Gestern noch Lufthansa, heute schon Condor..

Gar nicht mal so schlecht. Wenn da nicht die falschen Umlaute wären und der Umstand, daß ich grade gar nicht mit Condor fliegen wollte, man könnte versucht sein die EMail zu öffnen. Aber so ? Wie üblich, ab in die Tonne damit.

Einen kleinen Lapsus gab es natürlich: „P�nktlichfliegen: “ also selbst wenn das richtig kodiert gewesen wäre, hätte es „pünktlich Fliegen“ oder am besten gleich „Rechtzeitig am Gate sein:“ lauten sollen.

Lieber Passagier,

im Anhang dieser Mail finden Sie in Form eines PDF Dokumentes, die von Ihnen angeforderte(n) Bordkarte(n). Bitte drucken Sie Ihre Bordkarte(n) im DIN A4 Format aus, Sie ben�tigen Ihre Bordkarte(n) bei den Sicherheitskontrollen, am Abflugsteig (Gate) bzw. wenn Sie mit Gep�ck reisen bereits am Baggage Drop-off.

P�nktlichfliegen: Finden Sie sich sp�testens 45 Minuten vor der geplanten Abflugzeit am Abflugsteig (Gate) ein! Planen Sie unbedingt ausreichend Zeit f�r Pass- und Sicherheitskontrollen ein!

Zur Darstellung von PDF-Dateien benoetigen Sie den Adobe Reader. Sollten Sie den Adobe Reader noch nicht auf Ihrem Computer installiert haben, koennen Sie diesen unter http://get.adobe.com/de/reader kostenlos herunterladen und installieren.

Condor w�nscht Ihnen einen angenehmen Flug.

Diese E-Mail wurde Ihnen von Condor Flugdienst GmbH zugestellt. ... {gekürzt}... 

Gestern haben wir gelernt, daß ZIP Archive genutzt werden, um die Antispam und Antivirenprogramme auszutricksen. Im Gegensatz zu gestern, wo ein Doppelendungfilename benutzt wurde und dieser von den Antivirenprogrammen bereits als Viruserkannt wird, handelt es sich bei der Condoremail um eine reine ZIP Datei:

Content-Type: application/zip; name="BoardingPasses_61539376_373467_01 NEC 38813277 ACE 03.zip"
Content-Transfer-Encoding: base64

Natürlich haben wir uns dieses Zip näher angesehen. Herausgefallen wäre das File „BoardingPasses_61539376_373467_01 NEC 38813277 ACE 03.pdf.exe“ . Hier hätten wir wieder dieses typische Muster mit der doppelten Dateiendung „.pdf.exe“. Als erfahrener Leser dieses Blogs, würden Sie natürlich nicht mehr auf dieses Konstrukt hereinfallen, oder? 😉

Zu allem Überfluß wird der eigentliche Virus derzeit nur von wenigen Antivirenprogrammen erkannt, praktisch gar nicht.

CLAMAV erkennt immerhin das Archiv als verdächtig: Suspect.DoubleExtension-zippwd-15 FOUND

Die Hotelbuchungen sind wieder da…

jaja.. der Trojanerzyklus ist wiedermal bei gefälschten hotel.de Buchungsbestätigungen nebst Virus angekommen.

Aufällig diesmal, ein und dieselbe Buchung kostet mal 88 €, mal 25 € . Natürlich können Sie das nur bemerken, wenn Sie wie ich mehrere davon geschickt bekommen haben.

Am einfachsten schauen Sie sich den Dateinamen des Attachments/Anhangs an: „HotelReservierung8930903.pdf.zip“

„blahblah…..pdf.zip“ macht keinen Sinn, denn PDF Dateien sind bereits gepackt. Ein ZIP Archiver kann daher keinen positiven Effekt auf die Größe der Email haben. ZIP wird dazu benutzt, daß die Antiviren und Antispamprogramme dieser Welt, die ZIP Datei nicht auspacken und somit den Virus durchgehen lassen.

Mittlerweile werden solche Doppelendungsfiles zurecht pauschal als Virus behandelt und aussortiert.

Ihre Brasilianische Sparkasse

Globalisierung ist was tolles. Nein wirklich. Es macht das finden von Phising so viel einfacher 🙂

Der Sinn, jemandem Phisingmails zu schicken für einen Dienst/Firma/Webseite, den er/sie nicht benutzt, sei dahin gestellt. Aber nicht mal seinen Absender zu verschleiern und sich so freiwillig als Phisher zu outen, ist fast so dämlich, wie neulich, als gar kein Phisinginhalt in der Mail drin war.

Es geht natürlich wieder um die Sparkasse. Diesmal kommt die Mail, wie man leicht erkennen kann, aus Brasilien. Nun werden viele Altnazis in Südamerika ihr Geld nicht auf einer Sparkasse geparkt haben. Daher können wir getrost annehmen, daß die Sparkassen dort keine Zweigstellen aufgemacht haben.

Die „Dringend Maßnahmen erforderlich!“ tun natürlich ihr übrigens um die Opfer abzuschrecken, obwohl der eigentliche Inhalt der EMail mittlerweile ganz gut ist. Von den üblichen Kleinigkeiten wie uneinheitlicher Schreibweise für Umlaute und Satzbau mal abgesehen.

From: Sparkasse <prfoz01dir@jfpr.jus.br>
Subject: Dringend Maßnahmen erforderlich!

Sehr geehrter Kunde, im vergangenen Jahr wurde die Sparkasse zusammen mit 
vielen anderen Deutschen Kreditinstituten das Ziel eines weit verbreiteten 
Internet-Betruges. Daher haben wir ein Projekt zur Bekaempfung gestartet.Auf
allen Online-Girokonten soll nun ein neu entwickeltes Sicherheitssystem 
installiert werden, welches verd&auml;chtige Bewegungen und Transaktionen 
schnell aufspueren und loesen kann.Wir haben festgestellt, dass Ihr Girokonto
noch nicht mit diesem Sicherheitssystem ausgestattet ist und bitten Sie 5-10 
Minuten Zeit zu investieren, um dieses Sicherheitsupdate/Maßnahmen zu 
vervollständigen. Nach dem Update wird sie einer unserer Mitarbeiter 
kontaktieren, um den gesamten Prozess zu vervollstaendigen. Nach dem Update 
ist Ihr Girokonto wieder einwandfrei gesichert und Sie koennen es wie gewohnt
bnutzen.Wir wollen Ihnen im Voraus für Ihre Mitarbeit danken. 
KLICKEN SIE HIER [Anm. Link entfernt]

Mit freundlichen Grüßen
Ihre Sparkasse

Kleiner Tip: Sollte Ihre Sparkasse sich tatsächlich mal melden, werden Sie dort mit Namen angesprochen und ganz sicher steht dort die richtige Zweigstelle nebst Geschäftsanschrift nach der Grußfloskel.

Verfahren Sie also mit dieser EMail wie üblich: in die Mülltonne damit.