guten morgen | kundennummer

der kreativste spam von heute lautet:

You Have an Urgent F%%ck Message

und der deutschdümmste sieht so aus:

gutenMorgenKundennummer

eine vermeintliche “Förderstelle IV” will mir, dem kunden 731132, eine heizung schenken. unterzeichnet hat “Ihr Föderungsteam”. zwei links enthält die mail, beide sind identisch, beide sind böse. wohin sie führen, habe ich pink herausgestellt.

sebastien et sandra | spam

nach längerem mal wieder ein bemerkenswerter spam. ich schätze die gefährlichkeit hoch ein, einfach deswegen, weil der mail eine zip-datei anhängt, die mit großer wahrscheinlichkeit böse software enthält. also: auf keinen fall öffnen!

der spam gibt sich als der internethändler amazon aus, ist aber natürlich nicht amazon:

amazon-sebastien-spam

es gibt mehrere verdachtsmomente, diesen spam nicht für eine ernst gemeinte mail zu halten. eine “Stellvertrender Rechtsanwalt Amazon GmbH” gibt es nicht. klingt aber eindrucksvoll. “stellvertretend” quasi: noch geht’s Dir nicht ganz schlecht, wehe wir schicken den “Rechtsanwalt Amazon GmbH” zu Dir! Amazon ist auch keine GmbH nach deutschem Recht, sondern eine SARL nach luxemburgischen recht. damit haben wir schon in der vermeintlichen absenderadresse wunde punkte.

die vermeintliche email-adresse des absenders kann sich der spammer frei zusammenfantasieren; warum er hier “sebastianetsandra” wählt – aufgetrennt “sebastien et sandra” mit einer vermeintlich französischen adresse (amazon sitzt in luxemburg) ist fast ein wenig platt.

desweiteren schreibt mich der spam mit “max.schoenherr” an, weil er die mailadresse kennt, nicht aber meinen wirklichen namen.

dann: der zip-anhang mit 109 kilobytes verspricht nichts gutes. nicht herunterladen, nicht öffnen!

schließlich, eher zur kreativen unterhaltung, der kerntext des spams, fehlerfrei und voller droh(n)ungen (nur verwunderlich, dass nicht sebastien oder sandra unterzeichnen, sondern ein zebitz mohammed, noch dazu kein anwalt, sondern ein stellvertreter. das ist schon rührend:

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung beim Unternehmen Amazon GmbH. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen außerdem, die durch unsere Beauftragung entstandenen Gebühren von 32,02 Euro zu tragen. Wir erwarten die vollständige Zahlung zuzüglich der Zusatzgebühren bis spätestens 16.04.2015 auf unser Girokonto Namens unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung schnellstens zu begleichen. Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei. Für Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Mit freundlichen Grüßen Stellvertretender Rechtsanwalt Zebitz Mohammed

drohung durch spam | selbstmord

ransomwaretypische ransomware, scheinbar von der britischen polizei

ein 17jähriger brite hat sich zuhause erhängt, nachdem sein computer durch einen bösartigen spam blockiert und ihm zur aufhebung der blockade 100 pfund abverlangt wurden. es war der zweite bekannt gewordene fall innerhalb weniger monate, dass ransomware zu suiziden führte. → siehe zum beispiel den artikel in thehackernews.

in der regel geben lösegeld-spams (ransom=lösegeld) vor, von den polizeibehörden zu kommen. im fall von joseph edwards, einem hochbegabten autistischen jungen, lief das so ab: er bekam eine mail, in der stand, er habe illegale webseiten besucht, und die polizei habe deswegen ermittlungen gegen ihn aufgenommen. erst wenn er 100 pfund zahle, würden die ermittlungen eingestellt. die mail enthielt eine datei, die joseph öffnete und damit seinen computer blockierte. nur durch überweisung des geforderten betrags, versprach der virus, würde der gekaperte rechner wieder freigegeben.

ppwxkkdil | oder einkommen4 ?

wichtigeNachrichtFürSie

dieser spam, über dessen boshaftigkeit ich ad hoc nichts sagen kann, ist von einer solchen plattheit, dass ich platt bin. er hat alle tarnungsmechanismen ignoriert, sodass ihn mein email-programm lässig unter “junk”-verdacht stellte (mittlere zeile). die betreffzeile “Neue wichtige Nachricht an Sie” ist typisch für das, was man sofort in die tonne tritt, eben alles, was einem vorgaukelt, dass es neu, dringend und eben “wichtig” für uns sei. der absender nennt sich “Marcel Peters”, das ist nicht schlecht, funktioniert auch im deutschen sprachraum. aber schon die mailadressen, so schaurig sie aussehen (ppwxkkdil@jophilly.org und tvaj@jophilly.org), sind nicht konsistent: ist der marcel nun der ppwxkkdil oder der tvaj? und adressiert hat er die mail nur in schwarzkopie an mich, der hauptadressat heißt chrjak.

wie schon → hier und → hier und sicher auch anderswo schon angemerkt, ist das entscheidende aber der link in der mail. wer so blöd ist, auf ihn zu klicken, macht den spam zum volltreffer. wichtig, zum x-ten mal: nicht auf den link klicken, sondern allenfalls den mauszeiger über dem link schweben lassen, dann zeigt sich irgendwo im fenster die adresse, die der link gern ansteuern würde. in diesem fall ist es eine seite in russland, die sich tatsächlich einkommen4 nennt. das kürzel danach (id=soajbtx) sagt dem betrüger genau, wer wir sind, weil diese id mit dieser spam-mail zusammenhängt.

übrigens: die diagnose mit maus-drüber geht natürlich nicht am smartphone.

was vergessen? ja, danke… wer hat denn einkommen4.ru registriert? da hilft uns die ICANN-whois-suche nicht weiter, wohl aber die des russian institute for public networks:

RIPNwhoisSearch

der betreiber der webseite, auf die der spam zielt, nennt sich “privatperson” (also nicht “firma”) und gibt seinen namen mit R01-RU an. mit einem solchen namen könnte man bei der denic, der deutschen registrierungsstelle für webseiten, keine webseite einrichten. R01-RU hat eine webseite, nämlich partner.r01.ru. weiter unten steht dann, dass er die seite im november eingerichtet und für ein jahr bezahlt hat, sowie (s)eine telefon- und faxnummer.

wo partner.r01.ru registriert ist, kann ich auf die schnelle nicht herausfinden. die seite lässt sich aber ansteuern. sie sieht so aus (auch typisch für dubiose machenschaften, ein portal mit einer login-maske):

russischerSpamPartner

wer viren jagt | fängt sich welche ein

ein freund schrieb mir heute, dass er sich fünf viren auf seinem (wegen iPad nur noch selten benutzten) windowsrechner eingefangen hat. vier davon bekam er mit bordmitteln los, den fünften aber nicht. er nennt sich

plus-hd-9.1 crossrider

schicker name, oder sollte man sagen: flotter name, crossrider? im prinzip nistet sich plus-hd crossrider in die browser ein und meldet ungefragt an sein zuhause, was wir, die unbescholtenen surfer, gerade ansurfen. primär dient der virus dem gezielten liefern von werbung in den browser und wird deswegen etwas verharmlosend adware oder malware genannt. im grunde unterscheidet er sich aber nicht von einem klassischen trojaner, also einem virus, der ferngesteuert im PC verschiedenste dinge tun kann.

wenn man so etwas bei sich findet, reagiert man erregt und surft den nächstbesten link an, um die pest zu entfernen. ein solcher link führt zu:

remove-virusdiese webseite behauptet, virenschutzkompetenz zu besitzen.

die seite wirkt seriös, umfassend, gut dokumentiert, allerdings fällt auf, dass eine automatische übersetzung am werk war: “wir haben mehrere Testcomputern, die unter verschiedenen Betriebssystemen.”

die remove pc-virus-“experten” bieten auf ihrer seite zum plus-hd-virus zwei große grüne klickflächen an, die suggerieren, dass man so den virus los wird:

download-tooldas download-tool verspricht, den virus zu entfernen.

auch hier fallen wieder die übersetzungsfehler auf. klickt man auf diesen einladenden knopf, lädt windows ein programm herunter. man sollte immer, wenn man etwas herunterlädt, nachsehen, wie es heißt und von wem es ist, bevor man dann den download bestätigt. ich bestätige ihn nicht, sondern breche ab.

spyhunterdie webseite will ein programm namens spyhunter von enigmasoftware installieren.

die datei nennt sich spyhunter. wer oder was ist spyhunter? kurz nach “spyhunter problem” gesucht führt zu vielen seiten mit warnungen. unter anderem zu diesem blog:

spyhunter-abzockevermeintlich betrogene warnen vor der installation und vor dem kauf der vollversion von spyhunter.

angeblich – und ich habe hier keinen grund zum zweifeln – installiert also der virenentferner selbst viren, und das kostenpflichtig!

wer tut so etwas? beim herunterladen von spyhunter ist der name einer firma zu sehen, die die software angeblich programmiert hat: enigmasoftware.com. diese firma versteckt sich natürlich nicht, sondern bietet offensiv zum kauf an: spyhunter.

Registrant Name: COLORADO STARK
Registrant Organization: ENIGMA SOFTWARE GROUP USA, LLC
Registrant Street: 2643 GULF TO BAY BLVD
Registrant Street: SUITE 1560 #446
Registrant City: CLEARWATER
Registrant State/Province: FL
Registrant Postal Code: 33759
Registrant Country: US
Registrant Phone: +1.8883600646

ein mensch namens colorado stark hat demnach enigmasoftware.com registriert. herr stark ist laut linkedin in litauen zuhause, und siehe da, hier kann man sogar den umsatz der firma ablesen, angeblich eine halbe million euro:

Firmenkode 300604217
USt-IdNr. LT100003136219
Geschäftsführer Sergejus Nosokas
Adresse K. Donelaičio g. 62, LT-44248 Kaunas
Mobiltelefon Uab Enigma Software Group Lt Mobiltelefon
E-Mail Kontakt per email
Webseite http://www.enigmasoftware.com
Umsatz 2011: 289 620 – 579 240 EUR

schließlich zurück zum anfang: die webseite mit dem grünen knopf, der uns virenfreiheit verspricht und uns in diese falle gelockt hat: wem gehört sie? dazu hilft ein so genannte whois (gesprochen: who is?) suche, und die fördert zutage:

Domain Name: REMOVE-PCVIRUS.COM
Registrar URL: http://www.godaddy.com
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC

registriert hat die domain also godaddy.com, einer der größten webanbieter weltweit, mit adresse in arizona. die netzadresse von remove-pcvirus führt nach köln.

noch weiter zurück: wer hat den ausgangsvirus programmiert, also den plus-hd 9.1 crossrider? eine schnelle suche führt nach montréal, zu kimahri software, die wiederum zu yuna software gehört – beide ohne real- und webadressen. yuna software ist für ein plugin für den windows live messenger und für skype namens messenger plus. was dieser softwarezusatz tut, brauchen wir nicht zu hinterfragen (adware, und damit malware und damit schadprogramm).

ps.: ich kann hier keinen rat geben, außer: viel lesen, nicht zu schnell klicken.