Gestern noch Lufthansa, heute schon Condor..

Gar nicht mal so schlecht. Wenn da nicht die falschen Umlaute wären und der Umstand, daß ich grade gar nicht mit Condor fliegen wollte, man könnte versucht sein die EMail zu öffnen. Aber so ? Wie üblich, ab in die Tonne damit.

Einen kleinen Lapsus gab es natürlich: „P�nktlichfliegen: “ also selbst wenn das richtig kodiert gewesen wäre, hätte es „pünktlich Fliegen“ oder am besten gleich „Rechtzeitig am Gate sein:“ lauten sollen.

Lieber Passagier,

im Anhang dieser Mail finden Sie in Form eines PDF Dokumentes, die von Ihnen angeforderte(n) Bordkarte(n). Bitte drucken Sie Ihre Bordkarte(n) im DIN A4 Format aus, Sie ben�tigen Ihre Bordkarte(n) bei den Sicherheitskontrollen, am Abflugsteig (Gate) bzw. wenn Sie mit Gep�ck reisen bereits am Baggage Drop-off.

P�nktlichfliegen: Finden Sie sich sp�testens 45 Minuten vor der geplanten Abflugzeit am Abflugsteig (Gate) ein! Planen Sie unbedingt ausreichend Zeit f�r Pass- und Sicherheitskontrollen ein!

Zur Darstellung von PDF-Dateien benoetigen Sie den Adobe Reader. Sollten Sie den Adobe Reader noch nicht auf Ihrem Computer installiert haben, koennen Sie diesen unter http://get.adobe.com/de/reader kostenlos herunterladen und installieren.

Condor w�nscht Ihnen einen angenehmen Flug.

Diese E-Mail wurde Ihnen von Condor Flugdienst GmbH zugestellt. ... {gekürzt}... 

Gestern haben wir gelernt, daß ZIP Archive genutzt werden, um die Antispam und Antivirenprogramme auszutricksen. Im Gegensatz zu gestern, wo ein Doppelendungfilename benutzt wurde und dieser von den Antivirenprogrammen bereits als Viruserkannt wird, handelt es sich bei der Condoremail um eine reine ZIP Datei:

Content-Type: application/zip; name="BoardingPasses_61539376_373467_01 NEC 38813277 ACE 03.zip"
Content-Transfer-Encoding: base64

Natürlich haben wir uns dieses Zip näher angesehen. Herausgefallen wäre das File „BoardingPasses_61539376_373467_01 NEC 38813277 ACE 03.pdf.exe“ . Hier hätten wir wieder dieses typische Muster mit der doppelten Dateiendung „.pdf.exe“. Als erfahrener Leser dieses Blogs, würden Sie natürlich nicht mehr auf dieses Konstrukt hereinfallen, oder? 😉

Zu allem Überfluß wird der eigentliche Virus derzeit nur von wenigen Antivirenprogrammen erkannt, praktisch gar nicht.

CLAMAV erkennt immerhin das Archiv als verdächtig: Suspect.DoubleExtension-zippwd-15 FOUND

Die Hotelbuchungen sind wieder da…

jaja.. der Trojanerzyklus ist wiedermal bei gefälschten hotel.de Buchungsbestätigungen nebst Virus angekommen.

Aufällig diesmal, ein und dieselbe Buchung kostet mal 88 €, mal 25 € . Natürlich können Sie das nur bemerken, wenn Sie wie ich mehrere davon geschickt bekommen haben.

Am einfachsten schauen Sie sich den Dateinamen des Attachments/Anhangs an: „HotelReservierung8930903.pdf.zip“

„blahblah…..pdf.zip“ macht keinen Sinn, denn PDF Dateien sind bereits gepackt. Ein ZIP Archiver kann daher keinen positiven Effekt auf die Größe der Email haben. ZIP wird dazu benutzt, daß die Antiviren und Antispamprogramme dieser Welt, die ZIP Datei nicht auspacken und somit den Virus durchgehen lassen.

Mittlerweile werden solche Doppelendungsfiles zurecht pauschal als Virus behandelt und aussortiert.

Ihre Brasilianische Sparkasse

Globalisierung ist was tolles. Nein wirklich. Es macht das finden von Phising so viel einfacher 🙂

Der Sinn, jemandem Phisingmails zu schicken für einen Dienst/Firma/Webseite, den er/sie nicht benutzt, sei dahin gestellt. Aber nicht mal seinen Absender zu verschleiern und sich so freiwillig als Phisher zu outen, ist fast so dämlich, wie neulich, als gar kein Phisinginhalt in der Mail drin war.

Es geht natürlich wieder um die Sparkasse. Diesmal kommt die Mail, wie man leicht erkennen kann, aus Brasilien. Nun werden viele Altnazis in Südamerika ihr Geld nicht auf einer Sparkasse geparkt haben. Daher können wir getrost annehmen, daß die Sparkassen dort keine Zweigstellen aufgemacht haben.

Die „Dringend Maßnahmen erforderlich!“ tun natürlich ihr übrigens um die Opfer abzuschrecken, obwohl der eigentliche Inhalt der EMail mittlerweile ganz gut ist. Von den üblichen Kleinigkeiten wie uneinheitlicher Schreibweise für Umlaute und Satzbau mal abgesehen.

From: Sparkasse <prfoz01dir@jfpr.jus.br>
Subject: Dringend Maßnahmen erforderlich!

Sehr geehrter Kunde, im vergangenen Jahr wurde die Sparkasse zusammen mit 
vielen anderen Deutschen Kreditinstituten das Ziel eines weit verbreiteten 
Internet-Betruges. Daher haben wir ein Projekt zur Bekaempfung gestartet.Auf
allen Online-Girokonten soll nun ein neu entwickeltes Sicherheitssystem 
installiert werden, welches verd&auml;chtige Bewegungen und Transaktionen 
schnell aufspueren und loesen kann.Wir haben festgestellt, dass Ihr Girokonto
noch nicht mit diesem Sicherheitssystem ausgestattet ist und bitten Sie 5-10 
Minuten Zeit zu investieren, um dieses Sicherheitsupdate/Maßnahmen zu 
vervollständigen. Nach dem Update wird sie einer unserer Mitarbeiter 
kontaktieren, um den gesamten Prozess zu vervollstaendigen. Nach dem Update 
ist Ihr Girokonto wieder einwandfrei gesichert und Sie koennen es wie gewohnt
bnutzen.Wir wollen Ihnen im Voraus für Ihre Mitarbeit danken. 
KLICKEN SIE HIER [Anm. Link entfernt]

Mit freundlichen Grüßen
Ihre Sparkasse

Kleiner Tip: Sollte Ihre Sparkasse sich tatsächlich mal melden, werden Sie dort mit Namen angesprochen und ganz sicher steht dort die richtige Zweigstelle nebst Geschäftsanschrift nach der Grußfloskel.

Verfahren Sie also mit dieser EMail wie üblich: in die Mülltonne damit.

Nein, ich will das Netz der Dinge nicht

Ich laß kürzlich, das wir alle das Internet der Dinge wollen. Ich bin kurz in mich gegangen und kann behaupten, daß ich das nicht will. Eigentlich ist es die reinste Horrorvorstellung.

Mein Toaster fragt meinen Kühlschrank, ob noch genug Toastbrot vorhanden ist, weil er grade zwei Scheiben davon verbraucht hat. Leider, war ich grade am Tisch und folglich auch die Toastpackung. Der Kühlschrank ist nun überfordert und erklärt dem Toaster sein Problem, daß er das grade nicht prüfen kann. Jetzt könnte der Toaster auf die Idee kommen, auf den nächsten Toast die schriftliche Frage nach dem Toastvorrat zu „drucken“ oder dem Drucker zu erklären, daß er doch bitte eine Einkaufsliste an der Tür ausdruckt, wenn man das nächste mal raus möchte.

Also ganz ehrlich, ich möchte selbst entscheiden was ich einkaufe und was nicht und vorallem wann. Mein Toaster und Kühlschrank müssen also nicht ans Internet angeschlossen werden. Es gibt da ja noch die ungeklärte Frage, wer den Geräten dies beibringt und wie sicher das ist. Heute erst kam eine Meldung über eine deftige Schwachstelle bei HP Laserdruckern. Damit ist ein Angriff auf alle Geräte im Netz möglich , weil man den Drucker aus dem Internet übernehmen kann.

Ein Computervirus in der Küche ist schon schlimm genug, aber bei der derzeitigen Entwicklung in der Automobilbranche kommt es in Zukunft zum Datenaustausch zwischen Autos und Ampeln. Diese Technik wird von Leuten entwickelt, die noch nie etwas von Computersicherheit gehört haben. In so einem Auto möchte ich nicht fahren, wenn ich damit überhaupt noch selber fahren darf.

Ich will bestimmen was ich tue und nicht bevormundet werden. Mein jetziges Auto beschwert sich schon, daß mein Rucksack nicht angeschnallt ist. Was passiert wohl, wenn ich demnächst in kurzen Hosen vor einem Geschäft aussteigen will, werde ich dann eingesperrt weil ich dazu weiße Socken trage ?

Wo hört der Vorsprung durch Technik auf, wo fängt die Bevormundung an?

Leider wird man diese Entwicklungen nicht aufhalten können, denn Leute die etwas tun, nur weil es geht, kann man nicht aufhalten. Man kann nur eines tun, nicht daran teilnehmen. Also, vergessen Sie die Netzwerksteckdose in der Küche und verschlüsseln Sie Ihr WLAN.

Nicht alles was nach Anwalt aussieht, ist auch vom Anwalt

Das jüngste Mitglied unser Sammlung von Trojaner/Viren/Phising Mails kommt als Antwaltsschreiben daher:

Gegenstand unserer Beauftragung ist eine über Ihren Internetanschluss im Internet begangene Urheberrechtsverletzung als Teilnehmer eines so genannten Peer-to-Peer-Netzwerkes

Folgende Daten konnte unsere Mandantschaft – neben weiteren Einwahlen – aufgrund einer speziell entwickelten Software feststellen und beweissicher dokumentieren lassen

Im Rahmen eines staatsanwaltlichen Auskunftsverlangens gemäß § 113 TKG wurde mitgeteilt, dass der festgestellte Internetanschluss auf Ihren Namen angemeldet ist, so dass Sie für die Urheberrechtsverletzung, welche unter Nutzung des Anschlusses begangen wurde, zivilrechtlich haften.

Mal ehrlich, haben Sie davor Angst ? Also dann zeige ich Ihnen gern was hier alles falsch ist:

Zunächst mal handelt es sich beim §113 TKG ( Telekommunikationsgesetz ) um den Paragraphen zum Manuellen Auskunftsverfahren von Providern. Das regelt, wer dem Staat respektive der Polizei/Staatsanwaltschaft Details eines Telekommunikationsteilnehmers ( Ihren Namen/Anschrift ) herausgeben muß und unter welchen Umstämdem das geschieht z.b. darf man Ihnen das als Zielperson nicht mitteilen. Das ist ein reiner Verwaltungsparagraph, eine Strafbare Handlung in dem Sinne wird dort nicht definiert. Ein Anwalt kann sich also darauf nicht direkt berufen, dafür sind andere Paragraphen da.

Die fehlenden Satzzeichen sind ein schönes Indiz, daß hier jemand nicht aufgepaßt hat. Auch verschicken Anwälte keine EMails, die könnten nämlich mal nicht ankommen, oder von Viren- und Antispamtools gefiltert werden.

Nun zu Details aus der Email selbst:

Return-path: <missionariesf56@t-mobile.de>

Received: from cm-84.208.192.142.getinternet.no ([84.208.192.142])

From: <noreply@t-mobile.de>

X-Mailer: ojwhwer_30

Subject: Urheberrechtsverletzung als Teilnehmer

Die Email  kam also aus NORWEGEN, was für eine Absendedomain „t-online.de“ extremst unwahrscheinlist ist. Der „X-Mailer:“, das ist die Kennung des Programms das die Email gebaut hat, weist eindeutig auf ein Script, denn so würde niemand seinen Mailclienten für eine Desktopumgebung nennen 🙂

Von dem Virus namens „113_TKG.pdf.zip“ , der angehängt war, wollen wir gar nicht erst anfangen 🙂

Wie immer, ab in die digitale Mülltonne, wenn diese Mail erhalten.

PS: Liebe Kriminelle, bitte mehr davon 😉