Monatsarchiv für Mai 2013

Zahlungseingang

Donnerstag, 23. Mai 2013

Gefälschter Absender ist miriam (punkt) bastien (at) sympatico (punkt) ca, eine vor allem sprachlich hoch qualifizierte Spammerin.

guten Morgen

Mein Name ist Miriam, ich war von meinem Chef gebeten, senden Sie die Zahlung schon frьher gemacht heute.

Entnehmen Sie bitte beigefьgtem Slip [sic!] fьr Zahlungsbestдtigung.

Sie bestдtigt den Eingang der Zahlung geleistet worden.

Miriam Bastien

Ohne Worte zum „Inhalt“.

Der Anhang… sorry… der „begefügte Slip“ ist natürlich wie üblich ein ZIP-Archiv mit aktueller Schadsoftware, die von gut der Hälfte der gängigen Antivirus-Produkte noch nicht erkannt wird. Aber wer diese Mail nicht sofort und unter lautem Lachen gelöscht hat, dürfte sowieso schon längst einen mehrfach mit Trojanern der russischen Mafia verseuchten Computer auf dem Tisch stehen haben…

Die Firma braucht einen Partner fur Organisation der Lieferungen aus Auktionen.

Donnerstag, 23. Mai 2013

So so, „die Firma“, wie passend…

Der Gleichordnung Manager fur Warenverteilung.

Der was?!

Die auslandische Firma (UK), deren Arbeitsbereich des Unternehmens umfasst internationale Lieferung von Waren, sucht Bewerber fur die Stelle der Gleichordnung Manager der Warenlieferungen.

Die Firma, die keinen Namen hat, hat auch keine Bewerber, die gern Muli spielen würden, damit sie schön viele Polizisten, Staatsanwälte und Richter kennenlernen. Deshalb muss sie spammen. Einfach Warenlieferungen auf eigene Adresse empfangen und an andere Adressen (meist im schönen, großen Russland) weiterleiten, bezahlt wird das gelieferte Zeugs niemals, die Strafanzeige wegen Betruges kommt auf dem Fuß. Niemals selbst die Frage stellen, warum das nicht direkt gehen soll!

Anforderungen:
– Sicherer Umgang mit Microsoft Office, Mail, Internet.
– Alter von 20 bis 55 Jahren.
– Das Gehalt: von 1000 Euro + Bonus.

Können muss man dafür nichts. Erfahrung benötigt man dafür keine.

Wenn unser Angebot ist interessant fur Ihnen, erwarten wir Ihren Lebenslauf auf unser E-Mail hr (at) everydayrecruitment (punkt) com

Bitte nicht an die Absenderadresse antworten, die ist gefälscht.

Mit freundlichen Gruben [sic!]
Kevin Chandter
HR Department
Everyday Recruitment Agency Ltd

Mit Gruß aus der Grube. Fallen sie schön rein!

Dank an W.M. für das heitere Zustecksel aus der Spamhölle, aber vor diesem Meisterwerk der dadaistischen Spamprosa konnte ich mich heute selbst kaum noch retten…

Weißt Du, dass Du jeden Tag Kunden verlierst?

Mittwoch, 22. Mai 2013

Eine Mail von Peter Knopp Ich könnte hüpfen vor Freude! Peter Knopp hat sich einen neuen Text für seine Spams ausgedacht. Das war nach mehreren Wochen mit dem immer wieder gleichen Text (auch gern mal mit einem anderen Namen) auch mal fällig, mir ist langsam schon nichts mehr zu dieser Stümperei mit der geistlosen Penetranz einer chinesischen Wasserfolter eingefallen.

Und nein, ganz vergessen wollte ich diese Müllmails vom Müll-SEO denn doch nicht. Wie ich sehe, war das nicht unnötig, denn seine Spam ist mittlerweile viel besser geworden und in dieser Form durchaus dazu geeignet, dass schlichtere Gemüter auf den Beschiss reinfallen könnten. Von daher kann ich nur empfehlen, hier mal den Links zu folgen, um anhand früherer Versionen der gleichen Spam-Masche einen Einblick in die Entwicklung zu bekommen. Was sich nicht hier auf Unser täglich Spam befindet, fand seinen Niederschlag im Forum des Antispam e.V., das ich generell nur warm empfehlen kann.

Übrigens hat der Müll-SEO auch nach vielen Wochen endlich verstanden, was der Unterschied zwischen einem griechischen Beta und einem deutschen „ß“ ist. Und ich hatte mich schon so über die einfache Filterregel gefreut. Vermutlich liest „Peter Knopp“ hier mit und hat am 14. Mai den Tipp bekommen, welche Entity man in einer HTML-formatierten Müllmail verwenden muss, um ein „ß“ in den Text zu bekommen.

Weißt Du, dass Du jeden Tag Kunden verlierst?

Hey, Spamempfänger, ich hab keine verdammte Ahnung, wer du bist. Deshalb komme ich ohne so einen Anredequatsch sofort zur Sache. Die „Du“-Form halte ich in so einem Kontext für besonders geeignet, mein Deutschexperte hat mir gesagt, dass sie geschäftsmäßige Seriosität ausstrahlt. So weißt du gleich, das ich ein richtig ernstzunehmender… na, weißt schon… bin.

Warum erlaubst Du, dass die Personen, die Dienstleistungen suchen, die Du anbietest, die Angebote der Konkurrenz in Anspruch nehmen – liegt Dir nicht daran, dass diese Personen zu Dir kommen?

Und weil ich keine Ahnung habe, wer du bist, weiß ich natürlich auch nicht, was du machst. Ich bin eben ein asozialer, aufdringlicher Spammer. Deshalb spreche ich in größtmöglicher Allgemeinheit von „Dienstleistungen, die du anbietest“. Meinem Angebot ist es nämlich gleichgültig, ob es um die Perforation von Kondomen, den Verkauf von Tinnef oder das situationsbezogene Ablassen von Bullshit geht, es ist für jedes Geschäft gleichermaßen wirkungslos. Um das zu unterstreichen, schreibe ich so ziemlich jede Mailadresse an, die ich in meiner schwarzgehandelten Datenbank gefunden habe. Oder genauer: Ich lasse das ein Skript erledigen. Ob die Leute eine persönliche Homepage haben, auf der sie über ihre Erfahrungen mit der Aufzucht und Ernährung von japanischen Mäuseflöhen schreiben, oder ob es sich um die typischen Hungerkaufleute des Web handelt, spielt für mich keine Rolle. Ich schieße mit Schrotmunition auf E-Mail-Fächer. Irgendeine Spam trifft immer auf ein gläubiges, unerfahrenes Opfer, und davon lebe ich.

Was glaubst Du, wie viele Personen suchen pro Monat einen Hundefriseur? Glaubst Du, dass es 53 000 Personen sind? Ein Hotel in Wiesbaden – 6400 Personen, Malen der Wände [sic!] – 79 000 Personen.

Da ich dich gar nicht weiter mit irgendwelchen Sach- und Lachgeschichten aus dem Kopfödland meiner ganz besonderen Qualifikation langweilen will, tue ich mal so, als würde ich bei Google direkt an der Leitung stehen und nenne irgendwelche Zahlen, wie viele Leute bei Google einen Hundefriseur, ein Hotel oder das Bohren der Nase auf der Suche nach dem Hirn suchen könnten. Ich weiß diese Zahlen natürlich auch nicht. Niemand außer Google (und mutmaßlich der eine oder andere Geheimdienst der USA) weiß solche Zahlen. Damit du mir auch weiterhin auf den Leim gehst, wenn ich solches Blendwerk aufrichte, gebe ich dir natürlich nicht den Tipp, am Google-Programm für Webmaster teilzunehmen, um einen Eindruck davon zu bekommen, welche Suchbegriffe zu deiner Site führen und in wie vielen Prozent der Fälle ein Google-Suchergebnis zu einem Klick führt.

Hör auf damit Kunden zu verlieren und fang an damit, sie zu deiner Firma zu ziehen.

Damit du auch bemerkst, was ich bei aller Ahnungslosigkeit doch für ein total kompetenter Kaufmann bin: Menschen, die niemals deine Kunden gewesen sind, hast du als Kunden verloren. Denn dir steht es zu, dass jeder Mensch dein Kunde ist. Und jetzt zieh noch eine Line Koks durch die Nase!

In etwa 80 – 90 % aller Fälle gelangen die Kunden über die Google-Suchmaschine auf die Webseiten.

Ich nenne übrigens noch ein paar lustige Zahlen. Zum Beispiel über den Prozentsatz der Leute, die Google auf eine Website spült. Das sollen bis zu neunzig Prozent sein. Du darfst jetzt nur niemals damit anfangen, mit freien und kostenlosen Hilfsmitteln die Logdateien deines Webservers auszuwerten, um zu sehen, wie es in Wirklichkeit aussieht (hier die zwanzig häufigsten am Beispiel von „Unser täglich Spam“ für dem Monat Mai mit Stand vom 22. Mai, 3:35 Uhr aufgezeigt¹):

Die zwanzig häufigsten Referer von Unser täglich Spam, zusammen mit ein paar Spamreferern in der Liste

Die Feststellung, dass nicht einmal zwei Prozent deiner Seitenbesucher über eine gezielte Google-Suche kommen, und dass Spamreferer teilweise häufiger sind als Google-Suchen aus dem deutschsprachigen Ausland, während die Mehrzahl der Besucher direkt auf die Site geht, entlarvt das Blendwerk sehr schnell als Blendwerk. Viel wichtiger als jeder SEO-Hokuspokus ist es in Wirklichkeit nämlich, Inhalte und Angebote zu haben, die Menschen dazu bringen, immer wieder einmal vorbeizuschauen.

Die überwiegende Mehrheit der Personen, die per Schlüsselwörter suchen, beenden Ihre Suche auf der ersten Seite der Ergebnisse (spätestens nach der 10. Position).

Nach so viel Lügen schreibe ich jetzt mal etwas Wahres. Wenn man jemals eine Leiche so verstecken will, dass sie nicht gefunden wird: Die zweite Seite eines Google-Suchergebnisses ist eine gute Wahl.

Unsere Hilfe beruht auf die einmalige Korrektur des Quellenkodes [sic!] der Webseite [sic!] unter Aufrechterhaltung des bisherigen Inhaltes und des Aussehens.

Was ich von dir will: Gib du mir Geld und lass außerdem einen kriminellen Spammer auf einem von dir verantworteten Webserver herumfuhrwerken. Glaub mir, ganz großes Spammerehrenwort, ich will nur dein Bestes und will nicht nebenbei den von dir verantworteten Webserver zum Bot für die Spammer umgestalten.

Deine Internetseite wird benutzerfreundlicher [sic!] und lesbar für die Suchmaschinen [sic!] (insbesondere für Google). Der Effekt ist die Erhöhung Deiner Webseite [sic!] auf die ersten 10 Positionen [sic!] der Suchmaschine bei Benutzung aller wichtigsten branchenüblichen Schlüsselwörter.

Damit du das tust, verspreche ich dir jede Menge haltloses Zeug. Zum Beispiel wird deine eine Seite – was der Unterschied zwischen einer Site und einer Seite ist, habe ich Spezialtechniker nämlich immer noch nicht verstanden – dann lesbar für die Suchmaschinen und nimmt dort gleich alle zehn ersten Positionen ein. Was die „wichtigsten branchenüblichen Schlüsselwörter“ sind, überlasse ich dabei erstmal deiner Vorstellung.

Die Korrektur des Quellencodes führen wir innerhalb von 5 Tagen nach der Erteilung des Auftrages durch. Die Ergebnisse werden in der Suchmaschine innerhalb von 2 Wochen nach der Beendung der Arbeiten sichtbar sein.

Die Korrektur ist ein einmaliger Prozess und dementsprechend sind die Kosten der von uns durchzuführenden Arbeiten auch einmalig zu leisten, ohne dass man einen Abonnement-Vertrag unterschreiben soll.

Also sei schon so doof, dass du einem kriminellen, aufdringlichen Spammer Geld dafür gibst, dass er auf Seiten und Servern rummachen darf, die von dir juristisch verantwortet werden!

Wir laden Sie auf unsere Webseite ein:

http://www.seo-pos.net/

Obwohl wir ganz große hokus pokus Google-Zauberer sind, setzen wir für die eigene Werbung lieber auf asoziale und illegale Spam. Das nennen wir dann eine „Einladung“. Unsere eigene Site ist auch nicht besonders beständig, sondern wird alle paar Tage unter einer anderen URL neu eingerichtet. Die aktuelle Domain haben wir zum Beispiel seit gestern, 17:15 UTC, und natürlich ist sie anonym registriert worden, denn wir wollen ja nicht ins Gefängnis gehen, sondern weiterhin von Spam und Betrug und Betrug und Spam gut leben und dabei viel Geld für Koks und Nutten ausgeben.

Mit freundlichen Grüßen
SeoPosition
Peter Knopp

Mit aufdringlicher, mechanischer Freundlichkeit
Dein Spammer

(Solltest du auf diese Spam nicht reagieren, ist mir das auch egal. Du bekommst noch ganz viele davon. Mich kostet das fast nichts, und dich kostet es nur ein bisschen Arbeit und Nerven.)

http://www.seo-pos.net/

Und nicht vergessen: Wir sind jetzt nicht mehr…

…sondern mal wieder etwas anders. Unsere Domains wechseln, unser Bullshit bleibt.

Wenn Sie unseren Newsletter abbestellen möchten, klicken Sie bitte hier.

Wenn sie noch mehr Spam haben wollen, teilen sie dem Spammer bitte mit, dass die Spam auch ankommt, gelesen wird und dass sie sogar reinklicken, statt sie einfach zu löschen. Das hat Folgen. Fünfzig bis hundert jeden Tag. Oh sorry, jetzt bin ich ja versehentlich von anzüglichen „Du“ ins formelle „Sie“ gewechselt. Glauben sie mir, es ist nicht einfach, in einer Sprache zu schreiben, die man nicht wirklich beherrscht.

Quelle des oben verwendeten Bildes mit dem Facepalm am Schreibtisch: Wikimedia Commons, Urheber: LaurMG, Lizenz: CC BY-SA 3.0

¹Zwei technische Anmerkungen: Die Leser, die ein Browser-Plugin zum Verbergen des Referers verwenden, fließen ebenso in die 50 Prozent direkter Anfragen ein wie alle Bots und die hier recht vielen Nutzer eines Feedreaders. Und die meisten Google-Besucher suchen hier nach Phrasen oder Namen aus einer Spam, die sie gerade erhalten haben. Häufigster Suchbegriff ist zurzeit übrigens „maren kubicki“, die nette Datensammeltante der Spammer. Wer sich dafür interessiert: Ich verwende für meine übersichtsartigen Auswertungen der Server-Logs den inzwischen sehr angestaubten Webalizer, den ich gerade wegen seiner altmodischen Ansätze nur empfehlen kann. Wer auf externe Zähl- und Statistikdienste verzichtet, tut übrigens auch etwas für den Datenschutz seiner Besucher.

Reservierung [70976609], Tue, 21 May 2013 12:28:04 +0100

Dienstag, 21. Mai 2013

Die Nummern, das Datum und die Uhrzeit wechseln, der (gefälschte) Absender ist immer hotel (punkt) de (at) hotel (punkt) com. Natürlich handelt es sich nicht um eine Reservierung, sondern um einen Versuch, den Computer mit Schadsoftware zu übernehmen. Die Betreiber der Website hotel.de haben damit nichts zu tun, ihre Reputation und ihre Firmierung werden gerade von Kriminellen missbraucht. Ich lege den Betreibern nahe, einen deutlichen Hinweis auf die laufende Spamwelle auf der Startseite ihrer Website zu platzieren, um diesen Sachverhalt klarzustellen und um Schäden von ihren Nutzern abzuwenden. Wenn sich in der Untätigkeit der Betreiber der Website zeigt, dass es ihnen gleichgültig ist, ob ihre Nutzer zu Schaden kommen oder nicht, würde das von mir, so ich dort Nutzer wäre, als Aufforderung verstanden werden, dort besser nicht länger Nutzer zu bleiben.

Besondere Beachtung verdient das Datumsformat im Betreff. Der Spammer war scheinbar zu faul, es gut zu machen und mit strftime() ein ansprechendes Datumsformat zu erzeugen, stattdessen hat er einfach die von asctime() erzeugte Zeichenkette in seine Müllmail übernommen. Das sieht im Ergebnis natürlich ein bisschen peinlich aus, vor allem, weil da noch die Zeitzone als Versatz zur UTC mit angegeben ist, so dass der Leser noch eine Stunde aufaddieren müsste, um die angegebene Zeit korrekt zu lesen. Aber wenn ein Spammer sich Mühe geben würde, könnte er ja auch gleich arbeiten gehen…

Reservierung

Reservierung von was? Von einem Tisch im Restaurant? Von einem Plüschtier beim Spielwarenhändler? Von einem Sitzplatz im ICE?

Buchungsnummer: ND7086871
Buchungsdatum: Tue, 21 May 2013 12:55:04 +0100

Mehr Details in der beigefugten Datei

So so, „beigefugt“. Dazu später noch eine Kleinigkeit.

Anreise: 20.06.2013
Anzahl Nächte: 1
Abreise: 21.06.2013
Gesamtanzahl Personen: 1
Preis: 94,72 EUR

Der Gesamtpreis beinhaltet 1,54 EUR Steuern und Abgaben.

Tja, und wo soll das nun sein? Das ist ja keine ganz unwichtige Information…

Aber es muss in einem tollen Land sein, in dem nur etwas mehr als 1,5 Prozent „Steuern und Abgaben“ fällig werden. 😉

Hinweis: Diese Buchung ist per Bankkarte gesichert.

Bei welcher Bank? Welche Nummer steht auf der Karte? Ach!

Wie üblich bei derartigen Mails der organisierten Internet-Kriminalität steht im Text der Mail keine wirkliche Information, sondern nur ein kleiner Schocktext, dass gerade fast hundert Euro ausgegeben wurden, ohne dass man überhaupt weiß, wofür. Oder an wen, denn es fehlen ja auch sämtliche Hinweise zum Empfänger des Geldes.

Mit diesem psychologischen Hebel sollen Menschen in eine gewisse Panik versetzt werden, damit sie den Anhang öffnen.

Ebenfalls üblich ist es, dass der Anhang ein ZIP-Archiv ist. Darin liegt eine Datei mit der Dateinamenserweiterung .pdf.exe, also kein Dokument, sondern eine ausführbare Datei für Microsoft Windows. Wer versucht, dieses vorgebliche Dokument zu öffnen, startet Software von Kriminellen auf seinem Computer und hat hinterher einen Computer und eine Internetleitung anderer Leute auf seinem Tisch stehen, und diese anderen Leute werden gewiss Anwendungen dafür finden, die sich niemand wünschen kann.

Wer sich auf Virenscanner verlässt, ist ebenfalls wie üblich verlassen. Die Schadsoftware wird zurzeit von zwei Drittel der Programm nicht als solche erkannt.

Zum Glück ist es zum Ausgleich dafür für einen Menschen recht einfach, die Mail als Spam zu erkennen und sie ohne langes Nachdenken zu löschen. Hier noch einmal die inhaltlichen Schwächen dieser Spam in weniger humorvoller Form:

Unpassende Absenderadresse
Obskurer Betreff ohne Information
Obskure, für Menschen in dieser Form sinnlose Zeitangabe
Kein Hinweis, wer hier überhaupt schreibt
Keine persönliche Ansprache
Keine kurze Beschreibung, um was es überhaupt geht
Seltsame Sprache in der Beschreibung eines Mailanhanges, ergänzt um den Rechtschreibfehler im Wort „beigefugt“
Wer aus dem spammigen Gestammel erahnt, dass es um ein reserviertes Hotelzimmer geht, darf sich darüber wundern, dass nicht beschrieben ist, welches Hotel an welchem Ort es sein soll
Absurde Größenordnung von „Steuern und Abgaben“
Keine Grußformel
Keine angegebene Kontaktmöglichkeit für Rückfragen
Keine Angabe der Bank, mit deren Karte die Buchung angeblich gesichert sei
Keine Angabe der Nummer auf der „Bankkarte“
Angehängtes Dokument in einem ZIP-Archiv
Dateiname mit Endung .pdf.exe

Bei einer solchen Häufung von Merkmalen aus miesen Spamnummern sollte also kaum jemand auf diesen Versuch reinfallen.

Aber auch bei besser gemachten Spams kann ich es wegen der puren Menge der momentan so verabreichten Schadsoftware nicht oft genug sagen: Nicht vereinbarte Anhänge in E-Mails stinken. Das gilt besonders, wenn es sich um ein angebliches Dokument in einem ZIP-Archiv handelt, in dem man die Details erfährt, die im Text der Mail verschwiegen werden. Es gibt keinen sachlichen oder technischen Grund, so vorzugehen, es erhöht ganz im Gegenteil sogar die Wahrscheinlichkeit von Missverständnissen und damit den Aufwand im Kundendienst. Niemand, der im Internet geschäftlich tätig ist, würde das also tun.

Deshalb: Derartige E-Mails mit Anhang immer löschen, ohne sich den Anhang anzuschauen – und zwar insbesondere, wenn sich der Anhang auch noch in einem ZIP-Archiv befindet! Immer daran denken, dass der sichtbare Absender der Mail beliebig gefälscht werden kann! Und vor allem: Niemals blind auf Virenscanner vertrauen, sondern vor jedem Klick das Gehirn einschalten!

Ihre Bestellung bei otto wurde versand

Dienstag, 21. Mai 2013

Der (gefälschte) Absender dieser Mail ist versand (at) otto (punkt) de, aber diese Mail kommt selbstverständlich nicht von der Otto GmbH & Co KG aus Hamburg, sondern von einem Idioten

versandstatus einsehen unter folgendem link:

http (doppelpunkt) (doppelslash) track (punkt) yoomedia (punkt) de (slash) t (strich) mail (punkt) php (fragezeichen) id (gleich) xxxx (ampersand) sid (gleich) xxxx

[Natürlich habe ich die IDs entfernt]

Hey, Spammer,

da hast du so eine tolle Idee gehabt! Einfach ein paar hunderttausend Drecksmails rausschleudern, die so tun, als kämen sie von einem Versandhaus, das weder mit der Groß- und Kleinschreibung klar kommt, noch das Perfekt des Verbs „versenden“ bilden kann – obwohl du dafür gleich zwei Möglichkeiten hattest, hast du dir eine dritte ausgedacht) – noch irgendeine Ansprache von Kunden hinbekommt. Da wolltest du denn Links reinpacken, die dir Klickercents einbringen, wenn jemand trotz deiner hingestümperten Drecksmail darauf klickt, weil er glaubt, seine nicht bestellte Bestellung ohne nähere Bezeichnung sei unterwegs.

Das hätte soooo viel Geld geben können!

Was für ein Jammer für dich, du armes, ungeliebtes Krepelchen, dass Yoomedia deine Beschissnummer nicht mittragen wollte und deine Klick-mich-reich-Seite einfach weggemacht hat. 😀

Das muss wirklich hart sein, wenn man so alleingelassen wurde.

Du brauchst dringend Trost. Mein Tipp: Such dir einen Freund, der zu dir passt und dich niemals mehr allein lässt, zum Beispiel eine tote Ratte, schließ dich mit deinem neuen Freund in ein dunkles, trauriges Loch ohne Internet ein und schmeiß den verdammten Schlüssel weg! Die besseren Zeiten für dich kommen ganz von alleine…

Dein dich „genießen“ müssender
Nachtwächter

electronic cigarette starter kit

Samstag, 18. Mai 2013

Wer nicht genug Spam in seinem E-Mail-Postfach hat, muss einfach ein Blog oder eine Website mit Kommentarfunktion aufmachen… das gibt jeden Tag mehrere hundert erfrischend geistlose „Kommentare“ von Leuten, die von ihrer Mutter ganz komische Namen bekommen haben.

Name: electronic cigarette starter kit
Homepage: Seite bei answers (punkt) yahoo (punkt) com
IP-Adresse: IP eines Hosters aus den USA¹

Heya i am for the first time here. I came across this board and I find It really useful & it helped me out much. I hope to give something back and help others like you aided me.

Das ist doch „schön“, dass du das erste Mal hierhergekommen bist und gleich einen Spamlink auf eine Spam in den Diskussionsforen bei Yahoo hinterlegen musst. Allerdings scheinst du ein sehr kurzes Gedächtnis zu haben, denn die Suche nach deiner charakteristischen IP-Adresse fördert etliches mehr von dir zu Tage, das du nur wenige Minuten zuvor in die Kommentare gemacht hast. So etwas zum Beispiel:

Name: electronic cigarette starter kit
Homepage: Seite bei answers (punkt) yahoo (punkt) com
IP-Adresse: Die selbe IP eines Hosters aus den USA

Hello, after reading this amazing paragraph i am as well cheerful to share my know-how here with colleagues.

Ich kann ja verstehen, du Idiot von Spammer, dass du nicht darauf achtest, auch nur die richtige Sprache zu treffen, wenn du einfach deine Dreckslinks in das Internet pustest. Warum solltest du auch. Du machst ja in deinem Spamgeschäft auch alles bunt durcheinander:

Name: oxycodone
Homepage: oxycodone.fotopages.com
IP-Adresse: Die selbe IP eines Hosters aus den USA

Good site spam.tamagothi.de. which browser you prefer to use? (ie, firefox or goole chrome) advanced occupational medicine specialists [url=http://oxycodone.fotopages.com/#qskyyizok]buy 30mg oxycodone online no prescription[/url] buy health insurance new york

Hervorragende Idee! Wenn die E-Zigarette zu spät gekommen ist und man schon unter fürchterlichen Schmerzen an Krebs verreckt, hat der Spammer auch wirksame Opiate für die Schmerztherapie im Angebot, die er gleich verlinkt – diesmal allerdings nicht auf einem Spameintrag in einem Yahoo-Forum, sondern auf einem Spameintrag bei einem kostenlosen Anbieter von Fotoseiten.

¹Die Abuse-Mail ist schon draußen. In den USA gehen die Hoster in der Regel sehr schnell vor, wenn man solchen Missbrauch meldet. Vermutlich wird der spammige Skriptapparat demnächst auf einen anderen mit gephishter Kreditkarte bezahlten und der Identität eines anderen Menschen gekauften Server aufgespielt. Enden wird das Ganze vermutlich erst, wenn die Giftapotheker ihre Giftpillen selbst fressen müssen.

RechnungOnline Monat April 2013

Donnerstag, 16. Mai 2013

Ein wichtiger Hinweis vorweg: Diese Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de kommt nicht von der Telekom Deutschland GmbH, sondern von Verbrechern. Sie kommt übrigens auch bei Leuten wie mir an, die mit der Telekom nichts zu tun haben.

Auf die Übernahme des sehr aufwendigen Layouts dieser HTML-Mail habe ich verzichtet. Es ist identisch mit dem Layout, das bei der ersten Version dieser Betrugsnummer im Februar dieses Jahres verwendet wurde. Hier nur ein kurzes Zitat des eigentlichen Textes:

Ihre Rechnung für April 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat April 2013 beträgt: 46,43 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

Diese Mail hat einen Anhang. Es handelt sich um ein ZIP-Archiv. Darin befindet sich eine Datei mit der Dateinamenserweiterung .pdf.exe, also eine ausführbare Datei für Microsoft Windows, bei der die Absender mit einem alten Trick versuchen, den Eindruck zu erwecken, es handele sich um ein PDF-Dokument. Wer diese Datei auf einem unter Microsoft Windows laufenden Rechner mit einem Doppelklick öffnet, führt dadurch – egal, was geschieht, ob es Fehlermeldungen oder sonst etwas gibt – Code von Kriminellen auf seinem Rechner aus und hat hinterher einen Computer und eine Internetleitung anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit nur von etwas mehr als einem Fünftel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist also in vielen Fällen verlassen gewesen.

Für Hinweise zum wirkungsvolleren Selbstschutz verweise ich auf meinen Text aus dem Februar. Insbesondere kann ich nur dazu auffordern, so lange bei der Telekom Deutschland GmbH nachzufragen, warum sie nicht dazu imstande sei, digital signierte E-Mail zu versenden, bis es dort zum allgemeinen Einsatz dieser einfachen Sicherheitsmaßnahme kommt, die den Absender einer Mail jenseits vernünftiger Zweifel sicherstellt und damit den Auftritt unter falscher Identität in einer Mail erschwert. So lange große Unternehmen ihre Mail nicht digital signieren und damit dermaßen plumpe Überrumpelungen ermöglichen, kann man diesen Unternehmen nur zurufen: Ihr seid selbst die Spam, ihr seid das Botnetz, ihr seid der Betrug und ihr seid in eurer seit Jahren anhaltenden Dummheit und Trägheit fördernder Teil der organisierten Kriminalität.

INTERNATIONALE LOTTO KOMMISSION

Donnerstag, 16. Mai 2013

Warum habe ich eigentlich nie Geld, wenn ich doch immer bei diesen tollen Lotterien ohne Losverkauf Gewinne abstaube – und zwar niemals irgendwelchen Pfennigkram, sondern immer nur die dicken Millionen…

Und das gleich dreimal. Auf drei verschiedenen Mailadressen. Aber immer mit gleichen „Losnummern“.

INTERNATIONALE

LOTTO
KOMMISSION

So international, dass da sogar eine Leerzeile mit rein muss!

Head office: C/ Caracas de Mayor #4-9,
28096, Madrid, Spain/España. DATE:
15-05-2013
INTERNATIONALE PROMOTIOM [sic!] -GEWINNZUTEILUNG
OFFIZIELLE MITTEILUNG:
REFRENZ NR. OKM/777/ESP/13
REIHE NR. ES/12/0013 DE

Nach dem „DE“ stand eine kleine Ansammlung von ca. 200 sinnlosen Leerzeichen, die einen Umbruch der Zeile verursacht hat. Ich vermute, dass das im Vorlagentext dieses freundlichen Vorschussbetrügers nach der Bearbeitung durch einige seiner „Kollegen“ weitere solcher fast unsichtbaren Schwächen waren und dass es deshalb bei der Überarbeitung auch zu den völlig unsinnig aussehenden Zeilenumbrüchen gekommen ist.

estrella (punkt) guros (at) yahoo (punkt) es

Wer würde in diese Mailadresse kein Vertrauen haben?

OFFIZIELLE GEWINNBENACHRITIGUNG [sic!]

Moment, eine solche „Nachrite“ hatte ich doch schonmal, oder? Damit ist die Vorlage ja klar, und weil der Spammer zu faul und zu unfähig war, peinliche Fehler zu korrigieren, hat er einfach nur ein paar Datumsangaben und Mailadressen ausgetauscht. Und den Namen der angeblichen „Sicherheitsfirma“. Und dann hat er wie üblich ein paar hunderttausend Spams angestoßen, um überall die frohe Kunde zu bringen, man sei fast Millionär geworden.

Na gut, dann erspare ich mir hier mal die Kommentare, die ich schon geschrieben habe und lasse das Meisterwerk eines unbekannten Autors in seiner ausgewogenen Komposition aus Text, Inhalt und Formatierung in seiner rohen Form wirken.

Wir sind erfreut ihnen mitteilen zu können, die Gewinnliste LOTTO PROGRAMM
am 02/ 03 / 2013 erscheint ist [sic!],EUROMILLONES DE LA PRIMITIVA SWEEP-STAKE
LOTTERY INTERNATIONALEN PROGRAMM FAND IM MADRID SPANIEN (vorbei
Co-organisiert World Tourism Organization/Spanish Ministerio de Tourismo).
Aufgrund vermischt mit den Namen und E-mail das Resultat kamen am
26/04/2013 heraus. [sic!] Die Offizielle Liste der Gewinner erschien am
09/05/2013. Ihr Name wurde auf dem Los mit der Karte nummer: 5102-8010 und
mit der Seriennummer: 2113-05 registried. Die Glücksnummer: 53404, Sie
haben in der zweite (2) kategorie gewonnen.

Immerhin, zwei Dinge hat der Betrüger bei seiner Überarbeitung verbessert. Er kann jetzt deutsche Umlaute (und hat nicht mehr lustige kyrillische Zeichen drin), und er hat sich eine „Begründung“ einfallen lassen, warum man hier ohne Los gewinnen kann, die in der vorherigen Version der Masche fehlte: „Aufgrund vermischt mit den Namen und E-mail das Resultat kamen am 26/04/2013 heraus“. Vielleicht lässt er das nächste Mal sogar seinen deutschen Text von jemanden schreiben, der auch etwas Deutsch kann…

Oh, habe ich gerade die Umlaute gelobt?

Sie sind damit Gewinner von €937,500.00, (Neunhundert und sieben und
dreißig tausend fünfhundert Euros), im Bargeld [sic!] genehmigt worden, das zur
Akte TKZ gegutschrieben [sic!] wird, REFRENZ NR. OKM/777/ESP/13 u. REIHE NR.
ES/12/0013/DE. Die summe ergibt sich aus einer Gewinnausschuttung [sic!] von
€19,687,500,00 (NEUZEHN MILLIONEN SECHSHUNDERT SIEBEN UND ACHTZIG TAUSEND
FUNFHUNDERT.) Die summe wurde durch 17 gewinnern aus der glieichen [sic!] kategorie geteilt.

Wir merken uns. Wenn 19.687.500 durch 17 teilt, kommt da nicht etwa wie mit jedem Taschenrechner dieser Welt 1.158.088 heraus, sondern 937.500 – so eine Spamlotterie, die regelmäßig mit Millionenbeträgen umgeht, versteht ja schließlich etwas vom Rechnen.

Was der Unterschied zwischen Punkten und Kommas in Ziffernfolgen ist, lernt der Spammer vielleicht bei der nächsten Aufführung dieser Masche. Vielleicht aber auch nicht.

HERZLICHEH [sic!] GLÜCKWUNSCH! HERZLICHEN
GLÜCKWUNSCH!!

Glückwunsch, sie haben eine Spam erhalten.

Dir Gewinn [sic!] ist bei einer Sicherheitsfirma hinterlegt und in ihren Namen
und E-mail versichert. um keine Komplikationen bei der Abwicklung der
Zahlung zu verursachen bitten wir sie diese offizielle mitteilung ,
diskret zu behandeln.,es ist ein Teil unseres Sicherheitsprotokoll und
garantiert Ihnen einen Reibunglosen Ablauf.

So etwas wie ein gewöhnliches Bankkonto benutzen wir nämlich nicht, um Geld zu lagern, das wäre uns zu preisgünstig und zu sicher… 😀

Alle Gewinner werden per Computer aus 1,000,000 Namen und E-mail aus ganz
Europa, Asien, Australien und Amerika als Teil unserer Internationalen
promotion programms ausgewählt, Welches wir einmal im Jahr veranstalten.

Was „wir“ allerdings nicht machen: Irgendwo in unserer Reklame oder in Presseerklärungen erwähnen, dass wir Millionen verschenken, weil das ja eine tolle Werbung wäre, wenn man vielleicht Millionen geschenkt bekäme. Was „wir“ stattdessen machen. Wir sparen die paarhundert Euro für einen Dolmetscher, der unsere total OFFIZIELLEN Mails übersetzt, damit wir jeden Cent als Gewinn ausschütten können. Ohne Werbewirksamkeit. Aber mit höchster Lächerlichkeit.

Dr. Antonio Pedro Manager von
ESTRELLA SICHERHEIT FIRMA S. A. [sic!] an
Telefon:00 34 652 026 xxx Fax: 0034 917 692 xxx [unkenntlich gemacht!]
E-mail:
estrella (punkt) guros (at) yahoo (punkt) es

Bitte kontaktieren sie unseren Auslands sachbearbeiter Bitte bedenken
Sie, jeder Gewinnanspruch muss bis zum 15/06/2013 angemeldet sein. Jeder
nicht angemeldete Gewinnanspruch verfällt und geht zurück an das
MINISTERIO DE ECONOMIA Y HACIENDA wie zurückgebracht warden [sic!]. Hiermit
wird Ihnen ausserdem mitgeteilt, dass 10% ihres Lottogewinns der ESTRELLA
SEGUROS & FINANCIAL COMPANY S.A, zukommt, da Sie Ihren Namen fur diese
Ziehung eingetragen hat und Ihr Antragsvertreter ist. Die 10% werden
uberweisen, nachdem Sie den Gewinn in Ihrem Land erhalten haben, das Geld
ist auf Ihren Namen versichiert. Abziehen von diese versichert fond ist
gezetliches [sic!] verboten und bitte,statten sie anzeige und uns informieren
wenn es ist in gegenstand! Es ist ein Teil unseres Sicherheitsprotokoll
und garantiert Ihnen einen Reibunglosen Ablauf.

Bitte haben sie Verständnis dafür, dass von ihrem „Gewinn“ fast hunderttausend Euro wegfallen, weil wir lieber die Mondpreise einer obskuren Sicherheitsfirma bezahlen, statt unser Geld zu ganz gewöhnlichen Gebühren bei einer Bank zu hinterlegen. Das ist, müssen sie wissen, Teil unseres Sicherheitsprogrammes, und daran kann man unmöglich sparen. „Wir“ sparen lieber am Dolmetscher und an der Werbung.

WICHTIG: um Verzögerungen und Komplikationen zu vermeiden, bitte immer
Referenznummer und Bearbeitungsnummer angeben. Adressanderungen bitte
immer so schnell wie möglich mitteilen. Anbei esenden wir Ihnen ein
Anmeldeformular, bitte ausfüllen und zurück Per fax an die
sicherheitdfirma ESTRELLA SEGUROS & FINANCIAL COMPANY S.A, Fax: +34,917,692,xxx.
Original-Kopie Ihres Preisträger Zertifikat und Winning Ticket wird Ihnen,
nachdem Sie haben behauptet, Ihre Gewinnchancen [sic!].

(Vice President International Prize Department) ELLEN LAURA FERNANDEZ

So, und jetzt einen Blick auf das „Formular“ werfen, das so irre wichtig ist, dass man es sogar faxen muss – vermutlich, weil es auf jede Feinheit seiner Formatierung ankommt. Da will ich des Spammers Streben nach gestalterischer Exzellenz gern ein bisschen Raum geben. Es ist leider so gut wie sicher, dass hier einige überlage Zeilen aus Unterstrichen einfach aufgebrochen werden.

ESTRELLA SEGUR0S S. A.
VERSICHERUNG UND FINANZIELLE DIENSTLEISTUNGEN
ANMELDEFORMULAR ZUR ANMELDUNG EINES
GEWINNANSPRUCHS

BITTER FUELLEN SIE DIESES FORMULAR SORGSAM AUS UND FAXEN SIE ES
ZURUK [sic!] AN DIE
Fax: +34 917 692 xxx E-MAIL: estrella (punkt) guros (at) yahoo (punkt) es
ESTRELLA SEGUROS COMPANY
Paseo de Recoletos, 223,
28004 Madrid España
NAME:_________________________________ VORNAME:_______________________ GEBURTSDATUM:_______________

TELEFON:______________________ MOBIL:___________________ FAX:________
BETRAG:___________

STRASS:______________________________
NUMMER:___________________ WOHNORT:
____________

POSTLEITZAHL:___________
LAND:_________________ BERUF:______________ NATIONALITAT:__________________
REFERENZNR:______________________ DATEINR:______________________ EMAIL:___________________________

ZAHLUNG OPTION: A/ BANKUBERWEISUNG
B/ BARSCHECK:

BANKDATUN SIND NUR NOTWENDIG WENN SIE SACH FUER EINE BANKUBERWEISUNG
ENTSHIEDENHABEN

BANKNAME:_________________________________________

KONTONUMMER:_______________________________________ BANKLEITZAHL:___________________________________

BANKADDRESS:______________________________ PLZ:______________________
ORT:______________________________

D a t u m :
Unterschrift:

Nach dem Ausdrucken und Ausfüllen bitte beim nächsten Psychiater abgeben, wenn man an einen so durchschaubaren Beschiss glaubt.