Indizien, die leider länger wird als die Spam selbst, weil der unbekannte Autor des Mailtextes nicht so sehr mit Intelligenz und Sprachbegabung gesegnet ist:
Schon zwei bis drei dieser Punkte reichen aus, um den Dreck sicher als Spam zu erkennen. Schon eine einzige derartige Unstimmigkeit (wie das Fehlen der Kontonummer oder einer persönlichen Ansprache) ist Grund genug, mit der Mail gar nichts zu machen und in Fällen von verbleibender Unsicherheit einfach mal in der kontoführenden Filiale anzurufen und nachzufragen, ob die Mail echt ist. So ein Hetzversuch wie „in 24 Stunden“ ist bedeutungslos, weil eine fehlerhafte oder rechtswidrige Transaktion selbstverständlich rückgängig gemacht werden kann – schon an diesem kleinen Detail zeigt sich der kriminelle Spamcharakter des Machwerkes. Und selbst, wenn die Spam völlig überzeugend formuliert wäre, sollte sich jeder darüber klar sein, dass die Kreditinstitute derartige Mail-Mitteilungen nicht machen. Weil sie diese gar nicht machen dürfen.
Leider steht nämlich zu befürchten, dass derartige Versuche nicht immer so lächerlich bleiben werden.
¹Falls sie es noch nicht wissen: Eine unverschlüsselte E-Mail ist offen wie eine Postkarte. Und sie kann über etliche Server laufen. Auf jedem dieser Server kann sie mitgelesen werden.
01/07/2012
Nur, damit du nicht das Datum vergisst, wenns auch das von vorgestern ist.
Dear Friend,
Ich habe keine verdammte Ahnung, wer du bist, aber…
I am Capt. Anita Schrumm MS RD LD, USA MIL – MEDCOM -AMEDCS; I was Staff Dietitian at Walter Reed Army Medical Center, before I was deployed to Camp Arifjan Kuwait, from there to Camp Al-Tadamun Adhamiyah-Baghdad, presently am in Camp Gibraltar Afghanistan on national duties.
…ich bin ein Offizier der US-Streitkräfte, der schon überall im Einsatz war. Okay, in Wirklichkeit bin ich natürlich ein dummer Betrüger, aber das klingt nicht so gut, deshalb schreibe ich ein paar Lügen. Allerdings werde ich dir aus Sicherheitsgründen – ich muss ja sicher gehen, dass nur besonders leichtgläubige Deppen auf meine Spam reinfallen – noch nicht alle meine Lügen erzählen, sondern dich erstmal eine Meldung der BBC betrachten lassen:
For security reasons, I will ‚not‘ disclose certain information’s for now until you have accessed the BBC website stated below to enable you have an insight on what I intended sharing with you, which I am confident you can handle if we are able to come to an agreement.
Diese BBC-Meldung hole ich immer wieder mal gern hervor, zum Beispiel im Juni 2010 unter dem falschen Namen Capt. Scott J. Wilson oder kürzlich erst und übrigens ganz besonders „köstlich“ im April 2012 als Sgt. Kris Herbert. Bei meinen damaligen betrügerischen Mails kannst du auch jetzt schon nachlesen…
Kindly respond back to me after visiting the above website to enable us discuss further about the transaction.
…was für tolle Lügen ich dir noch alles erzählen werde, wenn du auf meine längst verbrauchte Betrugsnummer abfährst.
Please send your response to my private email account:
captaingraceschrumm1 (at) rediffmail (punkt) com
Bitte beantworte die Mail nicht, indem du auf Antworten klickst, denn mein Absender ist natürlich gefälscht.
Thanks,
Captain: Anita Schrumm MS RD LD
Danke
Dein Vorschussbetrugsdummspammer
Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!
Guten Tag,
Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.
im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.
Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.
Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.
Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…
Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.
…klick auf meinen tollen Link!
Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.
Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…
Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.
…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.
Abteilung Rechnungswesen
Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.
Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:
Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!
Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.
Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.
Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.
Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉
We guarantee you success with long device. http://www.dvepla.ru/
F5CFE3158E76785984D970B667278FC32F
D1F2CF988F7AF4251E1C6877BE866E41AE59
FA444063EC4B13CF2E22EE50A19B4E8B8CCEE2A8
57A35AE3F7D1A1F1B823E37E8E1709EDF456
8796192F937969CC85ACD5578616DC8
F30A3354421FBA13B847894AAC6DF86AEC0C61
5B1BE61185E1C03D3A1624A2357239A0755
D963E938376495A77AE1C1E21E46BBF50E4B9
DD765592FF0601EB5DC9AAC538135D4FB9AA62A
256804916E266E942D763FBC3120F131B
4860A5F2A7738AA5F2A917337269EE40D84E28
C23A0835768D7227BC7F5EBF9AFC835B1222
Und ich garantiere euch Idioten einen völligen Misserfolg mit euren langen, sinnlosen Folgen sedezimaler Ziffern.
Dear Google User,
Ich weiß zwar nicht, wer du bist und kann dich deshalb auch nicht anreden, aber Google wirst du ja schon mal benutzt haben.
Attached to this e-mail is the notification of your winnings from the Google Incorporation, kindly view the attached document for your perusal.
Oh, tatsächlich, da hängt ja ein lustiges PDF dran. Ich habe mal wieder fast eine Million Pfund gewonnen, in so einer Lotterie, bei der niemand ein Los kaufen muss:
Ein bisschen unglaubwürdig ist das aber schon. Google scheint ja gar keinen Wert darauf zu legen, sein eigenes Firmenlogo in einer halbwegs ansprechenden Qualität auf einem derartigen Brief unterzubringen. Stattdessen so ein winziges, total verwaschenes Etwas, das auch ein paar JPEG-Artefakte hat, die beim Großziehen in diesem Strunzbrief auch noch so richtig schön vergrößert wurden. Das sieht dann in der normalen Dokumentansicht…
…so richtig scheiße aus. Vielleicht hätten die offenbar lobotomierten Spammer einfach mal Google fragen sollen. Dann hätten sie wahrscheinlich auch nicht die Version genommen, die Google seit dem 5. Mai 2010 nicht mehr verwendet. Na, wenigstens ist es kein noch älteres geworden.
Muss ich noch sagen, dass diese Mail nicht von Google kommt? Und dass da nur ein paar Betrüger leichtgläubigen Leuten das Geld aus der Tasche ziehen wollen. Den Gewinn gibt es natürlich nicht, aber dafür werden ein paar hundert Euro Vorleistungen aller Art fällig, immer schön anonym über Western Union und MoneyGram zu bewegen, damit dieses Geschmeiß auch ja nicht ins Gefängnis geht.
Congratulations.
GPA TEAM®
Ihr mich auch!
Ach, das mir auch immer tolle Rechnungen in das Postfach flattern? Wer ist da der (natürlich gefälschte) Absender? Oh, info (punkt) rafn (at) web (punkt) de, das muss ja ein toller Rechnungssteller sein, der eine kostenlose und anonym einzurichtende Mailadresse bei einem Freemailer verwendet! Schon scheiße, Spammer, wenn man so doof ist, dass man zwar die Absenderadresse fälscht, das Ergebnis aber dermaßen bescheuert gerät.
Online-Rechnung. 38757114296988
Idiot, das steht schon im Betreff. Und, was soll dieser Ziffernsalat? Glaubst du, dass das schon ausreicht, wenn man jemanden nicht persönlich ansprechen kann? So nach dem Motto: Da steht eine Ziffernfolge, die mir gar nichts sagt, damit bin bestimmt ich gemeint?
Sehr geehrte Damen und Herren,
Falls es jemand immer noch nicht bemerkt hat: Der Absender stellt eine „Rechnung“ an einen völlig Unbekannten, es handelt sich um eine Spam. Und wofür gibts die Rechnung? Aha…
Ihre Bestellung von Zusatzleistungen wurde erledigt.
…für eine erledigte Bestellung von Zusatzleistungen. Irgendwas halt. Man schreibt ja Rechnungen immer ganz unbestimmt, so dass sie beim Empfänger wie „Zahlen sie bitte grundlos 120 Euro“ klingen.
Ihre Rechnung ist im PDF-Format erstellt und mit einer digitalen Signatur versehen.
In der Tat, die Mail hat einen Anhang, und das scheint auch ein PDF zu sein. Leider hat der Idiot von Spammer nicht die tieferen Geheimnisse der MIME-Types verstanden und Content-type: text/plain angegeben, was bedeutet, dass dieser Anhang bei den meisten Menschen im Texteditor geöffnet wird. Das gibt in der Tat einen völlig neuen Einblick in ein PDF-Dokument. Ich würde allerdings strikt davon abraten, dieses PDF mit ein paar Tricks zu öffnen. Es enthält einen Exploit, der zur Installation einer aktuellen Kollektion von Schadsoftware führt.
Vermutlich werden die Spammer in der nächsten Welle dieser Drecksspam auch die technische Kleinigkeit hinbekommen, dass das PDF direkt aus der Mail geöffnet werden kann. Aber wer seine fünf Sinne beisammen hat, der käme niemals auf die Idee, in einer Spam herumzuklicken.
Ihr Vodafone Team
Vodafone D2 GmbH
Adresse: Am Seestern 5, 43706 Dusseldorf
Zentrale: Am Seestern 5, 43706 Dusseldorf
Nein, diese Mail kommt nicht von Vodafone, aber…
Hinweis: Dies ist eine automatisch versendete Nachricht.
…dafür ist wenigstens der abschließende Hinweis wahr. 😀
Hey Spammer,
ich finde es ja lobenswert, dass du dich mal hingesetzt und HTML gelernt hast. Du hast dir bestimmt gedacht: Das ist ja toll, dass ich meine Drecksmails auch ansprechend formatieren kann, das macht sie bestimmt gleich viel überzeugender und wirksamer:
Jetzt musst du nur noch eines lernen: Dieses Ding mit den Inhalten. Ein einfaches Wiederholen des Betreffs ist jedenfalls wenig als „Inhalt“ geeignet und wird niemanden dazu motivieren, auf den tollen Linktext „Here“ zu klicken. Weder, um deinem Skript mit der eindeutigen ID aus dem Link mitzuteilen, dass deine Drecksspam ankommt, noch, um sich auf deine betrügerische Pimmelpillen-Apotheke mit der lächerlichen Firmierung „Canadian Health&Care Mall“ weiterleiten zu lassen. Diese Dreckssite ist übrigens auch schon bei allen Filtern dieser Welt bekannt, so dass Menschen mit einem aktuellen Browser eine Warnung wegklicken müssen, bevor sie Viagra, Cialis und Levitra zu Gesicht bekommen.
Aber wenns auch völlig sinnlos ist, was du da treibst, unbekannter Idiot: Du hast wenigstens ein bisschen HTML gelernt.
Vielleicht fängst du damit ja mal was anderes an, als lächerliche Mailtexte aufwändig zu verpacken…
Dein dich lesen müssender
Nachtwächter
