Schlagwortarchiv „Schadsoftware“

Rechnung 903213 vom 07.12.2015

Montag, 1. Februar 2016

Hallo,

Genau mein Name!

Tals Anhang finden Sie die Rechnung 903213 vom 01.02.2016.

Die müssen ja auch meinen Namen haben, wenn ich da Kunde bin.

Leider hat der Absender sich zwar eine Rechnungsnummer ausgedacht, aber keine Firmierung der Unternehmung, bei der ich angeblich Schulden habe. Dafür ist die lt. Betreff „Rechnung vom 7. Dezember“ in Wirklichkeit eine Rechnung vom 1. Februar. Wenn der Spammer sich Mühe geben würde, könnte er ja auch gleich arbeiten gehen.

Nettosumme: 325,00.

MwSt: 19,00

Bruttosumme: 386,75

Immerhin kann der Absender einen Taschenrechner bedienen, das kann nicht jeder. Prozentzeichen und Währungsbezeichnungen in einer angeblichen „Rechnung“ tippen kann er hingegen nicht.

Mit freundlichen Grüßen

Carsten Schulz

„Freundlich“ wie die Pest
Ihr Spammer

Kleines Spamkompetenztraining: Was bedeutet wohl die Kombination folgender Merkmale?

Es handelt sich angeblich um eine Rechnung, aber es steht nirgends, wer diese Rechnung stellt, wofür er diese Rechnung stellt und wie man diese Rechnung begleichen kann¹
Obwohl der Empfänger ein Kunde sein muss, wird er nicht persönlich angesprochen
Anstelle richtiger Informationen „darf“ man ein paar kontextlose Zahlen und eine Rechnungsnummer lesen
Alle weiteren Fragen können nur geklärt werden, wenn man den Anhang öffnet

Richtig! Es handelt sich um Schadsoftware im Anhang.

Und wie so häufig, versagt auch diesmal das Antivirus-Schlangenöl in den meisten Fällen. Deshalb ist es auch so wichtig, dass man derartige Spam selbst erkennt und löscht. Generell sind Mailanhänge immer gefährlich und sollten niemals geöffnet werden, wenn ihre Zustellung nicht explizit vorher verabredet war.

Wer Microsoft Windows verwendet und einen Doppelklick auf den Anhang gemacht hat, hat Software von Kriminellen auf seinem Rechner gestartet und jetzt einen Computer anderer Leute auf dem Schreibtisch stehen. Das fast überall installierte Antivirus-Schlangenöl hat diese Übernahme des Computers durch Verbrecher in den meisten Fällen nicht verhindern können.

¹Ich möchte in diesem Kontext kurz daran erinnern, dass in der BRD eine Impressumspflicht für gewerbliche E-Mail besteht, an die sich jeder hält, der sich nicht gern von Mitbewerbern und/oder fragwürdigen Anwälten abmahnen lässt.

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

SFLEX Rechnung

Donnerstag, 28. Januar 2016

Zunächst das Wichtigste: Die Mail, die ich untersucht habe, wurde über eine dynamisch vergebene IP-Adresse aus Tunesien versendet und nicht etwa irgendwo in Freiburg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Verbrechern versendet. Mit einem Botnetz aus Computern, die mit Schadsoftware übernommen wurden. Der Absender ist gefälscht. (Es ist übrigens kinderleicht, den Absender einer Mail zu fälschen.) Die Mitarbeiter des Unternehmens, dessen Firmierung und Reputation hier von Kriminellen in den Dreck gezogen wird, tun mir leid, denn sie werden sich heute mit vielen verärgerten Menschen herumschlagen müssen. (Die Website der Unternehmung ist übrigens zurzeit nicht erreichbar, und zwar vermutlich nur wegen der Besuche durch hunderttausende Spamempfänger.) Diese kriminelle Spam hat bereits jetzt einen ordentlichen Schaden angerichtet.

Sehr geehrte Damen und Herren,

vielen Dank für Ihren Auftrag.

Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.

Kurzes Spamkompetenztraining! Was bedeutet wohl diese Kombination von Merkmalen:

Die Mail geht angeblich von einem Unternehmen an einen Kunden, die Ansprache ist aber unpersönlich;
der Auftrag, um den es geht, ist nicht genauer beschrieben und völlig unklar;
es gibt dazu eine Rechnung, aber irgendwelche wichtigen Angaben zum Rechnungsbetrag, zur Bankverbindung, zum Zahlungsziel fehlen im Text der Mail, als ob es dort keinen Platz mehr gäbe; und
alles weitere kann nur dadurch geklärt werden, dass ein Mailanhang geöffnet wird?

Bingo! Es handelt sich um eine Spam, an der eine Schadsoftware hängt. Der Anhang wird das reinste Gift sein. Es handelt sich diesmal um ein Word-Dokument¹…

$ file xxxxxx.doc | sed 's/, /\n/g'
xxxxxx.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title: functional
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Total Editing Time: 01:00
Create Time/Date: Thu Jan 28 05:44:00 2016
Last Saved Time/Date: Thu Jan 28 05:44:00 2016
Number of Pages: 1
Number of Words: 1
Number of Characters: 10
Security: 0
$ _

…dessen Text aus einem einzigen Wort auf einer Seite besteht – diese vorgebliche „Rechnung“ enthält also nicht einmal die Aufforderung „Geld her“, die schon zweier Worte bedarf. Im Dokument ist ein Makro, das einen Installer für kriminelle Schadsoftware nachlädt und ausführt.

Es handelt sich um aktuelle Schadsoftware, die zurzeit von den meisten Antivirus-Programmen noch nicht erkannt wird. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und niemals auf die Idee zu kommen, einen Anhang einer Spam zu öffnen. Generell sollten Mailanhänge mit äußerster Vorsicht behandelt werden, denn dabei handelt es sich um einen der Hauptverbreitungswege für die höchst asoziale und kriminelle Schadsoftware-Pest der spammenden Verbrecher.

Und wie schon gesagt:

Mit freundlichen Grüßen

Michael Dietrich
Projektleiter Gestelltechnik

S:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 Freiburg

Tel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com

Der Absender der Spam ist gefälscht und die Angaben unter der Mail – ich habe die Telefonnummern mal unkenntlich gemacht, weil dort momentan Menschen kurz vorm Nervenzusammenbruch an der Leitung hängen werden – haben ebenfalls nichts mit dem Absender zu tun. Es gibt keine Möglichkeit, den wirklichen Absender dieser kriminellen Belästigung zu erreichen, denn dieser bevorzugt aus naheliegenden Gründen die Anonymität. Strafanzeigen wegen versuchter Computersabotage nimmt die Polizei oder Staatsanwaltschaft entgegen, aber die Ermittlungsaussichten sind… ähm… nicht so toll. Aber irgendwann macht auch dieses Pack mal einen Fehler…

Nachtrag: Inzwischen ist die Website der S:FLEX GmbH wieder erreichbar. Ich lege den dort Verantwortlichen nahe, einen deutlichen Hinweis auf die Spam auf ihrer Startseite zu platzieren, um Empfänger zu warnen und die betrieblichen Kräfte auf gewinnbringendere Dinge als eine Flut von Rückfragen auszurichten. Im Moment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vorstellen, was dort gerade los ist! Das kleine Serverchen, auf dem Unser täglich Spam läuft, steht jedenfalls wegen dieser einen Spam ordentlich unter Last.)

¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.

Reservierungsliste

Mittwoch, 27. Januar 2016

Das ist die heutige Pest im Posteingang!

Von: Velotours Touristik <reservierung (at) velotours (punkt) de>

Diese E-Mail (also das eine Exemplar aus der Flut, das ich mir gerade vorgeknöpft habe) wurde über eine dynamisch vergebene IP-Adresse aus Taiwan versendet, kommt also vermutlich von einem mit Schadsoftware zum Bot gemachten Privatrechner. Der Absender ist – wie immer in der Spam – gefälscht. Die armen Mitarbeiter von Velotours, die heute eine Menge Arbeit mit verärgerten Empfängern dieser Spam haben werden, tun mir leid. Einen asozialen, kriminellen Spammer interessiert das leider nicht, und die wirtschaftlichen Schäden bei anderen nimmt er billigend in Kauf, wenn nur das eigene „Geschäftchen“ läuft.

Sehr geehrte Damen und Herren,

anbei finden Sie unsere neue Reservierungsliste.

Ihr VELOTOURS-Team

Kleines Spamkompetenztraining. Was bedeutet die folgende Kombination von Merkmalen:

Unpersönliche Anrede von einer Unternehmung, die so tut, als sei man dort Kunde.
In der Mail steht nichts Substanzielles.
Alles weitere erfährt man nur durch Öffnen eines Mailanhanges.

Bingo! Es ist mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware im Anhang.

In diesem Fall ist der Anhang ein Dokument für Microsoft Word. Dieses Dokument¹…

$ file ResLi_9_Lauf_3261_vom_27.01.2016.DOC | sed 's/, /\n/g'
ResLi_9_Lauf_3261_vom_27.01.2016.DOC: Composite Document File V2 Document
Little Endian
Os: Windows
Version 5.1
Code page: 1251
Author: Administrator
Template: Normal.dot
Last Saved By: User
Revision Number: 7
Name of Creating Application: Microsoft Office Word
Total Editing Time: 03:00
Create Time/Date: Wed Jan 27 11:07:00 2016
Last Saved Time/Date: Wed Jan 27 11:15:00 2016
Number of Pages: 1
Number of Words: 27
Number of Characters: 511
Security: 0
$ _

…enthält stolze 27 Wörter auf einer einzigen Seite. Es wurde im Verlaufe dreier Minuten zusammengetippt, und zwar von jemanden, der sich mit dem Namen „Administrator“ registriert hat. Das ist eine ausgesprochen kurze „Reservierungsliste“.

Und in der Tat, es kommt hier nicht auf den Text an. Der sieht übrigens so aus:

If this document has incorrect encoding - enable macro -- gefolgt von leckerem Zeichensalat...

Nun, das Makro soll automatisch ausgeführt werden. Bei aktuellen Versionen von Microsoft Office ist die automatische Ausführung standardmäßig deaktiviert. Wer auf die dumme Idee kommt, auf den Wunsch eines Unbekannten hin die Ausführung von Makros zu gestatten, um etwas anderes als die sondersame Lyrik eines auf den Tasten herumprügelnden Schimpansen lesen zu können; wer die Standardeinstellung verstellt hat oder wer eine ältere Version von Microsoft Word verwendet, bekommt eine kostenlos installierte Version von Schadsoftware, deren Installer von der URL http (doppelpunkt) (doppelslash) parass (punkt) si (slash) 54t4f4f (slash) 7u65j5hg (punkt) exe nachgeladen wird. Hinterher steht ein Computer anderer Leute auf dem Schreibtisch – und diese Leute wären besser mit Handschellen bedient.

Wer sich sicher fühlt, weil er ja ein Antivirus-Schlangenöl auf seinem Rechner hat, ist in diesem Fall leider in fast allen Fällen verlassen. Deshalb ist es auch so wichtig, dass man Spam selbst erkennt und sie löscht, statt darin herumzuklicken. Bei aktueller Schadsoftware versagt das Antivirusprogramm regelmäßig – und zwar sogar bei den Unternehmen, die Antivirus-Schlangenöl herstellen. Generell sollten niemals Mailanhänge geöffnet werden, deren Zustellung nicht vorher explizit (und über einen anderen Kanal als E-Mail) abgesprochen wurde – und generell gibt es keinen einzigen Grund dafür, Informationen nicht ganz normal in die Mail zu schreiben, statt sie in einem Anhang zu versenden.

¹Das Unix-Kommando file dient eigentlich dazu, den Dateitypen festzustellen, gibt aber bei vielen Dateitypen interessante Meta-Informationen aus. Die anschließende Pipe auf sed ist nur eine Verbesserung der Lesbarkeit, da sonst alles mit Komma getrennt in einer Zeile ausgegeben würde.

REQUEST FOR QUOTATION

Samstag, 23. Januar 2016

Dear Sir/ Madam

Ich habe keine Ahnung, wer du bist, aber…

It is a pleasure to be in touch with you.

…es ist mir ein Vergnügen, dich zuzuspammen.

I am contacting you on behalf of Ronass Trading Company.
Please note that Ronass Trading Company is an Iranian company which is involved in different business ventures.

Das Unternehmen, das ich als Vorwand für meine Spam benutze, kennst du genau so wenig wie mich.

It is highly appreciated if you could give me a quotation for the attached product, also it would be great if you could send me some brochure or document in English. (Please find the enclosed file for more details)

Um was es überhaupt geht, sage ich dir auch nicht. Dafür musst du einen Anhang aufmachen. Komm schon, Katzen im Sack sind voll süß!

Es sind sogar zwei Anhänge:

product sample_pdf.jar ist ein Java-Archiv, das einen frischen Trojaner enthält
product samples_pdf.zip ist ein ZIP-Archiv, das eine ausführbare Datei für Microsoft Windows enthält, die natürlich ebenfalls Schadsoftware ist, wenn auch nicht so frische

I hope to receive your prompt reply.

Ich hoffe, dass wieder genug Leute drauf reinfallen.

Regards,

Shahab Haitam
Foreign Trade Manger
Ronass Trading Company
Tehran, Iran.

Grüßchen

Ausgedachter Name
Computerkrimineller
Hat nichts mit der Firma zu tun
Vermutlich auch nichts mit dem Iran.

Email : shahab (at) ronass (punkt) com

Musst du verstehen: Ich fälsche zwar den Absender meiner Spams, aber ich schreibe dann noch einmal einen zweiten Absender rein. Beide Adressen haben nichts mit mir zu tun. Mir reicht es nämlich, wenn du den Anhang öffnest und mir damit deinen Computer übergibst. Ich bleibe dabei lieber völlig anonym. Im Puff ists nämlich schöner als im Gefängnis.

Skype : shahabxxxxxx

Das gleiche gilt für meine Skype-ID.

Und jetzt das Wichtigste!

This message and any attachment are confidential and may be privileged or otherwise protected from disclosure.
If you are not the intended recipient, please telephone or email the sender and delete this message and any attachment from your system.
If you are not the intended recipient you must not copy this message or attachment or disclose the contents to any other person.
Please consider the environmental impact before printing this document and its attachment(s). Print black and white and double-sided where possible.

Diese Spam ist eine ganz geheime Geheimsache. Bitte nach dem Lesen aufessen. Egal, ob du der Empfänger bist oder nicht. Auf gar keinen Fall ausdrucken. Ich bin Spammer. Meine Spams sind Umweltverschmutzung genug.

Die automatische Lastschrift von Pay Online24 konnte nicht durchgeführt werden

Freitag, 22. Januar 2016

Sehr geehrte(r) $Vorname $Nachname,

Natürlich stand da der richtige Name des Empfängers. Wer nicht weiß, wie Spammer an die Namen zu Mailadressen kommen, lese hier weiter und grusele sich!

das von Ihnen gespeicherte Bankkonto [sic! Wir speichern ja alle Bankkonten] wurde nicht hinreichend gedeckt um die Lastschrift vorzunehmen. Unsere Erinnerung blieb bisher leider ohne Erfolg Heute bieten wir Ihnen damit letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten Pay Online24 GmbH zu überweisen. Aufgrund des bestehenden Zahlungsrückstands sind Sie verpflichtet zusätzlich [sic!], die durch unsere Beauftragung entstandenen Kosten von 52,48 Euro zu bezahlen [sic!]. Die Höhe des Betrags kann aufgrund berechneter Zinsen abweichen [sic!].

Ganz schlimme Mahnung. So schlimm, dass nicht einmal der zu zahlende Betrag drinsteht. Aber allein die Mahngebühr… und Zinsen kommen auch noch drauf… auf einen völlig unbekannten Betrag, der wohl höher als die Gebühr sein wird.

Und nicht nur den Betrag hat der Absender vergessen, sondern auch:

Die Kontonummer des Bankkontos und das Kreditinstitut für den Lastschrifteinzug (viele Menschen und insbesondere Unternehmen haben mehrere Konten).
Der Zeitpunkt, zu dem die Lastschrift angeblich versucht wurde, damit das mal mit dem Kontoauszug verglichen werden kann.
Der eigentliche Rechnungsgegenstand, auf den sich die Forderung bezieht. Der vorliegende Text sagt einfach nur: Zahlen sie grundlos Geld, viel Geld!

Mit solchen Angaben würde ja auch sofort klar, dass es sich nicht um eine Mahnung handelt, sondern um kriminelle Spam – außer, den Verbrechern gelänge es, auch noch die richtige Kontonummer zu erraten.

Namens und in Vollmacht unseren Mandanten Pay Online24 GmbH ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu decken [sic!]. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden [sic!].

Na, dann deckt mal schön! Aber nicht dabei lachen! Die Angabe einer Telefonnummer oder einer Anschrift für die erwartete Kontaktaufnahme hat der angebliche Anwalt, der nur in der kranken Phantasie eines Spammerhirns existiert, leider vergessen. Dafür hat er…

Eine vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen können, befindet sich im Anhang. Die Überweisung erwarten wir bis spätestens 26.01.2016.

…einen Anhang angehängt, den man öffnen soll, wenn man rausbekommen möchte, um was es hier überhaupt geht.

Nun, ich verrate hier kein Geheimnis. Es handelt sich um eine Spam. Das kann man allein daran erkennen, dass im Text der Mail eigentlich nichts steht (dies aber sehr aufregend und verängstigend formuliert), wohl, weil das Mailpapier bereits vollgeschrieben war – und alle Informationen erst im Anhang versprochen werden. Ein krimineller Spammer, der seine Empfänger dazu bringen will, einen Anhang zu öffnen, hat genau eine Absicht: Er will ihnen Schadsoftware installieren.

Der Anhang ist ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem wiederum eine Datei mit der Dateinamenserweiterung .COM liegt. Dies ist eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, und wer darauf doppelklickt, startet ein Programm von Verbrechern und hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen – und zwar von Leuten, die besser mit Handschellen bedient wären.

Wer sich auf sein Antivirus-Schlangenöl verlässt, ist bei dieser recht aktuellen Schadsoftware in vielen Fällen verlassen. Deshalb ist es wichtig, derartige Spam selbst zu erkennen und niemals darin herumzuklicken, sondern sie zu löschen. Generell sollte niemals ein Anhang in einer E-Mail geöffnet werden, der vorher nicht abgesprochen wurde.

Mit verbindlichen Grüßen

Rechtsanwalt Mattis Richter

Übrigens: Richtige Anwälte schreiben (aus Gründen der Rechtssicherheit) Briefe, und senden diese oft freundlicherweise vorab per Mail zu. Ich habe noch nie eine Mail von einem Rechtsanwalt bekommen, in der nicht eine Telefonnummer für schnelle Rückfragen stand – zusammen mit der Anschrift der Kanzlei.

Was hier grüßt, ist ein Verbrecher.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Rechnung Nr. 95355066 vom 15.01.2016

Mittwoch, 20. Januar 2016

Unser täglich Gift gib uns heute!

Sehr geehrte Damen und Herren,

Das ist doch genau mein Name!

in der Anlage erhalten Sie unsere Rechnung 95355066 vom 15.01.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.

Aha, eine Rechnung. Im Text der Mail steht nichts näheres als ein Datum und eine laufende Nummer. Wer wissen will, um was zum hackenden Henker es hier geht, muss leider einen Anhang von einem Unbekannten öffnen. Zur angehängten Datei kann ich nur eines recht sicher sagen:

Screenshot des im Hexl-Mode von Emacs geöffneten Anhanges des E-Mail, der belegt, dass es sich um ein mehrteiliges MIME-Dokument handelt.

Sie hat zwar die Dateinamenserweiterung .doc, aber sie ist kein Word-Dokument. Es handelt sich um Schadsoftware. Wer diese Datei öffnet, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Und wer sich auf sein Antivirus-Schlangenöl verlässt, ist in neunzig Prozent der Fälle verlassen. Deshalb ist es so wichtig, derartige Spam selbst als Spam zu erkennen und niemals darin rumzuklicken sowie generell niemals einen Mailanhang zu öffnen, der nicht explizit vorher abgesprochen wurde – denn das Gehirn ist und bleibt das beste Hilfsmittel zum Erhalt der Computersicherheit.

Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.

Wer digitale Daten ausdruckt, um sie zu archivieren… ach!

Bitte beachten ! Dieser Beleg ist das Orginalexemplar !

Klar, die beliebig kopierbare Datei ist ein Original. Und wenn man die Datei kopiert, gibt es sogar zwei Originale. Und wenn man sie als Spam in die Welt sendet, auch mal hunderttausend.

Mit freundlichen Grüßen
Ignatius Peters

Freundlich wie die Pest
Dein krimineller Schadsoftwarespammer

Mahnung

Montag, 18. Januar 2016

Oh, wie „schön“! An mehrere Honigtopf-Adressen gleichzeitig. Da hat aber jemand langfristig alles Adressmaterial im Web eingesammelt, das nicht bei drei auf den Bäumen war, um dann mit diesen Spams zuzuschlagen.

Guten Tag,

Ihre Rechnung ist immer noch nicht bezahlt.

Im Anhang dieser Email finden Sie Ihre Rechnung.

Wir bitten Sie den offenen Betrag innerhalb von 5 Tagen zu begleichen.

Mit freundlichen Grï¿½ssen
paysafe

Es gibt den Text auch „mit freundlichen Grüssen“, aber niemals mit „ß“. Offenbar hat der Spammer ein paar Korrekturen gemacht, noch während er seine Flut über das Internet geströmt hat.

Kleines Spamkompetenztraining: Was bedeutet die folgende Kombination von Merkmalen bei einer E-Mail:

Keine persönliche Ansprache
Keine klare Erkennbarkeit, wer der Absender ist, obwohl es sich um eine geschäftliche Mail handeln soll¹
Bislang unbekannter Absender
Unpersönlicher, patzig-technokratischer Tonfall
Eine angebliche Rechnung, ohne Angabe des Rechnungsgegenstandes oder des Betrages
Fristsetzung, um es eilig erscheinen zu lassen
Keine weiteren Informationen
Kein Ansprechpartner für eventuelle Rückfragen
Alle weiteren Fragen beantwortet angeblich der Anhang der Mail

Richtig! Es handelt sich um eine Spam, und der Anhang ist eine Schadsoftware, die zum Glück mal von sechzig Prozent der Antivirus-Schlangenöle erkannt wird.

Wer darauf reingefallen ist und unter Microsoft Windows den Anhang geöffnet hat, ohne dass das Antivirus-Schlangenöl angeschlagen hat, der hat jetzt allerdings einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese „anderen Leute“ wären wesentlich besser mit Handschellen bedient!

Deshalb ist es um so wichtiger, dass man derartige Spam selbst erkennt und löscht, statt sie zu „beklicken“. Denn wenn auf diesem Weg eine halbwegs aktuelle Schadsoftware (nicht älter als zwei Tage) kommt, dann nützt das Antivirus-Schlangenöl gar nichts. Der beste Schutz vor Internet-Kriminalität ist und bleibt immer noch das Gehirn.

¹In der BRD gibt es sogar eine Impressumspflicht für geschäftliche E-Mail. Kein Witz.