Abo-Falle allyourmusic.net

Heute bin ich einem Link in einer englischen Spam-Mail gefolgt; sollte ich besser Scam-Mail schreiben? Der Link führte mich zu einer angeblichen Amazonumfrage auf der Web-Seite consumers-reviewing.com (IP: 104.20.14.163, 104.20.15.163, 104.20.17.163, 104.20.16.163, 104.20.13.163). Für vier völlig banale Fragen sollte ich einen 50€ Gutschein von Amazon bekommen. Vier Fragen, die Amazon aus ihren Datenbanken sicher viel exakter beantworten kann als ich. Bei der Frage, ob ich männlich oder weiblich bin, bin ich sicher genauso gut wie Amazon, aber wie oft ich Amazon besuche, weiß Amazon anhand der Cookies sehr genau. Amazon weiß sogar wann ich was bestellt oder angesehen habe. Und nun soll ich ein 50 Euro Gutschein für vier lächerliche Fragen bekommen? Wer dies glaubt, dem ist wohl nicht mehr zu helfen. Aber schauen wir nach, wohin der Link uns führt.
„Abo-Falle allyourmusic.net“ weiterlesen

SPAM: Arbeitsangebote

Derzeit sind wieder vermehrt unseriöse Arbeitsangebote unterwegs. Das Strickmuster entspricht der bekannten Masche. Die Bewerbungen soll man ein einen E-Mailadresse unter der Domain emailn.de oder xpatjobsde.com schicken.

Emailn.de ist ein kleiner Anbieter kostenloser E-Mailadressen. Eine neue Adresse ist mit wenigen Mausklicks beantragt. Ich habe schon genug E-Mailadressen, daher habe ich auf eine n Anmeldung verzichtet. Die Speicherung der IP-Adresse zur Betrugsprävention ist sicher nur eingeschränkt sinnvoll. Kriminelle werden sich davon nicht anhalten lassen.

Im Gegensatz zu emailn.de ist xpatjobsde.com über den Reseller Cnobin Technology HK Limited in den USA registriert. Ob die Anmeldedaten gefälscht sind oder nicht, erspare ich mir zu prüfen. Die E-Mails an diese Domain werden von dem Server mx.xpatjobsde.com entgegen genommen, der die IP-Adresse 178.33.214.99 hat und in einem Netz in der Türkei seht.

Weiteres über diese Maschen kann in früheren Artikeln nachgelesen werden; damit soll es für heute gut sein. Hier folgt nur noch der Text der E-Mails:

„SPAM: Arbeitsangebote“ weiterlesen

Die Bauernfängerei des EU Business Register

Warnung Betrug
Es gehen wieder verstärkt Mails zu irgendwelchen Geschäftsadressdatenbanken ein. Aus dem World Trade Register ist ein EU Business Register geworden. Die Adresse, an die das Schreiben gesendet werden soll, ist die gleiche:

EU BUSINESS REGISTER
P.O.BOX 3079
3502 GB UTRECHT
THE NETHERLANDS

Das Anmeldeformular für das EU Bussines Register. Achten Sie auf den Abschnitt Order.
Das Anmeldeformular für das EU Bussines Register. Achten Sie auf den Abschnitt Order.

In diesem Fall ist „Updating free of charge“ deutlich hervor gehoben, was man bei 995 € pro Jahr und einer Laufzeit von drei Jahren wohl als Service erwarten darf. Der Haken steht im Kleingedruckten, das durchgängig in Großbuchstaben geschrieben ist, um die Lesbarkeit zu erschweren. Ich habe mir daher erlaubt, die beiden entscheidenden Sätze zu markieren.

ORDER
THE SIGNING OF THIS DOCUMENT REPRESENTS THE ACCEPTANCE OF THE FOLLOWING CONDITIONS AND THE CONDITIONS STATED IN “THE TERMS AND CONDITIONS FOR INSERTION” ON THE WEB PAGE: WWW.EUBUSINESSREGISTER.COM. THE SIGNING IS LEGALLY BINDING AND GIVES YOU THE RIGHT OF AN INSERTION IN THE ONLINE DATABASE OF THE EU BUSINESS REGISTER, WHICH CAN BE ACCESSED VIA THE INTERNET, AND A CD-ROM WITH EUROPEAN BUSINESSES IS GRANTED, ALL IN ACCORDANCE WITH THE CONTRACT CONDITIONS STATED ON “THE TERMS AND CONDITIONS FOR INSERTION” ON WEB PAGE: WWW.EUBUSINESSREGISTER.COM. THE VALIDATION TIME OF THE CONTRACT IS THREE YEARS AND STARTS ON THE EIGHTH DAY AFTER SIGNING THE CONTRACT. THE INSERTION IS GRANTED AFTER SIGNING AND RECEIVING THIS DOCUMENT BY THE SERVICE PROVIDER. I HEREBY ORDER A SUBSCRIPTION WITH THE SERVICE PROVIDER EU BUSINESS SERVICES LTD. “EU BUSINESS REGISTER”. I WILL HAVE AN INSERTION INTO ITS DATABASE FOR THREE YEARS. THE PRICE PER YEAR IS EURO 995. THE SUBSCRIPTION WILL BE AUTOMATICALLY EXTENDED EVERY YEAR FOR ANOTHER YEAR, UNLESS SPECIFIC WRITTEN NOTICE IS RECEIVED BY THE SERVICE PROVIDER OR THE SUBSCRIBER TWO MONTHS BEFORE THE EXPIRATION OF THE SUBSCRIPTION. YOUR DATA WILL BE RECORDED. THE PLACE OF JURISDICTION IN ANY DISPUTE ARISING IS THE SERVICE PROVIDER’S ADDRESS. THE AGREEMENT BETWEEN THE SERVICE PROVIDER AND THE SUBSCRIBER IS GOVERNED BY THE CONDITIONS STATED IN “THE TERMS AND CONDITIONS FOR INSERTION” ON THE WEB PAGE: WWW.EUBUSINESSREGISTER.COM

Da sich das „Angebot“ an gewerbliche Kunden richtet, ist es nicht ganz einfach den Kopf aus der Schlinge zu ziehen, wenn man darauf reingefallen ist. Allerdings wüsste ich gerne, ob die jemals die Zahlungen eingeklagt haben. Großes Interesse namentlich bekannt zu sein, haben die nicht.

Die Domain eubusinessregister.com ist schon seit 2010 registriert, der Server steht zur Zeit mit der IP-Adresse 85.9.14.180 in Rumänien.

Ein Suche bei Google fördert zu Tage, dass diese Masche schon sehr lange mit wechselnden Domains läuft. Allerdings besteht offenbar keine Notwendigkeit die Domains nach einer Weile aufzugeben, weil sie verbrannt sind.

Bei dem Jahrespreis reicht es, wenn sich jedes Jahr nur ein paar Dumme finden, die zahlen. Unter raubwirtschaft.info gibt es eine Liste der gewonnenen Prozesse – gewonnen in dem Sinne, dass sich jemand gegen die Zahlungen erfolgreich gewehrt hat. Die ältesten Urteile sind von 2001; das System scheint trotz verlorener Urteile immer noch lohnend zu sein. Dumme wachsen scheinbar nach.

Das ganze System hat einen Namen: Lüdenbach-Masche (oder Methode) oder in einer anderen Variante der Formulare als „Henghuber-Formular“ oder „Henghuber-Masche“ bezeichnet. Letztere sind vom BGH verboten worden.

Damit soll es für heute gut sein.

SPAM: United Postal Service Tracking Number H2243103717

Nichts neues, aber ich finde die Aufmachung der Mail in der HTML Ansicht sehr schöne. Blasse Farbe auf hellem Grund liest sich immer gut.

United Postal Service Tracking Number H2243103717
Attention!, thomas @ example.com.
DEAR CLIENT , We were not able to delivery the post package
Print out the invoice copy attached and collect the package at our department.
With Best Regards , UPS Customer Services.

Nun machen sie sich nicht mal mehr die Mühe, das Programm im angehängten ZIP-Archiv als *.pdf oder Word-Dokument zu tarnen.

  • Artemis!963FE8239C00
  • FakeAlert
  • PWS-Zbot.gen.anq
  • TR/Agent.ZWA
  • Trojan.Necurs.97
  • Trojan-Ransom.Win32.PornoAsset.aoty
  • Trojan-Ransom.Win32.PornoAsset
  • Trojan:W32/Injector.AH
  • Trojan.Win32.A.PornoAsset.84992.M
  • Trojan/Win32.PornoAsset
  • TROJ_GEN.F47V1018
  • Troj/Katusha-BJ
  • UnclassifiedMalware
  • VIRUS_UNKNOWN
  • W32.Cridex
  • W32/FakeAV.BJTL
  • W32/Falab.F18.gen!Eldorado
  • W32/ZeroAccess.B!tr
  • Win32:Kryptik-KGB
  • Win32.Malware!Drop
  • WORM_CRIDEX.FTN
  • ZIP/Bredolab.A!Camelot

SPAM: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben

Zur Zeit flattert eine recht primitiver Pishing Versuch in die Postfächer. Angeblich sollen von meinem Konto bei der Volksbank, das ich im übrigen nicht habe, 950€ abgeschrieben werden. Die Mail selbst ist ungefährlich. Gefahr geht nur von dem Link in der Mail aus, der auf eine Datei Informationen.html auf verschiedenen Server verweist. Alle gefundenen Links folgen dem Muster http://<server-name>/Informatioen.html.

From: Eigene Adresse
To: Eigene Adresse
Subject: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben

Sehr geehrter Kunde,

Wir haben die Anfrage auf die Abschreibung von 950.00 Euro von Ihrem Bankkonto in VOLKSBANK für die Begleichung der Anlieferung von Dokumenten bekommen.
Die Abschreibung von Geldmitteln und weitere Sendung von Dokumenten erfolgen in 24 Stunden.

Vgl. Angaben des Auftrages

Mit freundlichen Grüßen,
Kundenunterstützungsdienst der Bank VOLKSBANK.

Weitere Betreff-Zeilen sind:
„SPAM: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben“ weiterlesen

SPAM: Vodafone Online Rechnung 57487 341247

Gerade flatterte eine Vodafone Online Rechnung in mein Postfach. Komisch. Ich bin nicht bei Vodafone. Der Inhalt war wie erwartet. Eine angebliche Rechnung in einem ZIP-Archive, die sich dürftig als PDF zu tarnen versucht.

Die Mail hat einen Text und einen HTML-Teil. der Text teil ist extrem schlecht formatiert.

Ihre aktuelle Online-Rechnung

==========================================================

Dies ist eine automatisch generierte E-Mail. Bitte senden

Sie keine Antworten an diese Absender-Adresse.

==========================================================

Ihre aktuelle Online-Rechnung steht für Sie bereit.

Die Gesamtsumme für den aktuellen Abrechnungszeitraum beträgt: 91,88 Euro.

Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Hinweise zu Ihrer Rechnung:

=> Sie können Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.

Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.

=> Der Rechnungsbetrag wird frühestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.

=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter
http://www.vodafone.de/kunden/rechnungserklaerung

Online-Kundenservice – Tipp des Monats!

Sie ziehen um? Wir ziehen mit!

Beauftragen Sie Ihren Umzug schnell und bequem online: http://www.vodafone.de/kunden

Sie erreichen Ihren kostenlosen Online-Kundenservice rund um die Uhr!

Exklusiv für Sie!

Mit dem Kundenmagazin „news“ sind Sie immer top-informiert!

Klicken Sie rein!

http://www.vodafone.de/kunden/news

Mit freundlichen Grüßen,

Ihr Vodafone Team

Vodafone D2 GmbH

Adresse: Am Seestern 1, 40547 Düsseldorf

Sitz: Düsseldorf

Eintragung im Handelsregister: Amtsgericht Düsseldorf, HRB Nr. 24644

Zentrale: Am Seestern 1, 40547 Düsseldorf

Vorstand: Friedrich Joussen (Vorsitzender),

Jan Geldmacher, Hartmut Kremling, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna, Achim Weusthoff

Vorsitzender des Aufsichtsrats: Michel Combes

http://www.vodafone.de/kunden

Die Links zeigen tatsächlich alle auf Vodafone. Der Schreiber versucht nicht, seinen Trojaner auf mehreren Wegen an den Mann oder die Frau zu bringen. Leider hat er vergessen, die Style-Definitionen einzubinden. So ist die Formatierung eher spartanisch. Aber besser als der Text-Teil. Die Namen der Geschäftsführung stimmen nur teilweise mit den im Impressum von Vodafone überein.
„SPAM: Vodafone Online Rechnung 57487 341247“ weiterlesen

Trojaner: Scan from a Hewlett-Packard ScanJet

Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.

Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350

Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]

Zu dumm, dass ich

„Trojaner: Scan from a Hewlett-Packard ScanJet“ weiterlesen

HaJo Erzbach: Ein Fake?

In dem Artikel zu den Binary Options Mails habe ich die technische Herkunft der Mails untersucht. Eine bisher vernachlässigte Frage, steht hinter HaJo Erzbach eine reale Person. Diese Frage sollte mit Informationen aus dem Netz zu beantworten sein.

Legen wir los.

„HaJo Erzbach: Ein Fake?“ weiterlesen