SpamAssassin: Filtern der Arbeitsangebote

Derzeit flattern die Arbeitsangebote, egal ob deutsch oder schwedisch, im Stundentakt und öfter herein. Nicht weiter wild, aber ab und an kommen sie doch noch durch den Spam-Filter von SpamAssassin. Im ersten Schritt habe ich den Bayes-Filter die Mails lernen lassen, so dass er die Mails jetzt mit der Wahrscheinlichkeit >99 % als Spam erkennt. Zwar habe ich für diesen Fall den Score für die Regel BAYES_99 gegenüber dem Default-Wert schon auf 5.0 heraufgesetzt, aber dieser Filter soll trotzdem nur einen Teilbeitrag leisten. Da weiter Mails durch den Filter fallen, habe ich mir die Testergebnisse in den erfolgreich als Spam erkannten Mails genauer angesehen.

Hier eine typische Ausgabe von SpamAssassin:

„SpamAssassin: Filtern der Arbeitsangebote“ weiterlesen

Trojaner: Corporate eFax message

Jetzt sind auch die angeblichen eFax Nachrichten vermehrt unterwegs. Interessant ist hier, dass Absender Adressen zufällig als Hexadezimalwert generiert werden.

Die Mail versucht den Leser dazu zu verleiten, den Anhang zu öffnen, der statt des Fax in PDF-Format ein Windows-Programm – einen Trojanisches Pferd oder kurz Trojaner – enthält, das auf dem Rechner des Opfers sich und weitere Programme installiert.

Date: Wed, 24 Oct 2012 02:18:07 -0300
From: „eFax Corporate“ <BE8D6639@example.net>
To: whoever@example.com
Subject: Corporate eFax message

 



Fax Message
[Caller-ID: 317-773-9538]

You have received a 10 pages fax at Wed, 24 Oct 2012 02:18:07 -0300.

* The reference number for this fax is [eFAX-3F1A24B8983D8C5C79F4].

View attached fax using your PDF reader.

Please visit www.eFax.com/en/efax/twa/page/help if you have any questions regarding this message or your service.

Thank you for using the eFax service!
© 2011 j2 Global Communications, Inc. All rights reserved.

eFax ® is a registered trademark of j2 Global Communications, Inc.


This account is subject to the terms listed in the

eFax ® Customer Agreement
.


Und hier noch die Arbeitsangebote für unsere schwedischen Freunde

Hier ein Angebot für unsere Freunde aus Schweden. Hier geht es um ein Angebot für einen Übersetzer und passt da nicht zum Finanzagenten. Anfragen sollen an Francisco@technojobse.com gerichtet werden. technojobse.com ist seit dem 22. Oktober 2012 auf einen – anderen – Amerikaner registriert. Die E-Mail Adresse des Registrant lautet info@technojobse.com. Kommt irgendwie bekannt vor? Kommt noch besser! Die Domain hat keine eigene IP-Adresse und die Mail wird von mx.technojobse.com entgegen genommen. mx.technojobse.com hat die IP-Adresse 178.63.192.252, die mit der IP-Adresse für mx.arbeitdeutschland.com identisch ist. Überraschung! Eine internationale Arbeitsagentur.

Hier die Mail in Schwedisch.

„Und hier noch die Arbeitsangebote für unsere schwedischen Freunde“ weiterlesen

SPAM: Arbeitsangebot arbeitdeutschland.com

Die neuesten Kontakt-Adressen / Domains für diese Spam lauten:

  • Anita@karriereat.com
  • Lorena@karriereat.com
  • Lula@karriereat.com
  • Marshall@karriereat.com
  • Napoleon@karriereat.com

Weitere Domains:

  • germanyjobb.com

Der Betreff ist meistens:

  • offene Stelle
  • Database Management Position
  • Administrative Assistant Position
  • Administrative Assistant Leerstand

Daneben ist die ID: 0369 gemeinsames Kennzeichen der Mails.

Gerade schlüpfte folgende E-Mail durch den Spam-Filter. Diesmal geht es um ein angebliches Arbeitsangebot. 3000€ im Monat plus Provision für 20 Stunden Arbeit pro Woche klingt verlockend. Das sollte man den Arbeitgeber wechseln. Leute, die so viel Geld mit ehrlicher Arbeit verdienen wollen, werden nicht per anonymer Massenmail gesucht. Wenn Sie wie hier eine Mail an sich selbst geschrieben haben, dann will der Absender nicht erkannt werden oder es steckt eine Täuschungsabsicht dahinter. Während des Schreiben kamen weitere Mails mit ähnlichen Betreff und Text herein.
„SPAM: Arbeitsangebot arbeitdeutschland.com“ weiterlesen

Trojaner: Hotel booking confirmation

Wieder ein Trojaner im ZIP-Anhang mit einer angeblichen Hotelbuchung. Zwar kann der Programmierer das Datum de Schreiben ändern, aber die Reservierung liegt wieder in der Vergangenheit. Professionell ist etwas anderes.

Wer sich unbedingt einen Trojaner einfangen will, der kann den Anhang gerne öffnen. Ansonsten gilt wie immer:

Finger weg!

Zum Glück ist in der HTML-Ansicht das Datum der Ankunft in der Vergangenheit nicht zu übersehen.

From: „Booking.com“ <customer.service@my.booking.com>
To: <name@example.com>
Subject: Hotel booking confirmation
Date: Tue, 23 Oct 2012 12:01:31 +0200

Booking confirmation

0485385093


Date:
Tue, 23 Oct 2012 12:01:31 +0200  

Dear,

We have received a reservation for your hotel.

Please refer to attached file now to acknowledge the reservation and see the reservation details:


Arrival: Sunday , 28 June 2012 Number of rooms: 1

If you have any questions regarding this reservation, please feel free to contact us. Telephone: English support 1 888 850 4649, Spanish support 1 866 938 1298; Fax 1 866 814 1719; E-mail: customer.service@booking.com

Yours sincerely, Booking.com

SPAM: Pennystock TELPAC INDUSTRIES, INC

Irgendwie bin ich mit zwei Adressen in eine Adressdatenbank für SPAM zu amerikanischen Pennystocks geraten. Gestern flatterten vier Empfehlungen zu TELPAC INDUSTRIES, INC herein. Auf den ersten Blick sehen die Mails gleich aus, auf den zweiten Blick treten die feinen Unterschiede ans Licht. Hier gibt sich entweder der Spammer reichlich Mühe verschiedenen Texte zu schreiben, oder es läuft ein Programm drüber, dass gewisse Phrasen austauschen kann. Das Handelsvolumen und die Preise erinnern mich doch stark an die BAS Logistics PLC. In der Spitze war TELPAC INDUSTRIES, INC mal 12$ wert. Allerdings nur für einen Tag – am 22. März 2012 – und das Handelsvolumen war laut Bloomberg 0. Richtig, kein Tippfehler ein Kurz ohne Volumen. Davor und danach lag der Kurs bei 1,10$ bzw. 1,08$ – das Volumen bei 100 bzw. 500 Stück. Viel ältere Kurse gibt es nicht und die Gesellschaft wird wohl erst dieses Jahr gegründet worden oder an die Börse gegangen sein.

„SPAM: Pennystock TELPAC INDUSTRIES, INC“ weiterlesen

SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100

Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner.

Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen.

From: „hotel.de“ &lt>Confirmations@hotel.de>
To: <thomas@t-arend.de>
Date: Mon, 22 Oct 2012 12:50:46 +0100
Subject: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Attachment: Reservierung-Hotel-BuchungsnummerM22942359.zip
Reservierung
Buchungsnummer: 3H6768378
Buchungsdatum: Mon, 22 Oct 2012 12:50:46 +0100

Mehr Details in der beigefugten Datei   
Hotelname: Brenner’s Park-Hotel & Spa
Straße: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl Nächte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis: 53,05 EUR
Der Gesamtpreis beinhaltet 3,30 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen Ihr hotel.de/hotelinfo-Teamhotel.de AG – www.hotel.de – www.hotel.info
Aufsichtsratsvorsitzender: Tobias Ragge
HRB 22864, Amtsgericht Nurnberg

Anmerkung: Zur besseren Darstellung habe ich die überreichlichen vorhandenen Tabulatoren aus dem Textteil der Mail entfernt und die Zeilenumbrüche etwas geändert.

SPAM: You have 1 Unread Message From PayPal!

Hier heute flatterte wieder eine Password Pishing Mail in meinen Briefkasten. Interessant war nur, dass es sich bei den Rechnern um T-Online – pdxxxxxxxx.dip0.t-ipconnect.de Kunden mit DSL-Anschluss handelt. Die IP-Adresse dieser Rechner wechselt mindestens täglich und so kann dies nur 24 Stunden. Der Weg zur falschen Web-Seite führt über eine Weiterleitung (über den selben Rechner)

From: „PayPal Account“<secure@mailservice.Paypal.com>
Subject: You have 1 Unread Message From PayPal!


———————————————————————-
We need your help
———————————————————————-

Dear valued PayPaI® Customer,

We need your help resolving an issue with your account. To give us time to
work together on this, we’ve temporarily limited what you can do with your
account until the issue is resolved.

What’s the problem?

We noticed some unusual activity on the credit card linked to your PayPaI® account.

Case ID Number: PP-001-212-055-698

How you can help

It’s usually pretty easy to take care of things like this. Most of the
time, we just need a little more information about your account.

To help us with this and to find out what you can and can’t do with your
account until the issue is resolved, please proceed to our secure webform by clicking here.

Thanks,
PayPaI®



Please do not reply to this email. This mailbox is not monitored and you
will not receive a response.
—————————————————————-
Copyright © 1999-2012 PayPaI®. All rights reserved.
Screen Shot E-Mail
Screen Shot der gefälschten E-Mail
Screen Shot der gefälschten Seite
Screen Shot der Pishing Seite auf einen Telekom-Kunden Rechner.

SPAM: UPS Worldship Sendungsimport Beispieldatei

Ob dieser Text geschickt ist? Wer nicht mit UPS telefoniert hat, wird sich wundern igrend etwas vereinbart zu haben und den Braten riechen. Wer allerdings aus welchen Gründen auch immer mit UPS etwas telefonisch vereinbart hat, könnte auf den Trick hereinfallen. Frage mich. Wie groß ist der Streuverlust. Welches E-Mail Programm erzeugt eine Text/HTML Mail, in der der Textteil alle Absätze und teilweise die Leerstellen verliert? Sehr unprofessionell diese Mail.

From: <no-reply@notification.ups.com>
To: <thomas@example.com>
Date: Mon, 22 Oct 2012 16:49:56 +0700
Subject: UPS Worldship Sendungsimport Beispieldatei
Attachments: Sendungsimport_Beispiel.zip
Sehrgeehrter UPS Kunde,Wie telefonisch vereinbart sende ichIhnen hiermit die Beispieldatei als Anhang zu.Bei eventuellen Fragen rufen Siebitte die folgende Nummer: 0800 100 9079.Das ist eine automatisch generierteNachricht, bitte beantworten Sie es nicht.Mit freundlichen: UPS IntermediateTechnical SupportThe information provided by UnitedParcel Service (UPS) technical support is provided “as is” withoutwarranty of any kind. UPS disclaims all warranties, either express or implied,including the warranties of merchantability and fitness for a particularpurpose. In no event shall United Parcel Service, Inc. or its suppliers beliable for any damages whatsoever including direct, indirect, incidental,consequential, loss of business profits or special damages, even if UnitedParcel Service or its suppliers have been advised of the possibility of suchdamages. Some states do not allow the exclusion or limitation of liability forconsequential or incidental damages so the foregoing limitation may not apply.© 2012 United Parcel Service of America, Inc.

Die Beispieldatei Sendungsimport_Beispiel.zip enthält – wie erwartet – einen Trojaner Sendungsimport_Beispiel.pdf.exe und ist 13 von 43 Virenscannern unter den folgenden Namen bekannt:

  1. FakeAlert
  2. Heur.Dual.Extensions
  3. Mal/BredoZp-B
  4. PWS-Zbot.gen.anm
  5. Suspicious.Cloud.5
  6. Trj/CI.A
  7. Trojan.Zip.Bredozp.b (v)
  8. W32/Crypt.BGHX
  9. W32/EncPk.CWP!tr
  10. W32/Generic!zip-dobleextension
  11. W32/Heuristic-300!Eldorado

Wenn ich mir die „Namen“ Heur.Dual.Extensions und W32/Generic!zip-dobleextension anschaue, frage ich mich, warum andere Virenscanner dies nicht erkennen können.

Freundliche und unfreundliche Crawler

Vor einigen Monaten habe ich schon einmal etwas über die Möglichkeiten unfreundliche Crawler (Siehe: Unfreundliche Web-Crawler aussperren) zu sperren geschrieben. Heute war wieder etwas Zeit, nach zu schauen, ob die Maßnahmen gewirkt haben.

Sehr viele Zugriffe kamen bisher vom Pixray-Seeker, dem ich daraufhin den Zugriff auf jpg und gif Dateien verboten hatte. Nun, da ich Screen Shots als png einstelle, hat er sich über dieser her gemacht. Durch einen aktuellen Artikel – ich glaube, es war Evil Azraels Stänkerblog – bin ich darauf gekommen, dass Pixray auch andere User-Agent Angaben beim Zugriff schickt. Nun, wenn nicht Pixray drin steht, geht mein Eintrag in der .htaccess ins Leere.

Eine Log-Auswertung für den Pixray-Seeker ergab, dass er zwar die robots.txt las, aber zeitgleich eine Abfrage nach einer Datei schickte. Fast jeder Besuch bestand nur aus diesen beiden Zugriffen. Diesen Monat fand ich aber nur noch 14 Zugriffe eines Pixray-Seeker. Eine Auswertung der Zugriffe anhand der IP-Adressen ergab, dass sich ein Rechner mit mindestens 12 verschiedenen User-Agent Angaben meldete. Dateien (z.B. *.css), die für die Anzeige dieser Seiten wichtig sind, werden nie runter geladen. Dieses Muster und die verwendeten User-Agents trafen für viele Rechner zu. Dass es sich um Proxy-Server handelt, schließe ich daher aus.

„Freundliche und unfreundliche Crawler“ weiterlesen