Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.

Canadian Health & Care Mall – HealthcareOnline

Montag, 5. September 2011

Eine aktuelle Warnung: Die Spams mit diesem Betreff führen zu einer „Apotheke“, in der Menschen nicht gesund, Windows-Rechner (möglicherweise auch Rechner mit anderen Betriebssystemen, aber ich simuliere für solche Zugriffe immer Windows als Betriebssystem, weil es das verbreiteste Ziel derartiger Attacken ist) aber krank werden. Es handelt sich nich um die übliche Pimmelpillen-Spam, die als Betrug schon übel genug ist, sondern um einen Versuch, über diverse Wege Schadsoftware auf dem Rechner zu installieren.

Weitere Betreffzeilen mit dieser Masche in meinem Spamfilter sind:

  • Medicare and Medical Insurance conspiracy
  • software outlet online purchase

Ich gehe davon aus, dass noch viele andere Betreffzeilen für diese kriminelle Masche in Verwendung sind.

Von daher kann ich gar nicht gründlich genug davor warnen: Niemals in einer Spam herumklicken! Das bisschen befriedigte Neugierde ist das Risiko nicht wert. Niemals auf Virenscanner verlassen! Die Kriminellen sind den Signaturen der Virenprogramme immer einen Schritt voraus. Die Spam löschen! In eindeutigen Fällen: Ungelesen löschen! Wenn man kein besonders gesichertes System zur Verfügung hat – und das meint viel mehr Vorkehrung als einen Virenscanner, eine „personal firewall“ und vergleichbare Vorsichtsmaßnahmen – kann jeder Klick in eine Spam dazu führen, dass man seinen Rechner der organisierten Internet-Kriminalität zur Verfügung stellt, und die wird damit etwas anzufangen wissen, was einem nicht gefallen kann. Es ist übrigens gar nicht so selten, dass man einige Wochen später die Kriminalpolizei kennenlernt, wenn etwa Kinderpornografie über den Rechner verbreitet wurde oder wenn der Rechner als Proxy für Betrugsgeschäfte benutzt wurde. Man selbst kommt ins Visier der Ermittler, und die Verbrecher bleiben anonym. Der Klick in die Spam ist den möglichen Ärger niemals wert. Niemals.

Kanaan Naser wants to be friends on Facebook.

Donnerstag, 25. August 2011

Danke für den Punkt nach dem Betreff. Das macht das Ausfiltern der Spam wirklich leicht, denn so etwas macht nur eines der ganz miesen Spamskripten, die schon längere Zeit im Umlauf sind.

Aha, jetzt wird wohl mal wieder nach Facebook-Anmeldedaten gephisht, aber in so richtig stilechtem HTML-Layout:

Kanaan Naser wants to be friends with you on Facebook.

Es ist übrigens egal, ob man auf „Confirm Friend Request“ oder auf „See All Requests“ klickt, beide Links führen zu der gleichen, „liebevoll“ nachgemachten Seite in der Domain downtohole (punkt) com:

Screenshot der betrügerischen Website

Und nein, es handelt sich nicht um Phishing.

Hier sollen Menschen dazu gebracht werden, die angeblich aktuelle Version des Flash-Players zu installieren. Zumindest sollen sie das glauben. Der Link führt in Wirklichkeit nicht etwa zu Adobe oder Macromedia, sondern zu einer ausführbaren Datei für Microsoft Windows, die von der gleichen Domain heruntergeladen wird. Überflüssig zu erwähnen, dass diese Datei namens updateflash.exe nicht etwa eine neue Version des Flash-Players installiert, sondern eine Kollektion aktueller Schadsoftware.

Aber das etwas nicht stimmt, ist ja sicherlich jedem aufgefallen, der beim Blick in die Adressleiste des Browsers gesehen hat, dass er sich gar nicht auf Facebook befindet, oder?! Bitte äußerste Vorsicht, wenn irgendwelche Websites verlangen, dass man irgendwelche Software installiert! Selbst, wenn es so aussieht, als handele es sich um große, vertraute Sites, die man jeden Tag benutzt. Ich vermute, dass diese Form des Angriffs – sie ist ja nicht wirklich neu, aber ich habe so etwas jetzt bestimmt ein halbes Jahr lang nicht gesehen – demnächst wieder häufiger werden wird. Die organisierte Internet-Kriminalität will offenbar neue Botnetze aufbauen.

Wie man sich Schadsoftware einfangen kann?

Sonntag, 17. Juli 2011

Das geht manchmal ganz einfach – in einigen Fällen reicht es zum Beispiel, wenn man mit Google oder einer anderen Suchmaschine nach Downloadmöglichkeiten für populäre Open-Source-Software sucht und naiv darin vertraut, dass die „gesponsorten Links“ oder Anzeigen dahin führen, wohin sie zu führen vorgeben:

VLC-Entwickler Ludovic Fauvet warnt […] vor mit Malware gespickten Forks der Anwendung […] Die illegalen VLC-Klone werden auf professionell gestalteten Webseiten zum Download angeboten, „funktionieren jedoch nicht wie erwartet, lassen sich nicht deinstallieren und verletzten die Privatsphäre der Anwender“ […]

Die Kriminellen nutzen Googles Werbeprogramm AdWords, um ihre präparierte Software neben den Suchergebnissen zu VLC Media Player zu promoten. Laut Fauvet werden auch andere Open-Source-Projekte auf diese Weise missbraucht: „Wir können wenig dagegen tun. Die Kriminellen haben das Geld, um AdWords zu kaufen, wir nicht. Als Non-Profit-Organisation haben wir auch nicht das Geld, um sie zu verklagen. […] Zur eigenen Sicherheit soll man sich VLC ausschließlich auf der offiziellen Projektseite herunterladen.

Während die klassische Mailspam stark rückläufig ist und kaum noch „durchkommt“, suchen sich die Internet-Verbrecher viele andere „Vertriebswege“ für ihre unerwünschten, kriminellen Überrumpelungen. Im Beispiel der Google-Ads – bemerkenswert an diesem „Vertriebsweg“ ist vor allem, dass Google offenbar keine Qualitätskontrolle der darüber verlinkten Websites vornimmt und sich deshalb mit Leichtigkeit als Vehikel für zwielichtige Machenschaften benutzen lässt – zeigt sich, dass „normale“, „legale“ Werbung und kriminelle Spam gar nicht so verschieden sind, wie das Werber gern hätten. In beiden Fällen geht es eben darum, jemanden mit allen nur denkbaren Tricks etwas anzudrehen, woran er bislang keinen Mangel gespürt hat.

Übrigens: Der beste Schutz vor dieser Art der Überrumpelung durch die organisierte Internet-Kriminalität ist die Installation eines Adblockers. Der macht auch den Rest des Internet viel erträglicher. Für ehrliche Anbieter, die auf Werbung im Internet setzen, ist das zwar schade (oder sogar geschäftsbedrohend), aber das könnten sie ja auch mal Google und den anderen großen Werbevermarktern im Internet sagen.

Aber das hilft natürlich nicht gegen die Verseuchung von Googles Suchindex durch ebenfalls zwielichtige SEO-Manipulationen. Diese sind – zusammen mit der relativen Untätigkeit Googles im Verlaufe dieser schon seit Jahren zu beobachtenden Entwicklung – der Grund dafür, dass der Nutzen Googles für Menschen mit einer Suche immer mehr abnimmt.

report

Dienstag, 3. August 2010

Ja, das war der ganze Betreff.

see my report in attach

Ja, das war die ganze Spam.

Nicht nur, dass dieser wirklich blöde Idiot keine Anrede, keine Grußformel und nicht einmal das ausgeschriebene Wort „attachment“ hinbekommt, er glaubt auch noch allen Ernstes, dass so eine lieblos und dumm hingeklatschte Spam jemanden dazu animieren würde, sich den „Bericht“ im Mailanhang anzuschauen.

Ist ja auch gar kein „Bericht“ in diesem Sinn des Wortes. Der Anhang ist ein ZIP-Archiv mit dem Namen report.zip, und dieses Archiv enthält genau eine Datei mit Namen report.exe, also eine ausführbare Datei für Microsoft Windows. Software von Spammern, die mit gefälschter Absenderadresse untergeschoben wird, ist ja total gut und garantiert ungefährlich…

(Und ihr Leute, die ich meint, dass ihr trotzdem auf so etwas rumklicken müsst und euch auf eure Virenscanner und die ganze andere Schlangenöl-Sicherheit verlasst: Die Kriminellen sind der Signatur-Datei des Virenscanners immer ein paar Tage voraus. Probiert es bitte gar nicht erst aus, ob es auch in diesem Fall so ist!)

Business Online Banking Account Alert!

Mittwoch, 21. Juli 2010

You must submit verification documents to continue using your account without interruption. To view the details of this request and submit the required information, click on the following link (or copy & paste it into your web browser):

http://gr8britton.com/Upload_documents_blank.exe

We thank you for your assistance in this matter.

Hallo, wir können dich leider nicht ansprechen.

Wir wissen aber auch nicht, wer wir selbst sind, denn die „Bank“, die dir einen doch recht unbestimmten Alarm bei deinem „Geschäftskonto“ zumailt, ohne dich irgendwie ansprechen zu können, die hat nicht einmal einen Namen. Trotzdem sagt sie dir, dass du unbedingt ein paar Informationen bei ihr hinterlegen musst, um dein Geschäftskonto trotz des unbestimmten Alarmes ohne Unterbrechung weiterbenutzen zu können. Warum das so ist, sagt sie dir aber erst, wenn du auf einen Link in ihrer tollen Mail geklickt hast. Dieser Link führt zwar offen erkennbar auf eine .EXE, also auf eine ausführbare Datei für Microsoft Windows, und die Internetadresse sieht alles in allem auch nicht gerade vertrauenswürdig aus, aber lass dich davon nicht abhalten. Am besten, du namenloser Empfänger führst diese tolle Software eines namenlosen Kreditinstitutes auf deinem Rechner aus und schaltest dein Gehirn dabei ab.

Vielen Dank, dass du uns geholfen hast, wieder einen Rechner zu übernehmen.

Diese Spam wurde automatisch erstellt und ist auch mit gefälschtem Absender und ohne Unterschrift gültig.

Der dümmste Versuch seit vielen, vielen Monaten! Und ich habe viel Dummes gesehen…

Reclamacion Movistar.

Donnerstag, 17. Juni 2010

Ah, mal wieder eine Mail mit Punkt im Betreff…

Der sehr geehrte Kunde.

Tolle Anrede!

Der Anspruch � 316083350972

Und mit der richtigen Codierung von Sonderzeichen habt ihr es auch nicht – die Umlaute bereiten euch auch ein paar Probleme. Aber wenn man diesen Mist weiterliest, denn sind das wohl noch eure kleinsten Probleme, denn euer Deutsch entsteht offenbar, indem ihr Japanisch mit einem Computer zunächst in Altägyptisch und anschließend in Deutsch übelsetzt:

Wir wollen Sie, von der existierenden Verschuldung,
nach den internationalen Gesprachen in Kenntnis setzen.
In die Ubereinstimmung mit jetzigen Schatzungen auf das
Roaming sollen Sie 83,92 Euro.
Das Ausdrucken Ihrer Gesprache im beigefugten
Dokument gebracht zu werden.

Das „beigefugte Dokument“ ist übrigens ein ZIP-Archiv. Es enthält eine einzige Datei namens Forderung32.doc, gefolgt von ganz vielen Unterstrichen, denen dann die richtige Dateinamenserweiterung .exe folgt. Wer dieses „beigefugte Dokument“ „öffnet“ – also auf seinem Windows-Rechner ausführt – der wird eine frische Kollektion aktueller Schadsoftware auf seinem Computer installieren, sich selbst zum Verdruss und den Verbrechern zur Freude. Aber wer würde nach diesem Text noch auf eine andere Idee kommen, als diesen Müll zu löschen?

Re[2]:

Mittwoch, 9. Juni 2010

Hey, Spammer, ich schreibe niemals ohne Betreffzeile, und deshalb kann es auch niemals zu so einer Antwort kommen. Schön, dass ihr mir schon beim Überfliegen der Betreffzeilen klar macht, von welcher Natur euer knapp durch den Spamfilter gekrochener Strunztext ist. Da werfe ich doch glatt mal einen Blick rein, um zu sehen, welche neue Masche ihr euch ausgedacht habt.

Die Antwort auf Ihre Frage uber das Profil auf unserer Website 2010.07.06. Statistik in der Datei enthalten, wird es ein Vergnugen, in der Zukunft zusammenarbeiten werden.

Äh, wie meinen!? ❓

Also nicht nur, dass ich euch angeblich irgendwas gefragt habe und ihr nicht dazu imstande seid, mir eine Antwort mit einer namentlichen Anrede zukommen zu lassen – als ob ich meine Fragen anonym stellen würde, wenn ich eine Antwort erwarte – nein, ihr habt auch eine ganz tolle Website. Die heißt 2010.07.06. Das taugt nicht einmal als eine IP-Adresse, und eine TLD .06 ist meines Wissens auch nicht vergeben. Ich weiß wirklich nicht, welchen Text ihr mit was für einem tollen Programm ins Deutsche übersetzt habt, aber ihr solltet mal den Text oder das Programm wechseln – oder vielleicht auch beides. Die Wirkung zu erklären, die das Ergebnis dieser automatischen Übelsetzung auf einen deutschen Muttersprachler hat, ist ausgesprochen schwierig. Es ist ungefähr vergleichbar mit dem unwiderstehlichen Kackreiz, der sich kurze Zeit nach „Genuss“ eines größeren Schluckes Rhizinusöl einstellt, nur eben ohne zeitliche Verzögerung, aber dafür auch auf den Lachmuskel… :mrgreen:

Kurzum, ihr seid lächerliche Stümper. Das mit den fehlenden Umlauten sei über eurem unfreiwilligen Dadatext doch glatt vergessen.

Und deshalb wird es auch nicht mit euren eigentlichen kriminellen Plänen, die ihr mit eurem Mailanhang verfolgt. Der ist bei mir ein ZIP-Archiv mit dem Dateinamen Faktura89.zip, und darin befindet sich genau eine Datei. Die würde gern so tun, als ob sie Faktura89.doc hieße, aber das gelingt ihr nicht, denn nach diesem Namen folgen ganz viele Unterstriche und schließlich die richtige Dateinamenserweiterung, ein .exe. Ja, es handelt sich natürlich um eine ausführbare Datei für Microsoft Windows, und das ist derart stümperhaft versteckt worden, dass es sogar eine frisch amputierte Laborratte bemerken muss.

Na, und wer diese EXE auf seinem Windows ausführt, der bekommt eine ganz frische Kollektion aktueller Schadsoftware aus dem Internet nachgeladen und verwandelt seinen Computer eben in einen Computer anderer Leute, damit darüber gespammt und betrogen werden kann, vielleicht sogar ein bisschen Kinderpornografie darüber läuft. Bei wem im Zweifelsfall die Polizei an der Tür klingelt, dürfte klar sein.

Deshalb: NIEMALS in irgendeiner Spam oder auch nur in einer verdächtigen Mail herumklicken! Egal, was angeboten wird. Es macht einen Ärger, den niemand gebrauchen kann. Und. NIEMALS den Anhang einer solchen Mail öffnen! Die Verbrecher mögen stümperhafte Texte schreiben, aber sie sind auf dem aktuellen technischen Stand, die Signaturdateien des Virenscanners hinken da immer um ein paar Tage hinterher. Auch wenn es keine .exe ist, gibt es jede Menge von Kriminellen ausbeutbare Fehler in allen nur denkbaren Programmen. Selbst die Anzeige eines Bildes wurde in der Vergangenheit schon zum Transport von Schadsoftware benutzt. Wer kein besonders gesichertes System zur Verfügung hat (und ein besonders gesichertes System entsteht nicht schon durch Einsatz eines Virenscanners und einer personal firewall), der sollte verdächtige Mails gar nicht erst anschauen, sondern unbesehen löschen. Wer sich so ein Vorgehen nicht leisten kann, sollte seine Internet-Tätigkeiten nicht mit Microsoft Windows erledigen, es gibt gute und sichere Alternativen hierzu. Wer es nicht vermeiden kann, MS Windows zu benutzen, sollte auf keinen Fall über ein Benutzerkonto mit administrativen Berechtigungen am System ins Internet gehen, um die gröbsten Schäden zu verhindern. Und wer alle diese Tipps in den Wind schlägt, sollte vielleicht besser Häkeln als weiter im Internet unterwegs zu sein, denn diese gleichgültige Haltung ist einfach nur asozial und widerlich. Wir haben nämlich alle schon genug unter Spam, diversen automatisierten Crack-Attacken und dDoS-Angriffen auf unseren Servern zu leiden, und das geht alles von kriminell übernommenen Privatrechnern aus. Eben von den Rechnern gleichgültiger Idioten, die von der Tapete bis zur Wand denken und wie die dressierten Äffchen auf alles klicken, was sich irgendwie anklicken lässt. Diese Leute sind es, die das Internet zu einem Paradies für Kriminelle machen.

Ich habe fertig.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.