Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „JavaScript“

Amazon Konto Verifikation!

Freitag, 5. Juni 2015

Diese Mail fällt nicht nur wegen ihres doofen Betreffs auf, sondern auch dadurch, dass 461 Mailadressen als Empfänger eingetragen sind, was natürlich den gewünschten Eindruck von „Amazon schreibt mich an, weils ein Problem mit meinem Account gibt“ zerstört. Die tiefere Bedeutung der Header-Zeile BCC muss sich der Spammer noch einmal von einem Achtjährigen erklären lassen.

Der Text ist dann auch genau so doof, wie es diese Mail schon auf dem ersten Blick verspricht:

Hallo lieber Amazon User ,
Sie müssen eine Verifikation Durchführen , weil leider alle Amazon
Daten Verloren Gingen.
Wir bitten sie auf der Angegebenen Webseite ( Siehe Unten ) , Den Link
zu öffnen , und sich dort einzuloggen und ihre daten erneut ein zu
geben.

Der Link zur Verifikation:
http://amzn.co.at/index/?[ID entfernt]

Mit Freundlichen Grüßen,
Ihr Amazon CO Team.

So so, leider sind alle Amazon-Daten verlorengegangen… 😀

Gut, dass darauf niemand reinfallen kann, weil es so krachend dumm ist!

Die verlinkte Website „verzichtet“ auf normales HTML und erzeugt ihre „Inhalte“ aus mit Javascript entschlüsselten, zuvor verschlüsselten Daten. 😯

Das ist natürlich ein bisschen… verdächtig, denn ein Phisher brauchte sich niemals solche Mühe zu geben. Mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich hier um einen Versuch, dem Besucher Schadsoftware zu installieren. Ich bin gerade viel zu unmotiviert, die vorsätzlich kryptischen Methoden zu analysieren, um nachzuschauen, was genau getan wird und ob es am Ende wenigstens zum Schein noch eine Phishing-Seite gibt und begnüge mich mit der Einsicht, dass dumm formulierte und technisch mies gemachte Phishing-Spams zurzeit manchmal auf perfide ausgearbeitete und wahrscheinlich hochinfektiöse Seiten führen. Oder: Auch den scheinbar dümmsten Spammer darf man nie unterschätzen.

Und deshalb klickt man niemals, niemals, niemals in eine Spam – und erlaubt auch generell nicht jeder dahergelaufenen Website die Ausführung von Javascript-Code im Browser. Ein Browser-Addon wie NoScript ist eine unverzichtbare Sicherheitssoftware, die derartige Angriffe an der Wurzel verhindert, selbst, wenn die Schadsoftware so aktuell sein sollte, dass der Virenscanner keine Chance hätte.

Diese Spam aus dem Beklopptenbrutschrank des Internet ist ein Zustecksel meines Lesers E.T.

Elias Schwerdtfeger new incoming video mail outbreaks

Donnerstag, 4. Juni 2015

Screenshot der Spam mit dem Text 'new incoming video mail', einem nicht funktionierendem Link 'Description', ein paar völlig sinnfreien technischen Angaben und einem großen, grünen Button 'Play' von '© 2015 All Rights Reserved'

Oh, eine Videomail über das Videomailsystem der bekannten Firma „All Rights Reserved“. Sehr überzeugend! 😀

Wer bei dieser Spam auf „Play“ klickt, hat verloren.

Der Link auf dem „Play-Button“ führt zunächst auf eine nicht vorhandene Unterseite eines offenbar von Crackern übernommenen russischsprachigen Blogs, dort gibt es – offenbar konnten die Cracker den Webserver konfigurieren und eine eigene Fehlerseite hinterlegen – eine vollständig sinnlose Seite (so etwas habe ich schon öfter gesehen), deren einziger Zweck eine Javascript-Weiterleitung auf eine andere Seite ist. Die Spammer haben sich übrigens die Mühe gemacht, jedesmal anderes Javascript und andere „Inhalte“ auszuliefern, um eine automatische Erkennung ihrer kriminellen Sabotageversuche zu unterbinden.

Nach ein paar weiteren Weiterleitungen gibt es einen… ähm… „kostenlosen Sicherheitscheck“ des verwendeten Browsers und aller seiner Addons von Schwerkriminellen, die auf neuestem technischen Stand sind. Wenn dabei irgendeine ausbeutbare Lücke gefunden wurde, dann steht hinterher ein Computer anderer Leute auf dem Schreibtisch.

Wer auf einen derartigen Link geklickt hat, sollte sich unbedingt auf einem sauberen Computer das bootfähige Image des Antivirus-Unternehmens seiner Wahl herunterladen, damit eine DVD brennen oder einen bootfähigen Speicherstick machen, den Computer damit hochfahren und das System überprüfen, ohne das überprüfte Betriebssystem selbst zu verwenden. Am sichersten ist es, den möglicherweise infizierten Rechner ein, zwei Tage lang gar nicht zu benutzen, damit eventuell installierte Schadsoftware gegen aktualisierte Signaturen geprüft werden und erkannt werden kann.

Wichtiger Hinweis zum Selbstschutz: Ein effizienter und im Gegensatz zu Antivirus-Schlangenölen – die ja immer nur gegen bereits bekannte Schadsoftware helfen – hochwirksamer Schutz gegen derartige Machenschaften ist es, wenn man nicht jeder Website das Ausführen von Javascript gestattet. Das Browser-Addon NoScript ist eine unverzichtbare elementare Sicherheitssoftware, die jeder Webnutzer installieren sollte. Es ermöglicht in bequemer Weise, Javascript nur für diejenigen Websites freizuschalten, denen man vertraut. Eine derartige Überrumpelung wird damit an der Wurzel unterbunden, und nicht erst, wenn Schadcode auf dem Rechner gelangt ist – und wenn derartige „Benachrichtigungen“ einmal besser gemacht werden, kann diese Art von Spam sehr gefährlich sein.

Die geniale HTML-Mail des Tages…

Donnerstag, 16. Oktober 2014

Eine HTML-formatierte Spam, die nur einen kontrastarmen, gelben Linktext 'Pill Shop' auf weißem Hintergrund enthält

Ohne Worte.

Lustig ists übrigens auch, was mir die so verlinkte Seite einer Betrugsapotheke (die hauptsächlich angebliche Pillen für die Härtung des Schwellkörpers anbietet) mitzuteilen hat:

Canadian Pharmacy -- Entschuldigen, wir können ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist! KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

Entschuldigen, aber ihr habt doch meine Anfrage bearbeitet. Nur, um mir eine Meldung anzuzeigen, dass ich sinnvolle Sicherheitseinstellungen¹ im Browser lockern soll. Einen Teufel werde ich tun!

¹Übrigens, die ganzen kommerziellen Websites, die ohne technischen und/oder sachlichen Grund immer mehr JavaScript verbasteln und die immer häufiger ohne freigeschaltetes JavaScript nicht mehr zu benutzen sind, fördern die organisierte Kriminalität im Internet.

Elias Schwerdtfeger 1 messages marked as unread interpol

Dienstag, 5. August 2014

Wichtiger Hinweis vorweg: Diese E-Mail kommt nicht von Facebook. Es handelt sich um eine ziemlich gefährliche Spam.

Facebook-Logo -- Here's some activity you may have missed -- 1 Messages marked as unread -- Button: View Messages, Button: See all notifications -- The message was send to xxx. If you don't want to receive these messages in the future, please unsubscribe

Anders, als man auf den ersten Blick meinen möchte, geht es hier nicht um Phishing.

Es ist völlig gleichgültig, ob man auf die ungelesene Nachricht, auf „View Messages“, auf „See All Notifications“ oder „unsubscribe“ klickt. Alle Links führen auf die selbe URL, und zwar auf eine hochgeladene PHP-Datei in einer mutmaßlich gecrackten WordPress-Installation eines unbeteiligten Dritten.

Wer darauf klickt, bekommt dafür… ähm… einen kostenlosen, in JavaScript, Java, Flash, präparierten PDF-Dokumenten und missbrauchtem CSS gecodeten Sicherheitscheck seines Browsers, seiner Plugins und seines Betriebssystems. Wenn diese automatische Überprüfung des Computers durch Kriminelle eine ausbeutbare Lücke zeigt, steht hinterher ein Computer anderer Menschen auf dem Schreibtisch, und was dieses Pack dann damit anfängt, kann keinem gefallen. Da es sich um sehr aktuelle Schadsoftware handelt, dürften die meisten Antivirus-Schlangenöle bei der Erkennung versagen.

Deshalb ist es wichtig, solche Spam als Spam zu erkennen. Es gibt hier mehrere Punkte, die sofort Verdacht erwecken sollten, obwohl es eine Ansprache mit korrektem Namen gab:

  1. Die Sprache stimmt nicht. Wenn ich bei Facebook wäre – was ich allein deshalb nicht bin, weil Facebook in seiner Aufbauphase versucht hat, neue Nutzer mit asozialer und illegaler Spam anzuwerben – dann würde ich natürlich Deutsch einstellen und bekäme derartige Mail von Facebook auch in Deutsch.
  2. Die (gefälschte) Absenderadresse liegt nicht in der Domain von Facebook. Das war sehr dumm vom Spammer und hat es möglich gemacht, diesen Dreck sicher als Spam zu erkennen, ohne lange hineinzuschauen.
  3. Wenn man mit der Maus über einen der Links geht, sieht man in der Statuszeile seiner Mailsoftware, wo der Link hinführt. Dabei wird sofort klar, dass es kein Link in die Website von Facebook ist. Und das sollte bei so einer Mail sämtliche Alarmglocken klingeln lassen. Ein kleiner Blick auf die Statuszeile vor der Klick auf einen Link ist sehr wichtig, denn eine Fahrt ins Blaue macht nur in einem Umfeld Spaß, in dem es nicht derartige Verbrecher gibt.

Darüber hinaus verhindert die Verwendung des Browser-Addons NoScript derartige Angriffe an der Wurzel, indem die Ausführung aktiver Inhalte (JavaScript, Plugins) unterdrückt wird. Der relativ geringe Aufwand, einige vertrauenswürdige Websites einmalig freizuschalten, mag zwar nerven, aber zur Belohnung dafür gibt es ein Maß an zusätzlicher Browsersicherheit, das durch kein Antivirus-Schlangenöl erreicht werden kann. Mit Leichtigkeit kann wochen- oder gar monatelanger Ärger durch Datenverluste, Erpressungsversuche, überwachtes und manipuliertes Online-Banking, Missbrauch des Computers und der Internetleitung für kriminelle Aktivitäten und Spamversand und dergleichen vermieden werden. Die Installation von NoScript im Browser ist – neben der Verwendung eines wirksamen Adblockers – eine elementare Sicherheitsmaßnahme, wesentlich wichtiger und wirksamer als ein so genannter Virenscanner. Die Frage, warum eine derart wichtige Funktionalität nicht zum Standardumfang gehört¹, stellen sie bitte dem Browserhersteller ihres Vertrauens! Aber nicht darüber wundern, dass man beim von halbseidenen Reklame- und Tracking-Firmen wie Google finanzierten Firefox-Projekt ganz andere Vorstellungen hat, auch wenn das auf Kosten der Computersicherheit der Nutzer geht.

¹In früheren Opera-Versionen konnte man etwa relativ bequem JavaScript ausschalten und seitenspezifisch wieder einschalten.

Fax sendebericht

Montag, 23. Juni 2014

Klar, ein „sendebericht“, was denn sonst. Klingt ja auch viel hübscher als „Müll spam“. Und Wunder der Technik! Dieser Spammer kann nicht nur das Substantiv nicht groß schreiben, er kann auch HTML-Tabellen in einer HTML-formatierten Mail setzen und damit fast vergessen machen, was für ein komisches Datum doch dieser Tag mit der Bezeichnung 23/14 ist. Das kann nicht jeder:

Fax sendebericht
S-Nr. 73404451
Modus Standard
Datum/Uhrzeit 23/14 12:22
Fax-nr./Name +49 4731 9174 xxx
U.-Dauer 00:01:52
Seite(n) 2
Download

Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.

[Die angebliche Faxnummer habe ich unkenntlich gemacht.]

Letztere Zusicherung ist besonders nett, denn man weiß ja nie bei krimineller Spam, ob da nicht irgendeine Seuche dranhängt. Und vor allem ist sie so glaubwürdig! :mrgreen:

Was der Spammer allerdings möchte, ist, dass möglichst viele Empfänger auf den Link „Download“ klicken. Ich weiß nicht in jeder Einzelheit, was man sich auf den von diesen freundlichen Internetkriminellen gestalteten Websites noch alles so einfangen kann, aber die besondere Kunst, in der man durch eine Kaskade von verschiedenen Seiten geleitet wird, dokumentiere ich gern mit einem Schnippselchen des HTML-Quelltexts in Form eines Screenshots meines Editors¹:

Screenshot meines Editorfensters mit einer äußerst verdächtigen Weise, JavaScript zu benutzen

Wer kein Javascript lesen kann: Hier werden Variablen mit sehr kryptischen Namen jeweils mit Zeichenketten aus einem einzigen Zeichen belegt, und welches Zeichen verwendet wird, ist jeweils in einer Exklusiv-Oder-Verknüpfung der einzelnen Bits zweier Ganzzahlen gecodet. Aus den so belegten Variablen wird dann zusammengesetzt, wohin der Browser gehen soll – wenn man denn die Ausführung von Javascript gestattet².

Die so interessant verborgene Fahrt ins Blaue geht übrigens zur URL http (doppelpunkt) (doppelslash) ildragodeicomputer (punkt) com (slash) reserved (slash) fax (underline) 23 (strich) 06 (strich) 2014 (strich) TX6381A7481 (punkt) zip. Es handelt sich um ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt; eine Datei übrigens, die mit ihrem Piktogramm versucht, wie ein PDF auszusehen und damit den Spamempfänger irrezuführen – tja, und wer dieses von Verbrechern zugestellte Programm ausführt, der hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm nützt nichts, es handelt sich – wie immer bei solchen Innovationen in der Durchführung – um hochaktuelle Schadsoftware, die zurzeit von deutlich weniger als zehn Prozent der gängigen Antivirus-Programme erkannt wird. Der eingebaute Virenschutz im Gehirn hingegen, der solche Spam klar als Spam erkennt und einfach unbeklickt löscht, der schützt immer zu hundert Prozent. Oder, um es noch einmal ganz deutlich zu sagen: Antivirus-Programme sind Schlangenöl.

Aber zum Glück hat ja hoffentlich jeder gemerkt, dass diese Mail nicht von seinem Faxempfangsgerät kam…

¹Dass ich mir nicht gerade mit einem aufgeplusterten grafischen Browser anschaue, wohin die Reise geht, sondern mir zuvor den Quelltext lieber mit lynx abhole, um einen genauen Blick darauf zu werfen, liegt ganz einfach an meiner Paranoia, wann immer ich es mit den Machwerken von Leuten aus der organisierten Internet-Kriminalität zu tun habe. Wer nicht weiß, wie man sich schützen kann – und nein: ein Antivirus-Programm und eine so genannte personal firewall sind kein Schutz – sollte gar nicht erst darüber nachdenken, in eine Spam zu klicken! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert.

²Eine Website das Ausführen von Javascript zu gestatten, ist ein Privileg, mit dem man unbedingt geizen sollte. Beinahe alle ausbeutbaren Sicherheitslücken der letzten Jahre standen im Zusammenhang mit Javascript – und eine Website, die ohne Javascript nichts mitzuteilen hat, liefert mit Javascript im Regelfall auch nur entbehrlichen „Content“. Die Installation des Addons NoScript ist eine wichtige Sicherheitsmaßnahme, die ein großes Sicherheitsproblem an der Wurzel bekämpft.

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

Facebook: Abo&Addbörse<3

Freitag, 9. August 2013

Was es mit der Gruppe Abo&Addbörse<3 (und ähnlichem Bullshit) auf Facebook auf sich hat, die durch JavaScript-Schadsoftware so schnell wächst und ganz viele Leute dazu bringen will, vorsätzlich unverständlich formuliertes JavaScript im Browser auszuführenWARNUNG: Diese archivierte Seite der Spammer enthält eine nicht empfehlenswerte Anleitung und möglicherweise gefährlichen JavaScript-Quelltext, den man auf gar keinen Fall im Browser ausführen sollte – das lest bitte bei Mimikama weiter.

Ich kann generell nur davor warnen, den Code anderer Leute im Browser auszuführen – vor allem, wenn er auch für einen geübten Leser nur schwer verständlich ist. Egal, was für Versprechungen diese Leute machen. Die Vorstellung, dass es da draußen wirklich Menschen gibt, die für von Spammern versprochene 4.500 Abonnenten jeden Verstand abzuschalten scheinen und Dinge tun, die sie selbst nicht verstehen können und dass sie sich dabei mindestens selbst zu Spammern machen, die ihre „Freunde“ in eine Spam-Gruppe stecken, ist gruselig. Aber wenn der Account dann geownt ist, dann ist das Klagen laut…

Sparkasse Konto Nachrichten

Mittwoch, 29. Mai 2013

Ich hätte aber lieber die Sportnachrichten. :mrgreen:

Schlechtes Phishing

Angeblicher Absender dieser Mail ist onlinedat (at) sparkasse (punkt) de. Natürlich ist der Absender gefälscht und diese Mail kommt nicht von der Sparkasse. Die Sparkasse würde auch kaum ihre Kunden mit einer Mail anschreiben, die sie über einen in den USA gemieteten Server versendet.

Sehr geehrter Kunde,

Ja, manchmal bin ich Kunde. Zum Beispiel, wenn ich ein Brot kaufe.

Ihr Online-Banking-Konto wurde eingeschrankt

Huch! Und warum das? Und unter welchem Namen führe ich das Konto? Mit welcher Kontonummer? Bei welchem Kreditinstitut? Und seit wann heißt das Produkt dieses Kreditinstutes „Online-Banking-Konto“? Und warum gibt es keine Umlaute?

Klicken Sie auf den folgenden Link, um alle blockierten Zugriff [sic!] wiederherzustellen.

Anmelden

Und ja nicht darüber wundern, dass der Link gar nicht zur Sparkasse geht! Und bloß nicht die Frage stellen, warum die Sperrung eines Kontos aufgehoben wird, wenn man „der Sparkasse“ lauter Dinge sagt…

Screenshot der Phishing-Seite

…die die Sparkasse schon längst weiß! Einfach einen notdürftig als „Kontoupdate“ verlarvten Datenstriptease machen und an die organisierte Kriminalität weiterleiten! Nicht darüber wundern, dass die zwar vom „Online-Banking-Konto“ sprechen, aber die Daten einer Kreditkarte haben wollen!

Au weia, Phisher, früher habt ihr euch aber auch mehr Mühe gegeben…

Customer Care Account Dept.
© sparkasse.de 2013 Alle Rechte vorbehalten.

Nein, der miese Phish ist nicht alles

Was in diesem Zitat übrigens untergeht: Damit ist die Mail noch lange nicht zu Ende. Der Spammer scheint nämlich der Meinung zu sein, dass eine HTML-Mail erst dann so richtig HTML wird, wenn da auch noch eine Menge aus normaler Lesersicht zunächst völlig unsichtbares JavaScript dranhängt, und so hat er sich entschlossen, die folgenden Skriptversuche zu machen:

Auszug aus dem Quelltext der Spam

Der im Screenshot sichtbare Bereich macht ungefähr ein Viertel des gesamten Codeumfangs aus.

Natürlich wird ein vernünftig konfigurierter Mailclient niemals JavaScript in einer E-Mail ausführen. Aber dieses kleine Beispiel aus der täglichen Spamhölle zeigt einmal mehr, warum man gar nicht vorsichtig genug sein kann, wenn man es mit Spam zu tun hat und warum man auch lächerliche Spam niemals unterschätzen darf. Hier sollen JavaScript-Fragmente von allen möglichen Stellen im Internet abgeholt und lokal ausgeführt werden. Es ist davon auszugehen – nein, ich habe mir das jetzt nicht in allen seinen blutigen Einzelheiten angeschaut – dass auf diesem Wege versucht wird, aktuelle Schadsoftware zu installieren.

Und deshalb benutzt man einen vernünftig konfigurierten Mailclient (ich empfehle „normalen“ Anwendern den Thunderbird, und zwar immer auf aktuellem Stand), bei dem in der Standardkonfiguration die Ausführung solcher Versuche vollkommen auszuschließen ist. Ich weiß gar nicht, mit welcher Software oder mit welchem Webmailer ein derartiger Angriff erfolgversprechend wäre. Aber es muss dermaßen unsichere Software geben, sonst gäbe es nämlich diese Spam nicht. Die Verbrecher sind, was solche Dinge betrifft, auf dem neuesten Stand. Sie leben davon.

Angesichts der Tatsache, dass das Phishing geradezu lächerlich schlecht ist, vermute ich sogar, dass eine im Hintergrund laufende Installation von Schadsoftware der eigentliche Zweck dieser Mail ist – und das Phishing eher eine Nebensache, gar nicht so wichtig für die Absender. Ein Empfänger mit verwundbarer Mailsoftware sieht diese Spam, schaut eine Sekunde drauf, lacht womöglich noch darüber, löscht sie und vergisst sie… und ist damit bereits infiziert.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.