Sportlerin Ariane Friedrich stellt Follower an den Pranger

Es wogt im Internet. Die Sportlerin Ariane Friedrich veröffentlicht den Namen und Wohnort eines angeblichen Absenders einer „schweinischen“ Facebookmail.

Liebe Followers, eben erreichte mich folgende Facebookmail : T. D., wohnhaft in A* schrieb:“ Willst du mal einen schönen Schw*** sehen, Gerade geduscht und frisch rasiert.“

Zusätzlich hat er noch eine Datei mitgeschickt, die ich nicht öffnen werde.

NEIN HERR D., ich möchte weder Ihr Geschlechtsteil,noch die Geschlechtsteile anderer Fans sehen.

Anzeige folgt.

(Abkürzungen von mir , *** von ?)

Hierzu ein paar Anmerkungen. Wenn ich SPAM analysiere, gehe ich immer mit großer Sorgfalt vor, bevor ich einen Namen nennen. Einige haben schon den Hinweis gegeben, dass es sich auch um ein Scherz handelt könnte und das Bild einen frisch frisierten Pudel zeigt. Die Sorgfalt gebietet sich den Anblick – zumindest wenn es kein Pudel ist – anzutun. (Macht die Mail für einige vielleicht witzig, aber nicht besser.) Mein erster Gedanke bei dem Text war: Spam für Schwule oder für Frauen?

E-Mail Absender kann man fälschen. IP-Adressen lassen sich fälschen. MAC-Adressen ebenfalls – und MAC-Adressen werden nicht im IP-Paket übers Internet übertragen. Wenn der Provider den „From“-Eintrag nicht zwangsweise setzt, wie z.B. T-Online, dann kann unter Absender alles mögliche stehen. (Man schaue nur in seinen SPAM-Ordner und wird schnell feststellen, ein häufiger Absender ist die eigene Adresse.)

Bis zu einem gewissen Grad lässt sich auch die Aufzeichnung des Weges einer Mail durchs Internet im Header fälschen. Grundsätzlich kann man ihn nur bis zum letzten vertrauenswürdigen Server zurückverfolgen. Bevor man den Absender einer Mail öffentlich macht, sollte man den Header einer sehr genauen Analyse unterziehen. Diese gibt verlässlich aber selten mehr als den Client oder Server her, von dem die Mail verschickt wurde. (Wer meine Analyse der SPAM Mails verfolgt, wird feststellen, dass ich sehr wenig auf den „From“-Eintrag eingehe, weil er nicht aussagekräftig ist.)

Ich kann die Reaktion von Frau Friedrich zwar nachvollziehen, aber ich vermute, dass sie die Mail nicht genauer analysiert hat – sonst hätte sie zumindest den Anhang geöffnet – und finde die Namensnennung des angeblichen Absenders daher sehr unüberlegt. Angeblich gibt es in A. mehrere T. D. Einen Facebook Account gab es scheinbar – ich darf jedoch keine Informationen ansehen. Die Behauptung, dass es zwei T. D. im Telefonbuch von A. gibt, konnte ich nicht nachvollziehen. Es scheint sehr wenige T. D. zu geben. Aber mehr als einen.

Einen Facebook Accout unter falschen Namen anzulegen ist trivial, es wäre nicht der erste.

Ich hoffe, es finden sich keine selbsternannten Beschützer der einem unschuldigen Träger des Namens T. D. auf nicht legale Art Anstand beibringen möchte. Idioten, die sich dazu berufen fühlen, gibt es ja ausreichend – siehe Emden.

BTW: Auch mir wurde schon mit dem Rechtsanwalt gedroht, weil ich angeblich SPAM versende.

Ein Schwarz-Weiß Experiment

Cortendorf ein kleines Experiment in Schwarz-Weiß
Cortendorf Figur

Als ich mir heute das Bilder aus Robert Mapplethropes „The Black Book“ anschaute, kam mir die Idee zu diesem Bild. Einige Bilder hatten einen geteilten Hintergrund oder das Bild war nicht auf die Fototapete beschnitten. Als Beispiele seien dieses oder auch dieses Bild genannt. Die Idee, dies mit dieser kleinen Porzellanfigur zu probieren, war geboren.

Die keine Figur reflektiert leider das Licht sehr stark in ihre Umgebung. Dies ergibt aus meiner Sicht hässliche „Lichtschlieren“ auf der dunklen Seite und die Figur ist nicht mehr klar abgegrenzt.

Belichtet wurde das Bild mit einem NIKON SB 900 mit einer Softbox aus 2 Uhr (12 Uhr ist hinter der Figur, 6 Uhr die Kamera). Links steht ein schwarzer Fotokarton um das Licht des Blitzes abzuschatten, damit der Rücken nicht zu hell wird. Weißer Fotokarton wirft das Licht zu stark in den Rücken der Figur, möglichst dunkel sein sollte, ohne Zeichnung in der Tiefe zu verlieren.

Dies Bild ist das für mich beste Bild aus der entstandenen Serie. Ich habe es mit bibble5 aus dem RAW-Bild entwickelt. Einstellungen: Produkt Grayscale, leicht dunklere Schatten. Die Vignette wurde mit dem Plugin zBlur erstellt.

Trojaner als DHL Delivery Notification Message

Zur Zeit sind wieder verstärkt als DHL-Nachrichten getarnte Mails unterwegs, die alle nach dem gleichen Strickmuster arbeiten. Im Anhang befindet sich ein ZIP-File, das wiederum eine ausführbares Programm enthält.

SpamAssassin erkennt diese E-Mails sehr sicher als SPAM. Nur meine beiden Virenscanner clamav und AnitVir reagieren haben keine Signatur für diesen Trojaner – noch nicht. Gem. Virustotal erkennen zur Zeit (24 Stunden nach dem ersten Auftreten) 27 von 42 Antivirenprogrammen (darunter AntiVir, nicht jedoch clamav) diese Mails als Schadsoftware. Warum die Signatur bei der Prüfung durch VirusTotal enthalten ist, jedoch nicht in meinen frisch heruntergeladenen ist mir nicht ganz einsichtig. Sollte VirutTotal mit aktuelleren Signaturen versorgt werden? Es sieht danach aus, als hätten die „bösen“ Jungs 24 Stunden Vorsprung vor den guten. Da bleibt nur die eigene Wachsamkeit.

Es wäre vielleicht hilfreich, wenn Virenscanner grundsätzliche eine Warnung ausgeben, wenn in einem ZIP-File nur eine ausführbare Datei eingebettet ist.

Der Absender ist in allen Fällen angeblich DHL International <notice@dhl.com.ky>

Betreff Zeilen:

  • Re: DHL Parcel Tracking Notification 9083981208723986
  • DHL Delivery Notification Message NEE15KT2VJICW26TT
  • DHL Express Notification for shipment 00325703307459069BID2
  • DHL Delivery Notification Message SHOK8NCDA2T77B7QG
  • DHL Tracking Notification ID: T081TNFNLSZ39PLWICM
  • DHL Delivery Notification Message L7WVZT2MDCZ9Z0NPR

Die Versender täuscht als Absender einen echten Server von DHL vor.

X-Spam-Relays-Untrusted: [ ip=199.40.20.209
	rdns=mykulws2395.kul-dc.dhl.com
	helo=gateway2a.dhl.com
	by=gateway2a.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from [199.40.206.33] ([199.40.206.33:57562] helo=gateway2a.dhl.com)
        by cm-mr13 (envelope-from <notice@dhl.com.ky>)
        (ecelerity 2.2.3.46 r(37554)) with ESMTP
        id 29/97-04068-86BECFE4; Wed, 11 Apr 2012 07:41:58 +0000

Tatsächlich stammt eine näher untersuchte Mail aus einen Mini-Netz in Portugal. Hier haben die Spammer in der letzten Zeit etwas aufgerüstet. Die Received-Kette passt allerdings nicht lückenlos zusammen.

Die Empfänger-Adressen stammen aus einem sehr schlechten Adressverzeichnis. Die Adresse ist der verstümmelte Teil einer meiner Adressen, der sich seit Jahren in den Weiten des Cybernet hält. Abgesehen davon ist unter „To:“ nichts eingetragen. Dies ist sehr ungewöhnlich für eine E-Mail von DHL.

Meine letzten Original DHL E-Mails sind einfache Text E-Mails. Kein Anhang, kein HTML. Nur eine Referenznummer im Text, teilweise mit einer Adresse zum direkten Aufruf der Informationen im Brower, aber nicht als Link – da ja kein HTML.

Es ist schon wieder spät. Gute Nacht.

OpenSuSE 12.1

Wer openSuSE 11.4 mit KDE und Kontact / Kmail nutzt, dem kann ich nur dringend raten, von einem Update auf 12.1 die Finger zu lassen. Kmail ist mit der Umstellung von 1.x auf 2. derart fehlerhaft, dass es für eine produktive Umgebung absolut ungeeignet ist. Auch ein Update der in 12.1 enthaltenen Version 4.7.x Version auf 4.8.0- über die Original Repositories von KDE bringt keine ausreichende Abhilfe. Durch die Verschiebung der Mails in ein MySQL Datenbank gibt es auch keinen einfachen Weg zurück.

So viel Schrott auf einen Haufen habe ich in den letzten 10 Jahren nicht erlebt. Wie konnte diese Software aus überhaupt aus dem Beta Stadium kommen?