Ich muss mein Gedächtnis prüfen lassen

[tawarning align=“right“] Langsam werde ich alt und vergesslich. Heute erreichte mich unten zitierte Mail unter dem Betreff „Wir haben Ihre Bewerbung bearbeitet“ und etwas später unter „Wir warten auf Ihre endgultige Antwort“ . Jetzt kann ich mich beim besten Willen nicht erinnern, wann und wo ich mich beworben habe. Die Bearbeiter sprechen sich nicht ab. Erst soll ich an Esmeralda.Lippa1969@gmail.com antworten, dann Granville.Bethers1997@gmail.com antworten. Letzteres muss der 17-jährige Praktikant sein, Umlaute und „ß“ hatte er noch nicht in der Schule. Die Bearbeiter kennen auch ihren eigenen Namen nicht und nutzen seltsame E-Mail-Adressen. Da passe ich mit meinen Gedächtnislücken sicher gut ins Team.

Spaß bei Seite: Sparen Sie sich die Antwort auf solche billigen Betrugsversuche.

Auch wenn hier offensichtlich mit CE Inc. auf verschiedenen mehr oder minder bekannte Firma angespielt wird, fehlt hier die übliche gefälschte Web-Seite.

Unser zukunftiger Mitarbeiter!

Wir werden nicht viel von Ihrer Zeit in Anspruch nehmen. Dieses Angebot kann fur Sie von Interesse sein. Unsere Firma bietet drei freie Stellen als Manager fur die Mitarbeit mit den Kunden an. Wenn Sie noch keine Anstellung gefunden haben, dann ist das Ihre Chance. Wenn Sie eine zusatzliche Arbeit mitfreier Zeiteinteilung bekommen wollen, dann ist das Ihre Chance. Wer wir sind? Unsere Firma beschaftigt sich mit dem Verkauf und der Vermietung der Technik in allen europaischen Landern. Arbeitsinhalt? Unsere Kunden rufen Sie an, um die Ware zu bestellen. Sie beraten die Kunden nach dem fertigen Katalog und schlieben den Vertrag ab. Sie bekommen jeden Monat ein grobes Gehalt sowie Prozente vom Verkauf. Wir bieten flexible Arbeitszeiten an – Sie wahlen selbst die Arbeitszeit fur sich und unsere Kunden aus. Benotigte Fahigkeiten: positive Einstellung, Kommunikationsfahigkeit, der Wunsch zu arbeiten!

Achtung! Wir betrachten keine E-Mails ohne eine Lebenslauf. Antworten Sie bitte nur, wenn Sie an dieser Arbeit interessiert sind, an folgende E-Mail-Adresse: Granville.Bethers1997@gmail.com

Ihre ideale Arbeitsstelle warten auf Sie!
Firma CE Inc.

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
„(WordPress) Blogs gehackt – Fortsetzung 1“ weiterlesen

SPAM: Arbeitsangebote

Derzeit sind wieder vermehrt unseriöse Arbeitsangebote unterwegs. Das Strickmuster entspricht der bekannten Masche. Die Bewerbungen soll man ein einen E-Mailadresse unter der Domain emailn.de oder xpatjobsde.com schicken.

Emailn.de ist ein kleiner Anbieter kostenloser E-Mailadressen. Eine neue Adresse ist mit wenigen Mausklicks beantragt. Ich habe schon genug E-Mailadressen, daher habe ich auf eine n Anmeldung verzichtet. Die Speicherung der IP-Adresse zur Betrugsprävention ist sicher nur eingeschränkt sinnvoll. Kriminelle werden sich davon nicht anhalten lassen.

Im Gegensatz zu emailn.de ist xpatjobsde.com über den Reseller Cnobin Technology HK Limited in den USA registriert. Ob die Anmeldedaten gefälscht sind oder nicht, erspare ich mir zu prüfen. Die E-Mails an diese Domain werden von dem Server mx.xpatjobsde.com entgegen genommen, der die IP-Adresse 178.33.214.99 hat und in einem Netz in der Türkei seht.

Weiteres über diese Maschen kann in früheren Artikeln nachgelesen werden; damit soll es für heute gut sein. Hier folgt nur noch der Text der E-Mails:

„SPAM: Arbeitsangebote“ weiterlesen

SPAM: Telearbeit

Die Betrüger sind wieder verstärkt auf der Suche nach neuen Opfern; unten habe ich ein Muster der Mails angehängt. In den E-Mails ist die Empfängeradresse auch die Absenderadresse. Blödsinnig, denn warum sollte ich mir selbst ein Angebot unterbreiten? Die eigene Adresse half früher den Spam-Filter zu unterwandern. Wohl gemert früher. Gute Spam-Filter bestrafen „To == From“ mit Punktabzug.

„SPAM: Telearbeit“ weiterlesen

SPAM: ukrainische Frauen auf der Suche nach Liebe

Ukrainische Frauen auf der Suche nach Liebe? Natürlich! Im Zeitalter des Internets schicken sie auf der Suche nach Liebe E-Mails über Bot-Netze Millionen Internetnutzer täglich und mehrfach, unabhängig ob männlich oder weiblich. Schließlich gilt es unter 7 Milliarden Menschen den einen richtigen zu finden.

Allen E-Mails gemein ist eine E-Mail-Adresse als Antwortadresse, die nicht mit der Adresse des Absenders übereinstimmt. Die Technik der „Antworten an“-Adresse ist dem Absendern offensichtlich unbekannt.

Ob ich eine Antwort erhalte, wenn ich antworte? Was passiert, wenn alle angeschriebenen antworten? Dann haben die Maschas und Marias ordentlich zu tun.

Zum Schluss ein paar Textproben

„SPAM: ukrainische Frauen auf der Suche nach Liebe“ weiterlesen

SPAM: Ihr Finanzamt – ELSTER.DE

Gestern waren einige E-Mails im Postfach, die angeblich vom Finanzamt stammen. Ich habe zwei verschiedene Texte gefunden. Gemein ist allem Mails, dass sie einen Anhang mit Namen Erklarung09201429.zip enthalten, wobei die Zahl differieren kann. Das Zip-Archiv ist jedoch zerstört. Bei mir zeigt ark ein leeres Inhaltsverzeichnis an und unzip -l meldet:

End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.

Damit ist der Trojaner soweit ich es beurteilen kann wirkungslos. Es sein denn, er nutzt eine Sicherheitslücke bei ZIP-Dateien unter Windows aus.

Ansonsten nichts neues. Hier noch der Text der E-Mails.

Sehr geehrte Damen und Herren,

USt.-IdentNr.: DE13592

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue (angebracht).

Ihre Datei finden Sie als D0C Datei im Anhang dieser E-Mail Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Mit freundlichen Grüßen

Ihr Finanzamt / Ihre Steuerverwaltung

HINWEIS:
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Sehr geehrte Damen und Herren, irgendwas@example.com.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

——– Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail ——–

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

IdentNr: 4008371707
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
elster.de

Neuer MS-Word Trojaner

Erste Seite des MS-Word Trojaners
Erste Seite des MS-Word Trojaners
Heute habe ich zahlreichen E-Mails mit einem neuen MS-Word Trojaner erhalten. Entweder konnte ich das Dokument direkt herunterladen, oder es war in einer Zip-Datei eingebunden. Die älteste E-Mail ist von heute 8:32 MESZ.

Betreff Zeilen sind beispielsweise:

  1. The answer from the forum id 56681472642
  2. Re: Erforderliche Dokumentation #454012
  3. Die Anfrage ist erfolgreich abgeschlossen

Die Nummern können dabei durchaus variieren. Auch wird die Schadsoftware über zahlreiche gehackte Server bereitgestellt.

Die Dateien heißen Dokumentation.zip, Abschluss.Doc, oder Die_Anforderung.zip. Teilweise wird dem Downloadlink auch die E-Mailadresse des Adressaten angefügt. Z.B. …/Dokumentation.zip?posnmaster@example.com. Die Datenbank der E-Mail-Adressen, die die Kriminellen verwenden, ist sehr schlecht. Für eine meiner Domains werden Adressen genutzt, die ich nie verwendet habe. Wie hier zu sehen posnmaster statt postmaster.

Sichtbar gemachter Beginn des Programmcodes des Trojaners.
Sichtbar gemachter Beginn des Programmcodes des Trojaners.

Das Word-Dokument enthält Hinweise, wie der Empfänger die Makro-Sicherheit ändern muss, damit der Trojaner funktioniert. Netter Trick. Im hinteren Teil ist der Code des Programms als Text eingetragen, allerdings in weißer Schrift auf weißem Grund, so dass der Programmcode auf den ersten Blick nicht erkennbar ist. Das Dokument scheint nur unsinnig viele leere Seiten zu enthalten.

Die Subroutinen des Trojaners ist stärker obfuskiert als bei den bisherigen Makro_Trojaner. Sogar der Text des Dokumentes wird am Ende geändert. Im Kern wird recht umständlich nach einem Marker „XsTSveotalxVWX“ gesucht, der den Beginn des Programmcodes kennzeichnet. Anschließend wird der Code in eine Datei im Userprofile – in einem Fall hgZWJKrXclYjI.exe – gespeichert und anschließend ausgeführt. Einige Seiten werden bereits als gefährliche Seiten erkannt. Die meisten Antiviren-Programme erkennen die Dateien und die Server immer noch nicht als Schadsoftware oder als befallene Seiten.

Hier geht es zu einem Report bei Virustotal.

Gute Nacht.

SPAM: Ein wirklich seriöse Job für Sie, … …


Richpro Seite zur Sammlung von Adressen.
Richpro Seite zur Sammlung von Adressen.
Erst wollte ich mir die E-Mail nicht ansehen. Dem Betreff nach zu urteilen handelte es sich wieder um eines dieser unseriösen, kriminellen Angebote. Dann – ich weiß nicht warum, vielleicht weil es keine anderen Arbeitsangebote gab – schaute ich mir doch den Spam Report an. Seltsamerweise hatte die Regel für die Erkennung von E-Mails der Richpro Internet GmbH gezogen, was mich auf den ersten Moment verblüffte. Wieso zog meine Regel bei diesen Arbeitsangeboten? Dies war einen Blick in die E-Mail wert.
„SPAM: Ein wirklich seriöse Job für Sie, … …“ weiterlesen

SPAM: kilowunder.com

Heute gibt es von der Richpro Internet GmbH nichts kostenlos. Heute möchte sie Geld für ein Produkt. Irgendwie muss ja auch Geld in die Kasse kommen. Wertlose Doktor- und Professorentitel sowie Berufszertifikate alleine reichen nicht. Vor sechs Tagen hatte ich mich gefragt, wann ich die erste Werbung für vip-shape im Postfach finde. Nun, heute ist sie da!
„SPAM: kilowunder.com“ weiterlesen

Phishing: Paypal

Paypal Pishing Seite
Paypal Pishing Seite
Es sind neue Pishing Versuche bei Paypal unterwegs. Um Grunde nichts neues, aber dies,mal versteckt sich der Link hinter einem Linkverkürzer.

Für die Umstellung auf SEPA muss kein Kunde einen Finger krümmen. Dennoch versuchen die Betrüger ständig mit dieser Masche neue Opfer zu finden. Nein, Ihre Konten werden und sind nicht gesperrt! Also auf keinen Fall auf diesen Seiten die E-Mail-Adresse und das Password für das Paypal Konto eingeben.

Die Seite paypal.webapps-einkauf.com (IP 185.11.145.61) ist eine Betrugsseite!

Gute Nacht