Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Canadian Health & Care Mall – HealthcareOnline

Montag, 5. September 2011

Eine aktuelle Warnung: Die Spams mit diesem Betreff führen zu einer „Apotheke“, in der Menschen nicht gesund, Windows-Rechner (möglicherweise auch Rechner mit anderen Betriebssystemen, aber ich simuliere für solche Zugriffe immer Windows als Betriebssystem, weil es das verbreiteste Ziel derartiger Attacken ist) aber krank werden. Es handelt sich nich um die übliche Pimmelpillen-Spam, die als Betrug schon übel genug ist, sondern um einen Versuch, über diverse Wege Schadsoftware auf dem Rechner zu installieren.

Weitere Betreffzeilen mit dieser Masche in meinem Spamfilter sind:

  • Medicare and Medical Insurance conspiracy
  • software outlet online purchase

Ich gehe davon aus, dass noch viele andere Betreffzeilen für diese kriminelle Masche in Verwendung sind.

Von daher kann ich gar nicht gründlich genug davor warnen: Niemals in einer Spam herumklicken! Das bisschen befriedigte Neugierde ist das Risiko nicht wert. Niemals auf Virenscanner verlassen! Die Kriminellen sind den Signaturen der Virenprogramme immer einen Schritt voraus. Die Spam löschen! In eindeutigen Fällen: Ungelesen löschen! Wenn man kein besonders gesichertes System zur Verfügung hat – und das meint viel mehr Vorkehrung als einen Virenscanner, eine „personal firewall“ und vergleichbare Vorsichtsmaßnahmen – kann jeder Klick in eine Spam dazu führen, dass man seinen Rechner der organisierten Internet-Kriminalität zur Verfügung stellt, und die wird damit etwas anzufangen wissen, was einem nicht gefallen kann. Es ist übrigens gar nicht so selten, dass man einige Wochen später die Kriminalpolizei kennenlernt, wenn etwa Kinderpornografie über den Rechner verbreitet wurde oder wenn der Rechner als Proxy für Betrugsgeschäfte benutzt wurde. Man selbst kommt ins Visier der Ermittler, und die Verbrecher bleiben anonym. Der Klick in die Spam ist den möglichen Ärger niemals wert. Niemals.

Kanaan Naser wants to be friends on Facebook.

Donnerstag, 25. August 2011

Danke für den Punkt nach dem Betreff. Das macht das Ausfiltern der Spam wirklich leicht, denn so etwas macht nur eines der ganz miesen Spamskripten, die schon längere Zeit im Umlauf sind.

Aha, jetzt wird wohl mal wieder nach Facebook-Anmeldedaten gephisht, aber in so richtig stilechtem HTML-Layout:

Kanaan Naser wants to be friends with you on Facebook.

Es ist übrigens egal, ob man auf „Confirm Friend Request“ oder auf „See All Requests“ klickt, beide Links führen zu der gleichen, „liebevoll“ nachgemachten Seite in der Domain downtohole (punkt) com:

Screenshot der betrügerischen Website

Und nein, es handelt sich nicht um Phishing.

Hier sollen Menschen dazu gebracht werden, die angeblich aktuelle Version des Flash-Players zu installieren. Zumindest sollen sie das glauben. Der Link führt in Wirklichkeit nicht etwa zu Adobe oder Macromedia, sondern zu einer ausführbaren Datei für Microsoft Windows, die von der gleichen Domain heruntergeladen wird. Überflüssig zu erwähnen, dass diese Datei namens updateflash.exe nicht etwa eine neue Version des Flash-Players installiert, sondern eine Kollektion aktueller Schadsoftware.

Aber das etwas nicht stimmt, ist ja sicherlich jedem aufgefallen, der beim Blick in die Adressleiste des Browsers gesehen hat, dass er sich gar nicht auf Facebook befindet, oder?! Bitte äußerste Vorsicht, wenn irgendwelche Websites verlangen, dass man irgendwelche Software installiert! Selbst, wenn es so aussieht, als handele es sich um große, vertraute Sites, die man jeden Tag benutzt. Ich vermute, dass diese Form des Angriffs – sie ist ja nicht wirklich neu, aber ich habe so etwas jetzt bestimmt ein halbes Jahr lang nicht gesehen – demnächst wieder häufiger werden wird. Die organisierte Internet-Kriminalität will offenbar neue Botnetze aufbauen.

Wie man sich Schadsoftware einfangen kann?

Sonntag, 17. Juli 2011

Das geht manchmal ganz einfach – in einigen Fällen reicht es zum Beispiel, wenn man mit Google oder einer anderen Suchmaschine nach Downloadmöglichkeiten für populäre Open-Source-Software sucht und naiv darin vertraut, dass die „gesponsorten Links“ oder Anzeigen dahin führen, wohin sie zu führen vorgeben:

VLC-Entwickler Ludovic Fauvet warnt […] vor mit Malware gespickten Forks der Anwendung […] Die illegalen VLC-Klone werden auf professionell gestalteten Webseiten zum Download angeboten, „funktionieren jedoch nicht wie erwartet, lassen sich nicht deinstallieren und verletzten die Privatsphäre der Anwender“ […]

Die Kriminellen nutzen Googles Werbeprogramm AdWords, um ihre präparierte Software neben den Suchergebnissen zu VLC Media Player zu promoten. Laut Fauvet werden auch andere Open-Source-Projekte auf diese Weise missbraucht: „Wir können wenig dagegen tun. Die Kriminellen haben das Geld, um AdWords zu kaufen, wir nicht. Als Non-Profit-Organisation haben wir auch nicht das Geld, um sie zu verklagen. […] Zur eigenen Sicherheit soll man sich VLC ausschließlich auf der offiziellen Projektseite herunterladen.

Während die klassische Mailspam stark rückläufig ist und kaum noch „durchkommt“, suchen sich die Internet-Verbrecher viele andere „Vertriebswege“ für ihre unerwünschten, kriminellen Überrumpelungen. Im Beispiel der Google-Ads – bemerkenswert an diesem „Vertriebsweg“ ist vor allem, dass Google offenbar keine Qualitätskontrolle der darüber verlinkten Websites vornimmt und sich deshalb mit Leichtigkeit als Vehikel für zwielichtige Machenschaften benutzen lässt – zeigt sich, dass „normale“, „legale“ Werbung und kriminelle Spam gar nicht so verschieden sind, wie das Werber gern hätten. In beiden Fällen geht es eben darum, jemanden mit allen nur denkbaren Tricks etwas anzudrehen, woran er bislang keinen Mangel gespürt hat.

Übrigens: Der beste Schutz vor dieser Art der Überrumpelung durch die organisierte Internet-Kriminalität ist die Installation eines Adblockers. Der macht auch den Rest des Internet viel erträglicher. Für ehrliche Anbieter, die auf Werbung im Internet setzen, ist das zwar schade (oder sogar geschäftsbedrohend), aber das könnten sie ja auch mal Google und den anderen großen Werbevermarktern im Internet sagen.

Aber das hilft natürlich nicht gegen die Verseuchung von Googles Suchindex durch ebenfalls zwielichtige SEO-Manipulationen. Diese sind – zusammen mit der relativen Untätigkeit Googles im Verlaufe dieser schon seit Jahren zu beobachtenden Entwicklung – der Grund dafür, dass der Nutzen Googles für Menschen mit einer Suche immer mehr abnimmt.

report

Dienstag, 3. August 2010

Ja, das war der ganze Betreff.

see my report in attach

Ja, das war die ganze Spam.

Nicht nur, dass dieser wirklich blöde Idiot keine Anrede, keine Grußformel und nicht einmal das ausgeschriebene Wort „attachment“ hinbekommt, er glaubt auch noch allen Ernstes, dass so eine lieblos und dumm hingeklatschte Spam jemanden dazu animieren würde, sich den „Bericht“ im Mailanhang anzuschauen.

Ist ja auch gar kein „Bericht“ in diesem Sinn des Wortes. Der Anhang ist ein ZIP-Archiv mit dem Namen report.zip, und dieses Archiv enthält genau eine Datei mit Namen report.exe, also eine ausführbare Datei für Microsoft Windows. Software von Spammern, die mit gefälschter Absenderadresse untergeschoben wird, ist ja total gut und garantiert ungefährlich…

(Und ihr Leute, die ich meint, dass ihr trotzdem auf so etwas rumklicken müsst und euch auf eure Virenscanner und die ganze andere Schlangenöl-Sicherheit verlasst: Die Kriminellen sind der Signatur-Datei des Virenscanners immer ein paar Tage voraus. Probiert es bitte gar nicht erst aus, ob es auch in diesem Fall so ist!)

Business Online Banking Account Alert!

Mittwoch, 21. Juli 2010

You must submit verification documents to continue using your account without interruption. To view the details of this request and submit the required information, click on the following link (or copy & paste it into your web browser):

http://gr8britton.com/Upload_documents_blank.exe

We thank you for your assistance in this matter.

Hallo, wir können dich leider nicht ansprechen.

Wir wissen aber auch nicht, wer wir selbst sind, denn die „Bank“, die dir einen doch recht unbestimmten Alarm bei deinem „Geschäftskonto“ zumailt, ohne dich irgendwie ansprechen zu können, die hat nicht einmal einen Namen. Trotzdem sagt sie dir, dass du unbedingt ein paar Informationen bei ihr hinterlegen musst, um dein Geschäftskonto trotz des unbestimmten Alarmes ohne Unterbrechung weiterbenutzen zu können. Warum das so ist, sagt sie dir aber erst, wenn du auf einen Link in ihrer tollen Mail geklickt hast. Dieser Link führt zwar offen erkennbar auf eine .EXE, also auf eine ausführbare Datei für Microsoft Windows, und die Internetadresse sieht alles in allem auch nicht gerade vertrauenswürdig aus, aber lass dich davon nicht abhalten. Am besten, du namenloser Empfänger führst diese tolle Software eines namenlosen Kreditinstitutes auf deinem Rechner aus und schaltest dein Gehirn dabei ab.

Vielen Dank, dass du uns geholfen hast, wieder einen Rechner zu übernehmen.

Diese Spam wurde automatisch erstellt und ist auch mit gefälschtem Absender und ohne Unterschrift gültig.

Der dümmste Versuch seit vielen, vielen Monaten! Und ich habe viel Dummes gesehen…

Reclamacion Movistar.

Donnerstag, 17. Juni 2010

Ah, mal wieder eine Mail mit Punkt im Betreff…

Der sehr geehrte Kunde.

Tolle Anrede!

Der Anspruch � 316083350972

Und mit der richtigen Codierung von Sonderzeichen habt ihr es auch nicht – die Umlaute bereiten euch auch ein paar Probleme. Aber wenn man diesen Mist weiterliest, denn sind das wohl noch eure kleinsten Probleme, denn euer Deutsch entsteht offenbar, indem ihr Japanisch mit einem Computer zunächst in Altägyptisch und anschließend in Deutsch übelsetzt:

Wir wollen Sie, von der existierenden Verschuldung,
nach den internationalen Gesprachen in Kenntnis setzen.
In die Ubereinstimmung mit jetzigen Schatzungen auf das
Roaming sollen Sie 83,92 Euro.
Das Ausdrucken Ihrer Gesprache im beigefugten
Dokument gebracht zu werden.

Das „beigefugte Dokument“ ist übrigens ein ZIP-Archiv. Es enthält eine einzige Datei namens Forderung32.doc, gefolgt von ganz vielen Unterstrichen, denen dann die richtige Dateinamenserweiterung .exe folgt. Wer dieses „beigefugte Dokument“ „öffnet“ – also auf seinem Windows-Rechner ausführt – der wird eine frische Kollektion aktueller Schadsoftware auf seinem Computer installieren, sich selbst zum Verdruss und den Verbrechern zur Freude. Aber wer würde nach diesem Text noch auf eine andere Idee kommen, als diesen Müll zu löschen?

Re[2]:

Mittwoch, 9. Juni 2010

Hey, Spammer, ich schreibe niemals ohne Betreffzeile, und deshalb kann es auch niemals zu so einer Antwort kommen. Schön, dass ihr mir schon beim Überfliegen der Betreffzeilen klar macht, von welcher Natur euer knapp durch den Spamfilter gekrochener Strunztext ist. Da werfe ich doch glatt mal einen Blick rein, um zu sehen, welche neue Masche ihr euch ausgedacht habt.

Die Antwort auf Ihre Frage uber das Profil auf unserer Website 2010.07.06. Statistik in der Datei enthalten, wird es ein Vergnugen, in der Zukunft zusammenarbeiten werden.

Äh, wie meinen!? ❓

Also nicht nur, dass ich euch angeblich irgendwas gefragt habe und ihr nicht dazu imstande seid, mir eine Antwort mit einer namentlichen Anrede zukommen zu lassen – als ob ich meine Fragen anonym stellen würde, wenn ich eine Antwort erwarte – nein, ihr habt auch eine ganz tolle Website. Die heißt 2010.07.06. Das taugt nicht einmal als eine IP-Adresse, und eine TLD .06 ist meines Wissens auch nicht vergeben. Ich weiß wirklich nicht, welchen Text ihr mit was für einem tollen Programm ins Deutsche übersetzt habt, aber ihr solltet mal den Text oder das Programm wechseln – oder vielleicht auch beides. Die Wirkung zu erklären, die das Ergebnis dieser automatischen Übelsetzung auf einen deutschen Muttersprachler hat, ist ausgesprochen schwierig. Es ist ungefähr vergleichbar mit dem unwiderstehlichen Kackreiz, der sich kurze Zeit nach „Genuss“ eines größeren Schluckes Rhizinusöl einstellt, nur eben ohne zeitliche Verzögerung, aber dafür auch auf den Lachmuskel… :mrgreen:

Kurzum, ihr seid lächerliche Stümper. Das mit den fehlenden Umlauten sei über eurem unfreiwilligen Dadatext doch glatt vergessen.

Und deshalb wird es auch nicht mit euren eigentlichen kriminellen Plänen, die ihr mit eurem Mailanhang verfolgt. Der ist bei mir ein ZIP-Archiv mit dem Dateinamen Faktura89.zip, und darin befindet sich genau eine Datei. Die würde gern so tun, als ob sie Faktura89.doc hieße, aber das gelingt ihr nicht, denn nach diesem Namen folgen ganz viele Unterstriche und schließlich die richtige Dateinamenserweiterung, ein .exe. Ja, es handelt sich natürlich um eine ausführbare Datei für Microsoft Windows, und das ist derart stümperhaft versteckt worden, dass es sogar eine frisch amputierte Laborratte bemerken muss.

Na, und wer diese EXE auf seinem Windows ausführt, der bekommt eine ganz frische Kollektion aktueller Schadsoftware aus dem Internet nachgeladen und verwandelt seinen Computer eben in einen Computer anderer Leute, damit darüber gespammt und betrogen werden kann, vielleicht sogar ein bisschen Kinderpornografie darüber läuft. Bei wem im Zweifelsfall die Polizei an der Tür klingelt, dürfte klar sein.

Deshalb: NIEMALS in irgendeiner Spam oder auch nur in einer verdächtigen Mail herumklicken! Egal, was angeboten wird. Es macht einen Ärger, den niemand gebrauchen kann. Und. NIEMALS den Anhang einer solchen Mail öffnen! Die Verbrecher mögen stümperhafte Texte schreiben, aber sie sind auf dem aktuellen technischen Stand, die Signaturdateien des Virenscanners hinken da immer um ein paar Tage hinterher. Auch wenn es keine .exe ist, gibt es jede Menge von Kriminellen ausbeutbare Fehler in allen nur denkbaren Programmen. Selbst die Anzeige eines Bildes wurde in der Vergangenheit schon zum Transport von Schadsoftware benutzt. Wer kein besonders gesichertes System zur Verfügung hat (und ein besonders gesichertes System entsteht nicht schon durch Einsatz eines Virenscanners und einer personal firewall), der sollte verdächtige Mails gar nicht erst anschauen, sondern unbesehen löschen. Wer sich so ein Vorgehen nicht leisten kann, sollte seine Internet-Tätigkeiten nicht mit Microsoft Windows erledigen, es gibt gute und sichere Alternativen hierzu. Wer es nicht vermeiden kann, MS Windows zu benutzen, sollte auf keinen Fall über ein Benutzerkonto mit administrativen Berechtigungen am System ins Internet gehen, um die gröbsten Schäden zu verhindern. Und wer alle diese Tipps in den Wind schlägt, sollte vielleicht besser Häkeln als weiter im Internet unterwegs zu sein, denn diese gleichgültige Haltung ist einfach nur asozial und widerlich. Wir haben nämlich alle schon genug unter Spam, diversen automatisierten Crack-Attacken und dDoS-Angriffen auf unseren Servern zu leiden, und das geht alles von kriminell übernommenen Privatrechnern aus. Eben von den Rechnern gleichgültiger Idioten, die von der Tapete bis zur Wand denken und wie die dressierten Äffchen auf alles klicken, was sich irgendwie anklicken lässt. Diese Leute sind es, die das Internet zu einem Paradies für Kriminelle machen.

Ich habe fertig.

Thank you for buying iTunes Gift Certificate!

Mittwoch, 12. Mai 2010

Aber ich habe doch gar nichts gekauft. Und schon gar nicht bei so einem seine Nutzer entmündigenden Anbieter wie iTunes.

Hello!

Ach, und wie ich heiße, wissen die Absender mit der gefälschten Absenderadresse online (punkt) support (at) itunes (punkt) com auch nicht. Na, wie können die kriminellen Spammer das auch wissen.

You have received an iTunes Gift Certificate in the amount of $50.00 You can find your certificate code in attachment below.

Ah, jetzt habe ich doch nichts gekauft, sondern so ein Gift Geschenk bekommen. Das hängt im Anhang. Dieser ist übrigens ein ZIP-Archiv, das eine Datei namens
Gift_Certificate_577.exe
enthält, also eine ausführbare Datei für Microsoft Windows. Wer sich von diesem „Geschenk“ verblenden ließ, bekommt nach unüberlegtem Doppelklick auf seinem Rechner eine Installation aktueller Schadsoftware „geschenkt“ und hat hinterher einen willigen Roboter für die Spammafia herumstehen, die gewiss auch ordentlich schnüffeln und betrügen wird. Also bitte auf gar keinen Fall auch nur darüber nachdenken und den gefährlichen Sondermüll sofort löschen.

Then you need to open iTunes. Once you verify your account, $50.00 will be credited to your account, so you can start buying music, games, video right away.

Ja ja, alles klar.

iTunes Store.

Diese kriminelle Drecksspam wurde maschinell erstellt und kommt ohne Anrede und ohne Unterschrift daher. Dass iTunes – ich würde diesem Laden ja sonst einiges nachsagen – nichts mit dieser Mail zu tun hat, erklärt sich hoffentlich für jeden von selbst.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.