passwort | erntefest

eine webseite, die zur einmaligen verwendung eine registrierung verlangt, ist uncool. eine, die diese registrierung nicht mit einem neuen account fordert, sondern mit bestehenden accounts von anderswo, handelt verbrecherisch. denn wenn sie uns nötigt, uns mit unserem facebook-, google- oder ähnlichem account anzumelden, geben wir diesem portal nicht nur unseren facebook-namen (und damit z. b. die freundesliste), sondern auch das passwort. damit hat der windige laden (im beispiel unten ein portal, das eine statistik unseres reiseverhaltens erstellt) die macht pber das ganze account. in der regel wird damit nichts böses angestellt. aber wozu passwörter geheimhalten, wenn man sie so großzügig verteilt?

bindungsloser | konjunktiv

angesichts dieser beiden spams von heute stellt sich die frage: wurden arbeitslose journalistenkollegen von der abzockermafia gekauft, um so gedrechselte sätze mit konjunktiv (sei das leben…) und eleganten worten (bindungslos) in die spamwelt einzuflechten?

bindungsloser Konjunktiv

erstaunlich gedrechselte spam-titel

der infamste spam seit | langem

deswegen so infam, weil er meine reale büroadresse enthält und eine ehemalige telefonnummer, die nie im telefonbuch oder auf meiner webseite stand. das einzige, was im text – außer minimalen grammatikfehlern – falsch ist, ist „amazon AG“, denn es handelt sich um eine GmbH. amazon hat sicherlich damit gar nichts zu tun. die absenderadresse ist fake, nämlich pay@giropay.de. das gefährliche ist der in einer zip-datei namens

Stellvertretender Rechtsanwalt Amazon AG.zip

versteckte anhang, höchstwahrscheinlich ein erpressungstrojaner. hier der text (diesmal nicht als screenshot, damit ihn leute durch die web-suche finden). ausgeixxxxt die wiegesagt korrekten persönlichen daten.


Sehr geehrte(r) Maximilian Schönherr,

unsere Erinnerung blieb bislang leider ergebnislos. Nun gewähren wir Ihnen hiermit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten Amazon AG zu begleichen.

Aufgrund des andauernden Zahlungsausstands sind Sie angewiesen zuzüglich, die durch unsere Tätigkeit entstandene Kosten von 58,30 Euro zu tragen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Um weitete Kosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Bankkonto zu überweisen.

Personalien:

Maximilian Schönherr
xxxxxxxxxx 
xxxxx xxxx

Telefon: 0221xxxxxxx

Die vollständige Forderungsausstellung NR285660510, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Wir erwarten die Zahlung bis spätestens 24.03.2016 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen. Berücksichtigt wurden alle Buchungseingänge bis zum 21.03.2016.

Mit freundlichen Grüßen

Stellvertretender Rechtsanwalt Jannik Zwingli

divx update drückt uns was | auf

divxWillWas

divx 10 halst uns unangenehmes auf…

… wenn wir nicht nein sagen, genau genommen drei mal. das erste fenster will drei komponenten installieren (okay), aber auch ein icon auf dem desktop platzieren.

divx_01

das ist unnötig. die meisten nutzen divx als plug-in, das sich sozusagen selbst aufruft. das zweite fenster möchte ein programm installieren, das angeblich die geschwindigkeit des PC verbessert. solch einen scheiß sollten man ohne nachzudenken ablehnen.

divx_03

das dritte fenster möchte dann auf fotos etc. zugreifen, um sie zu „sharen“. geht’s noch? auf jeden fall auch ablehnen!

 divx_02

selbst nach abgeschlossener installation nervt divx weiter herum, möchte einem den newsletter schicken, was ins datenschutzdeutsch übersetzt heißt: wir hätten gern Deine email-adresse! und schließlich öffnet die installation ungefragt ein browserfenster mit weiterer werbung.

der divx-player ist seit beginn an ein nützliches ding, um videos abzuspielen und zu codieren. klar möchte die firma, die das produkt vertreibt (sie hat mehrfach gewechselt), was damit verdienen, indem sie „partner“ in den installationsprozess einbindet. wir müssen diese partner aber nicht akzeptieren. schäbig ist, dass die installation uns dreimal opt-outs vorschreibt, das heißt, wir müssen explizit dreimal nein sagen.

1und1 rät mir zum | berufswechsel

googleHöhe

google-himmel für 10 € pro monat. illustration: ms

 

gerade bekam ich einen anruf mit grottenschlechter akustik von der nummer 0201 64703529. der herr sagte, er sei von 1und1 (die firma, die eigentlich nicht in 0201 essen, sondern in montabaur bzw. 0721 karlsruhe sitzt) und listete mir alle meine domains auf. klammer auf: ich habe neben meiner eigenen noch diverse andere, zum beispiel die von henriette kaiser, die ich betreue. die domains, sagte er, seien von google aus nicht erreichbar.

ich guckte also während des kurzen telefonats, ob meine domains ein problem haben – haben sie aber nicht. dann meinte der herr am telefon, das könne schon sein, dass die webseiten erreichbar seien, sie würden nur über google nicht gefunden.

mir kam die sache bizarr vor, also versprach ich einen rückruf und legte auf, rief 1und1 an, kam an den falschen, nämlich einen technischen berater, der mir sagte, es gäbe durchaus menschen, die „im auftrag von 1und1 werbeanrufe“ betrieben, ihm läge allerdings in seiner datenansicht ein solcher anruf bei mir heute nicht vor.

ich rief die nummer in essen zurück. tatsächlich meldete sich die warteschleife der 1und1 internet AG und wenig später eine dame im callcenter, die schnell den grund für den anruf des kollegen vorhin fand: meine webseiten würden über google nicht gefunden!

ich: „wie, nicht gefunden?“

sie: „Sie sind doch journalist?“

ich: „ja.“

sie: „wenn ich nach journalist und köln google, finde ich Sie nicht!“

ich: „finden Sie das schlimm?“

sie: „das finde ich schon schlimm, und das können wir verbessern, damit Sie leichter gefunden werden.“

ich: „Sie wollen mir also ein paket verkaufen, mit dem ich im → google page-ranking nach oben wandere?“

sie: „genau!“

ich: „für wieviel?“

sie: „9,99 € pro monat.“

ich: „und wenn ich gar nicht nach oben rutschen möchte, weil mir das egal ist? wäre ich frisör, könnte das vielleicht sinn machen.“

sie: „dann sollten Sie vielleicht Ihren beruf wechseln und frisör werden!“

ich: „und Sie könnten fingernägel lackieren, statt im call-center internetpakete zu verkaufen.“

sie: „genau.“

wir wünschten uns gegenseitig einen guten tag und gingen wieder schmunzelnd unseren jeweiligen, von google so schwer findbaren tätigkeiten nach.

guten morgen | kundennummer

der kreativste spam von heute lautet:

You Have an Urgent F%%ck Message

und der deutschdümmste sieht so aus:

gutenMorgenKundennummer

eine vermeintliche „Förderstelle IV“ will mir, dem kunden 731132, eine heizung schenken. unterzeichnet hat „Ihr Föderungsteam“. zwei links enthält die mail, beide sind identisch, beide sind böse. wohin sie führen, habe ich pink herausgestellt.

java installiert unverschämt | yahoo

javaUpdateInstalliertYahooSpam

wenn ich sowas sehe, kriege ich das heulen und zähneknirschen: die ganzen tage zerrte → java mit einer meldung auf meinem PC herum, ich möge ein update installieren. ich mag java-updates nicht, die erfahrung war → bisher nie angenehm, aber an java kommt man nach wie vor nicht herum, und wenn das schon so ist, dann muss man aktuell bleiben. die installation gestern verlief anders als bisher friedlich, ich wurde nicht aufgefordert, irgend ein plug-in oder sonstigen mist zu installieren. beim neustart des rechners aber hatte yahoo sich die startseite meines standardbrowsers unter den nagel gerissen (kann man über die einstellungen wieder abstellen) und war noch dazu so dreist, mir ein browser-add-on zu installieren. diese zusätzlichen wasauchimmers sind in der regel schwer zu entfernen.

oops, erst später gesehen: yahoo hat sich auch als standardsuchmaschine eingenistet. muss man ebenfalls über die einstellungen wieder händisch ändern.

hureYahoo_standardsuchmaschine

ich werde das jetzt mal dem verbraucherschutz melden, weil java-vertreiber oracle hier jede transparenz vermissen lässt, und der übergriff nicht einmal ein opt-out erlaubt, geschweige ein opt-in – und damit gegen das gesetz gegen unlauteren wettbewerb verstößt.

21 millionen spam an den | lieben freund

 

 

eineMailVersprichtMillionen

dieser spam, von dem ich nur den königssatz herauskondensiere, beginnt mit den zeilen:

Ich bin mit diesem Medium, um Sie über die Transaktion zur Abgabe
von $ 21500000 (Einundzwanzig Millionen fünfhunderttausend Euro)
in meiner Bank in China, Sie als Empfänger zu informieren

das kann man sich nicht erfinden. deswegen übersetze ich das mal mit einer übersetzungsmaschine ins chinesische

我使用这种媒介通知你的交易为$二千一百五十零万(二十1500000欧元)在我在中国银行进行转帐告知你作为一个接收器。它是100%肯定,死者客户的财务总监

und zurück ins deutsche:

Ich bin mit diesem Medium, Ihnen mitteilen zu können, dass die
Transaktion 21,5 Millionen $ (XX 1.500.000 €) in meinem Transfer
Geld in der Bank of China, Ihnen mitteilen zu können, als Empfänger.
Es ist zu 100 Prozent sicher, CFO verstorbenen Kunden.

das ähnelt dem original stark – und ist hiermit ein positiver test für die wahl der übersetzungsmaschine: google. höchstwahrscheinlich.

ich will dich | heute abend

die kreativität von spam-kreatoren ist nach wie vor ein highlight unserer subkultur. gerade kam dieser herein. die links führen selbstverständlich brav zu webseiten mit trojanern im code. wer diesen spam verschickt hat, wissen wir nicht. wohin er zielt, schon. und eins scheint sicher: der texter des spams spricht nativ deutsch. kann gut sein, dass solche texter heute ganz normal über linkedIn oder dgl. gesucht und gefunden werden.

ichwilldichheuteabend

spam-erfinder werden auch in der grammatik besser

cindy spammt | für „packstation“

heute macht ein spam die runde, der, wie die meisten, vermutlich zur installation eines virus/trojanischen pferds führt – aber nur, wenn man dem link folgt.

packstations-cindy

schon der absender, eine person, die es nicht wirklich gibt, cindy@conryprint.com, zeigt, dass hier etwas nicht stimmt. warum sollte DHL sich cindy nennen und als deutscher konzern ein .com am ende haben?

wie sehr viele dieser spam-mails droht auch dieser mit etwas, nämlich mit der sperrung des accounts für die nutzung der packstation. solche drohungen würde ein seriöses portal nicht per email-versenden.

der entscheidende punkt aber ist der link hinter dem satz „Jetzt bestätigen (hier anklicken“. dieser link führt zu einer webseite, die mit qikupd beginnt (im screenshot oben schräg gestellt). bitte einem link in einer verdächtigen email nie folgen!

siehe dazu auch: und und

alima | die kreuzfahrtschiffschnulze

vermeer_Ohrringvermeer’s mädchen mit dem perlenohrring könnte alima sein…

im digitalen logbuch (deutschlandfunk → forschung aktuell → computer und kommunikation) sprechen wir in der regel. vor einer woche sang ich ausnahmsweise mal, nämlich diesen → rap über einen nerd– einen sich selbst überschätzenden jungen hacker mit gebrochener kindheit. und heute sang ich wieder. der song heute hieß „alima“ und beruht auf einem wahren spam, nämlich diesem:

alima_songAusSpamoriginal-spam, vermeintlich von alima

ich fand diese leicht holprig aus irgend einer sprache automatisch ins deutsche übersetzte kontaktanfrage so reizend, dass ich einen reizenden schlager draus machte. ich packte textlich dazu gleich einen weiteren, nicht minder entzückenden spam in englischer sprache, auch er original. hier ist die webseite des deutschlandfunks → zu dem stück, und hier ist, für alle ewigkeit, der schlager selbst. ich stellte mir beim komponieren und singen vor, vor rentnern auf einem kreuzfahrtschiff zu singen:


digitales logbuch: alima

sebastien et sandra | spam

nach längerem mal wieder ein bemerkenswerter spam. ich schätze die gefährlichkeit hoch ein, einfach deswegen, weil der mail eine zip-datei anhängt, die mit großer wahrscheinlichkeit böse software enthält. also: auf keinen fall öffnen!

der spam gibt sich als der internethändler amazon aus, ist aber natürlich nicht amazon:

amazon-sebastien-spam

es gibt mehrere verdachtsmomente, diesen spam nicht für eine ernst gemeinte mail zu halten. eine „Stellvertrender Rechtsanwalt Amazon GmbH“ gibt es nicht. klingt aber eindrucksvoll. „stellvertretend“ quasi: noch geht’s Dir nicht ganz schlecht, wehe wir schicken den „Rechtsanwalt Amazon GmbH“ zu Dir! Amazon ist auch keine GmbH nach deutschem Recht, sondern eine SARL nach luxemburgischen recht. damit haben wir schon in der vermeintlichen absenderadresse wunde punkte.

die vermeintliche email-adresse des absenders kann sich der spammer frei zusammenfantasieren; warum er hier „sebastianetsandra“ wählt – aufgetrennt „sebastien et sandra“ mit einer vermeintlich französischen adresse (amazon sitzt in luxemburg) ist fast ein wenig platt.

desweiteren schreibt mich der spam mit „max.schoenherr“ an, weil er die mailadresse kennt, nicht aber meinen wirklichen namen.

dann: der zip-anhang mit 109 kilobytes verspricht nichts gutes. nicht herunterladen, nicht öffnen!

schließlich, eher zur kreativen unterhaltung, der kerntext des spams, fehlerfrei und voller droh(n)ungen (nur verwunderlich, dass nicht sebastien oder sandra unterzeichnen, sondern ein zebitz mohammed, noch dazu kein anwalt, sondern ein stellvertreter. das ist schon rührend:

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung beim Unternehmen Amazon GmbH. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen außerdem, die durch unsere Beauftragung entstandenen Gebühren von 32,02 Euro zu tragen. Wir erwarten die vollständige Zahlung zuzüglich der Zusatzgebühren bis spätestens 16.04.2015 auf unser Girokonto Namens unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung schnellstens zu begleichen. Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei. Für Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Mit freundlichen Grüßen Stellvertretender Rechtsanwalt Zebitz Mohammed

heute mara | antonia und lina

um 1:11 uhr Celina Kraemer zum thema „Das gab’s noch nie„:

  • Hallöchen, Schau dir mal meine neue Seite an unter: Hier Klicken

um 14:47 uhr Hannah Ziegler zum thema „Du hast eine dringende Nachricht erhalten„:

  • Hier klicken und deine Nachricht aufrufen

um 15:50 uhr Mara Vogt zum thema „Sie haben 8000 Euro gewonnen„:

  • Klicken Sie hier und holen Sie Ihr Geld ab

Um 17:47 Antonia Martin zum thema „Jemand will dich kontaktieren„:

  • Um weiteres zu erfahren klicke hier

Um 20:25 uhr endlich Lina Horn zum thema „Bist du das????„:

  • Schau dir das mal an echt krass klick hier

die angeblichen absenderadressen entsprachen dem klischee von fake-absendern, etwa xxxnuvzf@laf.lv; nur lina horn (die es natürlich auch nicht gibt) hat sich was besonderes ausgedacht: xxxjjbdmj@spd-leichlingen.de

alle fünf spams (keiner lag dazwischen) sind in fehlerfreiem deutsch formuliert, sehr kurz im text, enthalten alle das wort „klicken“ – und führen auf russische webseiten.

drohung durch spam | selbstmord

ransomwaretypische ransomware, scheinbar von der britischen polizei

ein 17jähriger brite hat sich zuhause erhängt, nachdem sein computer durch einen bösartigen spam blockiert und ihm zur aufhebung der blockade 100 pfund abverlangt wurden. es war der zweite bekannt gewordene fall innerhalb weniger monate, dass ransomware zu suiziden führte. → siehe zum beispiel den artikel in thehackernews.

in der regel geben lösegeld-spams (ransom=lösegeld) vor, von den polizeibehörden zu kommen. im fall von joseph edwards, einem hochbegabten autistischen jungen, lief das so ab: er bekam eine mail, in der stand, er habe illegale webseiten besucht, und die polizei habe deswegen ermittlungen gegen ihn aufgenommen. erst wenn er 100 pfund zahle, würden die ermittlungen eingestellt. die mail enthielt eine datei, die joseph öffnete und damit seinen computer blockierte. nur durch überweisung des geforderten betrags, versprach der virus, würde der gekaperte rechner wieder freigegeben.

ppwxkkdil | oder einkommen4 ?

wichtigeNachrichtFürSie

dieser spam, über dessen boshaftigkeit ich ad hoc nichts sagen kann, ist von einer solchen plattheit, dass ich platt bin. er hat alle tarnungsmechanismen ignoriert, sodass ihn mein email-programm lässig unter „junk“-verdacht stellte (mittlere zeile). die betreffzeile „Neue wichtige Nachricht an Sie“ ist typisch für das, was man sofort in die tonne tritt, eben alles, was einem vorgaukelt, dass es neu, dringend und eben „wichtig“ für uns sei. der absender nennt sich „Marcel Peters“, das ist nicht schlecht, funktioniert auch im deutschen sprachraum. aber schon die mailadressen, so schaurig sie aussehen (ppwxkkdil@jophilly.org und tvaj@jophilly.org), sind nicht konsistent: ist der marcel nun der ppwxkkdil oder der tvaj? und adressiert hat er die mail nur in schwarzkopie an mich, der hauptadressat heißt chrjak.

wie schon → hier und → hier und sicher auch anderswo schon angemerkt, ist das entscheidende aber der link in der mail. wer so blöd ist, auf ihn zu klicken, macht den spam zum volltreffer. wichtig, zum x-ten mal: nicht auf den link klicken, sondern allenfalls den mauszeiger über dem link schweben lassen, dann zeigt sich irgendwo im fenster die adresse, die der link gern ansteuern würde. in diesem fall ist es eine seite in russland, die sich tatsächlich einkommen4 nennt. das kürzel danach (id=soajbtx) sagt dem betrüger genau, wer wir sind, weil diese id mit dieser spam-mail zusammenhängt.

übrigens: die diagnose mit maus-drüber geht natürlich nicht am smartphone.

was vergessen? ja, danke… wer hat denn einkommen4.ru registriert? da hilft uns die ICANN-whois-suche nicht weiter, wohl aber die des russian institute for public networks:

RIPNwhoisSearch

der betreiber der webseite, auf die der spam zielt, nennt sich „privatperson“ (also nicht „firma“) und gibt seinen namen mit R01-RU an. mit einem solchen namen könnte man bei der denic, der deutschen registrierungsstelle für webseiten, keine webseite einrichten. R01-RU hat eine webseite, nämlich partner.r01.ru. weiter unten steht dann, dass er die seite im november eingerichtet und für ein jahr bezahlt hat, sowie (s)eine telefon- und faxnummer.

wo partner.r01.ru registriert ist, kann ich auf die schnelle nicht herausfinden. die seite lässt sich aber ansteuern. sie sieht so aus (auch typisch für dubiose machenschaften, ein portal mit einer login-maske):

russischerSpamPartner

hallo, ich bin google | du depp!

dieser blogeintrag war die vorrecherche zu → diesem beitrag, der am donnerstag, also vorgestern, in SWR 2 impuls wissensmagazin lief-

update zum letzten posting, wo es um eine betrugsversuch via email ging, der vermeintlich von linkedIn stammte, aber auf einen türkischen betrüger zurückgeht mails wie diese erreichen vermutlich jeden, der sich eine weile lang im internet bewegt hat und dessen email-adresse dann irgendwie bekannt und unter den spammern verteilt wurde – meist kostenpflichtig; solche mail-adresslisten sind nicht billig. um die sache oben abzurunden, ein betrugsversuch aus kanada, der mich heutemorgen erreichte:

googleFakePhishingMailwieder gehen die warnlichter an: „urgent“ steht in der überschrift, also dringlich. die kanadische email-adresse im absender (sie ist, wie oben besprochen, nichts wert, sie gibt es wahrscheinlich gar nicht) fikriyya@clarington.ca hat nichts mit der vermeintlichen absenderin zu tun, die sich „kayla murray“ nennt.

in dieser mail führen zwei links zu einer sicherlich unappetitlichen kanadischen seite, die mit yidbrowser.com… beginnt. in diesem fall führt die whois-suche zu einer konkreten adresse:

Original Query: yidbrowser.com

Name: YOAV ENGELBERG

Organization: GRASSLANDMEDIA.CA
Mailing Address: 9909 77 STREET, EDMONTON CA T6A 3B8 CA
Phone: +1.7802002253
Email: YOAV@GRASSLANDMEDIA.CA

yoav engelberg scheint es zu geben, ein facebook-profil weist auf einen jungen kanadier hin, der freunde in alberta hat, der provinz, zu der edmonton gehört. über google maps kann man prüfen, ob es die adresse gibt, und es gibt sie. in google street view ist auch das haus zu sehen, das zu 9909 77 st., edmonton, gehört. es befindet sich in einer rechtwinkligen kurve, ziemlich zentral in edmonton:

googleStreetViewDesPhishingZiels

es kann sein, dass dies eine scheinadresse ist, wo ganz unbescholtene bürger wohnen. wahrscheinlicher ist aber, dass genau dort der ausgangspunkt des betrugs liegt. man müsste mal vorbeischauen und fragen.

auch die telefonnummer scheint mit der adresse übereinzustimmen. gibt man sie in die suchmaschine ein, führt sie zu anderen whois-einträgen dieser person, zum beispiel hat ein yoav engelberg die webseite wallbrowser.com registriert. die phishing-webseite ist eine unterseite der seite yidbrowser.com. was sieht man, wenn man die eingangsseite ansurft? wie bei fast allen spam/betrugswebseiten sieht man da praktisch nichts, nämlich nur ein „hello world“ ohne link, impressum etc. (1) der trojaner oder was auch immer uns schaden soll, liegt tiefer in dieser webseite. auch die oberflächen der anderen bei dieser kurzen suche gefundenen webseiten sehen entsprechend dürftig aus; sie soll schließlich niemand ansurfen, sie sind nur platzhalter: bei grasslandmedia.ca finden wir ein foto von gras, den satz „thank you for your interest!“ und keinen link nirgendwohin. (2) die unter demselben namen registrierte webseite wallbrowser.com zeigt das wort „kwick“, einige farbflächen und ebenfalls nichts weiterführendes. (3)

dummyWebseitendrei nichtssagende webseiten von yoav engelberg. der betrug liegt tiefer.