Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Your BlackBerry ID has been created

Dienstag, 12. Februar 2013

Wie jetzt, ich habe gar kein Telefon…

(Gefälschter) Absender der Mail ist donotreplay (at) blackberry (punkt) com. Die Mail ist mir durch die Spamfilter geflutscht, und das wird vermutlich auch bei anderen immer wieder einmal geschehen.

Your BlackBerry ID has been created

Das hast du schon im Betreff gesagt.

Hello,

Der Absender hat keine verdammte Ahnung, wie seine Empfänger heißen. Vermutlich müssen sie…

You‘ve created a BlackBerry ID!

…bei der Erzeugung einer BlackBerry ID nicht auch noch sagen, wer sie sind.

To enjoy the full benefits of your BlackBerry ID, please follow the instructions in the attached file

Diese angehängte Datei ist etwas, worauf ich gleich noch einmal zurückkomme:

BlackBerry ID is your universal BlackBerry key. Here’s what it offers:

  • One sign in for all BlackBerry applications, services, and websites.
  • Automatic transfer of some email accounts and services when you switch smartphones.
  • Full access to all features in BlackBerry App World™ storefront.
  • Protection of financial transactions using BlackBerry services.

You can learn more about BlackBerry ID by visiting https://blackberryid.blackberry.com/

The BlackBerry Team

This email has been automatically generated. Please do not reply to this email.

If you have not previously indicated that you wish to receive emails from Research In Motion Limited and/or its affiliated companies regarding exclusive offers and updates about BlackBerry products and services and you would like to do so, please click here.

Research In Motion Limited, 295 Phillip St., Waterloo, Ontario, Canada, N2L 3W8

2012 Research In Motion Limited. All rights reserved. BlackBerry, RIM, Research In Motion and related trademarks, names and logos are the property of Research In Motion Limited and are registered and/or used in the U.S. and countries around the world.

Alle Links führen auf die Domain blackberry (punkt) com, die Mail sieht also durchaus „echt“ aus. Dass sie nicht echt ist, zeigt sich zum Beispiel daran, dass sie auch bei mir angekommen ist, obwohl ich lieber ein smart brain als ein smart phone habe. Ein Blick in den Mailheader und ein bisschen anschließendes whois-Tippen zeigt, dass diese Mail über die dynamische IP-Adresse eines indischen Zugangsproviders versendet wurde, also mit an Sicherheit grenzender Wahrscheinlichkeit über einen mit Schadsoftware gekaperten Privatrechner. Sämtliche Angaben in dieser Mail haben also nichts mit dem wirklichen Absender zu tun.

Diese Mail soll auch niemanden dazu bringen, auf einen Link zu klicken. Vorlage für den Text ist vermutlich eine echte derartige Mail. Es gibt genau einen Satz, der einen Fehler enthält: Der Hinweis, dass man den Anhang öffnen soll, wird nicht mit einem Punkt beendet. Dieser Hinweis wurde also vermutlich von den Spammern hinzugefügt, um Empfänger zu Opfern zu machen.

Der Anhang ist ein ZIP-Archiv, das genau eine Datei enthält. Diese hat den Dateinamen BlackBerry Instructions (punkt) pdf (punkt) exe, es handelt sich also nicht um ein PDF, sondern um eine ausführbare Datei für Microsoft Windows, die von kriminellen Spammern unter Angabe eines falschen Absenders versendet wird. Wer sein Windows in den Voreinstellungen belassen hat, die wirkliche Dateinamenserweiterung .exe nicht gesehen hat und die trügerisch harmlos aussehende Datei deshalb mit einem Doppelklick geöffnet hat, hat Software von Kriminellen auf seinem Rechner ausgeführt und hat jetzt einen Rechner anderer Leute vor sich stehen, der beliebig von Kriminellen missbraucht werden kann und missbraucht werden wird.

Wie so oft, wird die Schadsoftware zurzeit nicht von allen so genannten „Virenscannern“ erkannt. Wer sich auf die „gefühlte Sicherheit“ verlassen hat, die ihm sein Antiviren-Programm vermittelt, ist also in vielen Fällen verlassen. Wer hingegen in den Ansichts-Einstellungen für den Windows-Explorer das Häkchen bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt hat¹, konnte auf dem ersten Blick sehen, dass es sich bei dem angeblichen PDF-Dokument um eine ausführbare Datei für Microsoft Windows handelt und sich seinen Teil dazu denken, warum jemand so einen Mummenschanz nötig hat.

Die naheliegende Frage, warum Microsoft Windows nach der Installation in einer unsicheren Voreinstellung daherkommt, die in erster Linie der organisierten Internet-Kriminalität hilft, ohne dass sie dem Anwender einen Nutzen bringt, bitte an Microsoft stellen. Irgend etwas werden die sich dabei schon gedacht haben. Ich weiß nur nicht, was…

¹Korrigiert nach Hinweis von Elisa M. Ich wusste nicht genau, wie das in der deutschen Übersetzung heißt, weil ich beinahe niemals an einem deutschen Windows sitze.

Zahlungsbestätigung Theheatcompany.com Deutschland GmbH de 2013

Donnerstag, 7. Februar 2013

Diese wundersame Mail mit einem Hinweis einer Zahlungsbestätigung für eine niemals geblechte Zahlung von niemals einer gehörten Firmierung [gnhihi! Deutschland GmbH!] wurde von einer statischen IP-Adresse aus dem Adressbereich der Hetzner Online AG versendet. Davon, dass der „Kunde“ jemals seine zukünftigen Rechnungen bezahlen wird, kann sich die Hetzner Online AG wohl verabschieden. Der Absender efact610 (at) afterbuy (punkt) de ist gefälscht und jedesmal anders. Das gilt im Text dieser Mail auch für die Kundennummer und den Rechnungsbetrag.

п»ї

Hey, Spammer! So schwer ist das nicht, einen richtigen charset hinter dem Content-type anzugeben! Dann brauchst du keine obskuren Konvertierungen deiner Mülltexte machen, die immer wieder einmal fehlschlagen. Zu doof zum Spammen mal wieder…

Kunden-Nr.: 943845872

Guten Tag,

Eine tolle persönliche Ansprache eurer Kunden habt ihr da! Und wenn ich diese Nummer sehe, boah ey, neunstellig! Ihr wollt fast eine Milliarde Kunden haben, obwohl ihr ihnen im Ton so patzige Drecksmails schreibt, in denen man mit einer Nummer und nicht mit einem Namen angesprochen wird, und in denen ihr von irgendwelchen Zahlungen und Rechnungen faselt, ohne zu sagen, wofür?

Kommt, Idioten. Netter Versuch, aber ziemlich verpatzt.

Ihre Rechnung finden Sie in unserer Online-Rechnungsbeilage als ZIP-Datei. [sic!] Die Gesamtsumme im Monat Januar 2013 wurde geändert:
301,68 EUR

Hmm! „In der Online-Rechnungsbeilage als ZIP-Datei“ – habt ihr vor dem Absenden dieses Strunzes mal euren Deutschbeauftragten gefragt, wie das Ergebnis eurer Bullshit-Bemühungen auf einen Empfänger wirkt? Und dann ist meine Rechnung also eine ZIP-Datei. Und ich dachte schon, sie sei etwas lesbares oder druckbares, aber es ist doch nur ein verbreitetes Archiv-Format. Großartig! Ein Zehnjähriger, der so ein Gestammel im Deutschunterricht von sich gibt, bekäme ein „ungenügend“ dafür.

Ach ja, die ZIP-Datei, die an die Mail gehängt ist. Sie besteht aus 244,9 KiB komprimierter Güte und enthält genau eine Datei. Und diese ist ein direkt ausführbares Programm für Microsoft Windows, das von Kriminellen mit einer Spam zugestellt wurde. Wer dieses Progrämmchen gestartet hat, hat verloren. Der Rechner, an dem er sitzt, gehört jetzt anderen und wird aktiv missbraucht. Die Schadsoftware wird zurzeit immer noch nicht (die Mail ist ca. 20 Stunden alt) von der Mehrzahl der so genannten „Antivirus“-Programme erkannt. Unglücklicherweise ist sie zumindest bei mir durch den Spamfilter geflutscht. Wer sich auf Automatismen verlässt und ansonsten von seiner Neugierde getrieben auf alles klickt, was sich nur klicken lässt, kann also darauf reinfallen. Wer sich angewöhnt, solchen Schrott einfach zu löschen, hingegen nicht. Sogar, wenn er gar keinen „Virenscanner“ hat…

Diese Spam wurde mechanisch erstellt und kommt ohne Grußformel.

You have 1 personal notification from Facebook Service

Sonntag, 27. Januar 2013

Soso, von Facebook, und das als jemand, der gar nicht Facebook nutzt. Und nein, das ist nicht die Spam, die man wirklich vom nach Spam stinkenden „Fratzenbuch“ bekommen kann, denn diese kommt zweifelsfrei von Facebooks Servern und nicht wie dieses Exemplar aus dem IP-Bereich eines finnischen Internet-Anbieters. Also ist schon einmal völlig klar, dass hier jemand den Eindruck eines anderen Absenders erwecken will. Warum sollte man das wohl wollen?

Facebook Service has send you a notification. Your account has been successfully updated. Go to Facebook. See All Notifications.

Sämtliche Links führen in die Domain dogukanspor (punkt) com, die zurzeit keine Startseite, sondern ein Zugriffsverbot präsentiert. Die Links funktionieren allerdings. Diese Domain ist – man hätte es beim Namen schon erraten können – von einem türkischen Sportverein aus dem sonnigen Sarkaya registriert – nicht einmal 100 Kilometer vom Schwarzen Meer entfernt, und bei der Kälte draußen darf man sich so etwas gar nicht anschauen… Die bei der Registrierung der Domain angegebene Anschrift dieses Vereines existiert. Mit an Sicherheit grenzender Wahrscheinlichkeit wurde die Website des Sportvereines von Kriminellen „übernommen“, und das dürfte auch der Grund sein, warum dort zurzeit keine Website zur Verfügung steht. Leider bedeutet das nicht, dass die wahrscheinlich klandestin hochgeladenen Inhalte dort auch verschwunden wären. Da die Spam über das Wochenende kam, ist es gut möglich, dass sich einfach nur noch niemand die Sache angeschaut hat, der etwas davon versteht – und das Offline-Nehmen der Website war eine Notbremse angesichts eines laufenden Missbrauchs des Webservers durch die organisierte Internet-Kriminalität.

Was erwartet einem Menschen, der in diese Spam „von Facebook“ klickt?

Nach dem bereits Erwähnten ist klar, dass es nichts Gutes sein wird. Ich habe bei meinem Test natürlich die eindeutige Kennung am Ende der URI entfernt, und ich habe auch keinen graphischen Browser benutzt, und so kam ich nach einer Kaskade von neun Weiterleitungen über diverse Domains, die vermutlich ebenfalls über kriminelle Angriffe in die Kontrolle der Verbrecher gerieten, schließlich bei einer Pimmelpillen-Apotheke der vertrauten Betrugsmarke „Canadian Pharmacy“ an. Über diese ziemlich unverständliche „Nummer“ habe mich ja schon öfter gewundert.

Das liegt daran, dass ich einfach zu vorsichtig gewesen bin, um die Nummer so zu sehen, wie sie einem naiv in die Mail klickenden Menschen widerfährt. Wer da unvorsichtigt reinklickt, bekommt nämlich von den freundlichen Verbrechern eine brandneue Kollektion aktueller Schadsoftware untergeschoben.

Deshalb klickt man eben nicht in Spams. Und deshalb versucht man, Spams zu erkennen.

Wie hätte man diese Spam als Spam erkennen können

Es gibt mehrere deutliche Indizien, die einen auch dann skeptisch machen sollten, wenn man bei Facebook ist:

  1. Die Sprache stimmt nicht
    Ganz Facebook sieht man in Deutsch, aber dann soll Facebook auf einmal englische Hinweismails versenden? Facebook weiß, welche Sprachen seine Nutzer eingestellt haben.
  2. Die Mail kam ohne Anrede
    Facebook weiß, wie seine Nutzer heißen, und Facebook wird seine Nutzer mit Namen ansprechen. Das ist nach diversen Datenschleudereien großer Unternehmen zwar kein völlig sicheres Kriterium mehr, aber wenn die persönliche Ansprache in so einem Fall nicht vorhanden ist, darf die Mail sicher als Spam aussortiert werden.
  3. Der Absender passt nicht
    Facebook würde selbstverständlich mit einer Absenderadresse @facebook.com mailen. In diesem speziellen Fall offenbart sich die Spam schon beim Blick auf den Absender. Aber natürlich ist die Absenderadresse beliebig fälschbar.
  4. Die Mitteilung ist inhaltlicher Bullshit
    Diese Mail teilt gar nichts mit. „Ihr Account wurde erfolgreich auf den neuesten Stand gebracht“… wer zum Henker würde so etwas mit einer Mail raussenden? Ohne weitere Erläuterung? Ohne Kontext? Eine sinnlose technische Mitteilung, die nichtssagend, überflüssig und lästig ist? So schlecht ist nicht einmal Facebook.

Allein aus diesen Offensichtlichkeiten zeigt sich, dass es sich um eine Spam handelt.

Natürlich können derartige Spams besser werden. Natürlich kann der Absender überzeugender gefälscht werden. Natürlich können die abgegriffenen Daten der letzten großen Datenlecks erworben werden, um eine persönliche Anrede zur Mailadresse zu haben. Natürlich können die Texte besser formuliert werden. Natürlich können Menschen in ihrer Sprache angesprochen werden. Solche Verbesserungen werden kommen. Vielleicht in zwei Jahren. Vielleicht aber auch schon übermorgen. Niemand – niemand, außer ein paar Kriminellen natürlich – weiß, welche Pläne die organisierte Internet-Kriminalität in welchem Tempo verfolgt.

Deshalb ist es ganz wichtig, sich anzugewöhnen, generell nicht in den E-Mails von Social-Media-Websites herumzuklicken. In der hier gezeigten Mail steht zum Beispiel nichts, was man im Falle einer echten Mitteilung von Facebook nicht auch auf der Website von Facebook sehen würde. Und wer bei Facebook ist, schaut da ja regelmäßig rein. (Und wer nicht mehr reinschaut, sollte sich über die Löschung seines Accounts bei diesem Spammer und professionellen Anbieter von Trojanern für persönliche, mobile Computer Gedanken machen.)

Es gibt also objektiv keinen Grund, in diese E-Mail zu klicken. Genau so, wie es für Facebook objektiv keinen Grund gäbe, diese E-Mail zu versenden, wenn sie denn von Facebook käme. Das gleiche gilt für alle Mails von Twitter, LinkedIn, Xing, Google Plus, MySpace und wie der ganze Zoo der geschäftlichen Beziehungsverwertung noch heißen mag.

Wer es sich angewöhnt, niemals in solchen Spams herumzuklicken, sondern stattdessen direkt die Website besucht, von der die Mail angeblick kommen soll, ist gegen diese kriminelle Überrumpelung völlig immun. Bei Kreditinstituten sollte man sich diese einfach Haltung schon längst angewöhnt haben, um niemals auf Phishing-Maschen hereinzufallen. Eine ganz einfache Grundregel, unkompliziert in der Anwendung: Niemals in die Mail klicken, sondern stattdessen einfach die Website besuchen! Diese ganz einfache Grundregel schützt vor einem Großteil der Phishing-, Schadsoftware- und Betrugsattacken, die zurzeit umlaufen.

Ein „Antivirenprogramm“ hingegen erkennt „nur“ Schadsoftware, die bei den Programmierern des „Antivirenprogrammes“ schon bekannt ist; sie hinkt den Kriminellen also immer um ein bis drei Tage hinterher. Der beste Schutz vor Schutz vor Schadsoftware ist nicht im Computer, sondern vorm Computer! Er lässt sich durch nichts anderes ersetzen.

Rechnungen von ImmobilienScout24?

Dienstag, 15. Januar 2013

Davon gibt es im Moment viele, immer mit anderen Absendern und mit verschiedenen Betreffzeilen, aber dem immer gleichen Text:

Sehr geehrte Kundin, [sic!]

Sie finden die Rechnung in der PDF-Datei im Anhang

Mit freundlichen GrГјГџen
Ihr ImmobilienScout24 Team
____________________________
Hinweis: Dies ist eine automatische E-Mail. Bitte schicken Sie keine Nachrichten an diesen Absender.

Immobilien Scout GmbH HRB 77017

Mit freundlichen WAS?!

Natürlich kommt diese Rechnung ohne persönliche Ansprache (erstes Alarmzeichen) und ohne Bezugnahme auf irgendeinen Geschäftsvorfall, die der Empfänger „entziffern“ kann – die „Rechnungsnummern“ in vielen Betreffzeilen sind einfach nur Zufallszahlen. Wer den Anhang öffnet, der zurzeit von keinem Scanner als Schadsoftware erkannt wird, hat verloren, wenn er dazu den Adobe Reader verwendet. Dass diese Mail nicht von ImmobilienScout24 kommt und dass der Absender gefälscht ist, muss ich wohl nicht eigens erwähnen…

Alles weitere gibts bei Heise Online.

Ruckzahlung auf PayPal-Guthaben

Samstag, 1. Dezember 2012

Aber ich habe doch gar nichts bezahlt…

PayPal

Aber ganz bestimmt eine echte Mail von PayPal! Nicht. Versendet über einen (nahezu sicher von organisiert Kriminellen mit Schadsoftware übernommenen) Privatrechner, der über eine dynamische IP aus Irland mit dem Internet verbunden war.

Fri, 30 Nov 2012 11:59:31 +0000
Transaktionscode: 0TM1494289502851K

Ein echt wichtig aussehender Transaktionscode. Und so menschenverständlich. Und so frei von jedem Verwendungszweck, der den Empfänger mal klar machen könnte, worum es hier überhaupt geht. Und mit Datumsangabe, die mal eben schnell mit asctime() erzeugt wurde, weil dem Spammer diese komplizierten Formatangaben für strftime() ein bisschen zu kompliziert waren und er deshalb lieber darauf verzichtet hat, ein freundliches und vielleicht etwas überzeugenderes Datumsformat zu verwenden – zum Beispiel eines, bei dem nicht der Offset zur UTC angegeben wird…

Guten Tag!

Natürlich hat der Verfasser dieser kriminellen Spam – im Gegensatz zum echten PayPal, das einen Kunden anschreibt – keine verdammte Ahnung, wie der Empfänger heißt.

GmbH hat Ihnen soeben eine Teilruckzahlung von ˆ478,99 EUR fur Ihren Einkauf gesendet.

Aber nicht nur das: Er hält „GmbH“ scheinbar für eine überzeugende Firmierung.

Wenn Sie Fragen zu dieser Ruckzahlung haben, wenden Sie sich bitte an GmbH.

Klar, denn „GmbH“ macht immer „Rückzahlungen“ ganz ohne jeden Grund und schreibt niemals einen aussagekräftigen Verwendungszweck dazu.

Der Ruckzahlungsbetrag wird direkt Ihrem PayPal-Konto gutgeschrieben.

Der Weihnachtsmann wohnt am Nordpol. Aber wichtig ist ja, dass die Gier des Empfängers angesprochen wird, denn Gier macht dumm. Und wer dumm ist, der…

Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoubersicht. Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird. Details der ursprunglichen Transaktion: Mehr Details in der beigefugten Datei
Rechnungsnummer: K24189993905942838399

…schaut sich vielleicht die „beigefügte Datei“ an. Diese ist ein ZIP-Archiv, das eine ausführbare Datei für Microsoft Windows enthält, die so tut, als wäre sie ein PDF. Wer diese Datei auf seinem Computer ausgeführt hat, der hat verloren und muss jetzt versuchen, den Schaden nachträglich im Rahmen zu halten.

Ihr Team von PayPal

Mit Gruß von Kriminellen, die sich darauf verlassen, dass sich immer ein paar Opfer unter den vielen hunderttausend Empfängern ihrer Drecksspam finden. Leider haben sie zumindest darin recht.

Hilfe-Center | Sicherheits-Center

Übrigens gehen diese Links in der Spam wirklich zu PayPal, denn in dieser Spam geht es nur darum, Computer mit Schadsoftware zu übernehmen, um sie anschließend für kriminelle Aktivitäten zu missbrauchen. Vor allem das Sicherheits-Center von PayPal kann ich jedem nur empfehlen, der angesichts des (gefälschten) Absenders service (at) paypal (punkt) de glaubt, so eine kriminelle Drecksmail könnte vielleicht doch echt sein. Hier nur kurz der wichtigste Hinweis: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang“. Und natürlich „Wir sprechen Sie immer mit vollständigem Vor- und Nachnamen an“. Wer an solche Kleinigkeiten denkt, statt sich von seiner Gier blind machen zu lassen, fällt niemals auf derart plumpe Überrumpelungen herein.

Bitte antworten Sie nicht auf diese E-Mail. E-Mails an diese Adresse werden von uns nicht gelesen. Um mit einem Mitarbeiter unseres Kundenservice zu sprechen, loggen Sie sich in Ihr PayPal-Konto ein und klicken Sie unten auf „Kontakt“.

Der Absender der Spam ist gefälscht.

Copyright © 2012 PayPal. Alle Rechte vorbehalten.

Diese Mail ist nicht von PayPal, sondern versucht nur so zu tun, als wäre sie von PayPal.

message MMS (multimedia messages)

Montag, 26. November 2012

Um es gleich klarzustellen: Diese E-Mail kommt nicht von Vodafone. Sie kommt auch bei Menschen wie mir an, die gar keine Vodafone-Kunden sind. Außerdem würde Vodafone den Empfänger mit seinem richtigen Namen ansprechen und da nicht als Anredeersatz eine elfstellige Zufallszahl nach der Vorwahl für Deutschland verwenden.

Was es bedeutet, wenn diese Mail nicht von Vodafone kommt, kann sich hoffentlich jeder selbst erklären: Es handelt sich um die Spam von Kriminellen, die es für ihre ganz besonderen „Geschäftchen“ nötig haben, solche falschen Eindrücke zu erwecken.

Mobile: +49809791419 PDF-Datei im Anhang dieser E-Mail -- Mit Hilfe dieses Services können Sie die von Ihnen empfangene MMS (multimedia messages) ansehen. Diese können Sie an andere Empfänger weiterleiten MMS können von Benutzern versendet werden, die ein MMS-fähiges Handy besitzen. MMS können Bild, Ton oder Video- Daten enthalten. Wenn Ihr Handy diese Nachrichten nicht anzeigen kann, wird diese hierher gesendet wo Sie die MMS ansehen können. Login -- Ihr Vodafone Team

Wie man an der Mail schon erahnen kann, ist der Zweck der ganzen Übung, den Empfänger zum Öffnen des Anhanges zu bewegen. Dieser ist ein ZIP-Archiv, in dem sich eine Datei befindet, deren Dateiname auf .pdf.exe endet – also eine ausführbare Datei für Microsoft Windows, die einem von Kriminellen unter Vorspiegelung falscher Tatsachen zugespielt wird. Windows in der Standardkonfiguration zeigt natürlich die Dateinamenserweiterung nicht an, so dass der werksseitig unsichere Rechner mit Betriebssystem von Microsoft den Eindruck erweckt, es handele sich um ein PDF-Dokument – ich bin mir sicher, dass dafür auch ein passendes Icon gewählt wurde.

Wer diese Datei mit einem Doppelklick ausgeführt hat, hat verloren. Da es natürlich wieder einmal eine neue Schadsoftware ist (also ein paar triviale Änderungen an einer schon bestehenden, damit sie nicht mehr von Virenscannern erkannt wird), hilft in vielen Fällen auch der Schlangenöl-Schutz durch einen Virenscanner nicht. Insbesondere versagen momentan BitDefender, F-Secure, Kaspersky und Sophos und erkennen diese Schadsoftware nicht. Wer sehen möchte, wie schnell oder langsam hier Fortschritte gemacht werden, kann die Sache auf VirusTotal verfolgen.

Der einzige Schutz gegen so kriminelle Überrumpelung ist und bleibt: Spam erkennen und niemals das tun, was der Spammer möchte! Spam unbesehen löschen! Irgendwelche „Sicherheitsprogramme“ helfen gar nicht.

You have received a new message

Mittwoch, 7. November 2012

Der (natürlich gefälschte) Absender der E-Mail ist mms (at) vodafone (punkt) de, und sogar einer der Links in der Mail führt zur Vodafone-Website. Diese Mail kommt nicht von Vodafone. In meinem Fall wurde sie von einer dynamischen IP-Adresse aus den Vereinigten Arabischen Emiraten versendet, also von einem mit Schadsoftware kriminell übernommenen Privatrechner.

You have received a picture message from mobile number +491629848169

Eine Ansprache gibt es nicht. Und obwohl „Vodafone“ meine Mailadresse kennen will, kennt es nicht meine Telefonnummer oder meinen Namen. Wozu auch? Um derartige Nachrichten zu bekommen, müsste ich ja nur Kunde sein…

To save this picture, please save attached file.

Darum geht es. Der Rest ist Blah:

You can reply once to this message via MMS for free!
To send a reply containing pictures, audio or video, click here to visit our on-line composer.
Alternatively, you can send a text-only reply (limited to 500 characters), simply by clicking your usual reply button. By replying to this message you agree to our terms and conditions. Please see our Website Terms and Conditions at http (doppelpunkt) (doppelslash) www (punkt) vodafone (punkt) de (slash) termsandconditions for full details.
Only one reply is possible until 11/11/2011.

Oh, da muss ich mich aber beeilen, um bis zum letzten Jahr mit meiner Antwort fertig zu werden.

© 2012 Vodafone D2 GmbH

Nein, diese Mail kommt nicht von Vodafone. Aber das habe ich ja schon gesagt.

Ziel der Spammer ist es, dass man den Anhang öffnet. Dieser ist bei mir ein ZIP-Archiv namens Vodafone_MMS.zip mit einer Dateigröße von 27,2 KiB. Darin ist eine Datei, deren Namen auf .jpg.exe endet, so dass es für Leute, die Microsoft Windows in den Standardeinstellungen betreiben, so aussieht, als handele es sich um ein JPG-Bild¹. Wer darauf geklickt hat, der hat verloren und „darf“ sich jetzt Gedanken darüber machen, wie er seinen Rechner wieder sauber bekommt.

Hier die obligatorischen Ergebnisse eines Scans durch virustotal.com.

¹Deshalb sollte man unbedingt die Einstellung „Dateinamenserweiterung anzeigen“ aktivieren. Das ist eine der ganz einfachen Maßnahmen zur Erhöhung der Sicherheit. Wenn jemand am Dateinamen sieht, dass ihm eine ausführbare Datei als Bild untergejubelt werden soll, wird er auch unter den Bedingungen anfallsartiger Neugierde nicht darauf klicken. Dieser Trick der Spammer ist wirklich alt, aber er funktioniert immer noch. Für Microsoft ist das freilich kein Grund geworden, standardmäßig den vollständigen Dateinamen anzuzeigen. An einem guten Teil der ganzen Spampest trägt Microsoft eine beachtliche Mitschuld, da diese Firma Bedingungen schafft, in denen Nutzer standardmäßig nicht den wirklichen Charakter einer Datei erkennen können.

Deutschland ist Weltspitze!

Freitag, 26. Oktober 2012

Hier gibt es keine Spam, sondern eine lesenswerte Meldung zum Thema Spam und meinen Kommentar dazu

Zumindest sind Menschen in Deutschland Weltspitze darin, Spams mit gefährlicher Schadsoftware zu empfangen, wie Heise Online vermeldet:

Deutsche Internet-Nutzer fanden im September weltweit die meisten schädlichen Anhänge und Links in ihren Postfächern vor und lösten damit die USA an der Spitze ab […] Auffallend ist dabei die steigende Zahl der Trojaner und Backdoor-Programme, die zum einen à la BKA-Trojaner das Betriebssystem sperren und zum anderen Schadsoftware wie Spam-Bots nachladen können.

Ich habe zu dieser Entwicklung eine bescheidene Meinung, die ich leider nicht mit weiteren Fakten belegen kann, aber dennoch für sehr einleuchtend halte.

Warum gibt es dieses Geschäftsmodell mit Erpressungstrojanern in Deutschland; mit Schadsoftware, die sich in den Startvorgang von Microsoft Windows einnisstet und den Rechner mit der (immer erlogenen) Behauptung blockiert, dass er von der Bundespolizei, der GEMA, dem BKA, der GVU oder anderen Institutionen gesperrt sei und dass zur (niemals stattfindenden) Aufhebung der Sperre ein Betrag von hundert Euro über ein anonymisierendes Verfahren bezahlt werden müsse? Warum lassen sich in der Bundesrepublik Deutschland offenbar genug erwachsene Menschen dazu hinreißen, so etwas für glaubwürdig zu halten? Was unterscheidet die Zustände in Deutschland so sehr von den Zuständen in anderen Ländern, dass es für die organisierte Kriminalität sinnvoll geworden ist, ihr „Geschäft“ schwerpunktmäßig für die „Zielgruppe“ Menschen in der Bundesrepublik Deutschland zu betreiben?

Sind die Menschen hier etwa dümmer?

Ich glaube nicht, dass die Menschen in Deutschland dümmer sind als – sagen wir mal – in Frankreich oder in den Niederlanden. Aber in der Bundesrepublik ist das Immaterialgüterrecht für das Rechtsempfinden juristischer Laien ganz besonders undurchschaubar verwickelt, und beinahe jede gewöhnliche Webnutzung ist potenziell ein teurer Rechtsbruch. Dies kombiniert sich mit einer breit durch alle Medien gezogenen Angstpropaganda der Rechteverwertungsindustrie, die mit absurden Forderungen nach immer weiter gehender Kriminalisierung ganz alltäglicher Nutzungsformen und völlig unverhältnismäßigen Fieberträumen von einer dystopischen Totalüberwachung aller Internetaktivitäten aller Menschen in Deutschland. Die Ausbreitung von Angst, Unsicherheit und Zweifel wird in einer oft dickfellig-aggressiven Weise allmedial kommuniziert und vom (ebenfalls von solchen „Ideen“ profitierenden) Medienapparat alles in allem unkritisch wiedergegeben. Dass auch die von Vertretern der großen politischen Parteien besetzten Innenministerien derartige Ideen aufgreifen, macht die Wirkung dieser Angstpropaganda um so verheerender.

Dass die Fähigkeit vernetzter Rechnersysteme zur Anfertigung verlustfreier Kopien die Grundlage für das Funktionieren des gesamten Internet ist, wird interessanterweise niemals von „Qualitätsjournalisten“ erwogen und berichtet.

In der Folge bildet sich auch beim harmlostesten naiven Webnutzer ein erhebliches Unrechtsgefühl in fast allem, was er tut, und die regelmäßigen Berichte über teils absurd hohe finanzielle Forderungen von Rechteinhabern für marginale Verstöße gegen das Urheberrecht erzeugen bei Menschen mit gewöhnlichem Einkommen – also nicht gerade einem Sebastian Edathy (SPD) – existenzielle Angst.

Auf dieser Grundlage (die Vorstellung weitgehender Überwachung wird jeden Tag in schrillsten Alarmtönen kommuniziert, genau wie Websperren für Internetnutzer) scheint die Sperrung eines Computers eben nicht so absurd, wie sie es ist, und das Angebot, den Rechner gegen hundert Euro entsperren zu lassen (was übrigens nicht geschieht), kann angesichts der sonst üblichen Summen geradezu gnädig erscheinen. Und so überweisen Menschen aus Deutschland, dem Land der täglichen contentindustriellen Angstpropaganda, dermaßen bereitwillig sauer verdientes Geld an die organisierte Kriminalität, dass sich dieses Sondergeschäft für die Verbrecher lohnt.

Wenn sie sich dafür bedanken wollen, bedanken sie sich bei ihrem nächsten Verlag, bei ihrer Zeitung, bei der GEMA, bei der GVU und bei ihrem Innenminister. Diese Leute, Betriebe und Organisationen sorgen dafür, dass sich das Verbrechen in Deutschland lohnt.

Sie könnten auch mal mit einer Aufklärung der Menschen über die wirkliche Rechtslage beginnen, statt bei jeder Gelegenheit zur Freude von kriminellen… sorry… Arschlöchern Angst, Unsicherheit und Zweifel auszubreiten. Aber hierzu ist seit Jahren nicht die Spur einer Bereitschaft erkennbar, stattdessen gibt es konstant großkalibrig verschossene Verdummung auf allen Kanälen.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.