Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

PERSONALLY FOR YOU

Mittwoch, 4. Juli 2012

01/07/2012

Nur, damit du nicht das Datum vergisst, wenns auch das von vorgestern ist.

Dear Friend,

Ich habe keine verdammte Ahnung, wer du bist, aber…

I am Capt. Anita Schrumm MS RD LD, USA MIL – MEDCOM -AMEDCS; I was Staff Dietitian at Walter Reed Army Medical Center, before I was deployed to Camp Arifjan Kuwait, from there to Camp Al-Tadamun Adhamiyah-Baghdad, presently am in Camp Gibraltar Afghanistan on national duties.

…ich bin ein Offizier der US-Streitkräfte, der schon überall im Einsatz war. Okay, in Wirklichkeit bin ich natürlich ein dummer Betrüger, aber das klingt nicht so gut, deshalb schreibe ich ein paar Lügen. Allerdings werde ich dir aus Sicherheitsgründen – ich muss ja sicher gehen, dass nur besonders leichtgläubige Deppen auf meine Spam reinfallen – noch nicht alle meine Lügen erzählen, sondern dich erstmal eine Meldung der BBC betrachten lassen:

For security reasons, I will ‚not‘ disclose certain information’s for now until you have accessed the BBC website stated below to enable you have an insight on what I intended sharing with you, which I am confident you can handle if we are able to come to an agreement.

http://news.bbc.co.uk/2/hi/middle_east/2988455.stm

Diese BBC-Meldung hole ich immer wieder mal gern hervor, zum Beispiel im Juni 2010 unter dem falschen Namen Capt. Scott J. Wilson oder kürzlich erst und übrigens ganz besonders „köstlich“ im April 2012 als Sgt. Kris Herbert. Bei meinen damaligen betrügerischen Mails kannst du auch jetzt schon nachlesen…

Kindly respond back to me after visiting the above website to enable us discuss further about the transaction.

…was für tolle Lügen ich dir noch alles erzählen werde, wenn du auf meine längst verbrauchte Betrugsnummer abfährst.

Please send your response to my private email account:
captaingraceschrumm1 (at) rediffmail (punkt) com

Bitte beantworte die Mail nicht, indem du auf Antworten klickst, denn mein Absender ist natürlich gefälscht.

Thanks,
Captain: Anita Schrumm MS RD LD

Danke
Dein Vorschussbetrugsdummspammer

Es ist ein Problem aufgetreten: Unsere Einzahlung eines Betrages von 15.000,00 Euro auf Ihr Bankkonto bei Sparkasse

Montag, 2. Juli 2012

Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!

Guten Tag,

Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.

im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.

Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.

Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.

Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…

Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.

Bestelldaten überprüfen

…klick auf meinen tollen Link!

Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.

Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…

Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.

…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.

Abteilung Rechnungswesen

Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.

Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:

Quelltext der kriminellen Zielseite dieser Spam

Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!

Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.

Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.

Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.

Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉

YouTube Service sent you a message: Your video on the TOP of YouTube

Montag, 2. Juli 2012

Hui, und sogar an die Mailadresse, mit der das YouTube-Konto wirklich registriert wurde! Und mit dem gefälschten Absender service (at) youtube (punkt) com! Warum „YouTube“ wohl nicht die Infrastruktur von Google, sondern einen Rechner mit dynamischer IP-Adresse eines polnischen Zugangsproviders für den Mailversand verwendet? Ach ja, weil das eine Spam ist, die mit einer besonders tollen Masche Menschen zum Klicken bringen will:

YouTube Service has sent you a message:

Your video on the TOP of YouTube
To: exxxxxxxr (at) googlemail (punkt) com

http://www.youtube.com/watch?v=27blU03a&feature=topvideos_mp

You can reply to this message by visiting your inbox.

Wer auf irgendeinen der Links klickt, kommt nicht etwa auf die Seiten von YouTube, sondern auf eine „kanadische Pimmelpillen-Apotheke“, die aber auch nur vordergründig ist. Während der Betrachter sich über diesen unerwarteten Anblick einige Sekunden lang wundert, läuft in einem unsichtbaren IFRAME eine recht umfassende Attacke auf den Browser ab. Wenn diese Erfolg hatte, hat man eine frische Sammlung von Schadsoftware auf seinem Rechner.

Deshalb klickt man eben nicht in Spams.

Wie hätte man die Spam erkennen können

Nicht jeder wird bei solchen Mails in den Mailheader schauen, um mit Hilfe eines whois-Tools festzustellen, dass es sich um eine Spam handelt. Auch, wer diese Mühe scheut, kann die Spam sicher erkennen

Sprache – YouTube würde mich in meiner eingestellten Sprache anmailen, die natürlich Deutsch ist.

Anrede – YouTube würde mich auch ansprechen, und zwar mit meinem bei YouTube gewählten Nick.

Videolink – YouTube weiß doch, wie ich das Video genannt habe, das da angeblich gerade so viel Aufmerksamkeit auf sich zieht. Deshalb würde in einer HTML-Mail von YouTube der Name des Videos verlinkt, den ich im Gegensatz zur URL des Videos leicht wiedererkenne.

Allein diese drei Kriterien sollten bereits ausreichen, um auf diese Masche nicht hereinzufallen. Es gibt aber noch einen vierten, ungleich stärkeren Beleg dafür, dass es sich bei dieser Mail um eine Spam handelt, den man ebenfalls vor jedem Klick sehen kann:

Links – Wenn der Mauszeiger über dem Link ist, wird in der Statusleiste der Mailsoftware (oder bei Webmailern: des Browsers) die Linkadresse sichtbar, ohne dass man darauf klicken muss, um die verlinkte Seite anzusurfen. Im Falle dieser Spam liegt die Linkadresse in der Domain pattours (punkt) net, was ganz sicher nicht die YouTube-Website ist. Das gilt auch für den angeblichen Link auf das Video, der ja zu YouTube führen soll. Solche „Tricksereien“ haben nur kriminelle Spammer nötig. Eine so verlinkte Website ist eine klare Empfehlung, einen ganz großen Bogen darum zu machen.

Ein kurzes Nachdenken und ein bisschen Vorsicht vor einem Klick kann einem eine Menge Ärger ersparen. Es ist noch nicht einmal technisches Wissen erforderlich, um diese Spam als solche zu erkennen und „artgerecht“ durch Löschung zu behandeln. Dieses kurze Nachdenken und Quäntchen Vorsicht empfiehlt sich besonders bei aufrüttelnden, spektakulären Mailinhalten wie etwa der Behauptung, dass sich gerade die halbe Welt wie verrückt ein Video auf YouTube anschaut. Denn das ist zumindest bei den Videos, die ich mal hochgeladen habe…

…mehr als nur ein bisschen unwahrscheinlich. 😉

Und das ist auch das fünfte Kriterium zur sicheren Erkennung der Spam – jedenfalls bei den meisten Empfängern dieses miesen kriminellen Versuchs.

User nachtwaechter

Sonntag, 1. Juli 2012

We guarantee you success with long device. http://www.dvepla.ru/

F5CFE3158E76785984D970B667278FC32F
D1F2CF988F7AF4251E1C6877BE866E41AE59
FA444063EC4B13CF2E22EE50A19B4E8B8CCEE2A8
57A35AE3F7D1A1F1B823E37E8E1709EDF456
8796192F937969CC85ACD5578616DC8
F30A3354421FBA13B847894AAC6DF86AEC0C61
5B1BE61185E1C03D3A1624A2357239A0755
D963E938376495A77AE1C1E21E46BBF50E4B9
DD765592FF0601EB5DC9AAC538135D4FB9AA62A
256804916E266E942D763FBC3120F131B
4860A5F2A7738AA5F2A917337269EE40D84E28
C23A0835768D7227BC7F5EBF9AFC835B1222

Und ich garantiere euch Idioten einen völligen Misserfolg mit euren langen, sinnlosen Folgen sedezimaler Ziffern.

Online-Rechnung. 38757114296988

Donnerstag, 28. Juni 2012

Ach, das mir auch immer tolle Rechnungen in das Postfach flattern? Wer ist da der (natürlich gefälschte) Absender? Oh, info (punkt) rafn (at) web (punkt) de, das muss ja ein toller Rechnungssteller sein, der eine kostenlose und anonym einzurichtende Mailadresse bei einem Freemailer verwendet! Schon scheiße, Spammer, wenn man so doof ist, dass man zwar die Absenderadresse fälscht, das Ergebnis aber dermaßen bescheuert gerät.

Online-Rechnung. 38757114296988

Idiot, das steht schon im Betreff. Und, was soll dieser Ziffernsalat? Glaubst du, dass das schon ausreicht, wenn man jemanden nicht persönlich ansprechen kann? So nach dem Motto: Da steht eine Ziffernfolge, die mir gar nichts sagt, damit bin bestimmt ich gemeint? :mrgreen:

Sehr geehrte Damen und Herren,

Falls es jemand immer noch nicht bemerkt hat: Der Absender stellt eine „Rechnung“ an einen völlig Unbekannten, es handelt sich um eine Spam. Und wofür gibts die Rechnung? Aha…

Ihre Bestellung von Zusatzleistungen wurde erledigt.

…für eine erledigte Bestellung von Zusatzleistungen. Irgendwas halt. Man schreibt ja Rechnungen immer ganz unbestimmt, so dass sie beim Empfänger wie „Zahlen sie bitte grundlos 120 Euro“ klingen. :mrgreen:

Ihre Rechnung ist im PDF-Format erstellt und mit einer digitalen Signatur versehen.

In der Tat, die Mail hat einen Anhang, und das scheint auch ein PDF zu sein. Leider hat der Idiot von Spammer nicht die tieferen Geheimnisse der MIME-Types verstanden und Content-type: text/plain angegeben, was bedeutet, dass dieser Anhang bei den meisten Menschen im Texteditor geöffnet wird. Das gibt in der Tat einen völlig neuen Einblick in ein PDF-Dokument. Ich würde allerdings strikt davon abraten, dieses PDF mit ein paar Tricks zu öffnen. Es enthält einen Exploit, der zur Installation einer aktuellen Kollektion von Schadsoftware führt.

Vermutlich werden die Spammer in der nächsten Welle dieser Drecksspam auch die technische Kleinigkeit hinbekommen, dass das PDF direkt aus der Mail geöffnet werden kann. Aber wer seine fünf Sinne beisammen hat, der käme niemals auf die Idee, in einer Spam herumzuklicken.

Ihr Vodafone Team

Vodafone D2 GmbH
Adresse: Am Seestern 5, 43706 Dusseldorf
Zentrale: Am Seestern 5, 43706 Dusseldorf

Nein, diese Mail kommt nicht von Vodafone, aber…

Hinweis: Dies ist eine automatisch versendete Nachricht.

…dafür ist wenigstens der abschließende Hinweis wahr. 😀

Strato Sehr geehrter User: Wir sind derzeit in Kontoführung Dienst tätig.

Dienstag, 26. Juni 2012

WICHTIGER HINWEIS AN EMPFÄNGER: Diese Mail kommt nicht von Strato. Sie ist ein Betrugsversuch. Bitte nicht darin herumklicken, sondern die Müll einfach löschen.

Sehr geehrter Abonnent, [sic!]

Wir sind derzeit in Rechnung Wartung [sic!] tätig.
Als Abonnent sind Sie verpflichtet, Ihre weitere Mitgliedschaft zu bestätigen.
Bei Nichtbeachtung Ihre weitere Mitgliedschaft bestätigen wird [sic!], um Service-Aufhängung [sic!] führen.

Klicken Sie hier, um sich anzumelden und in einem einfachen Schritt zu bestätigen.

BITTE BEACHTEN SIE: Dies ist eine Zwangsmaßnahme. Bei Nichtbeachtung Aktualisieren Sie Ihre Informationen werden anService-Aufhängung [sic!] führen
Danke [sic!]
Admin
Strato Admin Update ® [sic!]
Copyright © 2012

Eine unfassbar schlechte Phishing-Mail, die ich hier nur erwähne, weil ich Phishing auf Strato-Dienstleistungen bislang noch nicht gesehen habe. Gut, dass sie so schlecht ist, dass eigentlich niemand darauf hereinfallen kann, denn sonst hätten die Verbrecher demnächst jede Menge Webspace und Mailadressen zur Verfügung.

Strato wäre dennoch in meinen Augen gut beraten, einen auffälligen Hinweis auf das Phishing in seiner Website zu platzieren, um die letzten Zweifel bei einigen Empfängern der Mail zu zerstreuen. Ein solcher Hinweis fehlt zurzeit (26. Juni, 16.12 Uhr) noch. Ich weiß allerdings nicht, ob Strato seine Kunden nicht per E-Mail kontaktiert hat oder über einen anderen Weg aufklärt.

Try HQ Medications Online

Dienstag, 26. Juni 2012

Hey Spammer,

ich finde es ja lobenswert, dass du dich mal hingesetzt und HTML gelernt hast. Du hast dir bestimmt gedacht: Das ist ja toll, dass ich meine Drecksmails auch ansprechend formatieren kann, das macht sie bestimmt gleich viel überzeugender und wirksamer:

Try HQ Medications online Here

Jetzt musst du nur noch eines lernen: Dieses Ding mit den Inhalten. Ein einfaches Wiederholen des Betreffs ist jedenfalls wenig als „Inhalt“ geeignet und wird niemanden dazu motivieren, auf den tollen Linktext „Here“ zu klicken. Weder, um deinem Skript mit der eindeutigen ID aus dem Link mitzuteilen, dass deine Drecksspam ankommt, noch, um sich auf deine betrügerische Pimmelpillen-Apotheke mit der lächerlichen Firmierung „Canadian Health&Care Mall“ weiterleiten zu lassen. Diese Dreckssite ist übrigens auch schon bei allen Filtern dieser Welt bekannt, so dass Menschen mit einem aktuellen Browser eine Warnung wegklicken müssen, bevor sie Viagra, Cialis und Levitra zu Gesicht bekommen.

Aber wenns auch völlig sinnlos ist, was du da treibst, unbekannter Idiot: Du hast wenigstens ein bisschen HTML gelernt.

Vielleicht fängst du damit ja mal was anderes an, als lächerliche Mailtexte aufwändig zu verpacken… :mrgreen:

Dein dich lesen müssender

Nachtwächter

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.