der infamste spam seit | langem

deswegen so infam, weil er meine reale büroadresse enthält und eine ehemalige telefonnummer, die nie im telefonbuch oder auf meiner webseite stand. das einzige, was im text – außer minimalen grammatikfehlern – falsch ist, ist „amazon AG“, denn es handelt sich um eine GmbH. amazon hat sicherlich damit gar nichts zu tun. die absenderadresse ist fake, nämlich pay@giropay.de. das gefährliche ist der in einer zip-datei namens

Stellvertretender Rechtsanwalt Amazon AG.zip

versteckte anhang, höchstwahrscheinlich ein erpressungstrojaner. hier der text (diesmal nicht als screenshot, damit ihn leute durch die web-suche finden). ausgeixxxxt die wiegesagt korrekten persönlichen daten.


Sehr geehrte(r) Maximilian Schönherr,

unsere Erinnerung blieb bislang leider ergebnislos. Nun gewähren wir Ihnen hiermit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten Amazon AG zu begleichen.

Aufgrund des andauernden Zahlungsausstands sind Sie angewiesen zuzüglich, die durch unsere Tätigkeit entstandene Kosten von 58,30 Euro zu tragen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Um weitete Kosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Bankkonto zu überweisen.

Personalien:

Maximilian Schönherr
xxxxxxxxxx 
xxxxx xxxx

Telefon: 0221xxxxxxx

Die vollständige Forderungsausstellung NR285660510, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Wir erwarten die Zahlung bis spätestens 24.03.2016 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung verbuchen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen. Berücksichtigt wurden alle Buchungseingänge bis zum 21.03.2016.

Mit freundlichen Grüßen

Stellvertretender Rechtsanwalt Jannik Zwingli

guten morgen | kundennummer

der kreativste spam von heute lautet:

You Have an Urgent F%%ck Message

und der deutschdümmste sieht so aus:

gutenMorgenKundennummer

eine vermeintliche „Förderstelle IV“ will mir, dem kunden 731132, eine heizung schenken. unterzeichnet hat „Ihr Föderungsteam“. zwei links enthält die mail, beide sind identisch, beide sind böse. wohin sie führen, habe ich pink herausgestellt.

java installiert unverschämt | yahoo

javaUpdateInstalliertYahooSpam

wenn ich sowas sehe, kriege ich das heulen und zähneknirschen: die ganzen tage zerrte → java mit einer meldung auf meinem PC herum, ich möge ein update installieren. ich mag java-updates nicht, die erfahrung war → bisher nie angenehm, aber an java kommt man nach wie vor nicht herum, und wenn das schon so ist, dann muss man aktuell bleiben. die installation gestern verlief anders als bisher friedlich, ich wurde nicht aufgefordert, irgend ein plug-in oder sonstigen mist zu installieren. beim neustart des rechners aber hatte yahoo sich die startseite meines standardbrowsers unter den nagel gerissen (kann man über die einstellungen wieder abstellen) und war noch dazu so dreist, mir ein browser-add-on zu installieren. diese zusätzlichen wasauchimmers sind in der regel schwer zu entfernen.

oops, erst später gesehen: yahoo hat sich auch als standardsuchmaschine eingenistet. muss man ebenfalls über die einstellungen wieder händisch ändern.

hureYahoo_standardsuchmaschine

ich werde das jetzt mal dem verbraucherschutz melden, weil java-vertreiber oracle hier jede transparenz vermissen lässt, und der übergriff nicht einmal ein opt-out erlaubt, geschweige ein opt-in – und damit gegen das gesetz gegen unlauteren wettbewerb verstößt.

cindy spammt | für „packstation“

heute macht ein spam die runde, der, wie die meisten, vermutlich zur installation eines virus/trojanischen pferds führt – aber nur, wenn man dem link folgt.

packstations-cindy

schon der absender, eine person, die es nicht wirklich gibt, cindy@conryprint.com, zeigt, dass hier etwas nicht stimmt. warum sollte DHL sich cindy nennen und als deutscher konzern ein .com am ende haben?

wie sehr viele dieser spam-mails droht auch dieser mit etwas, nämlich mit der sperrung des accounts für die nutzung der packstation. solche drohungen würde ein seriöses portal nicht per email-versenden.

der entscheidende punkt aber ist der link hinter dem satz „Jetzt bestätigen (hier anklicken“. dieser link führt zu einer webseite, die mit qikupd beginnt (im screenshot oben schräg gestellt). bitte einem link in einer verdächtigen email nie folgen!

siehe dazu auch: und und

sebastien et sandra | spam

nach längerem mal wieder ein bemerkenswerter spam. ich schätze die gefährlichkeit hoch ein, einfach deswegen, weil der mail eine zip-datei anhängt, die mit großer wahrscheinlichkeit böse software enthält. also: auf keinen fall öffnen!

der spam gibt sich als der internethändler amazon aus, ist aber natürlich nicht amazon:

amazon-sebastien-spam

es gibt mehrere verdachtsmomente, diesen spam nicht für eine ernst gemeinte mail zu halten. eine „Stellvertrender Rechtsanwalt Amazon GmbH“ gibt es nicht. klingt aber eindrucksvoll. „stellvertretend“ quasi: noch geht’s Dir nicht ganz schlecht, wehe wir schicken den „Rechtsanwalt Amazon GmbH“ zu Dir! Amazon ist auch keine GmbH nach deutschem Recht, sondern eine SARL nach luxemburgischen recht. damit haben wir schon in der vermeintlichen absenderadresse wunde punkte.

die vermeintliche email-adresse des absenders kann sich der spammer frei zusammenfantasieren; warum er hier „sebastianetsandra“ wählt – aufgetrennt „sebastien et sandra“ mit einer vermeintlich französischen adresse (amazon sitzt in luxemburg) ist fast ein wenig platt.

desweiteren schreibt mich der spam mit „max.schoenherr“ an, weil er die mailadresse kennt, nicht aber meinen wirklichen namen.

dann: der zip-anhang mit 109 kilobytes verspricht nichts gutes. nicht herunterladen, nicht öffnen!

schließlich, eher zur kreativen unterhaltung, der kerntext des spams, fehlerfrei und voller droh(n)ungen (nur verwunderlich, dass nicht sebastien oder sandra unterzeichnen, sondern ein zebitz mohammed, noch dazu kein anwalt, sondern ein stellvertreter. das ist schon rührend:

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung beim Unternehmen Amazon GmbH. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen außerdem, die durch unsere Beauftragung entstandenen Gebühren von 32,02 Euro zu tragen. Wir erwarten die vollständige Zahlung zuzüglich der Zusatzgebühren bis spätestens 16.04.2015 auf unser Girokonto Namens unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung schnellstens zu begleichen. Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei. Für Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Mit freundlichen Grüßen Stellvertretender Rechtsanwalt Zebitz Mohammed

heute mara | antonia und lina

um 1:11 uhr Celina Kraemer zum thema „Das gab’s noch nie„:

  • Hallöchen, Schau dir mal meine neue Seite an unter: Hier Klicken

um 14:47 uhr Hannah Ziegler zum thema „Du hast eine dringende Nachricht erhalten„:

  • Hier klicken und deine Nachricht aufrufen

um 15:50 uhr Mara Vogt zum thema „Sie haben 8000 Euro gewonnen„:

  • Klicken Sie hier und holen Sie Ihr Geld ab

Um 17:47 Antonia Martin zum thema „Jemand will dich kontaktieren„:

  • Um weiteres zu erfahren klicke hier

Um 20:25 uhr endlich Lina Horn zum thema „Bist du das????„:

  • Schau dir das mal an echt krass klick hier

die angeblichen absenderadressen entsprachen dem klischee von fake-absendern, etwa xxxnuvzf@laf.lv; nur lina horn (die es natürlich auch nicht gibt) hat sich was besonderes ausgedacht: xxxjjbdmj@spd-leichlingen.de

alle fünf spams (keiner lag dazwischen) sind in fehlerfreiem deutsch formuliert, sehr kurz im text, enthalten alle das wort „klicken“ – und führen auf russische webseiten.

ppwxkkdil | oder einkommen4 ?

wichtigeNachrichtFürSie

dieser spam, über dessen boshaftigkeit ich ad hoc nichts sagen kann, ist von einer solchen plattheit, dass ich platt bin. er hat alle tarnungsmechanismen ignoriert, sodass ihn mein email-programm lässig unter „junk“-verdacht stellte (mittlere zeile). die betreffzeile „Neue wichtige Nachricht an Sie“ ist typisch für das, was man sofort in die tonne tritt, eben alles, was einem vorgaukelt, dass es neu, dringend und eben „wichtig“ für uns sei. der absender nennt sich „Marcel Peters“, das ist nicht schlecht, funktioniert auch im deutschen sprachraum. aber schon die mailadressen, so schaurig sie aussehen (ppwxkkdil@jophilly.org und tvaj@jophilly.org), sind nicht konsistent: ist der marcel nun der ppwxkkdil oder der tvaj? und adressiert hat er die mail nur in schwarzkopie an mich, der hauptadressat heißt chrjak.

wie schon → hier und → hier und sicher auch anderswo schon angemerkt, ist das entscheidende aber der link in der mail. wer so blöd ist, auf ihn zu klicken, macht den spam zum volltreffer. wichtig, zum x-ten mal: nicht auf den link klicken, sondern allenfalls den mauszeiger über dem link schweben lassen, dann zeigt sich irgendwo im fenster die adresse, die der link gern ansteuern würde. in diesem fall ist es eine seite in russland, die sich tatsächlich einkommen4 nennt. das kürzel danach (id=soajbtx) sagt dem betrüger genau, wer wir sind, weil diese id mit dieser spam-mail zusammenhängt.

übrigens: die diagnose mit maus-drüber geht natürlich nicht am smartphone.

was vergessen? ja, danke… wer hat denn einkommen4.ru registriert? da hilft uns die ICANN-whois-suche nicht weiter, wohl aber die des russian institute for public networks:

RIPNwhoisSearch

der betreiber der webseite, auf die der spam zielt, nennt sich „privatperson“ (also nicht „firma“) und gibt seinen namen mit R01-RU an. mit einem solchen namen könnte man bei der denic, der deutschen registrierungsstelle für webseiten, keine webseite einrichten. R01-RU hat eine webseite, nämlich partner.r01.ru. weiter unten steht dann, dass er die seite im november eingerichtet und für ein jahr bezahlt hat, sowie (s)eine telefon- und faxnummer.

wo partner.r01.ru registriert ist, kann ich auf die schnelle nicht herausfinden. die seite lässt sich aber ansteuern. sie sieht so aus (auch typisch für dubiose machenschaften, ein portal mit einer login-maske):

russischerSpamPartner