SPAM: Es werden wieder Finanzagenten gesucht.

Lange Zeit war es ruhig, jetzt werden wieder verstärkt Finanzageneten gesucht. Sogenannte Assistenten der Finanzableilung. Die Mails kommen von verschiedenen Adressen, die Antwortadresse steht jedoch in der E-Mail.

Lassen Sie die Finger von diesen Angeboten. Sie ersparen sich jede Menge Ärger. Aber jeder darf den Betrügern gerne eine paar Bewerbungen ins Postfach schicken. Vielleicht übersehen sie dadurch ein wirkliches Opfer.

Hier ein paar der E-Mail Adressen:

  • friedrichwenzel@workmail.com
  • giselaweissing@berlin.com
  • designolga@gmx.com
  • ol.int.design@gmx.com
  • olya.brown@gmx.com
  • olya.int.st@gmx.com
  • walterwenzel@post.com

Hier noch ein Mustermail:

„SPAM: Es werden wieder Finanzagenten gesucht.“ weiterlesen

SPAM: Notification of Pedophile Activity

Heute flatterte eine Mail mit dem Betreff „Notification of Pedophile Activity“ und dem Absender „Family Safety Alert“ <FamilySafetyAlert@czarmormv.info> in mein Postfach. Im Text steht „Child Predator Alert“ und zwei Links. Ich habe mir die Seiten mit wget geholt und kurz angesehen. Es ist besser den Links nicht zu folgen. Zur Zeit habe ich keine Lust und Zeit mir den obfuskierten JavaScript Code in den Seiten auszusehen. Das die Seite durch „WhoisGuard Protected“ in Panama registriert ist spricht nicht für die Seite. Also durch den Betreff nicht ins Bockshorn jagen lassen – einfach löschen.

Trojaner: YouTube Support sent you a personal message: Your video has been approved

Komisch, dabei habe ich kein Video hoch geladen und und benutze für YouTube eine andere Mail Adresse.

Wieder der alte Trick mit den verdeckten Links in HTML und die Umleitungen von einem Rechner zum nächsten. Langweilig.

Ab in den Müll.

Ich wünsche allen frohes neues Jahr.

Eine Bettel-E-Mail aus Russland

Heute erreichte mich die anliegende E-Mail der armen Elena aus Russland.

Received: from smtp.tellas.gr (smtp.tellas.gr [62.169.194.25])
by h1234567.stratoserver.net (Postfix) with SMTP id 262371DB0890
for <thomas@example.com>; Sun, 16 Dec 2012 21:16:46 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
by smtp.tellas.gr (Postfix) with ESMTP id 4AEAB38A153;
Sun, 16 Dec 2012 22:16:45 +0200 (EET)
Received: from smtp.tellas.gr ([127.0.0.1])
by localhost (felsaasrv02.tellas.gr [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id H0S948B-nfLd; Sun, 16 Dec 2012 22:16:45 +0200 (EET)
Received: from adsl-223.37.6.112.tellas.gr (adsl-157.37.6.20.tellas.gr [37.6.20.157])
by smtp.tellas.gr (Postfix) with SMTP id 2F86738A149;
Sun, 16 Dec 2012 22:16:35 +0200 (EET)
From: „Elena SP“ <elenades@larmail.ru>
To: <ruediul@gmx.de>
Subject: brief
Date: Mon, 17 Dec 2012 00:17:08 +0400
Guten Tag,

Mein Name ist Elena, ich schreibe Ihnen diesen Brief aus einer kleinen Stadt in Russland.
Ich lebe mit meiner kleinen Tochter, aber ohne Mann, weil er unsere Familie verlassen.
Als ein Ergebnis der tiefen Krise vor kurzem habe ich meinen Job verloren und kann nicht fu“r die Beheizung von unseren bezahlen
Wohnung mehr.
Wir haben Winter und Wetter jetzt ist fast minus 20 Grad. Wir brauchen dringend Heizung da die Temperatur wird ka“lter jeden Tag und unser Schlafzimmer und wir wissen nicht, was zu tun ist.
Der einzige Weg, um zu unserem Haus zu heizen ist eine portable Holzofen mit dem Einsatz
Feuer und das Holz, weil wir Einsparungen von Holz in unseren Schuppen haben.
Aber wir ko“nnen es nicht kaufen in unserem lokalen Markt, weil es zu teuer ist fu“r uns
(entspricht 196 EUR), und wir ko“nnen es sich nicht leisten.
Ich fand Ihre E-Mail auf dem deutschen Website und beschlossen, diesen Brief von unserem schreiben
lokalen Bibliothek.
Wenn Sie eine alte tragbaren Ofen aus Gusseisen gefertigt und haben Sie nicht schon, ich bete Sie spenden uns dies und Lieferung an unsere Adresse.
Ich warte Ihre Antwort und Igive Sie unsere Adresse bis zur Auslieferung.
Ich wu“nsche Ihnen ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr.
Elena.
P.S. Ich u“bersetzte diesen Brief mit google-U“bersetzer und ich hoffe, dass Sie in englischer Sprache zu beantworten, weil ich es studierte an der Schule.

Ist das nicht ein trauriges Schicksal. Die arme Elana und ihre kleines armes Töchterlein. Da möchte man doch gleich die Rechnung für den Ofen übernehmen. Nur bin ich nicht der einzige Adressat, denn meine Adresse lautet nicht ruediul@gmx.de. Also ist meine Adresse als Blindkopie eingetragen – wahrscheinlich mit 1.000 anderen. Es wird auch nicht die einzige oder die letzte E-Mail dieser Art sein, die in den nächsten Tagen ins Postfach flattert. Da kommen viele Öfen zusammen.

Großes Mitleid habe ich mit der armen Elena nicht, denn es dürfte in Elenas Bibliothek nicht sonderlich kalt sein. Die Mail wurde von einem Rechner in Griechenland abgeschickt und dort sind es eher +20° Celsius. Wie nahe Russland und Griechenland doch beieinander liegen. Ich muss mal meine Geografiekenntnisse auffrischen.

Liebe Elena, nichts für ungut, von mir gibt es nichts. Versuch misslungen. Aber ich bin sicher, es finden sich ausreichend Trottel, die genug Öfen spenden werden.

Trojaner: Scan from a Hewlett-Packard ScanJet

Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.

Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350

Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]

Zu dumm, dass ich

„Trojaner: Scan from a Hewlett-Packard ScanJet“ weiterlesen

PayPal: Fortsetzung blockiert (continued)

Vor einiger Zeit hatte ich über die Spams mit dem Betreff „Paypal: Fortsetzung blockiert“ geschrieben. Heute habe ich mir die letzten Mails der letzten Wochen nochmals angesehen und die Server extrahiert, auf denen die gefakten Seiten gehosted werden. Hier eine aktuelle List:

„PayPal: Fortsetzung blockiert (continued)“ weiterlesen

SPAM: FOREX ist tot

Heute flatterte wieder eine Mail mit einer neuen Masche ins Postfach. Nur eine. Es scheint sich etwas neues anzubahnen. Nun ist angeblich FOREX tot.

Die Mail

Hier die Text Fassung der Mail, in der ich überflüssige Leerzeilen und – zeichen entfernt und den Server durch example.com ersetzt habe, damit sie hier besser dargestellt wird und die Links ins Leere laufen.

Subject: [MAILINATOR] Hallo Byggvir, FOREX ist TOT… Kommst Du zur BEERDIGUNG?!?

Hey Byggvir,

Forex basiert nur auf PAPIERGELD. Geld ist aber kein echter Wert. Echte Werte sind Sachwerte wie Immobilien und Rohstoffe wie Gold, Silber und Öl. Damit sind die Menschen früher reich geworden, bevor all das elektronische Geld die Menschheit überflutet hat!

Was also tun, wenn Forex nicht mehr läuft?

Richtig, mich auf alten, ECHTEN Werte zurück- besinnen und in GOLD, SILBER und ÖL investieren!

Ab HEUTE für ein paar Tage hast Du die Möglichkeit, hocheffektiv mit Gold, Silber und Öl zu traden… Durch eine REVOLUTIONÄRE, exklusive Software, die normalerweise ausschließlich für BANKEN und FONDSMANAGER erhältlich ist: A.M.B.E.R.

Die Test haben bisher eine durchschnittliche Rendite von 800% ergeben…

http://example.com/mailer/link.php?M=2012236&N=25&L=14&F=T

Wo ist der HAKEN?

Es gibt insgesamt nur 100 verfügbare Lizenzen. Du solltest Dich also beeilen, denn bereits jetzt sind andere dabei, Dir Deine Lizenz von A.M.B.E.R. wegzuschnappen! Hol Dir Deine Lizenz, bevor es zu spät ist!

http://example.com/mailer/link.php?M=2012236&N=25&L=14&F=T

Wir sprechen uns bald wieder,

Dein Amber Info Team

To stop receiving these emails: http://example.com/mailer/unsubscribe.php?M=2012236&C=ce83af790721a0ae217c30a882b695f1&L=8&N=25

„SPAM: FOREX ist tot“ weiterlesen

Trojaner: Schreiben vom ….

Ich bin gerade meinen SPAM Order durchgegangen. Nachdem es mit DHL Versandmitteilungen nicht mehr richtig funktioniert, kommen jetzt Mahnschreiben mit einem Anhang Buchung 2012.zip. Dort ist eine Datei Daten Buchung 2012.com enthalten. Ich hab es noch nicht geprüft, aber jeder Wette: Trojaner. Offenbar hoffen die Betrüger, dass kaum einer die Endung .copm für DOS Programme noch kennt. Auffällig ist das gute Deutsch und die fehlerfreie Rechtschreibung. Hier war ein Muttersprachler (native speaker) am Werke.

Nun fehlen noch anständige Kundendaten und Kontoverbindung – vielleicht zahlt Wolfgang ja auch ohne Öffnen des Anhangs 😉 Benutzer Wolfgang ist als Anrede wenig überzeugend. In den Mails scheinen stets andere Gegenstände in Rechnung gestellt zu werden.

Der Versender ist ein kleiner Witzbold: Lustig sind die Absenderadressen der Form: patsyscugv@thisisnotmyrealemail.com

(thisisnotmyrealemail = dies ist nicht meine wirkliche E-Mail)

Sehr geehrter Benutzer Wolfgang,

Auf unsere Schreiben ist keine Reaktion von ihnen erfolgt. Bestimmt ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Mahnung verstrichen ist.

Zwischensumme: 990,78 Euro
Stück: 2
Artikel: Nikon Core DG
Artikelnummer: 2910587344738

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 20.- Euro

Falls in den folgenden 5 Tagen der Gesamtbetrag nicht überwiesen wird, sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Schreiben bitte als gegenstandslos, falls sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben sollte.

Anlagen:
– Zahlschein
– Bestellung

Mit freundlichen Grüßen

Schwarz GmbH
Audorfring 50
Hamburg

Telefon: (0180) 734 5309753
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Hamburg
Umsatzsteuer-ID: DE304670492
Geschäftsfuehrer: Mathis Krause

Eine französische Variante – im Anhang eine .pif Datei (kein Tippfehler) – habe ich auch gefunden, die ich nicht vorenthalten möchte:

Nous vous saluons 620004801,

Nous vous savons gré d’avoir commandé sur amazon.fr
ensuite sont présentés les détails du contrat.

ton numéro de l’achat: 138998430005
article Zub Chassis 5310690913 7233,11 Euro
Nom de l’acheteur 620004801

méthode de rémuneration payement à la livraison
vous verrez les coordonnées de livraison et tous les détails du contrat dans la piéce jointe.

le montant a été autorisé et doit être réalisé dans les 3 jours suivants, les détails du payement, vous les trouverez aussi dans le dossier annexé.

votre service commercial.

SNC Steinman
12 PLACE D’Karla
75916 PARIS

Gute Nacht.

RE:Why did you put this photo online?

Why did you put this photo online?
Why did you put this photo online?

Hab ich nicht und so blöd nicht zu erkennen, dass das Bild eine ZIP-Datei mit ausführbarem Programm ist, bin ich auch nicht. Wie üblich ist der Trojaner zu neu, um von den meisten Scannern erkannt zu werden. Scheinbar funktionieren auch heuristische Verfahren kaum noch. Wer sein E-Mail-Postfach durch einen Virenscanner und nicht die eigene Wachsamkeit schützen lassen will, sollte seine E-Mails erst mit mehreren Tagen Verzögerung lesen.

Ein anderer netter Versuch ist eine E-Mail mit dem Betreff: RE:They killed your privacy man your photo is all over facebook! NAKED! Hier war der Trick etwas billiger: Erst der übliche Trick mit der Exe in der ZIP-Datei – aber mit doppelter Endung getarnt – IMG9321.jpg.zip, dann einen Tag später eine Exe-Datei mit doppelter Erweiterung IMG6897.jpg.exe. Wobei die reine Exe-Datei nach einer Woche von clamscan nicht als Schädling erkannt wird. Die einen Tag ältere Datei wird als W32.Trojan.Jorik-2 erkannt.

Mircosofts Idee, die Dateiendungen standardmäßig auszublenden, ist eine der dümmsten, die sie bisher hatten. Warum sie in den neusten Windows Versionen immer noch an diesem Schwachsinn festhalten ist mir schleierhaft.