Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Re:

Mittwoch, 30. März 2016, 11:54 Uhr

Tja, mit den Worten hat es dieser Spammer nicht so, stattdessen „erfreut“ er seine Empfänger mit einem 55,3 KiB schweren Bildchen, das deutlich weniger als tausend Worte sagt:

Abbildung einer Medikamentenflasche mit Etikett 'VigRX for Men, oral', an der Medikamentenflasche ein 'Product Security Seal', dass dazu auffordert, auf einer Website sechzehn Neunen einzugeben, um die Echtheit des Produktes zu prüfen, dazu der Text 'Natürlich und effektiv. Die erste Wahl seit 2001. Offizielle Website von VigRX.

Ich mag ja das Spamsiegel mit den vielen Neunen, das mir ermöglicht, die Echtheit zu überprüfen – hier noch einmal etwas vergrößert und dadurch leider verwaschen, aber in seiner Peinlichkeit viel deutlicher:

Detail aus der Spam. Das Siegel. 'Visit VigRX.com & input code -- Check Authenticity -- 9999 9999 9999 9999 -- LeadingEdge Health -- Product security seal

Ob die so angepriesene Pimmelpille wirklich etwas für den Pimmel tut, kann ich natürlich nicht sagen, aber zur Förderung zur Selbstmassage des Zwerchfells ist sie nicht schlecht.

Nach diesem Einblick in die von sechzehn Neunen besiegelte Echtheit des Produktes noch ein weiterer Blick in seine Präsentation im Web – natürlich nehme ich aus naheliegenden Gründen keinen „richtigen“ Browser dafür, sondern schaue mir auf der Kommandozeile an, was einem Besucher unbemerkt alles zugemutet wird. In den folgenden Zeilen habe ich stark gekürzt, um die endlosen Javascript-, Tracker- und Zählerwüsten zu ersparen¹:

$ lynx -mime_header http://www.exelorio.biz.ua/exelorio/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:41:46 GMT
Content-Type: text/html
Content-Length: 1496
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:59:18 GMT
ETag: "37c0390-5d8-52f314605d690"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.exelorio.biz.ua/medipreise/index.html">
$ _

Tja, so ist das eben, wenn man eine „offizielle Website“ aus der Spam besucht – das ist niemals ein direkter Link, sondern immer eine alles verschleiernde Weiterleitungswüste. Und nein, mit einer Weiterleitung ist es nicht genug. Auch hier habe ich wieder stark gekürzt:

$ lynx -mime_header http://www.exelorio.biz.ua/medipreise/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:49:02 GMT
Content-Type: text/html
Content-Length: 1488
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:58:52 GMT
ETag: "37c038e-5d0-52f31448237bd"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.medipreise.info/#!vigrx/q5zpo">

$ _

Ob es wohl gleich noch eine Weiterleitung gibt?

$ lynx -mime_header 'http://www.medipreise.info/#!vigrx/q5zpo' | sed '/^\s*$/q'
HTTP/1.1 200 OK
Cache-Control: max-age=0, must-revalidate
Content-Language: en
Content-Type: text/html;charset=UTF-8
Date: Wed, 30 Mar 2016 07:01:18 GMT
ETag: ffca9f612019e88c0c0b71d1b0c10a32
Expires: -1
Pragma: no-cache
Server: Pepyaka/1.9.9
Vary: User-Agent,Accept-Encoding
Via: 1.0 username.wix.com
X-Seen-By: /0b3tu7BwMUubvM+8DFnyIZhbXxmdS0SoYtN65Ns3dwVg8yBNrCddpK11/FwIFN7,LwsIp90Tma5sliyMxJYVEimxe5u57vJkW8Ut+ygV+W3naXGSE7xQP0F5eUkr7UI2,Tw2AanFDQ+Wwo8Xxk6ZL7rHKeAJXtkPxqn+uc4aMlOC9TZSDiwEgQLyYAOfMlNNfnUoPRWylvzmW1WtoYIgS/A==,9/zAiwmuIQ5G9xgIqi9IpfKjiM3HhjsT5sK9PwlANII=
X-Wix-Renderer-Server: app205.vae.aws
X-Wix-Request-Id: 1459321278.2271453355868244144
Content-Length: 16073
Connection: Close

$ _

Aber nein. Damit sind wir endlich am „Ziel“ angekommen – auf einer tollen Seite mit dem tollen Titel „Preisvergleich in Apotheken“, die so stark auf Javascript setzt, dass sie ohne Javascript fast nichts mehr anzeigt. Weil der Spammer es nicht so mit Technik hat und das Internet eigentlich nur zum Spammen verwenden möchte, wurde diese Seite schnell mit dem kostenlos nutzbaren „Website Builder“ unter wix (punkt) com zusammengeklickt², dessen Website einem eventuellen Besucher ohne Javascript übrigens auch gar nichts zu sagen hat, nicht einmal ein Impressum ist verfügbar. Dafür gibts wenigstens ein Video. Hier bekommt die „Generation Jamba“ die Gelegenheit geboten, sich ins Web zu entfalten… ach! 🙁

So, jetzt aber zum gülden gleißenden Glanzstück der flüchtigen Recherche. Hier ist der Inhalt der Website der Spamkünstler, zusammengesetzt aus etlichen Quellen, technisch realisiert mit wix (punkt) com, inhaltlich hochreiner Bullshit, dargestellt in einem Firefox mit abgeschaltetem Javascript:

VigRX

VigRX™ ist ein ganzheitliches [Bingo!] und natürliches [Bingo!] Nahrungsergänzungsmittel zur Stärkung der männlichen Potenz und zur Steigerung der Penisgröße [Bingo!]. Es liefert wichtige Vitamine [Bingo!] und Nährstoffe [Bingo!] und optimiert [Bingo!] hierdurch die Durchblutung im Genitalbereich, was zu härteren und länger anhaltenden Erektionen führt. Die Wirkung fördert [Bingo!] zudem das körpereigene Zellwachstum [Bingo!] im Penis und setzt somit ein natürliches Peniswachstum [Bingo!] in Gang.

Willkommen auf der offiziellen Webseite von VigRX™. | 5% OFF Code: XXQRT8

© 2016 Die günstigsten preise [sic!]

Nun, ich wünsche guten Appetit mit dem ganzheitlichen und natürlichen Nahrungsergänzungsmittel, das den Pimmel länger macht. Der Link auf die „offizielle Website“ ist über Googles URL-Kürzungsdienst maskiert, weil Spammer nun einmal keine direkten Links mögen und weil so…

$ lynx -mime_header http://goo.gl/nvzC2D | sed '/^\s*$/q'
HTTP/1.0 301 Moved Permanently
Strict-Transport-Security: max-age=10886400;
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Date: Wed, 30 Mar 2016 09:32:38 GMT
Location: http://track.healthtrader.com/track.php?c=cmlkPTEwMDU5MyZhaWQ9NTAwMTAxNjI
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Accept-Ranges: none
Vary: Accept-Encoding

$ _

…die angehängte Affiliate-ID weniger auffällt. Auf der Zielseite gibt es übrigens keinerlei Inhalte, die man ohne Flash und Javascript betrachten könnte – und ein in einem sicher konfigurierten Browser sichtbares Impressum gibt es auch nicht. Aber wozu denn auch, es geht ja nur um die Gesundheit. 😈

¹Die gelegentlich sichtbare Pipe auf sed ist dafür da, die Ausgabe nach den HTTP-Headerzeilen (also nach der ersten Leerzeile) abzubrechen. Für die Syntax von sed kann ich nichts, außer vielleicht sagen, dass es nicht halb so schlimm ist, wie es aussieht – aber oft sehr nützlich. Der eingefügte Kommentar mit dem Hinweis auf eine Löschung ist natürlich von mir.

²Natürlich kann der mir unbekannte Betreiber von wix (punkt) com nichts dafür, dass ein derartiges Angebot auch von Vollidioten wie diesem Spammer genutzt wird. Eine auch in einem sicher konfigurierten Browser sichtbare Kontaktadresse für die Meldung eines Missbrauches hätte ich gut gefunden, das Fehlen einer solchen Kontaktadresse halte ich für ein Zeichen, dass man von diesem Dienst unbedingt die Finger lassen sollte. Außer natürlich, man ist Spammer und möchte mit seinen grenzkriminellen oder offen kriminellen Webauftritten nicht vorzeitig aus dem Web entfernt werden… dafür bietet wix (punkt) com in der momentanen Form ein ideales Biotop.

5 Kommentare für Re:

  1. tux. sagt:

    War wix.com (höhö) nicht von Microsoft?

  2. Mr. Homes sagt:

    An und für sich gibts da durchaus noch einen Ermittlungsansatz:
    http://www.vigrx.de – auf dieser Seite wird nämlich das Wundermittel vertrieben.
    Und wirft man ein Blick ins Impressum, so ist man kaum überrascht, dass es sich hier um eine Ltd. (Vitenza Ltd.) handelt. Überraschenderweise mit Sitz in Großbritannien. Als kleines Extra obendrauf, sind sie auch im Denic als Inhaber, ja sogar mit Ansprechpartner, vertreten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert