Zeigt her euren Spam

Aber ich habe doch kein Amazon Account..., trotzdem danke für den Hinweis 'unku56'

Die vereinten Nationen schreiben mir

​Entwicklungsprogramm der Vereinten Nationen.Vereinten Nationen Spendenprogramm 2017.ANMELDUNG FÜR SIE FÜR DIE ENTWICKLUNG IN IHRER REGION.Hiermit wird Ihnen mitgeteilt, dass Sie für den Empfang ausgewählt wurdenSpendenpreis Summe von £ 850.000,00 Eight Hundred und FünfzigtausendPfund) als Wohltätigkeitsspenden / Hilfe von UNDP, ECOWAS,EU und der UNO im Einklang mit dem Ermächtigungsakt des Parlaments.Im Namen der Stiftung sagen wir Ihnen Glückwünsche.Dein,Anna ryanHelmholtz Zentrum MuenchenDeutsches Forschungszentrum fuer Gesundheit und Umwelt (GmbH)Ingolstaedter Landstr. 185764 Neuherberg WEBSITE ZENSIERTAufsichtsratsvorsitzende: MinDir'in Baerbel Brumme-BotheGeschaeftsfuehrer: Prof. Dr. Guenther Wess, Heinrich Bassler, Dr. Alfons EnhsenRegistergericht: Amtsgericht Muenchen HRB 6466USt-IdNr: DE 129521671

@KingTimon
Hey, brauchst Du noch einen Berater?

Da hat mir geschrieben: Mr Steve James <jamesmrsteve@brs-shanghai.com>, der, wenn ich richtig lese, im Audtrag von Herrn Kofi Annan handelt. Ich fühle mich nun AUSSERORDENTLICH geehrt:
#################################
Dear
We have been having series of meetings for the passed 1 month now
which ended 2 days ago with the Nigeria Government, with the former
Secretary-General (Hon. Kofi Annan) to the UNITED NATIONS. Federal
Reserve Bank of New York, HSBC Bank of United Kingdom (UK) with the
World Bank Officials. This email is for all the people that have not
been paid, for their contract/inheritance in any part of the world, the
United Nations, Federal Reserve Bank of New York HSBC Bank of United
Kingdom (UK) Reserve Bank of Nigeria, with the World Bank officials have
agreed to compensate them with the sum of Four Million, Nine Hundred
Thousand US Dollars each victim. This includes every foreign contractor
that may have not received his or her contract sum and people that have
had an unfinished transaction, people who have inheritance to claim or
international businesses that failed due to instability of government in
some part of World.
We found your email address in our list and that is why we are
contacting you, these have been agreed upon and have been duly
signed.Therefore, we are happy to inform you that your ATM Card Number:
4120 5350 0015 has been approved and upgraded, via ZENITH BANK INT'L in
your favor.Meanwhile, your Secret Pin Number will be available as soon
as you confirm to us the receipt of your ATM CARD.
The ATM Card Value is $6,300,000.00 USD Only. You are advised that a
maximum withdrawal value of US$20,000.00 is permitted daily.And its is
duly inter-switched and you can make withdrawal in any location of the
ATM Center of your choice/nearest to you any where in the world. We have
also concluded delivery arrangement with our accredited courier service
Company FEDEX EXPRESS to oversee the delivery of the ATM Card to you
without any further delay.
Be informed that your response would be by telephone or through email
Only.Any further delay will be the pleasure of the UNRC to use your fund
to help the people who have been displaced in Darfur, Sudan Africa
which you can see it in this site savedarfur.org/ and the
Tsunami's victims in Asia. So you are hereby advice to forward to this
office Director ATM SWIFT CARD Department Therefore, you should send him
your full Name and telephone number/your correct mailing address where
you want him to send the ATM to you. Contact Person Apostle (Dr.)
Nathalie Alfred. immediately for your ATM SWIFT CARD: Person to Contact
Apostle: (Dr.) Nathalie Alfred. E-mail: drnathaliealfreds@gmail.com We
are working according to the constitution binding this committee as well
as helping the less privilege through this means. You will be required
to contact the above mentioned institution via telephone or email.
Hoping to hear from you as soon as you receive your ATM

1.YOUR FULL NAME ................
2.PHONE AND FAX NUMBER...............
3.ADDRESS WERE YOU WANT US TO SEND THE ATM CARD...............
4.A Copy Of Your Identity Attached To e-mail

Regards,

Mr Steve James

Keine exorbitant hohen Versandkosten? Kein sonst üblicher Schabernack?
Was haben die mit den Persoinformationen vor

Schon nur mit Ausweis Kopien lassen sich Konten erstellen / Briefkästen mieten und sonstige dinge die dann für illegale
Aktivitäten herhalten.

@EaranMaleasi, @xChRoNiKx. Genau. Ein guter Freund ist bei der KriPo im Bereich Internetkriminalität tätig. Aus seiner Erfahrung sind die abgefragten Daten alles was benötigt wird, um z.B. mein Bank-Konten zu erfahren, ebenso die genutzten Kreditkarten, Akkreditierungen bei Online-Händlern etc., und da dann zu meinen Lasten abzuräumen. Die "Nigeria-Connection" ist durchaus bekannt.

Ach wie geil. Ich habe heute mal wieder nach langer Zeit eine Pfishing Mail bekommen, wo ich mein Online-Konto oder sowas von der Volksbank verifizieren sollte. Da hab ich natürlich direkt wieder schnell ein kleine Programm geschrieben, dass die Seite mit zufälligen Daten füttert. 30 Minuten später war die Webseite dann ganz kurz offline und steht jetzt so dar :

​ richtig gute Idee xD

​Lg Mokki

Gut gemacht! :D

Grüße

Wir hatten auch mal etwas langeweile gehabt und haben die Hauptseite (die wir von BlueSpides PhisingSubdomain abgeleited haben) mit Daten durch HttpWebRequest gefüttert.
Wer langeweile hat kann es auch mal Compilen und ausführen:

Bluespide schrieb:

Ach wie geil. Ich habe heute mal wieder nach langer Zeit eine Pfishing Mail bekommen, wo ich mein Online-Konto oder sowas von der Volksbank verifizieren sollte. Da hab ich natürlich direkt wieder schnell ein kleine Programm geschrieben, dass die Seite mit zufälligen Daten füttert. 30 Minuten später war die Webseite dann ganz kurz offline und steht jetzt so dar :
vb-paradise.de/index.php/Attac…df304110992bfd68c46467fde

Bester Move xD

Ich hab mich jetzt mal dran gesetzt, einen E-Mail Anhang auseinanderzunehmen. Leider habe ich etwas voreilig die sowohl die E-Mail, als auch die Datei gelöscht, ohne ausführlich Screenshots zu machen.
Die Mail kam (vorgetäuscht natürlich) von "NatWest" und es ging um Kontoauszüge oder so ähnlich. Angehängt war eine .doc-Datei, in der angeblich wichtige Informationen stehen würden. Also habe ich die Datei erst mal im Share-Ordner einer VM abgespeichert.
VirusTotal sagt übrigens: virustotal.com/#/file/8a87da9c…8b46e83a06f80d4/detection
Dann habe ich die Datei in der VM auf den Desktop verschoben (sodass sie nicht mehr auf dem Host vorhanden ist), den Share-Ordner getrennt, um die Verbindung nach draußen abzuschneiden (die VM hat keine Netzwerkadapter) und dann in der VM die Datei in Word geöffnet.
War eine ganz nette Masche:

Das Erlauben von Makros würde natürlich automatisch zur Ausführung selbiger führen, wodurch der Computer infiziert wird.
Also wollte ich erst mal die Entwicker-Tools öffnen und den Code angucken, aber interessanterweise waren die Makros mit einem Passwort geschützt. Also sie können nicht angesehen und bearbeitet werden, ohne das Passwort zu kennen, aber ausgeführt können sie wohl trotzdem werden. Also habe ich das Internet nach einem Programm durchforstet, das dieses Passwort entfernen kann. Da gibt's übrigens auch eine ganze Menge CrapWare, also falls mal jemand sowas sucht: aufpassen, dass man sich keine Schadsoftware runterlädt.

Nachdem diese Hürde überwunden war konnte ich dann den Code sehen. Und es war garnicht so viel.
Eine Form ohne Code, ein einziges Modul (Code weiter unten) und in "ThisDocument" diese Methode:

Da musste ich erst mal lachen, aber was "bap bap bap" bedeutet, weiß ich auch nicht. (Das Forum zeigt es zwar nicht korrekt an, aber Rem ist wie ' für Kommentare da.)
Der Code in dem einen Modul ist (bis auf meine Veränderungen) folgender:
Der Code war nicht eingerückt und es wurden willkürlich Leerzeilen verwendet. Ich habe mal versucht, die Lesbarkeit zumindest geringfügig zu verbessern.

Man beachte Shell jon, td in supernosa (MSDN Shell-Funktion). jon ist ein String, der einen Befehl beinhaltet. Der zweite Parameter, td, ist ein AppWinStyle (MSDN AppWinStyle) und aufgrund der Subtraktion immer 0, was das Fenster wohl verstecken wird.

Das ist aber relativ wenig Code für einen solchen Virus. Wie wird hier der ausgeführte Befehl zusammengebastelt? Der Trick liegt bei LanjyA = UserForm1.Label1.Caption in vantalin. Da drin befinden sich ein 640 Zeichen langer Zeichensalat. Der Anfang sieht so aus: dne67!0d!Q16pxf6sRT77ifm, aber den Rest werde ich hier nicht dazuschreiben. Unten weiter ist der Grund erklärt.

Ich habe den Code in ein VB-Projekt kopiert, den Shell-Aufruf auskommentiert und stattdessen einen Haltepunkt gesetzt.
Bis auf die syntaktischen Anpassungen gab es noch folgende Probleme:
1. Im Code wird an manchen Stellen ein String einem Byte-Array zugewiesen (z.B. bei Vfxbovft = LanjyA). Das macht in VB.NET natürlich keinen Sinn, deshalb musste ich erst mal herausfinden, was das macht. Diesbezüglich auch Was passiert bei Zuweisung von String an Byte-Array?.
Und 2. wird in bessameat noch UserForm1.T.Left verwendet. Leider hatte ich zu diesem Zeitpunkt bereits die Datei und die E-Mail gelöscht. Deshalb musste ich raten, was das sein kann. Da ".Left" auf die Position eines Controls schließen lässt, habe ich einfach von 0 aufwärts probiert, bis was sinnvolles raus kam. Das war dann bei dem Wert 6 der Fall.
Der resultierende String in jon war dann folgender (ich habe wieder Zeilenumbrüche und Einrückung eingefügt):
Die nicht übereinstimmenden Anführungszeichen sind übrigens nicht meine Schuld
Der Ablauf ist hier folgender:
Ein Powershell-Script (A) wird gestartet. Dieses startet ein Powershell-Script (B).
(B) versucht für zensiert1, und wenn das nicht klappt für zensiert2, eine als PNG-Datei getarnte EXE-Datei aus dem Internet herunterzuladen, im Temp-Verzeichnis zu speichern und anschließend auszuführen.
Was auch immer von dieser Datei in den StandardOutput-Stream geschrieben wird, wird von (B) abgefangen und in dessen StandardOutput-Stream geschrieben.
(A) fängt das dann ab, "piped" es über den Out-File-Befehl in eine .bat-Datei hinein und führt dann diese Batch-Datei aus.

Um die User hier zu schützen (falls jemand den Code versehentlich ausführt), und um die Betreiber der betroffenen Webseiten zu schützen (könnte einen Ansturm an panischen E-Mails geben), habe ich die Domains (und den Inhalt von UserForm1.Label1.Caption) hier rauszensiert. zensiert1 gab es bereits nicht mehr (die Domain wurde nicht gefunden) und zensiert2 gab für diese Datei 404 zurück. Die Datei hieß aber in beiden Fällen "hasla.png" und befindet sich im obersten Verzeichnis. Also falls jemand einen Webserver hat, einfach mal nachgucken, ob nicht so eine Datei rumliegt.
Da die Dateien nicht mehr zu haben sind, endet mein Ausflug leider hier. Schade. Ich hätte gerne noch gesehen, welchen Batch-Code die Dateien erzeugen, bzw. was die sonst noch so machen.

Ich wusste bislang nicht, wie sehr ich an höheren Orten bekannt und beliebt bin (die allseits bekannt und beliebte Nigeria-Connection):

Attention:Beneficiary,
We have been having series of meetings for the passed 1 month now
which ended 2days ago with the Nigeria Government, with the former
Secretary-General (Mr.Ban Ki-moon) to the UNITED NATIONS Federal Reserve
Bank of New York, HSBC Bank of United Kingdom (UK) with the World Bank
Officials. This email is for all the people that have not been paid, for
their Contract/Inheritance in any part of the world,the United Nations,
Federal Reserve Bank of New York HSBC Bank of United Kingdom (UK)
Reserve Bank of Nigeria, with the World Bank officials have agreed to
compensate them with the sum of Six Million Three Hundred Thousand
United State Dollars for each victim. This includes every foreign
contractor that may have not received his or her contract sum and people
that have had an unfinished transaction, people who have inheritance to
claim or international businesses that failed due to instability of
government in some part of World.

We found your email address in our list and that is why we are
contacting you, these have been agreed upon and have been duly
signed.Therefore, we are happy to inform you that your ATM Card has been
approved and upgraded, via ZENITH BANK INT'L in your favor.Meanwhile,
your Secret Pin Number will be available as soon as you confirm to us
the receipt of your ATM CARD.The ATM Card Value is $6,300,000.00 USD
Only. You are advised that a maximum withdrawal value of US$20,000.00 is
permitted daily.And its is duly inter-switched and you can make
withdrawal in any location of the ATM Center of your choice/nearest to
you any where in the world. We have also concluded delivery arrangement
with our accredited courier service Company to oversee the delivery of
the ATM Card to you without any further delay.

Be informed that your response would be by telephone or through
email Only.Any further delay will be the pleasure of the UNRC to use
your fund to help the people who have been displaced in Darfur,Sudan
Africa which you can see it in this site savedarfur.org/ and
the Tsunami's victims in Asia. So you are hereby advice to forward to
this office Director ATM SWIFT CARD Department Therefore, you should
send him your full Name and telephone number/your correct mailing
address where you want him to send the ATM to you.Contact person
immediately for your ATM SWIFT CARD, Person to Contact Dr Nathalie
Alfred

E-mail: drnathaliealfreds@gmail.com We are working according to the
constitution binding this committee as well as helping the less
privilege through this means.You will be required to contact the above
mentioned institution via telephone or email.Hoping to hear from you as
soon as you receive your ATM Card.

(1)Your Full name & Address To Deliver The Card....................................

(2)Contact Phone Number............................

(3)Current Occupation..............................

(4)Marital Status..............................

(5)Sex...................................

(6)Age........................

(7)Scan copy of your Working ID/ Int'l Passport.............................



Best Regards,

Mr Issam Saud Khalil

Solche dinger hab ich täglich im Kasten.
Einfach nen Spaß daraus machen und antworten ein wenig unsinn schreiben -
diese leute schreiben sogar zurück. so kann man die ein wenig ärgern / mit denen Zeit verschwenden

xChRoNiKx schrieb:

nen Spaß daraus machen und antworten

... und ganz nebenbei die Mail Adresse verifizieren. Voll nett von dir

Ist nur ne Spam Adresse

Scamalot:
youtube.com/playlist?list=PLSKUhDnoJjYmeW6nNasZSaVAGh4u91pEk