Discovering Scam and Spam

Der allgemeine Blog von Hurtiger

Mail via Wordfile Docx

Scammermail in einem Word-Dokument verpackt
Posted at — Oct 20, 2019

Seit einiger Zeit erhalte ich Mails, die ausschließlich ein PDF- oder ein Worddokument als Inhalt, also als Anlage, haben. Das sieht dann so aus:

Wer von fremden Personen Worddokumente, oder auch andere Dokumente aus Microsoft-Office-Programmen, erhält, ist gut beraten, diese nicht zu öffnen. Sie können Schadsoftware enthalten (Makros, VBA-Code), die dann den Computer infizieren und sogar unbrauchbar machen könnten. Auch die PDF-Dokumente sind mit großer Vorsicht zu genießen. Auch darin könnte sich Schadsoftware verstecken.

Nun bin ich nicht mit Windows unterwegs, sondern setze allgemein auf eine Alternative aus dem Open-Source-Bereich. Da hat die Gefahrenwelt, in der Microsoft sich bewegt, keine allzu großen Chancen.

Ein Worddokument ist nichts anderes wie ein XML-Dokument, welches gepackt ist. Will man es entpacken, kann man das durchaus bewerkstelligen. Den Inhalt kann man sich vorher anzeigen lassen:

Nach dem Entpacken kann man sich die einzelnen Dateien dann in Ruhe anschauen. Natürlich sind sie nicht alle selbstsprechend, was den Zweck anbelangt, und das Lesen wird auch durch Steuerzeichen und anderen Programmcode erschwert. Die Dateistruktur aus dem Worddokument sieht wie folgt aus:

Das wohl wichtige Dokument ist die Datei document.xml. Darin ist u.a. der Text enthalten, der für den Empfänger, also mich, bestimmt ist. Das sind dann so aus:

Wie oben bereits angedeutet, ist das nicht so gut leserlich. Aber wenn man den Inhalt strukturiert durchgeht, ist folgender Text zu entnehmen:

Hi, how are you doing? I’m hope your mood the today fine. Best weather gives a lot of happiness. And if today I’m see your letter, my day will be the good. I’m was glad when received your Mail on web site. Also decided to write to you. I am hope to receive your answer and also your pics. My fotos made you happy? My nationality Russian, but I madly like to to get acquainted. Also I am want to search the love. It does not frighten you? You can ask me, that you interests all. I will be very glad if we continue to communicate further. The distance will not be a barrier? of course there is a desire to treat you with pleasant glass wine. You have a desire to walk together?

Interested? Please write ONLY to my regular mail box: alemusya@gmail.com

I am will wait for your letter. gentle kiss. your Alenka.

Und wie zu erkennen ist, ist auch ein Bilddokument enthalten. Das Bild zeigt eine junge hübsche Frau, die, wie wir ja wissen, mit dem versuchten Scam nichts zu tun hat. Dieses Bild ist höchstwahrscheinlich irgendwo gestohlen worden:

Die vielen anderen Dateien sind für den weiteren Fortgang des Scamversuches nicht von Bedeutung.

Es stellt sich aber die Frage, warum der Scammer in dieser Form an sein Opfer herantritt. Ein Grund kann sein, dass er Schadsoftware mitliefern möchte, um Zugriff auf die Systeme seines Opfers nehmen zu können oder dessen Mailkonto zu knacken.

Ein weiterer Vorteil für den Scammer ist, dass der eigentliche Mailtext und das Bild sowie die Mailadresse, die später durch das Opfer angeschrieben werden soll, nicht sofort gesehen werden kann. Mögliche Filterregeln laufen hier ins Leere. Es sei denn, man Filter die leeren Mails heraus, da man weiß, dass es sich um Scammails handelt.

Der gewöhnliche User, der nur einen Partner finden möchte und von Scammern keinerlei Ahnung hat, wird also wahrscheinlich keine Filterregeln haben. Zudem versagen durch das Verpacken der Mailadressen und Bilder die Filterregeln der Mailprovider, die mit ihren unausgereiften Anit-Spamrobotern keine Chance haben. So kommen die Mails auf jeden Fall beim potenziellen Opfer an, sofern keine Mailadressen zum Versand genutzt wird, die nicht auf einer Blackliste stehen. Und dafür werden Mailkonten sehr gerne von Scammern gehackt, um sie dann für ihre Betrugszwecke einzusetzen.