Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

hi gammelfleisch

Donnerstag, 2. April 2015

Oh, das ist aber schön, dass du aus der Zeichenkette vor dem @ einfach eine Anrede gebaut hast. Und vor allem fühle ich mich sofort persönlich davon angesprochen. 😀

Hi gammelfleisch. I‘m waiting for you online now. Jessica gave me your contact. Let’s meet here

Du hast ja keinen Namen, sondern nur einen Link in eine offenbar gecrackte Website in persischer Sprache, die sich um die Behandlung von Augenerkrankungen dreht¹. Dort hast du eine tolle Seite namens backup.html hochgeladen, um sie zu verlinken. So wird auch ohne Nennung eines Namens auf der Stelle klar, mit was für einem Geschmeiß man sich nach dem Klick in diesen „Liebesbrief“ trifft.

Natürlich ist das nur eine – dann mit Affiliate-ID angereicherte – Weiterleitung auf die richtige Website der Spammer unter der Domain myshland (punkt) com, wo einem dann eine der vielen Fassaden angeblicher Dating-Sites entgegentritt:

Screenshot der betrügerischen und möglicherweise gefährlichen Dating-Site

Wer dort Daten eingibt, weil er meint, entzückende russische Frauen kennenlernen zu können, lasse alle Hoffnung fahren! Diese Daten landen direkt bei Kriminellen, und die werden dafür jede Menge Anwendungen finden, die keinem Menschen gefallen können – ein sehr gefährliches personalisiertes Phishing ist nur eine davon. Das scheint aber nur ein Nebengeschäft zu sein, was sich auch schon daran vermuten ließ, dass die Spammer es nicht einmal für nötig befanden, das im Copyright-Vermerk angegebene Jahr mal schnell an den Kalender anzupassen, denn diese Domain…

Ausgabe des Lookups bei SURBL: myshland.com is on SURBL list: MW

…befindet sich zurzeit in mindestens einer Blacklist für Websites, über die Schadsoftware verteilt wird. Statt warmer Zärtlichkeiten und erregenden Schriftverkehrs gibt es also einen „kostenlosen Sicherheitscheck“ und – wenn Browser und Betriebssystem nicht völlig sicher waren – eine aktuelle Kollektion frischer Trojaner, die kein Mensch auf seinem Computer haben möchte.

Aber dass man es mit Verbrechern zu tun hat, war ja schon an der Spam klar. Deshalb klickt man ja auch nicht in eine Spam.

¹Nein, ich verstehe kein Wort Persisch. Die Sprache habe ich an den paar arabischen Zeichen identifiziert, die es nur in der persischen Sprache gibt, vor allem ein P (B mit drei Punkten) und ein G (auffälliger Doppelstrich) – und daran, dass das Schriftbild von deutlich weniger Punkten und anderen Diakritika über und unter der Schriftlinie als in anderen mit arabischen Zeichen geschriebenen Sprachen ausgezeichnet ist. Den mutmaßlichen Inhalt der Website kann ich anhand der Fotos und Abbildungen erraten. Leider ist meine Mail beim Sitebetreiber nicht angekommen; entweder versteht er kein Englisch (unwahrscheinlich bei einem Mediziner oder doch zumindest einem Menschen mit medizinischer Bildung) oder ich bin an der strikten Internet-Zensur der gegenwärtigen Islamischen Republik Iran gescheitert (was leider wahrscheinlich ist). Die gecrackte Website kann deshalb den Halunken noch lange als Schleuder für ihre diversen Machenschaften dienen. Auch das sind Kollateralschäden einer weitgehenden Internet-Zensur.

Open Invoices

Sonntag, 22. Februar 2015

Dear Sir,

Klar, ihr schreibt mir was von offenen Rechnungen, habt also einen Vertrag mit mir, aber kennt nicht meinen Namen.

Pls find attached the following outstanding statement of accounts (SOA) that are still open.

Und deshalb muss ich den Anhang öffnen…

As we near the end of the 1st quarter 2015, we want to close all outstanding statement of accounts with you so we don’t have to issue it in our system again.

Kindly acknowledge and confirm total amount as correct so that we can initiate the process of payment settlement at the soonest.

…denn ihr hattet nur noch so wenig Platz auf eurem E-Mail-Papier, so dass ihr in eure Drecksspam nicht reinschreiben konntet, um was es überhaupt geht.

Also einmal die Standardkost: Irgendeine alarmierende Mitteilung – in diesem Fall: Du hast noch eine offene Rechnung bei uns – in einer unpersönlich formulierten Spam. Und irgendwelche substanziellen Einzelheiten zu dieser Mitteilung erfährt man nur, wenn man einen Mailanhang auf seinem Rechner öffnet, der einem in einer unpersönlich formulierten Mail von Unbekannten zugemailt wurde. Das ist die Standardmasche für die kriminelle Übernahme von Computern durch Schadsoftware.

Weshalb ich überhaupt noch darüber schreibe? Nun, es gibt eine minimale technische Änderung. Diesmal hängt keine Datei .pdf.exe in einem ZIP-Archiv, sondern es handelt sich um ein Java-Archiv, in meinem Fall mit dem Dateinamen SOA # 15023.jar. Wenn auf einem unter Microsoft Windows arbeitenden Computer eine Laufzeitumgebung für Java installiert ist (das ist standardmäßig der Fall), kann diese Datei direkt klick-klick ausgeführt werden. Ich glaube, dass schon jetzt jedem klar ist, dass es sich hierbei um das reinste Gift handeln wird – auch wenn zurzeit gut die Hälfte der Antivirus-Schlangenöle bei der Erkennung der Schadsoftware versagen.

Es gilt auch weiterhin: E-Mails, die ihren eigentlichen Inhalt erst in einem Anhang mitteilen wollen, sind immer gefährlich. Das gilt auch bei bekannten Absendern, denn der Absender lässt sich beliebig fälschen. Das Antivirus-Programm ist keine sichere Abhilfe. Wenn es sich um einen bekannten Absender handelt, immer vor dem Öffnen des Anhangs telefonisch rückfragen (und dabei gleich auf die Möglichkeit digitaler Signatur hinweisen, die solche Schritte erspart), ansonsten die Mail löschen und sich angenehmeren Dingen zuwenden.

With kind regards

Ich verachte dich auch, Spammer!

Joyce Meiling
Finance Manager
Altron Agl Ltd Indonesia
Ruko Kesehatan No.60 H
Jl.Tanah Abang IV
Jakarta Pusat 10160, Indonesia
Phone : +62-21-433 6xxx

Übrigens mag ich diese ganz tollen, mich mit Spam zuballernden „Unternehmen“, die sogar eine Telefonnummer (manchmal auch ein Faxgerät) haben, aber keine Website. :mrgreen:

Spam-Addons für Browser

Samstag, 14. Februar 2015

Dies ist keine Spam, sondern ein Hinweis auf einen lesenswerten Artikel bei Heise Online, der völlig klar macht, dass die (legale) Werbeindustrie sich im Internet der gleichen grenzkriminellen Methodik bedient wie die (illegalen) Spammer:

Um Werbung in besuchte Internetseiten einzubetten, injizieren die Add-ons ein Code-Geflecht, das mehrere URLs enthält, von denen die Werbung letztlich geladen wird. Bei diesen Internetadressen handelt es sich Cisco zufolge um Adressen, die über einen Domain-Erzeugungs-Algorithmus basierend auf Begriffen aus einem Wörterbuch erzeugt wurden. Dabei haben sie im Zeitraum von Januar 2014 bis November 2014 570 derartige Domains gezählt. Die eigentliche Einblendung der Werbung geschehe indessen auf eine sehr unauffällige Art und Weise und es habe den Anschein, als wäre die Anzeige passgenau in der jeweiligen Internetseite verankert. Zudem seien die Werbeanzeigen auf das jeweilige Betriebssystem zugeschnitten

Um das zu erreichen, wird Schadsoftware in Form von Browser-Addons installiert, und zwar bei der Installation kostenlos und legal heruntergeladener Software. Diese klandestinen Vorgehensweisen belegen, dass Werber Menschen sind, mit denen kein friedliches Miteinander möglich ist – sie haben jede nur denkbare Ächtung verdient.

Trojaner des Tages

Donnerstag, 5. Februar 2015

Kein Text, sondern nur ein kurzer Link zu Avast: Gaming-Apps auf Google Play infizieren Millionen von Nutzern mit Adware

Den Programmierern der trojanischen Apps und den in meinen Augen halbseidenen Firmen, welche die von dieser Schadsoftware zur Verfügung gestellte Schnittstelle zum Zuspammen der Menschen mit unerwünschter Reklame nutzen, gebührt jede nur denkbare Verachtung. Wer eine derartige Werbung auf seinem Handy wahrnimmt, sollte diese als dringende Empfehlung wahrnehmen, niemals mehr etwas von einer Klitsche zu kaufen, die glaubt, derartige Methoden nötig zu haben.

Hallo

Samstag, 31. Januar 2015

Oho, mal wieder ein Qualitätsbetreff! 😀

Ich sende dir gleich Bilder von mir in Dessous die du mir geschenkt hast.

Wieso „gleich“, wenn du mir jetzt schon was zusendest. Und wer zum hackenden Henker bist du überhaupt, der oder die mich gar nicht erst irgendwie anredet und gleich mit Unterwäsche-Bildern kommt. Bist du etwa die Frau aus dem Versandhauskatalog?

Dein Freund hat wirklich gute Bilder gemacht in seinem Fotostudio.

Und welcher von meinen Freunden hat ein Studio?

Er ist auch sehr einfühlsam und nett.

Ah, ich sehe: Ihr beide habt die Session ein wenig „vertieft“. :mrgreen:

Die nächste Foto mit meiner Freundin.

Klar doch. Noch mehr Unterwäsche-Bilder, diesmal gedoppelt. Ich würde allerdings ein Video bevorzugen¹… du weißt schon, du richtest dich ja an Wichser.

schreib mir bitte.

Ich glaube nicht, dass „deine“ Absenderadresse echt ist.

Das Passwort für die Fotos: sexy21

Wie jetzt, die Fotos haben ein Passwort? Ach, da hängt ja ein Anhang an der Spam. Eine ZIP-Archiv mit dem lustigen Namen sexyfoto.zip, 427 moppelige Kilobytes groß.

SPÄTESTENS JETZT sollte jeder den folgenden Satz denken: „Ein ZIP-Archiv, das mit einer E-Mail kommt, stinkt. Und zwar immer“. Die nächste Reaktion ist dann der Druck auf die Entf-Taste…

Dieses ZIP-Archiv ist allerdings besonders gefährlich! Es ist mit einem Passwort geschützt, so dass ein Antivirusprogramm keine Chance hat, es zu entpacken, um seine Inhalte zu überprüfen. Deshalb ist es für mich auch nicht weiter überraschend, dass zurzeit kein einziges Antivirus-Schlangenöl diesen Mailanhang als gefährlich erkennt. Das wird vermutlich noch lange so bleiben, und wir werden vermutlich alle in Zukunft häufiger derartige ZIP-Archive mit Passwort sehen.

UND DESHALB sollte der Satz folgendermaßen ergänzt werden: „Ein ZIP-Archiv, das mit einer E-Mail kommt und mit einem Passwort geschützt ist, stinkt und ist garantiert hochgiftiger, krimineller Sondermüll, den man nur mit der Kneifzange anfassen sollte. Und zwar immer“. Ich habe ja wirklich lange darauf gewartet, dass den verbrecherischen Spammern einmal etwas besseres einfällt als das „übliche“ ZIP-Archiv mit einer Datei der Marke .pdf.exe, und genau das scheint jetzt geschehen zu sein.

Im ZIP-Archiv gibt es einen Ordner sexyfoto, dieser enthält zwei Dateien mit folgenden Dateinamen:

  1. IMG_1389.JPG – Ein JPEG-Bild
  2. IMG_1390.SCR – Ein Windows-Bildschirmschoner

Beim JPEG-Bild IMG_1389.JPG handelt es sich um ein softerotisches Foto einer lasziv herumliegenden Frau in Unterwäsche, das die Spammer mit an Sicherheit grenzender Wahrscheinlichkeit irgendwo aus dem Internet „mitgenommen“ haben. (Gut möglich, dass die Frau nichts davon weiß.) Die Datei IMG_1390.SCR ist ein Bildschirmschoner für Microsoft Windows, also eine direkt ausführbare Datei für Microsoft Windows, die mit einer asozialen und kriminellen Spam zugestellt wurde. Diese Schadsoftware wird inzwischen von knapp der Hälfte der gängigen Antivirus-Programme als das erkannt, was sie ist: Ein Trojaner. Wer sich da durchklickt und – nachdem sich so viel Blut im Schwellkörper und so wenig Blut im Hirne befindet – nach dem ersten Bild das „zweite Bild“ anschauen möchte, der hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Ich befürchte, dass diese Masche, um anderen Leuten Schadsoftware unterzujubeln, in den nächsten Monaten zu einer Pest wird. Natürlich mit besseren Spamtexten, um einen glaubwürdigen Vorwand dafür zu haben, passwortgeschützte ZIP-Archive zu vesenden. (Nein, hier mitlesender Spammer, ich gebe dir jetzt keinen Tipp, was du schreiben könntest, obwohl mir eine Menge einfällt.) Ein Virenscan auf einem Mailserver scheitert bei diesen Anhängen immer, so dass viele dieser Spams auch ankommen, und… leider… führen sexuelle Inhalte auch immer wieder dazu, dass selbst vernünftigere Menschen etwas leichtsinnig werden.

Deshalb seid bitte aufmerksam und macht niemals ein ZIP-Archiv aus einer E-Mail auf, und schon gar nicht, wenn es durch ein Passwort geschützt wurde. Das bisschen befriedigte Neugierde wiegt den Ärger, den man sich durch einen übernommenen Computer einhandeln kann, nicht auf. Selbst, wenn eine E-Mail mit einem ZIP-Anhang von einem Bekannten zu kommen scheint, immer darüber bewusst sein, dass sich Absenderadressen in einer E-Mail beliebig fälschen lassen und dass Spammer inzwischen riesige Datensammlungen haben, auch von Adressbüchern und auch mit Zuordnungen von Mailadressen zu echten Namen. Deshalb lieber rückfragen, bevor ein ZIP-Archiv aus einer E-Mail geöffnet wird, und zwar nicht über E-Mail oder IM – der Computer des Bekannten könnte bereits trojanifiziert sein und die Frage könnte von einem Halunken beantwortet werden – sondern über ein anderes Medium, zum Beispiel Telefon.

Wer sein Windows so konfiguriert, dass er Dateinamenserweiterungen sieht, tut übrigens viel für seine Computersicherheit. In diesem Fall wäre auch mäßig geübten Anwendern sofort aufgefallen, dass .SCR ein „komischer Typ“ für eine Bilddatei ist – die dann aufkommende Frage wird schnell von Wikipedia beantwortet, und zwar mit einem deutlichen Hinweis:

Windows Bildschirmschoner. Warnung: Häufiges Ziel von Virusinfektionen

Wie man sein Windows so konfiguriert, dass man auch sieht, wie die Dateien heißen, lässt sich hier auf der Support-Website von Microsoft nachlesen. Warum Microsoft seine vor siebzehn Jahren für Windows 98 getroffene Entscheidung, den Anwendern den Typ einer Datei nicht mehr im Dateinamen anzuzeigen, angesichts der extrem häufigen Ausbeutung dieser Entscheidung durch Kriminelle nicht ändert, gehört zu den Fragen, die man am besten immer wieder Microsoft stellt. In meinen Augen wird hier mit einer Voreinstellung, die dem Anwender nichts nützt, ein Biotop geschaffen, in dem die organisierte Kriminalität des Internet aufblüht. Aber böse Zungen würden sagen, dass sich diese Aussage generell auf Microsoft verallgemeinern lässt²…

¹Zugegeben, ich musste in bisschen suchen, bis ich eines fand, das jugendfrei ist und doch was hermacht… ich habe länger danach gesucht, als ich an diesem Text geschrieben habe.

²Nein, so eine böse Zunge bin ich nicht – Microsoft hat in den letzten Jahren auch einiges zur Absicherung seines Betriebssystemes getan. Allerdings muss wegen der großen Bedeutung dieses Betriebssystemes alles kompatibel zu früheren Versionen bleiben, und deshalb lassen sich einige Fehlentscheidungen aus der Anfangszeit nicht mehr leicht korrigieren. Dazu gehört auch die Codierung des Dateityps im Dateinamen, die dann beim Doppelklick auf die Datei entweder die zugeordnete Anwendung startet oder aber – im Falle einer ausführbaren Datei – die ausführbare Datei startet. Handelte es sich bei der Ausführbarkeit, so wie in „richtigen“ Betriebssystemen, um eine von der Datei unabhängige Kennzeichnung im Dateisystem und müsste der Anwender vor dem erstmaligen Ausführen einer Datei diese Kennzeichnung von Hand setzen, wäre das zwar unkomfortabel, aber dabei sehr viel sicherer und besser, weil nicht mehr aus Versehen Code von Verbrechern gestartet werden könnte. Solche Kleinigkeiten aus den Sechziger Jahren sind es übrigens, die unixoide Betriebssysteme sehr viel sicherer als Microsoft Windows machen – es ist wirklich nicht so, dass es unmöglich wäre, Trojaner zu programmieren, ganz im Gegenteil, es ist sogar sehr leicht, aber es ist so, dass es schwierig ist, einen Anwender zur Ausführung des Schadcodes zu bringen. Leider ist es auch dort nicht unmöglich, und sollte es wirklich einmal dazu kommen, dass sehr viel mehr Menschen als die heutigen knapp 1,5 Prozent Linux benutzen – womöglich auch noch fast alle die gleiche Distribution – und damit ein attraktives Ziel für Kriminelle werden, dann werde ich hier sehr viel über Schadsoftware für Linux schreiben müssen, die ich jeden Tag sehe. Bis dahin ist der Umstieg auf ein anderes Betriebssystem, wenn er möglich ist, ein sehr guter Schutz. Vor allem, wenn man Spam sofort erkennt und löscht, denn zurzeit kommt ein Großteil der Trojaner über Mailanhänge aus der Spam. Das beste Schutzprogramm auf jedem Betriebssystem ist und bleibt BRAIN.EXE.

an sekretariat

Montag, 15. Dezember 2014

Sehr geehrte Damen und Herren,

im Anhang finden Sie meine Bewerbung mit Anschreiben. Danke für Ihre Aufmerksamkeit.

Mit freundlichen Grüßen

Oh schön, jemand will sich bei mir bewerben – und schreibt nicht einmal seinen Namen oder eine Telefonnummer unter die E-Mail, ganz so, als wolle er gar keine Antwort… 😀

Nun gut, ich fasse mich kurz. An der Spam hängt ein ZIP-Archiv, und in diesem befindet sich eine Datei, deren Dateiname auf .pdf.exe endet. Es handelt sich dabei um eine ausführbare Datei für Microsoft Windows, deren Dateityp mit einem Dateinamenstrick und dem irreführenden Piktogramm eines PDF-Dokumentes verschleiert werden soll und die von irgendwelchen Unbekannten zugestellt wurde. Es ist also das reinste Gift für Windows.

Zurzeit wird der kriminelle Sondermüll nur von rd. 40 Prozent der gängigen Antivirus-Schlangenöle als solcher erkannt – immer noch scheint es den Programmierern so genannter Sicherheitssoftware für Microsoft Windows nicht möglich zu sein, auf den Dateinamenstrick aus den Neunziger Jahren mit einer schrillen Warnung zu reagieren, weil es ganz einfach keinen seriösen Grund dafür gibt, einen Menschen über den Typ einer Datei zu täuschen. Wer sich auf die „gefühlte Sicherheit“ durch dieses Schlangenöl verlassen hat, war wieder einmal in vielen Fällen verlassen – sehr ärgerlich, wenns dann einmal die Sekretärin eines kleineren mittelständischen Betriebes war, die sich im Vertrauen auf Schlangenöl-Software diese angebliche Bewerbung anschauen wollte und anschließend das Online-Banking des Unternehmens still zum Plündern und Betrügen übernommen wird, was zu monatelangem Ärger mit Banken und der Staatsanwaltschaft und in ganz harten Fallen zur Insolvenz führt…

Wer hingegen sofort skeptisch wird, wenn Unbekannte ein ZIP-Archiv an eine E-Mail gehängt haben und dieses Archiv deshalb nur noch mit der Kneifzange anfasst¹, kann sich zurzeit kaum eine Schadsoftware über E-Mail einfangen.

Ein ZIP als Anhang einer unverabredet zugesandten Mail ist generell ein Alarmzeichen. Spammer verpacken ihre Schadsoftware in ZIP-Archive, um den Virenscan auf einem Mailserver zu erschweren; und das funktioniert erstaunlich häufig, weil Archive nicht auf jedem Mailserver gründlich durch Auspacken und Prüfung jeder Einzeldatei behandelt werden, um eine sonst mögliche Denial-of-Service-Attacke durch eine ZIP-Bombe abzuwehren.

¹Die Kneifzange sieht so aus: zwei bis drei Tage warten, bis die Antivirus-Programme den möglicherweise sehr aktuellen Schädling kennen und dann das ZIP über VirusTotal von zurzeit 52 Antivirus-Programmen prüfen lassen. Und dieses Vorgehen gilt generell für Dateien in einem ZIP, selbst für PDFs und Office-Dokumente, die Sicherheitslücken ausnutzen oder Makro-Schadsoftware enthalten können.

My Photo!

Mittwoch, 3. Dezember 2014

Von: Shafira <c (punkt) o (punkt) security (strich) group (at) alice (punkt) it>

Wow, bei so einer (natürlich gefälschten) Absenderadresse muss das ja eine richtig sichere Spam sein. 😀

Und, was steht drin?

Von meinem Motorola V890 gesendet

Nix steht drin.

Stattdessen gibt es einen Anhang mit dem Dateinamen photo.zip, und wie immer, wenn ein ZIP-Archiv an einer Spam hängt, ist das reinste Gift drin. Diesmal ist es originellerweise keine .exe-Datei, die mit einem Dateinamenstrick und einem lustigen Icon den Eindruck erwecken soll, es handele sich um ein PDF, sondern eine Datei namens photo.scr. Die ist aber nicht harmloser, denn auch hier handelt es sich um eine ausführbare Datei für Microsoft Windows, die beim Doppelklick auch ausgeführt wird – .scr ist die Dateinamenserweiterung für Bildschirmschoner.

Wie so oft bei aktueller Schadsoftware ist man verlassen, wenn man sich auf sein Antivirus-Programm verlässt: Nur gut die Hälfte der Programme schlägt zurzeit Alarm. Wer aber daran denkt, dass eine E-Mail mit angehängtem ZIP-Archiv immer ein ganz schlechtes Zeichen ist, vor allem, wenn sie von einem Unbekannten kommt und wer vielleicht noch zusätzlich weiß, dass gängige Fotoformate wie JPEG bereits komprimiert sind und deshalb keiner zusätzlichen Kompression bedürfen¹, der löscht den Müll und ist auf der sicheren Seite. Und wer auch noch weiß, dass die Absenderadresse beliebig fälschbar ist, wird auch generell skeptisch bei ZIP-Archiven von Menschen, die er kennt und lässt diese – wenn die Mail nicht gerade verabredet war – vorsichtshalber einen Tag später bei VirusTotal von vielen gängigen Antivirus-Programmen kurz überprüfen. Ja, erst einen Tag später, denn die Antivirus-Programme erkennen nur bekannte Schadsoftware und scheitern schon bei trivialen Abwandlungen des Schadcodes.

Das Gehirn und ein kleines bisschen Wissen sind zurzeit der beste Schutz vor Trojanern, die mit dummen Spams kommen. Die von der Reklame gern als wichtiger Schutz dargestellten Antivirus-Programme sind nur eine Ergänzung.

¹Wer Lust auf ein Experiment hat, kann das gern mal ausprobieren. Einfach ein JPEG nehmen und mit dem bevorzugten Hilfsmittel ein ZIP daraus machen, um zu schauen, wie viel „kleiner“ die Datei wird. Ich nehme das Ergebnis hier mal für die weniger experimentierfreudigen Leser vorweg: Zwei bis drei Prozent Reduktion der Dateigröße sind das höchste der Gefühle, und in einigen Fällen kann es sogar passieren, dass das ZIP ein bisschen größer als das JPEG wird… weil es nicht komprimierbar ist und mit zusätzlichen Archiv-Overhead unkomprimiert im ZIP abgelegt wird. Deshalb ist es nicht sinnvoll, JPEG-Bilder zu komprimieren, und die Annahme, dass ein Wischofon dies automatisch beim Mailen eines Bildes tun würde, ist absurd.

Fax mail-7972461

Sonntag, 9. November 2014

So so, Fax-Mail mit Zahlensalat…

Die Faksimile Mail Absender: 058-525-3791

Sie haben erhalten 3 Seite Fax Nachricht am 9.29 Don, November 6, 2014

Die REF Nummer der Nachricht 98362504656685

Lesen Sie die Fax via Microsoft Word.

Selbst, wer nicht besonders skeptisch ist, sollte bei dieser Mail sofort aufmerksam werden, und zwar aus folgenden Gründen:

  1. Selbst ein mieses Übersetzungsprogramm käme wohl nicht auf einen Begriff wie „Faksimile Mail Absender“ – einmal ganz davon abgesehen, dass es „Der Absender“ hieße.
  2. Auch der Rest ist sprachlich… ähm… interessant und das verwendete Datums- und Zeitformat ist für eine „deutschsprachige“ Mail geradezu peinlich schlecht.
  3. „Lesen Sie die Fax via Microsoft Word“ ist absurd. Wenn ein Fax versendet wird, handelt sich nicht um einen Text, sondern um eine Rastergrafik. Geräte, die ein Fax empfangen haben und dieses per E-Mail weiterleiten, würden entweder ein PDF oder ein offenes Grafikformat wie PNG daraus erzeugen, da der Aufwand für das Extrahieren des Textes zum Erzeugen eines Textformates sehr hoch wäre. Einmal ganz davon abgesehen, dass es Microsoft Word nicht für jedes Betriebssystem gibt, sondern nur für eines, nämlich das Lieblingsbetriebssystem der organisierten Internet-Kriminalität…

Hier möchte also jemand die Mailempfänger unter einem Vorwand dazu bewegen, eine per E-Mail empfangene Datei in Microsoft Word zu öffnen. Es ist grundsätzlich eine sehr schlechte Idee, Word-Dokumente oder andere Dokumente für Microsofts Office-Paket aus unsicherer Quelle zu öffnen. Die Office-Programme sind makrofähig, das heißt, es ist möglich, Dokumente so zu erstellen, dass sie Code enthalten, der beim Öffnen der Dokumente ausgeführt wird. Selbst, wenn das durch Sicherheitseinstellungen verhindert wird, hat das Office-Paket von Microsoft eine bemerkenswerte Sicherheitsgeschichte.

Die Datei heißt FAX Dokumenten_8122.doc und es handelt sich wirklich um ein Word-Dokument. Auch ohne diese Datei zu öffnen, konnte ich schnell herausbekommen…

Screenshot meines Terminals, in dem ich die Datei überprüfe

…dass diese Datei zwei Seiten mit 128 Wörtern hat, die in null Sekunden getippt wurden. Und zwar nicht von einem Faxempfangsprogramm, sondern mit einem Microsoft Office, das auf einen Benutzer mit dem hübschen Namen „crypt mari“ registriert ist.

Für alle hoffnungslos Neugierigen: Dieses Dokument sieht so aus:

Erste Seite der angeblichen Faxnachricht aus der Spam

Zweite Seite der angeblichen Faxnachricht aus der Spam

Ja, richtig: Dieses Dokument fordert in seinem Text dazu auf, dass man die Ausführung von Makros zulassen soll, um das Dokument, das man gerade liest, lesen zu können. Und zwar mit einer kurzen Anleitung für jede einzelne verbreitete Version von Microsoft Office, wie man diese Dummheit hinbekommt. Wer dieser Anweisung folgt, führt dadurch Code auf seinem Computer aus, der ihm von einem kriminellen Spammer unter einem Vorwand „untergeschoben“ wurde. Es handelt sich um das reinste Gift, das schnell und unbemerkt dafür sorgt, dass ein Computer anderer Leute auf dem Schreibtisch steht.

Zwei Dinge sind an dieser Spam besonders gefährlich. Erstens kommt sie manchmal durch Spamfilter durch, und zweitens wird die Schadsoftware zurzeit nur von einem guten Zehntel der gängigen Antivirus-Programme erkannt. Da sie außerdem nicht dem Schema „ZIP-Archiv im Anhang“ folgt, mit dem zurzeit die Mehrzahl der Schadsoftware versendet wird, kann es leicht passieren, dass einige Menschen unkritisch darauf hereinfallen. Zum Glück wird das in diesem Fall wegen der unbeholfenen Sprache der Spam selten sein. Dennoch kann man es gar nicht oft genug sagen: Niemals einen Anhang aus einer dubiosen E-Mail öffnen, selbst wenn dieser ein scheinbar harmloses Dokumentformat wie ein Word-Dokument oder ein PDF sein sollte! Das bisschen befriedigte Neugierde kann den möglichen Schaden nicht aufwiegen.

Diese Spam ist ein „Zustecksel“ meines Leser M. R.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.