sebastien et sandra | spam

nach längerem mal wieder ein bemerkenswerter spam. ich schätze die gefährlichkeit hoch ein, einfach deswegen, weil der mail eine zip-datei anhängt, die mit großer wahrscheinlichkeit böse software enthält. also: auf keinen fall öffnen!

der spam gibt sich als der internethändler amazon aus, ist aber natürlich nicht amazon:

amazon-sebastien-spam

es gibt mehrere verdachtsmomente, diesen spam nicht für eine ernst gemeinte mail zu halten. eine “Stellvertrender Rechtsanwalt Amazon GmbH” gibt es nicht. klingt aber eindrucksvoll. “stellvertretend” quasi: noch geht’s Dir nicht ganz schlecht, wehe wir schicken den “Rechtsanwalt Amazon GmbH” zu Dir! Amazon ist auch keine GmbH nach deutschem Recht, sondern eine SARL nach luxemburgischen recht. damit haben wir schon in der vermeintlichen absenderadresse wunde punkte.

die vermeintliche email-adresse des absenders kann sich der spammer frei zusammenfantasieren; warum er hier “sebastianetsandra” wählt – aufgetrennt “sebastien et sandra” mit einer vermeintlich französischen adresse (amazon sitzt in luxemburg) ist fast ein wenig platt.

desweiteren schreibt mich der spam mit “max.schoenherr” an, weil er die mailadresse kennt, nicht aber meinen wirklichen namen.

dann: der zip-anhang mit 109 kilobytes verspricht nichts gutes. nicht herunterladen, nicht öffnen!

schließlich, eher zur kreativen unterhaltung, der kerntext des spams, fehlerfrei und voller droh(n)ungen (nur verwunderlich, dass nicht sebastien oder sandra unterzeichnen, sondern ein zebitz mohammed, noch dazu kein anwalt, sondern ein stellvertreter. das ist schon rührend:

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück gebucht. Sie haben eine nicht bezahlte Forderung beim Unternehmen Amazon GmbH. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen außerdem, die durch unsere Beauftragung entstandenen Gebühren von 32,02 Euro zu tragen. Wir erwarten die vollständige Zahlung zuzüglich der Zusatzgebühren bis spätestens 16.04.2015 auf unser Girokonto Namens unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung schnellstens zu begleichen. Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei. Für Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Mit freundlichen Grüßen Stellvertretender Rechtsanwalt Zebitz Mohammed

heute mara | antonia und lina

um 1:11 uhr Celina Kraemer zum thema “Das gab’s noch nie“:

  • Hallöchen, Schau dir mal meine neue Seite an unter: Hier Klicken

um 14:47 uhr Hannah Ziegler zum thema “Du hast eine dringende Nachricht erhalten“:

  • Hier klicken und deine Nachricht aufrufen

um 15:50 uhr Mara Vogt zum thema “Sie haben 8000 Euro gewonnen“:

  • Klicken Sie hier und holen Sie Ihr Geld ab

Um 17:47 Antonia Martin zum thema “Jemand will dich kontaktieren“:

  • Um weiteres zu erfahren klicke hier

Um 20:25 uhr endlich Lina Horn zum thema “Bist du das????“:

  • Schau dir das mal an echt krass klick hier

die angeblichen absenderadressen entsprachen dem klischee von fake-absendern, etwa xxxnuvzf@laf.lv; nur lina horn (die es natürlich auch nicht gibt) hat sich was besonderes ausgedacht: xxxjjbdmj@spd-leichlingen.de

alle fünf spams (keiner lag dazwischen) sind in fehlerfreiem deutsch formuliert, sehr kurz im text, enthalten alle das wort “klicken” – und führen auf russische webseiten.

drohung durch spam | selbstmord

ransomwaretypische ransomware, scheinbar von der britischen polizei

ein 17jähriger brite hat sich zuhause erhängt, nachdem sein computer durch einen bösartigen spam blockiert und ihm zur aufhebung der blockade 100 pfund abverlangt wurden. es war der zweite bekannt gewordene fall innerhalb weniger monate, dass ransomware zu suiziden führte. → siehe zum beispiel den artikel in thehackernews.

in der regel geben lösegeld-spams (ransom=lösegeld) vor, von den polizeibehörden zu kommen. im fall von joseph edwards, einem hochbegabten autistischen jungen, lief das so ab: er bekam eine mail, in der stand, er habe illegale webseiten besucht, und die polizei habe deswegen ermittlungen gegen ihn aufgenommen. erst wenn er 100 pfund zahle, würden die ermittlungen eingestellt. die mail enthielt eine datei, die joseph öffnete und damit seinen computer blockierte. nur durch überweisung des geforderten betrags, versprach der virus, würde der gekaperte rechner wieder freigegeben.

ppwxkkdil | oder einkommen4 ?

wichtigeNachrichtFürSie

dieser spam, über dessen boshaftigkeit ich ad hoc nichts sagen kann, ist von einer solchen plattheit, dass ich platt bin. er hat alle tarnungsmechanismen ignoriert, sodass ihn mein email-programm lässig unter “junk”-verdacht stellte (mittlere zeile). die betreffzeile “Neue wichtige Nachricht an Sie” ist typisch für das, was man sofort in die tonne tritt, eben alles, was einem vorgaukelt, dass es neu, dringend und eben “wichtig” für uns sei. der absender nennt sich “Marcel Peters”, das ist nicht schlecht, funktioniert auch im deutschen sprachraum. aber schon die mailadressen, so schaurig sie aussehen (ppwxkkdil@jophilly.org und tvaj@jophilly.org), sind nicht konsistent: ist der marcel nun der ppwxkkdil oder der tvaj? und adressiert hat er die mail nur in schwarzkopie an mich, der hauptadressat heißt chrjak.

wie schon → hier und → hier und sicher auch anderswo schon angemerkt, ist das entscheidende aber der link in der mail. wer so blöd ist, auf ihn zu klicken, macht den spam zum volltreffer. wichtig, zum x-ten mal: nicht auf den link klicken, sondern allenfalls den mauszeiger über dem link schweben lassen, dann zeigt sich irgendwo im fenster die adresse, die der link gern ansteuern würde. in diesem fall ist es eine seite in russland, die sich tatsächlich einkommen4 nennt. das kürzel danach (id=soajbtx) sagt dem betrüger genau, wer wir sind, weil diese id mit dieser spam-mail zusammenhängt.

übrigens: die diagnose mit maus-drüber geht natürlich nicht am smartphone.

was vergessen? ja, danke… wer hat denn einkommen4.ru registriert? da hilft uns die ICANN-whois-suche nicht weiter, wohl aber die des russian institute for public networks:

RIPNwhoisSearch

der betreiber der webseite, auf die der spam zielt, nennt sich “privatperson” (also nicht “firma”) und gibt seinen namen mit R01-RU an. mit einem solchen namen könnte man bei der denic, der deutschen registrierungsstelle für webseiten, keine webseite einrichten. R01-RU hat eine webseite, nämlich partner.r01.ru. weiter unten steht dann, dass er die seite im november eingerichtet und für ein jahr bezahlt hat, sowie (s)eine telefon- und faxnummer.

wo partner.r01.ru registriert ist, kann ich auf die schnelle nicht herausfinden. die seite lässt sich aber ansteuern. sie sieht so aus (auch typisch für dubiose machenschaften, ein portal mit einer login-maske):

russischerSpamPartner

hallo, ich bin google | du depp!

dieser blogeintrag war die vorrecherche zu → diesem beitrag, der am donnerstag, also vorgestern, in SWR 2 impuls wissensmagazin lief-

update zum letzten posting, wo es um eine betrugsversuch via email ging, der vermeintlich von linkedIn stammte, aber auf einen türkischen betrüger zurückgeht mails wie diese erreichen vermutlich jeden, der sich eine weile lang im internet bewegt hat und dessen email-adresse dann irgendwie bekannt und unter den spammern verteilt wurde – meist kostenpflichtig; solche mail-adresslisten sind nicht billig. um die sache oben abzurunden, ein betrugsversuch aus kanada, der mich heutemorgen erreichte:

googleFakePhishingMailwieder gehen die warnlichter an: “urgent” steht in der überschrift, also dringlich. die kanadische email-adresse im absender (sie ist, wie oben besprochen, nichts wert, sie gibt es wahrscheinlich gar nicht) fikriyya@clarington.ca hat nichts mit der vermeintlichen absenderin zu tun, die sich “kayla murray” nennt.

in dieser mail führen zwei links zu einer sicherlich unappetitlichen kanadischen seite, die mit yidbrowser.com… beginnt. in diesem fall führt die whois-suche zu einer konkreten adresse:

Original Query: yidbrowser.com

Name: YOAV ENGELBERG

Organization: GRASSLANDMEDIA.CA
Mailing Address: 9909 77 STREET, EDMONTON CA T6A 3B8 CA
Phone: +1.7802002253
Email: YOAV@GRASSLANDMEDIA.CA

yoav engelberg scheint es zu geben, ein facebook-profil weist auf einen jungen kanadier hin, der freunde in alberta hat, der provinz, zu der edmonton gehört. über google maps kann man prüfen, ob es die adresse gibt, und es gibt sie. in google street view ist auch das haus zu sehen, das zu 9909 77 st., edmonton, gehört. es befindet sich in einer rechtwinkligen kurve, ziemlich zentral in edmonton:

googleStreetViewDesPhishingZiels

es kann sein, dass dies eine scheinadresse ist, wo ganz unbescholtene bürger wohnen. wahrscheinlicher ist aber, dass genau dort der ausgangspunkt des betrugs liegt. man müsste mal vorbeischauen und fragen.

auch die telefonnummer scheint mit der adresse übereinzustimmen. gibt man sie in die suchmaschine ein, führt sie zu anderen whois-einträgen dieser person, zum beispiel hat ein yoav engelberg die webseite wallbrowser.com registriert. die phishing-webseite ist eine unterseite der seite yidbrowser.com. was sieht man, wenn man die eingangsseite ansurft? wie bei fast allen spam/betrugswebseiten sieht man da praktisch nichts, nämlich nur ein “hello world” ohne link, impressum etc. (1) der trojaner oder was auch immer uns schaden soll, liegt tiefer in dieser webseite. auch die oberflächen der anderen bei dieser kurzen suche gefundenen webseiten sehen entsprechend dürftig aus; sie soll schließlich niemand ansurfen, sie sind nur platzhalter: bei grasslandmedia.ca finden wir ein foto von gras, den satz “thank you for your interest!” und keinen link nirgendwohin. (2) die unter demselben namen registrierte webseite wallbrowser.com zeigt das wort “kwick”, einige farbflächen und ebenfalls nichts weiterführendes. (3)

dummyWebseitendrei nichtssagende webseiten von yoav engelberg. der betrug liegt tiefer.

hallo, ich bin linkedIn | du depp!

beispiel eines aktuellen betrugsversuchs [unten, ergänzt, einer, der gleich hinterher kam]. mich erreichte vorhin diese mail, und mein web-hoster erkannte richtig: sie könnte ein phishing-spam sein. sehen wir sie uns kurz an:

pseudo_linkedIn_spam

die absenderadresse ist elmi@geldec.de; sie soll mit dem “.de” vertrauen schaffen. erster verdacht: warum ist die mail dann in englisch verfasst? denn die ordentlichen nachrichten von linkedIn bekommt man in seiner landessprache zugestellt. würde man an elmi@geldec schreiben, käme die mail vermutlich als unzustellbar zurück. geldec ist für suchmaschinen unbekannt, aber es steckt das wort “geld” drin, also verdachtsmoment #2.

schließlich und am wichtigsten, und damit verdachtsmoment #3: nie auf den link in einer verdächtigen mail klicken! aber sehr wohl den mauszeiger über der mail schweben lassen. dann sieht man nämlich, wohin er führen würde, nämlich nicht zu linkedIn, sondern zu einer webseite, die mit haber.cinewp.com beginnt. wiegesagt, und wichtig: nur den mauszeiger drüber schweben lassen, oder auch den link kopieren, nicht aber anklicken oder (smartphone) antippen!

was man immer tun kann, ist, zu gucken, wer die webseite haber.cinewp.com registriert hat. dazu dienen so genannte whois-suchen, und weil viele davon auch wieder abzocken sind, rate ich zu einer cleanen whois-seite, nämlich die der icann. wenn man → dort nach haber… sucht, kommt das zum vorschein:

sencerBaba_spammerWhois

ein sencer baba (er schreibt alles klein), von einer angeblichen firma namens web adana, mit postfach 01240 irgendwo in der türkei. dazu eine telefonnummer, die keinen sinn macht. ziemlich sicher stimmt aber die email-adresse, aber nicht die postfach-adresse, über die man den übeltäter anschreiben und abmahnen könnte.

unterm strich: wach sein bei emails von unbekannten absendern, inkonsistenten finden und den link, der in fast jeder bösen email enthalten ist, untersuchen, aber nicht anklicken!

mr. christopher johnson | ein vorgelesener original-spam

ein hörer des deutschlandfunks schrieb uns letzte woche, dass er ein “digitales logbuch” vermisst, nämlich das über mr. christopher johnson. (“den fand ich nämlich zum Brüllen komisch und wollte ihn noch ein-zwei weniger computer-affinen Anverwandten vorspielen!“) wegen der vom gesetzgeber vorgeschriebenen halbjahreslöschfrist findet sich das zweiminutenstück nicht mehr als audio (wohl aber → als webseite) bei deutschlandfunk.de. aber ich hab’s natürlich noch. und wenn die weniger computer-affinen anverwandten das hören wollen, nur zu!

unter dem im juli 2013 gesendeten stück der text, mit allen tippfehlern (die vermutlich absicht waren). eben ein schwer vorzulesender original-spam.


digitales logbuch: mr. christopher johnson

 Hallo Freund. gute ay.

Ich bin Mr. Christopher Johnson Leiter Rechnungswesen udit 38 Strang, hier in England. Ich schreibe Ihnen ьber einen geschдftlichen Vorschlag, dass einer immensen Nutzen fьr beide von uns sein wird. In meiner Abteilung, wobei die Manager entdeckte ich eine Summe (16,5 Millionen J) in einem Konto, das zu einem unserer auslдndischen Kunden Business Mogul Mr. gehцrt, die ein Opfer von einem Hubschrauberabsturz 10. Januar war, tцteten ihn und seine Familienangehцrigen. Der Pilot war auch tot ist.

Die Wahl der Kontaktaufnahme mit Ihnen ist aus der geographischen Natur, wo Sie leben, vor allem aufgrund der Sensibilitдt der Transaktion und die Vertraulichkeit hier geweckt. Ich persцnlich habe mit ihrem Vorbringen unterlegen bei der Suche die Verwandten, ich suche Ihre Zustimmung an Sie als nдchsten Angehцrigen.

Dies wird ausgezahlt oder geteilt in diese Prozentsдtze werden sechzig Prozent zu mir und vierzig Prozent auf Sie. Alles, was ich jetzt verlangen, ist Ihre ehrliche Zusammenarbeit, Verschwiegenheit und Vertrauen zu ermцglichen, uns sieht dieser Transaktion durch.

Bitte, geben Sie mir die folgenden, wie wir 7 Tage, um es durchlaufen haben.

Vollstдndiger Name. Ihr direkter Mobile Number. Ihr Kontakt Adresse. Beruf. Alter. Sex. Nationalitдt.

Nachdem durch eine methodische Suche gegangen, entschied ich mich, Sie zu kontaktieren hoffen, dass Sie diesen Vorschlag interessant finden. Bitte auf Ihrer Bestдtigung dieser Nachricht. Ich danke Ihnen im Vorgriff.

GrьЯe,

Mr. Christopher Johnson

opt-out noch frecher | java update mit dreckschleuder

java ist ein sinnvolles plug-in für browser, und weil es millionen installiert haben, wiegt das hier folgende noch schlimmer. den rechtlichen hintergrund kann man zwei einträge vor diesem → nachlesen, in diesem fall ist es noch dreister. und zwar läuft die installation ganz normal ab (screenshot ganz oben), dann (zweiter screenshot) blendet sich ein fenster ein, wo angehakt drei optionen sind (vergrößerung, ganz unten), die allesamt schund auf dem rechner installieren und schwer wieder zu entfernen sind. über diese → ask toolbar, wie sich das unappetitliche nennt, ist schon sehr viel gejammert und geklagt worden. ich würde mal eine google-suche empfehlen. wirklich lästig, ich habe schon stunden damit verbracht, diese dreckschleuder bei computern von freunden zu entfernen, samt aller tiefen eingriffe ins system, die sie mit sich bringt. ich habe bei oracle, dem unternehmen, das java von sun gekauft hat, nachgefragt, was man sich dabei gedacht hat, und bin gespannt auf eine antwort. [die antwort kam wenige tage später und findet sich ganz unten in diesem eintrag.]

java_opt-Out_askToolbarrechtswidrig und unsittlich: java will unbesehen dem pc-user eine schwere bürde aufladen – die ask toolbar.


oracle antwortete am 20. august 2014 via eine pressestelle, die ich kontaktiert hatte. die antwort kommentiere ich vorweg kurz: sie geht auf das verbot von opt-out nicht ein, sondern liefert den link zu einer webseite, die erläutert, wie man die ask-toolbar wieder los wird. das allein besagt schon: oracle weiß, dass man dem verbraucher damit etwas aufbürdet. also:

Vielen Dank für Ihre Anmerkungen zum Installationsvorgang von Java. In unserem Java Hilfecenter finden Sie Antworten auf allgemeine Fragen zur Java-Technologie sowie zur Ask Toolbar: http://www.java.com/de/download/faq/index_general.xml Eine Hilfestellung zur Deinstallation erhalten Sie hier: http://www.java.com/de/download/faq/ask_toolbar.xml. Bitte beachten Sie, dass es sich beim Herunterladen von Java um einen kostenfreien Download handelt, der Ihr Einverständnis mit der Endbenutzerlizenzvereinbarung voraussetzt. Das Angebot für die Installation des kostenfreien Browser Add-Ons können Sie selbstverständlich ablehnen.

mein gf | digitales logbuch, deutschlandfunk

Feinkostfabrik-Marmeladengläser---Fotograf-Rössinger---Deutsche-FotothekVEB leipziger feinkostfabrik mit unbeschrifteten marmeladengläsern. foto: rössing, 1953. deutsche fotothek

ich sammle spams. spamversender müssen kreativ sein, um durch die spamfilter der email-provider und durch die spamfilter von uns empfängern zu schlüpfen. ein solcher spam fand letzte woche den weg in meinen “unbekannt”-ordner. er bestand nur aus einem satz, den ich zum anlass für eine glosse in der computersendung des deutschlandfunks nahm. das hier ist sie: