Category Archives: Allgemein

eine billige Fälschung – freenet Breitband GmbH

Posted on by

Gerade erreichte uns eine Virus-EMail, die ich Ihnen nicht vorenthalten möchte,
da sie extrem schlecht gefälscht ist und damit sehr einfach für jedermann zu erkennen ist:

Return-path: <service@freenet.de>
Delivery-date: Mon, 10 Jun 2013 20:21:24 +0200
Received: from fourfuns.com.tw ([124.150.134.11])
	by XXXXXXXXXXXXXXXXXXXXXXXXXXX with smtp (Exim 4.76)
	(envelope-from <service@freenet.de>)
	id XXXXXXXXXXXXXXXXXXXXXX
	for XXXXXXXXXXXXXX; Mon, 10 Jun 2013 20:21:24 +0200
Received: from hwuiw (15.123.230.70)
	by fourfuns.com.tw; Tue, 11 Jun 2013 04:21:19 +0800
Date: Tue, 11 Jun 2013 04:21:19 +0800
From:  <service@freenet.de>
X-Mailer: The Bat! (v2.01)
Reply-To:  <personlicher-service@service.freenet.de>
To:  <xxxxxxxxxxxxxxxxxx>
Subject:  Ihre Bestellungsnummer: 23445993

Sehr geehrte Damen und Herren,

anbei erhalten Sie Ihre Rechnung fur die Dienste der freenet Breitband GmbH,
 die Sie unter Ihrer Kundennummer 24831967 genutzt haben. Einzelheiten 
entnehmen Sie bitte dem angehangten PDF-Dokument als ZIP-Datei.

Herzliche GrьЯe,
Ihr freenet Service-Team

________________________________________________________________________________

freenet Breitband GmbH, Postfach 2120, 24001 Kiel
Geschдftsfьhrung: Thorsten Meier, Andreas Sand, Claas Voigt
 Hamburg - HRB 105001, Amtsgericht Hamburg
 St.-Nr.: 27 / 001 / 01001, USt.-ID: DE259800171

Es fallen natürlich sofort die Kyrillischen Buchstaben statt der üblichen Umlaute auf.

Auch der „personliche“ Service ist ein deutlicher Hinweis auf eine unlautere Email.

„The Bat“ ist ein Emailprogramm, das ausschliesslich für private Zwecke eingesetzt wird,
also als Massenmailer für Freenet nicht taugt.

Die hier angehängte Virenemail in Form eines Zips,wird von gängigen Virenscannern nicht erkannt, es ist als höchst gefährlich diesen Anhang aufzumachen.

Unsinnige Hinweise

Posted on by

Irgendwie ist es diese Woche ganz schlimm mit den unsinnigen Hinweisen:

20130528_191033

Man beachte, daß das „beidseitige Park- und Halteverbot“ glatte 25 Zentimeter gilt, dann kommt ein 100m langer Parkstreifen, übrigens auch beidseitig 😉 Die Parkstreifen waren schon vor dem Schild da.

Unser nächster Kandidat, stammt aus dem Babyzubehör, aber schauen Sie selbst :

Babypuder-VonKindernfernhalten

Tja, Babypuder von Babys fernhalten , aber kaufen, das dürfen sie jederzeit 🙂

 

eine richtig gute Virenmail: „RechnungOnline Monat April 2013“

Posted on by

Wir gratulieren dem glücklichen Gewinner des erstmal verliehenen Anerkennungspreises für eine gelungene Virenemail: Herzlich Glückwunsch in die Ukraine.

Da die Email  nahezu perfekt ist, keine Deutschfehler enthält und auch keine Phisinglinks auf verdächtige Webseiten, müssen wir uns den Emailheader vornehmen:

Hier der nur leicht geänderte Header ( wir möchten ja nicht zuviel über unsere Fallen verraten ):

Return-path: <fidgetingjg@telekom.de>
Envelope-to: <Unsere Spamfallen verraten wir nicht>
Delivery-date: Thu, 16 May 2013 01:22:45 +0200
Received: from 36-231-89-213.dynamic-ip.hinet.net ([36.231.89.213])
	by <Unsere Spamfallen verraten wir nicht> with esmtp (Exim 4.76)
	(envelope-from <fidgetingjg@telekom.de>)
	id 1UyvV3-0002xl-1E
	for <Unsere Spamfallen verraten wir nicht>; Thu, 16 May 2013 12:34:21 +0200
Received: from [67.99.155.25] (account carpenteredqkj7@telekom.de HELO lgumvcvdfcmhbd.cnbtwtwlo.ua)
	by 36-231-89-213.dynamic-ip.hinet.net (CommuniGate Pro SMTP 5.2.3)
	with ESMTPA id XXXXXXXXXXXXXXX for <Unsere Spamfallen verraten wir nicht>; Thu, 16 May 2013 17:14:12 +0800
From: <rechnungonline.@telekom.de>
To: <Unsere Spamfallen verraten wir nicht>
Date: Thu, 16 May 2013 16:14:12 +0800
MIME-Version: 1.0
X-Priority: 3
X-Mailer: iwmexoinn_57
Message-ID: <56S980021XX76808.SSS$DY630SXX@jaxbjxqcnxv.uxfouxpniaeskql.com>
Content-Type: multipart/mixed;
  boundary="----=a__wiye_36_38_75"
Subject:  RechnungOnline Monat April 2013

Wie man im Receivedheader schön nachlesen kann, stammt die ursprüngliche Email aus der Ukraine und damit natürlich nicht mehr von der Telekom:

lgumvcvdfcmhbd.cnbtwtwlo.ua

Der unbekannte Mailversender hatte  wohl Spaß bei der Sache:

X-Mailer: iwmexoinn_57

So könnte der Name zustande gekommen sein:

„I want my email exchanged over internet“ (Version 57)

Was es auch in Wirklichkeit bedeuten mag, es ist kein übliches Programm zum Senden von Mails.

From: <rechnungonline.@telekom.de>

Der Punkt in dem Absendernamen ist uns ja schon hinlänglich bekannt, von früheren EMails dieser kriminellen Bande. Die Rücksendeadresse:

Return-path: <fidgetingjg@telekom.de>

sieht natürlich auch verdächtig nach Fiktion aus.

Sollte man all dies übersehen haben, ist natürlich der angefügte Virus/Trojaner das beste Indiz für einen versuchten Angriff, vom Umstand, daß man gar kein Kunde bei der Telekom ist, mal ganz abgesehen.

Seriöse Unternehmen schicken Ihnen eine EMail, in der die neue Rechnung mit Betrag erwähnt wird und einem Verweis, daß Sie diese im Kundencenter einsehen und herunterladen können.  Ohne Links in den Kundencenter, den den haben Sie ja als Kunde bereits.