Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „JavaScript“

Sparkasse Konto Nachrichten

Mittwoch, 29. Mai 2013

Ich hätte aber lieber die Sportnachrichten. :mrgreen:

Schlechtes Phishing

Angeblicher Absender dieser Mail ist onlinedat (at) sparkasse (punkt) de. Natürlich ist der Absender gefälscht und diese Mail kommt nicht von der Sparkasse. Die Sparkasse würde auch kaum ihre Kunden mit einer Mail anschreiben, die sie über einen in den USA gemieteten Server versendet.

Sehr geehrter Kunde,

Ja, manchmal bin ich Kunde. Zum Beispiel, wenn ich ein Brot kaufe.

Ihr Online-Banking-Konto wurde eingeschrankt

Huch! Und warum das? Und unter welchem Namen führe ich das Konto? Mit welcher Kontonummer? Bei welchem Kreditinstitut? Und seit wann heißt das Produkt dieses Kreditinstutes „Online-Banking-Konto“? Und warum gibt es keine Umlaute?

Klicken Sie auf den folgenden Link, um alle blockierten Zugriff [sic!] wiederherzustellen.

Anmelden

Und ja nicht darüber wundern, dass der Link gar nicht zur Sparkasse geht! Und bloß nicht die Frage stellen, warum die Sperrung eines Kontos aufgehoben wird, wenn man „der Sparkasse“ lauter Dinge sagt…

Screenshot der Phishing-Seite

…die die Sparkasse schon längst weiß! Einfach einen notdürftig als „Kontoupdate“ verlarvten Datenstriptease machen und an die organisierte Kriminalität weiterleiten! Nicht darüber wundern, dass die zwar vom „Online-Banking-Konto“ sprechen, aber die Daten einer Kreditkarte haben wollen!

Au weia, Phisher, früher habt ihr euch aber auch mehr Mühe gegeben…

Customer Care Account Dept.
© sparkasse.de 2013 Alle Rechte vorbehalten.

Nein, der miese Phish ist nicht alles

Was in diesem Zitat übrigens untergeht: Damit ist die Mail noch lange nicht zu Ende. Der Spammer scheint nämlich der Meinung zu sein, dass eine HTML-Mail erst dann so richtig HTML wird, wenn da auch noch eine Menge aus normaler Lesersicht zunächst völlig unsichtbares JavaScript dranhängt, und so hat er sich entschlossen, die folgenden Skriptversuche zu machen:

Auszug aus dem Quelltext der Spam

Der im Screenshot sichtbare Bereich macht ungefähr ein Viertel des gesamten Codeumfangs aus.

Natürlich wird ein vernünftig konfigurierter Mailclient niemals JavaScript in einer E-Mail ausführen. Aber dieses kleine Beispiel aus der täglichen Spamhölle zeigt einmal mehr, warum man gar nicht vorsichtig genug sein kann, wenn man es mit Spam zu tun hat und warum man auch lächerliche Spam niemals unterschätzen darf. Hier sollen JavaScript-Fragmente von allen möglichen Stellen im Internet abgeholt und lokal ausgeführt werden. Es ist davon auszugehen – nein, ich habe mir das jetzt nicht in allen seinen blutigen Einzelheiten angeschaut – dass auf diesem Wege versucht wird, aktuelle Schadsoftware zu installieren.

Und deshalb benutzt man einen vernünftig konfigurierten Mailclient (ich empfehle „normalen“ Anwendern den Thunderbird, und zwar immer auf aktuellem Stand), bei dem in der Standardkonfiguration die Ausführung solcher Versuche vollkommen auszuschließen ist. Ich weiß gar nicht, mit welcher Software oder mit welchem Webmailer ein derartiger Angriff erfolgversprechend wäre. Aber es muss dermaßen unsichere Software geben, sonst gäbe es nämlich diese Spam nicht. Die Verbrecher sind, was solche Dinge betrifft, auf dem neuesten Stand. Sie leben davon.

Angesichts der Tatsache, dass das Phishing geradezu lächerlich schlecht ist, vermute ich sogar, dass eine im Hintergrund laufende Installation von Schadsoftware der eigentliche Zweck dieser Mail ist – und das Phishing eher eine Nebensache, gar nicht so wichtig für die Absender. Ein Empfänger mit verwundbarer Mailsoftware sieht diese Spam, schaut eine Sekunde drauf, lacht womöglich noch darüber, löscht sie und vergisst sie… und ist damit bereits infiziert.

Konto-Status

Donnerstag, 2. Mai 2013

Leer?

PayPal

Ach nein, die schon wieder. Heute sogar mit Link auf die richtige PayPal-Seite, weil das Phishing stattfindet, indem man den Anhang im Browser öffnet, ausfüllt und die Daten an Verbrecher sendet. Allerdings hat diesmal – anders als noch vor ein paar Wochen – auch der Deutschexperte der Phisher einen Blick auf den Text geworfen und den gröbsten Sprachmüll daraus entfernt.

Lieber PayPal Kunde,

Lieber Unbekannter,

Aufgrund der jüngsten betrügerischen Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

wir nennen uns PayPal. Und wir haben eine technische Änderung durchgeführt. Wir haben jetzt ein neues Online-Sicherheitssystem, das funktioniert, indem man eine Mailadresse und ein Passwort eingibt – also genau so wie das alte.

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Und weil wir so eine große, unwälzende und vor allem fantastische technische Änderung gemacht haben, haben sie ein Problem und bekommen von uns das Angebot, etwas tun zu müssen. Tatsache ist, dass das eine der dümmsten „Begrüdungen“ ist, die mir als Phisher einfallen konnten. Oder sind sie schon einmal mit ihrem Personalausweis zur Sparkasse gegangen, weil dort eine interne Software angepasst wurde? :mrgreen:

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung.

Auch mein Deutschexperte weiß leider nicht, wie man in einigermaßen verständlichen und wohlklingendem Deutsch beschreibt, dass die Mail einen Anhang hat. Er ist halt genau so ein Experte wie ich und…

Bitte laden Sie das Formular aus, rufen Sie über Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

…deshalb der Meinung, dass „ausladen“ der richtige Terminus für das Speichern eines Mailanhanges ist.

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dassJavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox).

Ich bin ja selbst so ein Spezialexperte. Deshalb habe ich das Wort „JavaScript“ mit dem Download-Link auf die Laufzeitumgebung für Java verlinkt. Das klingt so ähnlich, und ich habe mir leider nicht genug technisches Verständnis angeeignet, um eine im Browser laufende Skriptsprache von einer plattformunabhängigen Programmiersprache unterscheiden zu können. Das macht aber nichts, denn wer meiner holprig formulierten Spam Glauben schenkt, der weiß so etwas auch nicht.

Warum das mit dem JavaScript so wichtig ist? Na, weil ich lieber nicht direkt in das angehängte HTML-Formular reinschreibe, wo die eingegebenen Daten schließlich hingehen. Solche Betrugsseiten sind ja sonst in Windeseile bei jedem Spamfilter dieser Welt bekannt, und mein Betrugsversuch käme gar nicht mehr bei den Opfern an. Stattdessen drücke ich mich lieber ein bisschen indirekter aus:

Ausschnitt aus dem Anhang der Spam mit verborgener Zieladresse für das HTML-Formular

Wer das „dechiffriert“, stellt fest, dass die Daten nicht an PayPal gehen, sondern an die URL http (doppelpunkt) (doppelslash) familyaffair (punkt) co (punkt) za (slash) admin (slash) logout.php in der TLD Sambias. Da hat mein krimineller Kollege von den Crackern nebenan eine Sicherheitslücke ausgenutzt und diesen Server verwenden wir jetzt eben nach Herzenslust für unsere kriminellen Geschäftchen.

[Den Betreiber der Website habe ich eben mit einer Mail unterrichtet. Ich hoffe mal vorsichtig, dass der Mailserver dort nicht auch kompromittiert ist und dass nur eine Sicherheitslücke im dort verwendeten CMS für den Upload einer Datei ausgenutzt werden konnte.]

Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Nachdem sie sich nicht darüber gewundert haben, dass „PayPal“ lauter Daten von ihnen wissen will, die PayPal längst weiß und deshalb brav alle Daten zu Kriminellen übermittelt haben, wird ihr PayPal-Konto so gut funktionieren, wie es vorher auch funktioniert hat.

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit.
Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Wir tun höflich und sind Phishing-Arschlöcher.

Mit freundlichen Grüßen,
PayPal-Team.

Mit mechanischem Lächeln
Dein Phishing-Dummspammer

Copyright © 1999-2013 PayPal. Alle Rechte vorbehalten.

Natürlich wird für jede E-Mail ein Urheberrecht deklariert. Einfach, weil das so irre beeindruckend klingt. Und so professionell.

PayPal (Europe) S.à r.l.et Cie, S.C.A.
Société en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Nein, PayPal hat mit der Mail nichts zu tun…

Dieses kleine Meisterwerk des Phishings ist eine Einsendung von I. M.-S., die es nicht nur mit Mails versteht, eine einfache Spamdose sehr glücklich zu machen. Danke nochmal.

Wichtige Meldung: Ihr Konto ist gefährdet

Mittwoch, 13. März 2013

„Gefährdete Konten“ klingt fast so wie „Vom Aussterben bedrohte Tierarten“. :mrgreen:

Der gefälschte Absender der Mail ist info (punkt) asc (at) ing (strich) diba (punkt) de, und natürlich kommt diese Mail nicht von der Bank, sondern von einem kriminellen Phisher.

Sehr geehrter Kunde

Wir haben vor kurzem erkannt das bei ihrem ING-DiBa Konto ein Problem aufgetreten ist.

Wir haben keine Ahnung, wie sie heißen und nennen sie einfach Kunde. Vielleicht heißen sie ja so. Vor kurzem haben wir bei ihrem Konto, das bedauerlicherweise genau so wenig eine Nummer hat wie unsere Empfänger einen Namen haben, ein Problem festgestellt, zu dem wir auch nichts nähreres sagen können. Und weil unsere buchhalterischen Probleme bei Problemen mit dem Konto immer von Herrn und Frau Kunde behoben werden müssen, wollen wir sie mechanisch freundlich darum bitten, uns jede Menge Daten zu geben, die ihre Bank doch schon längst kennt. Weil…

Da bei ING-DiBa Sicherheit groЯgeschrieben wird und wir ihr Konto vor unbefugter Nutzung schьtzen

…wir nicht einmal wissen, wie man „groß“ schreibt; keine Ahnung haben, wie man mit einer russischen Tastatur diese lustigen deutschen Sonderzeichen in eine HTML-formatierte Mail bekommt und auch gerade keinen Dreizehnjährigen mit guten Computerkenntnissen zu Hand haben, der uns mal erklärt, was eine HTML-Entity ist. Solche technischen Grundlagen interessieren uns auch nicht weiter, schließlich wollen wir nur spammen.

Und unser Deutschbeauftragter ist auch gerade ins Wodka-Koma gefallen:

wollen haben wir ihnen eine E –Mail geschickt bitte laden sie das darin enthaltende
Formular und melden sie sich erneut an um
fortfahren zu kцnnen.

Gemeint ist hier der Anhang. Dieser ist eine HTML-Datei mit einem HTML-Formular, das seine Zieladresse hinter einem bisschen JavaScript versteckt, damit der rottige Domainname auch durch die Spamfilter flutscht. Natürlich ist es nicht die Domain der Bank, sondern silairazum (punkt) ru. Wegen dieses Tricks muss die HTML-Datei auch in einem Browser geöffnet werden, und aktiviertes JavaScript haben richtige Opfer sowieso.

Natürlich ist die Seite wie immer „liebevoll“ nachgebaut…

Screenshot der betrügerischen Seite aus dem Dateianhang

…also genau richtig, um Kunden von denjenigen Unternehmen zu überrumpeln, deren von Technik und Internetsicherheit völlig unbeleckte Kaufleute und sonstigen professionellen Lügner auf fälschbares Design setzen, aber auf fälschungssichere digital signierte E-Mail verzichten. Da freuen sich die Kunden dann auch, wenn sie stilecht zur Login-Seite eines Phishers die Warnung vor Phishing sehen können. 😈

Mit freundlichen GrьЯen
ING-DiBa Kundenbetreuung

Warum diese Mailanhänge?

Die Phishing-Spam mit angehängten HTML-Dateien ist zurzeit häufig. Früher wurde meist eine Mail mit einem Link verwendet, der dann zu einer nachgemachten Bankseite unter falscher Domain führte.

Der Grund, weshalb inzwischen Anhänge bevorzugt werden, ist die Sicherheitsfunktion der Browser. Alle heutigen Browser in ihren Werkseinstellungen überprüfen die Adresse einer Seite, bevor sie sie öffnen – und wenn diese Adresse in erkannten Spams verwendet wurde, warnen die Browser auffällig vor dem Phishing- und Betrugsvedacht. Für die Spammer bedeutet das: Selbst, wenn ausreichend viele Mails durch die Spamfilter hindurchkommen, schafft es diese zweite Sicherung nach der Spamfilterung, dass viele Empfänger gewarnt sind und nicht mehr ganz so leichtfertig Zugangsdaten in Formularen auf obskuren Domains eingeben.

Offenbar sorgt diese Sicherheitsmaßnahme für genügende „Gewinneinbrüche“ bei den Kriminellen, so dass sie andere Verfahren ausprobieren.

Der Anhang einer HTML-Datei ist aus Empfängersicht gegenüber dem Link allerdings absurd umständlich:

  1. Der Mailanhang muss lokal gespeichert werden.
  2. Dieser gespeicherte Anhang muss dann geöffnet werden.
  3. Dann erst können Zugangsdaten für einen angeblichen Login und weitere Daten, die der Bank längst bekannt sind (Anschrift, Geburtsdatum, etc.) eingegeben werden.

Dieses Verfahren sollte auch schlichteren Gemütern als vollständig unglaubwürdig auffallen, selbst wenn die Phishing-Spams einmal besser formuliert werden.

Grundsätzlich gilt: Banken versenden solche Mails nicht. Jede E-Mail einer Bank, in der die Empfänger dazu aufgefordert werden, Daten einzugeben, die der Bank längst bekannt sind, ist eine E-Mail von Betrügern. Und generell stinkt jeder Anhang in einer nicht digital signierten E-Mail, deren Absender beliebig gefälscht sein kann.

Konto-Status

Freitag, 8. März 2013

Natürlich kommt diese Mail nicht von PayPal, was sich beim Lesen auch schnell zeigt:

Lieber PayPal Kunde,

Du bist Kunde und ich weiß nicht, wie du heißst.

Aufgrund der jngsten betrgerischen Aktivit¦ten haben wir ein neues Online-Sicherheitssystem fr den maximalen Schutz der pers￶nliche Daten unserer Kunden gestartet.
Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Ich schreibe Deutsch und weiß nicht, wie man diese komischen deutschen Vokale mit den Pünktchen drüber in eine HTML-formatierte Mail kriegt. Wenn ich das einfach nachlesen und verstehen würde, wäre das ja echte Mühe. Und wenn ich mir Mühe geben würde, könnte ich doch gleich arbeiten.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfgung.
Bitte laden Sie das Formular aus, rufen Sie ber Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Ich weiß auch nicht so ganz genau, wie man Dinge auf Deutsch formuliert. Deshalb liegt ein Formular zur Verfügung, das sie ausladen sollen. Das ist übrigens eine HTML-Datei von Kriminellen, die unbedingt erfordert, dass du JavaScript erlaubst. Da kannst du dann lauter lustige Angaben zu ihrem PayPal-Account und ihrer Kreditkarte machen, und die schickst du dann an mich. Das habe ich da natürlich nicht ganz so direkt in den HTML-Quelltext reingeschrieben, sondern ein bisschen verklausuliert, damit man auch gleich merkt, dass ich so richtig lichtscheues Gesindel bin:

Ausschnitt des versteckten, über JavaScript implementierten Submit-Buttons aus der angehängten HTML-Datei

Dein Browser macht aus dieser lustigen sedezimalen Zahlenfolge ein Starttag für ein HTML-Formular, das alle Daten an http (doppelpunkt) (doppelslash) media (punkt) cds (punkt) ed (punkt) cr (slash) images (slash) al (punkt) php sendet. Natürlich ist das nicht die PayPal-Homepage, schließlich bin ich ein widerwärtiger Krimineller, der vom Internetbetrug lebt und mal wieder ein paar Konten phishen will.

Hinweis: Das Formular muss in einem modernen Browser ge￶ffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)
Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

In meinem hochhirnrissigen Text habe ich das Wort JavaScript mit der Downloadseite für Java verlinkt. Ich bin schließlich Verbrecher, kein Techniker, und deshalb muss ich solche Unterschiede nicht kennen.

Nach Abschluss deines Datenstriptease habe ich wieder ein Konto mehr.

Wir entschuldigen uns fr die Unannehmlichkeiten und danken Ihnen fr Ihre Zeit.
Fr weitere Informationen kontaktieren Sie bitte den Kundenservice.

Ich tue so, als wäre ich höflich, aber ich bin ein kriminelles Arschloch, das dir mit einer hingestümperten Spam das Geld aus der Tasche ziehen will und deine persönlichen Daten für kriminelle Geschäfte missbrauchen will, damit ich den Gewinn habe und du den Ärger. Für weitere Informationen geh einfach auf die PayPal-Website und lies dort die Informationen zum Thema Phishing! Der in diesem Kontext wichtigste Satz darin lautet übrigens: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.“

Mit freundlichen Gr￟en,
PayPal-Team.

Copyright ᄅ 1999-2013 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.¢ r.l.et Cie, S.C.A.
Soci←t← en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Mit mechanischen Grüßen von einem spammenden Idioten, der nicht einmal die HTML-Entitäten für die wichtigsten europäischen Sonderzeichen kennt, aber seinen Empfängern gegenüber so tut, als sei er ein großer Dienstleister im Web.

Your Transaction Report(s)

Freitag, 28. September 2012

Wie jetzt, ich habe doch gar keine Transaktion angestoßen…

Your Transaction Report(s) have been uploaded to the web site:

https://www.flexdirect.adp.com/client/login.aspx

Please note that your bank account will be debited within one banking business day for the amount(s) shown on the report(s).

Please do not respond or reply to this automated e-mail. If you have any questions or comments, please Contact your ADP Benefits Specialist.

Thank You,
ADP Benefit Services

Es ist leicht, diese Mail als Spam zu erkennen, denn sie verzichtet gegenüber einem angeblichen Kunden auf eine persönliche Anrede – kein Gewerbetreibender, dem etwas an seinen Kunden liegt, würde das tun.

Es handelt sich um eine HTML-Mail. Die Spammer haben offenbar versucht, einen anderen Eindruck zu erwecken, indem sie als Schriftart für den Text „Courier New“ setzten. Das ist aber sehr stümperhaft gemacht worden, wie sich deutlich am Fettdruck der unfreiwillig komischen Grußformel „Thank You“ und am abschließenden Link zeigt.

Der im Text angegebene URL ist mit einer ganz anderen Adresse verlinkt. Bei dieser wird zunächst einmal keine TLS-Verschlüsselung (https:) verwendet, und sie liegt auf einem völlig anderen Server in einem Verzeichnis, dessen Name schon andeutet, dass er automatisch generiert ist (DeTp3 würde ein Verzeichnis in einer echten Website nur selten genannt werden).

Die dort liegende Website bindet von zwei verschiedenen Adressen aus ebenso erkennbar automatisch benannten Unterverzeichnissen (uTNPT911 und 9x82urVs JavaScript-Dateien mit dem Namen js.js ein. Diese veranlassen eine identische Weiterleitung auf eine PHP-Datei auf dem Server mit der IP-Adresse 108.178.59.6.

Mit hoher Wahrscheinlichkeit sind die Server, die hier für die Weiterleitungskaskade verwendet werden, von Crackern übernommen worden. Sie werden von einer Winzerei aus Massachusetts und einer Nonprofit-Organisation aus Costa Rica betrieben.

Was die PHP-Datei, die am Ende dieser Reise durch das Reich der Weiterleitungen liegt, zurückgibt, um den Browser damit zu belasten, konnte ich leider nicht so leicht herausbekommen. Das PHP-Skript existiert, aber es gibt im Standardfall nur einen HTTP-Status 502 (Bad Gateway) zurück, ohne eine Fehlermeldung auszugeben oder irgendetwas anders an den Browser zu senden. Ein Mensch würde eine weiße Seite sehen. Vermutlich ist die Ausgabe abhängig vom Referer, vom User-Agent des Browsers und vielleicht weiteren Eigenschaften der Anfrage (ich habe erfolglos einiges ausprobiert, denn ich bin immer neugierig, was die Kriminellen gerade so treiben…) – hier will sich also jemand verstecken.

Verstecken vor wen? Nicht vor den Opfern, sondern vor allem vor Bots, die Webseiten automatisiert auf Schadcode durchsuchen, um in modernen Browsern eine deutliche Warnung vor dem Besuch einer derartigen Seite anzuzeigen. Denn das wird mit hoher Wahrscheinlichkeit das Ziel dieser ganzen Aktion sein: Dem Menschen, der in die Spam geklickt hat, eine hübsche Kollektion aktueller Schadsoftware unterzujubeln, wenn es irgendeine Lücke gibt, die das zulässt. Vor ein paar Monaten haben sich die Internet-Kriminellen weniger Mühe beim Verstecken gegeben, aber die Masche war die gleiche: Eine aufreizende Mail wegen einer Geldsache, ein Link, und wer darauf geklickt hat, bekam ein ernsthaftes Problem.

Und genau wie vor einigen Monaten gibt es gegen diese Form der Kriminalität einen wirksamen Schutz – und der besteht nicht im versprochenen Schutz einiger Schlangenölverkäufer aus der Antivirus-Industrie:

  1. Spam erkennen und löschen!
    In diesem Fall war es sehr einfach, die Spam zu erkennen, da es eine angebliche Benachrichtigung wegen eines geschäftlichen Vorganges ohne persönliche Ansprache war. Niemand würde seine Kunden so behandeln. Wann immer eine Spam erkannt ist, sollte sie sofort gelöscht werden. Der mögliche Schaden durch einen einzigen Klick ist das bisschen befriedigte Neugier nicht wert.
  2. Niemals von einer Mail in Panik versetzen lassen!
    Natürlich sind die Geschichten der Spammer so, dass sie Alarmstimmung auslösen, um möglichst viele Empfänger zu einer unvernünftigen Reaktion hinzureißen. In diesem Fall wurde etwa die Belastung eines Bankkontos mit einem unbekannten Betrag an die Wand gemalt. Das sollte niemals ein Grund sein, in einer Mail herumzuklicken. Im Zweifelsfall einfach die Website der Bank direkt im Browser aufrufen, sich anmelden und nachschauen, ob alles in Ordnung ist. Übrigens empfiehlt beinahe jede Bank in ihren Sicherheitshinweisen, dass man niemals die Bankwebsite aufruft, indem man in eine Mail klickt. Das hat einen guten Grund. Oder besser: Das hat mehrere Millionen gute Gründe pro Tag, die in vielen Mailpostfächern ankommen.
  3. Augen auf vor jedem Klick!
    Wenn sich der Mauszeiger über einem Link befindet, wird in der Statuszeile sichtbar, wohin dieser Link wirklich führt. Das ist nützlich. Wenn da eine Internetadresse in der Mail steht, und der Link führt auf eine andere Adresse, handelt es sich beinahe ausnahmslos um Betrugsversuche. Gute Mailsoftware wie etwa Mozilla Thunderbird weist auf derartige Versuche übrigens sehr deutlich hin, wenn man eine Mail betrachet. In jedem Fall sollten solche Überrumpelungs-Links ein Grund sein, die Mail zu löschen. Es gibt ein paar Unternehmen, die ihre per Mail versendeten Links über Tracking-Skripten laufen lassen, und deren Kommunikation kann man bei der Gelegenheit gleich mitlöschen. Wer sich bei der Methodik von Kriminellen bedient, um Erfolgsmessungen seiner Reklamemaßnahmen zu machen, darf sich nicht wundern, wenn die angemessene Ächtung der Kriminalität auch auf ihn fällt.
  4. Webbrowser sichern!
    Die Mehrzahl der Versuche, Rechner über präparierte Websites mit Schadsoftware zu missbrauchen, läuft über JavaScript. Es sollte niemals jeder beliebigen Website das Privileg eingeräumt werden, den Code irgendwelcher anonym bleibenden Zeitgenossen im Browser auszuführen. Wer JavaScript nicht völlig abschalten möchte, verwendet ein Browser-Addon wie NoScript, um dieses Privileg bewusst jenen Websites einzuräumen, denen man vertraut. Auch der hier kurz behandelte Crackversuch wäre an einem Addon wie NoScript (oder an abgeschalteten JavaScript) gescheitert. An einem „Antivirusprogramm“ hingegen vermutlich nicht, denn diese Softwaregattung hinkt der kriminellen Entwicklung immer einige Tage hinterher und verbreitet deshalb bei ihren Nutzern eine gefährliche Illusion von Sicherheit.

Aber der wichtigste Schutz vor der Internet-Kriminalität sitzt im Kopfe. Deshalb: Bei der Benutzung des Internet Gehirn einschalten!

Und der wichtigste Helfer der Internet-Kriminaltät ist das blinde Vertrauen in bequeme Sicherheit durch irgendwelche „Sicherheitsfeatures“ in gegenwärtiger Software oder irgendwelche „Antivirusprogramme“ und „Personal Firewalls“. Dies alles ist nur Ergänzung. Unter Betriebssystemen wie Microsoft Windows, die eine erhebliche Anfälligkeit für das Treiben der Cracker haben, vielleicht sogar eine wichtige Ergänzung – aber hier wäre ein weniger anfälliges Betriebssystem die bessere Wahl.

Es ist ein Problem aufgetreten: Unsere Einzahlung eines Betrages von 15.000,00 Euro auf Ihr Bankkonto bei Sparkasse

Montag, 2. Juli 2012

Hui, im Moment lassen sich die Spammer aber viel einfallen, um Rechner mit Schadsoftware zu infizieren, um sie für ihre kriminellen Machenschaften zu übernehmen. Also Vorsicht! Niemals in eine derartige Spam reinklicken!

Guten Tag,

Ich habe keine Ahnung, wer du bist, denn ich bin ein Spammer. Du hast auch keine Ahnung, wer ich bin, denn ich habe keinen Namen. Wenn du auf den Absender der Mail schaust, wirst du feststellen, dass diese Mail behauptet, von dir selbst zu kommen.

im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto [sic!] vorgenommen.

Obwohl ich dich gar nicht kenne und nicht mit deinem Namen ansprechen kann, wollte ich dir gerade dreißig lila Lappen auf dein „Sparkasse-Bankkonto“ mit einer nicht genannten Kontonummer bei einem nicht genannten Kreditinstitut überweisen. Und zwar im Auftrag eines „Kunden“, der ebenfalls am heutigen Namensmangel teilhat.

Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.

Meine Bank – ebenfalls vom Namensmangel betroffen – hat mir mitgeteilt, dass mein Konto nicht gedeckt ist… ach nee, falscher Text! Sei doch bitte mal so bescheuert, dass du einer derartig drilllyrisch vorgetragenen Strunzgeschichte glaubst und…

Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.

Bestelldaten überprüfen

…klick auf meinen tollen Link!

Diesen Link gibt es in meinem Posteingang in etlichen Ausführungen unter etlichen Domains, so dass sich die Aufzählung nicht lohnt.

Wie, du bist gar nicht so doof und glaubst mir nicht, dass dir jemand so viel Zaster geben will, ohne dass du weißst, wofür? Dann sei doch bitte so doof…

Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.

…und klick trotzdem auf meinen tollen Link! Weil: Anrufen kannst du mich nicht, ich habe keine Telefonnummer für Rückfragen angegeben. Und wenn du die Mail wie gewohnt beantwortest, dann schreibst du an dich selbst, weil ich den Absender gefälscht habe. Schließlich bin ich ein krimineller Spammer, und ich will von dir nur, dass du klickst.

Abteilung Rechnungswesen

Eine namenlose Abteilung eines namenlosen Absenders aus dem Land der namenlosen Doofheit.

Ein Klick auf einen der beiden Links führt geradezu in eine Wüste aus Weiterleitungen, die teils über HTTP und teils über JavaScript realisiert sind. (Ich habe das in Handarbeit, nicht mit einem Browser, verfolgt, und es war kein Vergnügen.) Auf dem Weg zum Ziel liegt mindestens ein IFRAME, in dem der erste Versuch einer Infizierung des Rechners läuft. Am Ende landet man immer auf einem Webserver, der auf einer dynamischen IP betrieben wird. Davon sind mehrere im Einsatz, vermutlich werden Bots als Webserver missbraucht. Dieser Webserver liefert vorsätzlich kryptisch gestaltetes JavaScript aus, von dem ich hier gern einen schnellen, ersten Eindruck gebe:

Quelltext der kriminellen Zielseite dieser Spam

Natürlich schaue ich mir die Websites nicht mit einem „normalen“ Browser an, sondern verwende lynx -mime_header, um mit einem Texteditor einen ersten Blick darauf zu werfen. Ein Klick in eine Spam ist russisches Roulette. Die Kriminellen sind technisch auf dem neuesten Stand, so blöd ihre Spams auch manchmal aussehen mögen. Und nein: Ich benutze kein Windows. Der Klick in eine Spam ist immer und mit jedem Betriebssystem russisisches Roulette. Und so genannte Antivirenprogramme und so genannte Personal Firewalls sind keine ausreichende Sicherung gegen die Wucht dieser Kriminalität, sondern hinken den Kriminellen immer ein paar Tage hinterher. Wer nicht weiß, wie man sich dabei absichert, sollte gar nicht daran denken, sich die Machwerke der Spammer anzuschauen!

Es gibt genau einen Grund, das JavaScript-Schüsselwort eval so zu verstecken, wie es hier geschehen ist: Um es an Antivirenprogrammen vorbeizubringen. Dem gleichen Zweck dient die in diesem Fall recht aufwändige „Verschlüsselung“ des auszuführenden Codes. Es ist an sich gar nicht mehr nötig, diese Wüste lesbar zu machen, da schon bei einer Betrachtung völlig klar wird, dass sich jemand lieber verbergen will und wohl einen guten Grund dazu hat. Das „Dechiffrieren“ (im Wesentlichen: Ausgeben anstelle von Ausführen) des JavaScript-Codes zeigte mir, dass da jemand verschiedene, obskur wirkende Tricks mit dem Flash-Plugin ausprobiert, die ich nicht mehr im einzelnen verstehen will. Es handelt sich völlig sicher um einen Versuch, den Rechner mit Schadsoftware zu übernehmen.

Zu diesem JavaScript-Flash-Versuch kommt es noch zur Einbettung eines unsichtbaren Java-Applets, das vermutlich Sicherheitslücken in verschiedenen Java-Implementationen ausbeuten wird.

Wer auf diesen Link in der Spam geklickt hat, hat vermutlich verloren und der Rechner auf seinem Tisch ist jetzt ein Rechner anderer Leute… außer, er verwendet Browser-Plugins wie NoScript, die einen solchen Crack-Versuch an der Wurzel unterbinden oder schaltet – trotz allem Gejuchzes der Reklamebranche über HTML 5 – JavaScript generell ab. Websites, die etwas mitzuteilen haben, schaffen das nämlich auch, ohne dass man einem unbekannten Gegenüber aus dem Web das Privileg einräumt, Code innerhalb des Browsers auszuführen.

Und selbst, wenn derartige Vorsichtsmaßnahmen getroffen wurden, empfiehlt es sich, Spams sicher als solche zu erkennen, niemals in eine Spam zu klicken und derartigen Sondermüll so unbesehen wie möglich zu löschen. Woran man diese Spam erkennen kann, wird ja in meinem galligen Kommentar deutlich… 😉

Eine tolle neue Art zu gewinnen

Samstag, 17. September 2011

Aber gaaaanz neu! Und sowas von toll! Denn diesmal…

Im Ruby Royal gewinnen Sie immer

http://www.cyberfortinatop.com/de/ [endlose ID von mir entfernt]

…ist es ein „Casino“, in dem man immer gewinnt. Warum? Na, weil die Betreiber dieses „Casinos“ kein Geschäft machen wollen, sondern es bevorzugen, Geld zu verschenken. Außer in der Nacht vom 24. zum 25. Dezember, da haben diese Weihnachtsmänner natürlich keine Zeit, weil sie ja die ganze Welt beglücken müssen. Aber sonst immer. :mrgreen:

Die angegebene URL ist natürlich wieder ein Wegwerfprodukt, frisch heute morgen um 6.56 Uhr registriert von einer angeblichen Madeline Savige aus Mount Collins, Australien. Diese angebliche Frau verwedet natürlich trotz ihrer großen Ambitionen im Casinogeschäft eine Mailadresse in der anonym eingerichteten Domain fxmail (punkt) net, die übrigens eine wunderbare Website präsentiert, wenn man sich mal anschauen will, was auf diesem Serverchen sonst noch so läuft. Diese Website… bitte vor dem Runterscrollen hinsetzen… sieht zurzeit so aus:

Screenshot der Website, die unter fxmail.net verfügbar ist -- eine perfekt nachgebaute Yahoo-Startseite

Praktisch alle Links in dieser „liebevoll“ nachgemachten Yahoo-Startseite führen über eine Weiterleitung auf die originalen Yahoo-Seiten. Das hier offenbar eine Phishing-Attacke auf Yahoo-Konten vorbereitet oder bereits durchgeführt wird, sieht man nur beim Hinschauen. Was die Spammer mit gephishten Yahoo-Konten vorhaben, ist für mich eher unklar, da sich meines Erachtens nicht direkt Geld damit machen lässt. Sie könnten die Identitäten missbrauchen, sie könnten über bestehende Verbindungen von Yahoo-Konten zu Facebook- und Twitter-Konten Spam verbreiten, sie könnten zugehörige Flickr-Accounts missbrauchen, sie könnten mit den Mailadressen anderer Menschen spammen, sie könnten das auch alles zusammen machen. Es wird sich wohl nicht um ein harmloses Vergnügen handeln, wenn eine Yahoo-Seite nachgemacht wird. Die Domain fxmail (punkt) net ist am 5. April dieses Jahres eingerichtet worden, und sie wird nicht nur dafür verwendet, schnell „seriös“ aussehende Mailadressen für Domainregistrierungen von Spammern zu erzeugen, sondern – wohl auch wegen des ungewöhnlich seriös wirkenden Domainnamens – auch für andere kriminelle Absichten eingesetzt.

Aber ich schweife ab. Dass die Spammer keine harmlosen Kinder sind, sondern äußerst asoziale organisiert Kriminelle, die auf jeden nur verfügbaren Kanal andere Menschen betrügen wollen, sollte ja jedem bekannt sein, es verdient eigentlich keine weitere Erwähnung.

Also wieder zum Casino. Wo war ich? Ach ja, bei der angegebenen URL. Diese Domain, in der noch nicht einmal der Name der alten römischen Glückgöttin richtig geschrieben ist, weil den Spammern nach ein paar Jahren dieser Masche und nach täglich drei bis fünf neu eingerichteten Domains inzwischen die plausibel klingenden Domainnamen ausgegangen sind, ist ein Wegwerfprodukt. Sie wurde eingerichtet, um eine Chance zu haben, mit dem Link durch die Spamfilter zu kommen, was in diesem Fall nicht gelang. Dort gibt es eine Weiterleitung auf die zurzeit wirklich benutzte Domain www (punkt) rubyfortunacasinos (punkt) com, bei der sich die Glücksgöttin wieder so schreibt, wie sie sich schon im alten Rom schrieb. Was man dort zu sehen bekommt, ist der übliche Bullshit, diesmal wieder mit einem älteren grafischen Entwurf, der wenigstens keine unmittelbaren Kopfschmerzen wegen der Unfähigkeit der jetzigen Designer auslöst:

Screenshot der betrügerischen Casino-Website Ruby Fortuna

Unentbehrlich wie immer ist der emsig hochzählende Jackpot, der natürlich wie immer über JavaScript realisiert wurde und durch einfaches Neuladen der Seite wieder dorthin gestellt werden kann, wo er mit Zählen begann. Oder, um es einmal nüchtern im verwendeten JavaScript-Source zu sagen:

var jackpots = JP1;
var totals = 567898403;

for (i=0; i<jackpots.length-1; i++){
	jackpot = parseInt(jackpots[i]);
	if (i == 0) totals = jackpot;
	else totals += jackpot;
} 

function makeCurrency(data){
	data += '';
	x = data.split("");
	xr = x.reverse();
	for(i=0; i<xr.length; i++){
		if(i==0) tmpStr = xr[i];
		else if(i==2){
			tmpStr += ".";
			tmpStr += xr[i];
		}else if(i==5){
			tmpStr += ",";
			tmpStr += xr[i];
		}else if(i==8){
			tmpStr += ",";
			tmpStr += xr[i];
		}
		else tmpStr += xr[i];
	}
	x = ((tmpStr.split("")).reverse()).join("");
	return x;
}

function writeTotals(){
	try{
		value = makeCurrency(totals);
		document.getElementById("pjpval").innerHTML = "£" + value;
		totals += 26;
		setTimeout("writeTotals()",1000);
	} catch(e){ }
}

Es ist also reines JavaScript-Blendwerk, das einfach jede Sekunde einen Startwert (der sich nicht zu ändern scheint) um 26 Pence hochzählt. Da wird kein Jackpot in Echtzeit abgefragt. Da wird nur so getan, ab ob da ein Jackpot in Echtzeit abgefragt würde, und das – mit Verlaub – auf eine besonders dümmliche Weise. Jemand, der hinschaut, wird feststellen, dass der Pence-Beträge alle vier Sekunden um genau vier Pence gewachsen ist, weil 4×26 nun einmal 104 ergibt. Mit so kompliziertem Gefrickel wie der Verwendung von Pseudozufallszahlen scheinen sich die Betreiber dieses „Casinos“ noch nicht beschäftigt zu haben, und Math.random() haben sie auch noch nicht in der JavaScript-Dokumentation gefunden, weil sie das Internet eigentlich nur zum Spammen verwenden.

Ach ja, es sind Pence, denn der Zähler zählt in britischen Pfund. Ansonsten sind für diese in Gelddingen offenbar etwas nachlässigen Betreiber eines „Casinos“ aber alle Währungen irgendwie gleich, wie die folgende GIF-Animation des angepriesenen Bonus zeigt:

Kanadische Dollar, US-Dollar, Euro und britische Pfund... egal, alles nur Zahlen

Warum sollte es ein „Casino“ in Gelddingen auch genau nehmen.

Wenn man es dann genauer wissen möchte und mal schaut, wie die „Angebote“ auf Deutsch beschrieben werden, liest sich das so:

Ein fantastischer Bonus wartet auf Sie. Nachfolgend finden Sie die Angebote.

Vergessen Sie nicht, dass dies nur ein Willkommens-Bonus ist. Es gibt jeden Monat weitere Bonusse auf Ihre Einzahlungen!

1. Bonus

- Nach der Anmeldung erhalten Sie 750€ gratis und haben eine Stunde, um so viel wie möglich zu gewinnen.

- Sie können Slots, Roulette, Black Jack und Video Poker spielen. Erspielte Beträge über den ursprünglichen 750€ dürfen Sie behalten. So einfach ist das!

- Falls Sie nicht gewinnen bietet Ihnen das Casino einen 100% Bonus auf Ihre erste Einzahlung.

- Alle Bonusangebote unterliegen den Konditionen und AGB.

Huch! Da gibt es auf einmal nur noch eine Währung. Vielleicht sollten sich die „Autoren“ der Stummeltexte mal mit dem Grafiker absprechen, damit es einigermaßen konsistent bleibt. Aber wer lesen kann, wird sich vor allem über die „Konditionen und AGB“ wundern, die auf der gesamten betrügerischen Dreckssite genau so wenig zu finden sind wie ein Impressum. Eigentlich schade, denn diese Bedingungen sind oft für einen heftigen Lacher gut.

Ach ja, Konsistenz: „Der 1. Bonus“ war früher mal sinnvoll, als von komplexen, mehrstufigen Bonussystemen gefaselt wurde. Jetzt könnte man den Überrest der Nummerierung schmerzlos entfernen. Aber dafür müsste sich ja jemand dran setzen, der auch etwas Deutsch kann und es bemerkt. Ach, da oben ist ja auch eine kleine japanische Flagge. Ob ich mal einen Mailpartner aus Japan frage, wie gut das Japanisch der Spammer ist? Der lacht doch so gern… Mal klicken… oh schade, die ist ja gar nicht verlinkt, die Flagge mit der roten Sonne. Die steht da nur, um noch ein bisschen mehr Eindruck zu schinden. Na, das passt ja auf so eine tolle Betrügersite, die eigentlich nur Eindruck schinden will. Bis zur totalen Lächerlichkeit.

Na, zumindest das können diese Verbrecher, die mit dieser inzwischen etwas müden Masche ihre Affiliate-Gelder vom Magic Box Casino kassieren wollen: Lächerlich sein.

Was hingegen ganz allgemein von den „Casinos“ im Internet zu halten ist, das lese man bitte beim Antispam e.V. weiter.

Kein JavaScript, keine Pillen

Samstag, 4. Juni 2011

Entschuldigen, wir können Ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist! KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

Was von „kanadischen Apothekern“ zu halten ist, deren Angebote nur über kriminelle Spam bekannt gemacht werden und die ihre „Kunden“ mit so einem Text begrüßen…

Entschuldigen, wir können Ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist!
KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

…sollte angesichts der Tatsache, dass beinahe alle Cracker-Angriffe über JavaScript laufen, jedem klar sein. Zurzeit werden sogar mit ferner liegenden Varianten der Spam derartige Angriffe versucht.

Aber wer seine fünf Sinne beisammen hat, wird ja nicht in einer Spammail herumklicken, oder?!

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.