Tag Archives: Spam

Selten eindeutiger krimineller Spam

Posted on by

Spams unterliegen ja wie alles andere einer Mode. Heute flatterte ein richtig eindeutiger Spam ins Haus, der sich nicht eindeutiger als Spam outen lies. Besonders war nur, was damit wirklich geplant war.

Ich hatte eigentlich bei dem Betreff „for CV“ ein Bild oder ein WordDoc erwartet, daß einen Exploit enthält, aber tatsächlich kam das hier:

Dear info,

We are looking for employees working remotely.

My name is Rich, I am the personnel manager of a large International company.
Most of the work you can do from home, that is, at a distance.

Salary is $2300-$5300.

If you are interested in this offer, please visit Our Site

http://www.buildmypodcast.com/wp-content/themes/twentyfifteen/{GEHACKTEURL}.html

d_healthHave a nice day!

Spamassassin hat die Mail  extrem eindeutig als Spam erkannt. Eine Regel sticht besonders ins Auge :

 Inhaltsanalyse im Detail:   (27.5 Punkte, 5.0 benötigt) 
 Pkte Regelname              Beschreibung
 ---- ---------------------- --------------------------------------------------
...
  3.0 URI_WP_HACKED          URI for compromised WordPress site, possible malware
...
Subject: for CV

Was meint, daß die URL in der Email eine WordPress Installation ist, die vermutlich gehackt wurde.

Spamassassin lernt also auch immer dazu, und das ist gut so 😉

Der Sinn der Sache war übrigens, den Empfänger als Finanzagent für Geldwäsche anzuwerben.  Wenn Sie also sowas sehen, wie immer, aber in die Tonne damit.

Kleine Anekdote am Rande: Für eine fiktive Deutsche Firma hat mich so ein Spam auch schon erreicht. Da in dem Fall allerdings nachvollziehbare Login, Adressen usw. vorhanden waren, ging das ausnahmsweise an die Staatsanwaltschaft, statt direkt in der Tonne zu landen.

Exploits via JPG Bilder im Umlauf

Posted on by

Manchmal machen es einem den Verbrecher besonders einfach, nicht auf Ihre Masche hereinzufallen. Wer als Deutscher sowas in der Email hat:

Chinesische Emailklickt gar nicht erst auf die Grafik, die im Anhang drin ist drauf, sondern löscht die Mail gleich.

Trotzdem sollten alle Leser auf der Hut sein, denn im JPEG2000 Decoder diverser Anwendungen und Betriebssysteme steckt ein schwerer Fehler, der es dem Angreifer erlaubt, Code auf dem PC des Opfers auszuführen, alleine durch das Ansehen von veränderten Bildern.

Wer im obigen Bild genau hingesehen hat, der hat unten das Attachement gesehen: „…. .jpg“

Ausschnittvergrößerung

Inhaltlich hatte die Spam nichts zu bieten, spaßeshalber habe ich den Text mal übersetzen lassen:

您好:

敝司為保健食品品牌商,敝司優秀的研發團隊研發出一支百億活性益生菌粉劑,且與擁有HACCP/ISO22000雙項國際食品安全管理系統以及國內首批通過TQF之生技大廠配合,不論是產品原料,配方,生產品質均優良

Hallo:

Geräumige Sekretär für Gesundheit Lebensmittel-Marken, geräumige Sekretär hervorragende F & E-Team entwickelte eine zehn Milliarden aktiven Probiotika, und mit dem Besitz von HACCP / ISO22000 Dual internationalen und nationalen Lebensmittelsicherheit-Management-System durch die erste Charge von komplexen Biotech-Riese TQF , ob Rohstoffe, Formulierungen, die Produktionsqualität sind ausgezeichnet

Kommt nur Gebrabbel raus. Kein Wunder daß übersetzte Spams so leicht zu erkennen sind 😉

Also, wie immer, nicht Lesen, sondern ab in die Tonne damit.

Virus per Online-Einschreiben :D

Posted on by

Ich habe ja gedacht, ich hätte schon jeden Virengag bekommen, aber ein Online-Einschreiben, angeblich von der Post, ich hätte mich fast weggeworfen vor Lachen.

To: "Kundennr. 83386" <SPAMFALLE@SPAMFALLEN.SPAM>
From: "Post AG" <antwort@wildwildsys.com>
Reply-To: <antwort@wildwildsys.com>
Date: Mon, 27 Jun 2016 05:41:45 +0200

Hier der Inhalt:

Sehr geehrte(r)  Kundennr. 83386,

Sie erhalten folgendes Online-Einschreiben mit der Bitte um sofortigen Abruf:

Absender: Rechtsanwalt Maximilian Wagenbauer
Betreff: Auszahlung am 26.06.2016
Online-Ansicht: Hier klicken ( Ablaufdatum 26.06.2016 )
Viren-Prüfung: Erfolgreich, keine Viren

Mit freundlichen Grüßen,
Ihre Post

 

Das „Einschreiben“ kam einen Tag nach dem Datum da drin , also am 27. 😉

Die Domain wildwildsys.com kann man beruhigt auf die Blackliste setzen, die haben in den letzten Tagen nur Spams und Viren verteilt z.B. eine weitere Email auch aus unserer Spamfalle:

wenn Sie unter 55 Jahre alt sind, können Sie jetzt einen extrem

günstigen Krankenkassentarif nutzen:

unter 35 Jahre altab 54,90€/MonatJetzt unverbindlich ansehen
unter 45 Jahre altab 64,90€/MonatJetzt unverbindlich ansehen
unter 55 Jahre altab 79,00€/ MonatJetzt unverbindlich ansehen

Sie sehen, ein Vergleich würde sich in Ihrem Fall sehr lohnen.

Natürlich ist der Vergleich absolut kostenlos und unverbindlich. Mehr dazu auf meiner Seite.

Mit freundlichen Grüßen,

Dr. Hannes Kottke

Ich liebe unsere immer zu 100% richtig liegende Spamfalle 😀

Die Links in diesen Emails gehen praktischerweise auf die Domain wildwildsys.com und nicht wie sonst üblich, auf irgendwelche gehackten Webseiten. Daher kann man annehmen, daß die Betreiber der Domain selbst die Betrüger sind. Soetwas nennt sich dann hochtrabend „Email-Marketingagentur“. Da die Inhaber der Domain sich hinter einem „Privacy Guard“ verstecken, liege ich vermutlich richtig mit meiner Annahme 😉

Einmal gründlich hinsehen lohnt sich : (aus dem Whois )

Name Server: BLOCKEDDUETOSPAM.PLEASECONTACTSUPPORT.COM
Name Server: DUMMYSECONDARY.PLEASECONTACTSUPPORT.COM

Strike! 😀  Und die Domain gibt wirklich …. args..

Sollte Euch also eine Email unter kommen, die diesen Domainnamen nutzt, gleich in die Tonne damit.