SFLEX Rechnung

Zu­nächst das Wich­tig­ste: Die Mail, die ich un­ter­sucht habe, wurde über eine dy­na­misch ver­ge­be­ne IP-Adres­se aus Tu­ne­sien ver­sen­det und nicht etwa ir­gend­wo in Frei­burg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Ver­brech­ern ver­sen­det. Mit einem Bot­netz aus Com­pu­tern, die mit Schad­soft­ware über­nom­men wurden. Der Ab­sen­der ist ge­fälscht. (Es ist übri­gens kin­der­leicht, den Ab­sen­der eine Mail zu fäl­schen.) Die Mit­ar­bei­ter des Un­ter­neh­mens, des­sen Fir­mie­rung und Re­pu­ta­tion hier von Kri­mi­nel­len in den Dreck ge­zo­gen wird, tun mir leid, denn sie wer­den sich heu­te mit vie­len ver­är­ger­ten Menschen herum­schla­gen müs­sen. (Die Web­site der Un­ter­neh­mung ist übri­gens zur­zeit nicht er­reich­bar, und zwar ver­mut­lich nur wegen der Be­suche durch hun­dert­tau­sen­de Spam­em­pfän­ger.) Diese kri­mi­nel­le Spam hat be­reits jetzt einen or­dent­lichen Scha­den an­ge­rich­tet.

Sehr geehrte Damen und Herren,

vielen Dank für Ihren Auftrag.

Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.

Kurzes Spam­kom­pe­tenz­trai­ning! Was be­deu­tet wohl die­se Kom­bi­na­tion von Merk­ma­len:

1. Die Mail geht an­geb­lich von ei­nem Unter­neh­men an einen Kun­den, die An­sprache ist aber un­per­sön­lich;
2. der Auf­trag, um den es geht, ist nicht ge­nau­er be­schrie­ben und völ­lig un­klar;
3. es gibt dazu eine Rech­nung, aber ir­gend­wel­che wich­ti­gen An­ga­ben zum Rech­nungs­be­trag, zur Bank­ver­bin­dung, zum Zah­lungs­ziel feh­len im Text der Mail, als ob es dort kei­nen Platz mehr gäbe; und
4. alles wei­te­re kann nur da­durch ge­klärt werden, dass ein Mail­an­hang ge­öff­net wird?

Bingo! Es handelt sich um eine Spam, an der eine Schad­soft­ware hängt. Der An­hang wird das rein­ste Gift sein. Es han­delt sich dies­mal um ein Word-Do­ku­ment¹…

$ file xxxxxx.doc | sed 's/, /\n/g'
xxxxxx.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title: functional
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Total Editing Time: 01:00
Create Time/Date: Thu Jan 28 05:44:00 2016
Last Saved Time/Date: Thu Jan 28 05:44:00 2016
Number of Pages: 1
Number of Words: 1
Number of Characters: 10
Security: 0
$ _

…des­sen Text aus ei­nem ein­zi­gen Wort auf einer Seite be­steht – diese vor­geb­liche „Rech­nung“ ent­hält also nicht ein­mal die Auf­for­de­rung „Geld her“, die schon zweier Worte be­darf. Im Do­ku­ment ist ein Makro, das einen In­stal­ler für kri­mi­nel­le Schad­soft­ware nach­lädt und aus­führt.

Es han­delt sich um ak­tu­el­le Schad­soft­ware, die zur­zeit von den meis­ten An­ti­vi­rus-Pro­gram­men noch nicht er­kannt wird. Des­halb ist es so wich­tig, der­ar­ti­ge Spam selbst zu er­ken­nen und nie­mals auf die Idee zu kom­men, einen An­hang einer Spam zu öff­nen. Ge­ne­rell soll­ten Mail­an­hän­ge mit äu­ßer­ster Vor­sicht be­han­delt wer­den, denn da­bei han­delt es sich um ei­nen der Haupt­ver­brei­tungs­wege für die höchst aso­zi­a­le und kri­mi­nel­le Schad­soft­ware-Pest der spam­men­den Ver­brech­er.

Und wie schon gesagt:

Mit freundlichen Grüßen

Michael Dietrich
Projektleiter Gestelltechnik

S:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 Freiburg

Tel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com

Der Ab­sen­der der Spam ist ge­fälscht und die An­ga­ben unter der Mail – ich habe die Te­le­fon­num­mern mal un­kennt­lich ge­macht, weil dort mo­men­tan Menschen kurz vorm Ner­ven­zu­sam­men­bruch an der Leit­ung hän­gen wer­den – haben eben­falls nichts mit dem Ab­sen­der zu tun. Es gibt keine Mög­lich­keit, den wirk­lichen Ab­sen­der die­ser kri­mi­nel­len Be­läs­ti­gung zu er­reich­en, denn die­ser be­vor­zugt aus nahe­lie­gen­den Grün­den die Ano­ny­mi­tät. Straf­an­zei­gen we­gen ver­such­ter Com­pu­ter­sa­bo­tage nimmt die Poli­zei oder Staats­an­walt­schaft ent­ge­gen, aber die Er­mitt­lungs­aus­sich­ten sind… ähm… nicht so toll. Aber ir­gend­wann macht auch die­ses Pack mal einen Feh­ler…

Nachtrag: In­zwisch­en ist die Web­site der S:FLEX GmbH wieder er­reich­bar. Ich lege den dort Ver­ant­wort­lich­en nahe, einen deut­lich­en Hin­weis auf die Spam auf ih­rer Start­sei­te zu plat­zie­ren, um Em­pfän­ger zu war­nen und die be­trieb­lich­en Kräfte auf ge­winn­brin­gen­de­re Din­ge als eine Flut von Rück­fra­gen aus­zu­rich­ten. Im Mo­ment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vor­stel­len, was dort gerade los ist! Das kleine Ser­ver­chen, auf dem Unser täg­lich Spam läuft, steht je­den­falls we­gen die­ser einen Spam or­dent­lich unter Last.)

¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.