MH17-Abschuss: Spionagebilder sind eine plumpe Fälschung

Angebliches Spionagebild des Abschusses MH17
MH17-Angebliches Spionagebild des Abschusses MH17

Eigentlich fällt es sofort ins Auge, die Bilder sind eine schlechte Fälschung! Am auffälligsten und am wenigsten beachtet sind die falschen Größenverhältnisse. Jeder gute Fotograf müsste sofort erkennen: Die Perspektive stimmt nicht.

„MH17-Abschuss: Spionagebilder sind eine plumpe Fälschung“ weiterlesen

Trojaner: Abmahnung

Werdermann | von Rüden
(wvr-law.de)
versenden keine Abmahnungen per E-Mail!

Heute habe ich endlich auch einen Abmahn-Trojaner bekommen. Die Rechtsanwaltskanzlei Werdermann | von Rüden, von der die E-Mail vorgibt zu sein, weist darauf hin, dass sie keine Abmahnmails versendet.

Dies macht zur Zeit keine Rechtsanwaltskanzlei! Dies kann sich allerdings mit DE-Mail ändern.

Möglicherweise sind auch andere Kanzleien als Absender benannt. Ich habe allerdings nur eine E-Mail bekommen und kann daher zu anderen Betroffenen (Kanzleien, Bands, Alben) nichts sagen.

Quelle und Lebenslauf des Trojaners

„Trojaner: Abmahnung“ weiterlesen

Telekom Rechnung – Original und Fälschung

Original  Telekom Rechnungsmail
Original Telekom Rechnungsmail

Gestern kamen einige gefälschte Telekom Rechnungen für den Monat Oktober (Original siehe oben, Fälschung siehe unten) herein. Das Original gab es heute. Wie üblich ist die Rechnung bei der Fälschung keine PDF-Datei, sondern eine ZIP-Datei mit einem Trojaner; klar erkennbar an der doppelten Dateiendung „.pdf.exe“. Weitere Unterschiede zur Original-Rechnung:

  1. Keine Anrede mit Namen
  2. Fehlende/Falsche Buchungskontonummer im Betreff
  3. Falsche Absenderadresse

Besonders deutlich wird der Fake in der Text- statt HTML- Ansicht. In der Text-Ansicht ist die Original-Mail gut formatiert, die gefälschte Rechnungsmail jedoch kaum lesbar.

Tipp: Merken Sie sich Ihre Buchungskontonummer, es dürften die ersten oder letzten drei Stellen reichen, und die Betrüger haben weniger Chancen, auch wenn Sie mit Namen angeredet werden. Außerdem: Die Telekom verschickt keine ZIP-Dateien.

Gefälschte Telekom Rechnungsmail
Gefälschte Telekom Rechnungsmail

Trojaner: Angebliche GMX-Rechnung

Heute kam eine angebliche Rechnung von GMX herein. Ihr erster Fehler ist, dass ich nicht Pahling heiße. Außerdem geht die Rechnung an eine Mail Adresse, die ich für diese Zwecke nicht verwende. Im ZIP-Anhang findet sich der erwartete Trojaner. Mit 17 von 46 Virenscannern ist die Erkennungsrate sehr schlecht (Stand: 2013-08-20 13:56:55 UTC). Manche melden auch ein verdächtiges File, was sich einfach aus der Tatsache ZIP-Archiv mit einem File mit der Endung .pdf.exe herleiten lässt. Warum nicht alle Scanner diese Warnungen ausgeben, ist mir schleierhaft.

Falsche GMX Rechnung
Falsche GMX Rechnung

„Trojaner: Angebliche GMX-Rechnung“ weiterlesen

SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100

Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner.

Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen.

From: „hotel.de“ &lt>Confirmations@hotel.de>
To: <thomas@t-arend.de>
Date: Mon, 22 Oct 2012 12:50:46 +0100
Subject: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Attachment: Reservierung-Hotel-BuchungsnummerM22942359.zip
Reservierung
Buchungsnummer: 3H6768378
Buchungsdatum: Mon, 22 Oct 2012 12:50:46 +0100

Mehr Details in der beigefugten Datei   
Hotelname: Brenner’s Park-Hotel & Spa
Straße: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl Nächte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis: 53,05 EUR
Der Gesamtpreis beinhaltet 3,30 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen Ihr hotel.de/hotelinfo-Teamhotel.de AG – www.hotel.de – www.hotel.info
Aufsichtsratsvorsitzender: Tobias Ragge
HRB 22864, Amtsgericht Nurnberg

Anmerkung: Zur besseren Darstellung habe ich die überreichlichen vorhandenen Tabulatoren aus dem Textteil der Mail entfernt und die Zeilenumbrüche etwas geändert.

SPAM: United Postal Service Tracking Number H2243103717

Nichts neues, aber ich finde die Aufmachung der Mail in der HTML Ansicht sehr schöne. Blasse Farbe auf hellem Grund liest sich immer gut.

United Postal Service Tracking Number H2243103717
Attention!, thomas @ example.com.
DEAR CLIENT , We were not able to delivery the post package
Print out the invoice copy attached and collect the package at our department.
With Best Regards , UPS Customer Services.

Nun machen sie sich nicht mal mehr die Mühe, das Programm im angehängten ZIP-Archiv als *.pdf oder Word-Dokument zu tarnen.

  • Artemis!963FE8239C00
  • FakeAlert
  • PWS-Zbot.gen.anq
  • TR/Agent.ZWA
  • Trojan.Necurs.97
  • Trojan-Ransom.Win32.PornoAsset.aoty
  • Trojan-Ransom.Win32.PornoAsset
  • Trojan:W32/Injector.AH
  • Trojan.Win32.A.PornoAsset.84992.M
  • Trojan/Win32.PornoAsset
  • TROJ_GEN.F47V1018
  • Troj/Katusha-BJ
  • UnclassifiedMalware
  • VIRUS_UNKNOWN
  • W32.Cridex
  • W32/FakeAV.BJTL
  • W32/Falab.F18.gen!Eldorado
  • W32/ZeroAccess.B!tr
  • Win32:Kryptik-KGB
  • Win32.Malware!Drop
  • WORM_CRIDEX.FTN
  • ZIP/Bredolab.A!Camelot