Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Monatsarchiv für Juni 2016

CHOSCHES GROUP

Freitag, 24. Juni 2016

Oh schön, im Honigtopf. Diese Spam kommt auf jeder Adresse an, die Spammer irgendwie im Internet einsammeln können.

Dear

Genau mein Name!

Good Day! I just got back from business trip, Please find attached our purchasing order let us know price so as to confirm sample with your company. You give us your payment terms but note our company payment policy 30% prepayment after confirming proforma invoice from you and the balance against copy of B/L. Kindly treat as urgent and send invoice, I await to have your urgent reply to proceed

Lieber Spammer,

das muss eine sehr anstrengende Geschäftsreise gewesen sein, denn du hast das vermutlich Wichtigste bei deiner hirnentkernten Spam vergessen: Den Anhang, den ich aufmachen soll. Aber ich gehe mal davon aus, dass du das spätestens in ein paar Stunden als echt dringende Sache behandeln wirst, denn du brauchst ja das Geld für deine regelmäßigen Bordellbesuche. Und dann geht die ganze Spam noch einmal raus, dann aber mit Anhang.

Vielleicht solltest du dir mal angewöhnen, deine Skripte zu testen, bevor du sie auf das Internet loslässt. Ach, Sorgfalt liegt dir nicht so? Klar, deshalb bist du ja auch Spammer geworden.

Best regards,

Cathrine.C
‚Purchase Officer
‚Kowloon, Hong Kong
Telefon‘852-2338 xxxx
Telefax‘852-2970 xxxx
purchase (punkt) goldenfugl (at) hotmail (punkt) com

[Telefonnummern von mir unkenntlich gemacht]

Klar, mit kostenlos und anonym eingerichteter Mailadresse für Geschäftszwecke, wer braucht schon Datenschutz?

Du mich auch!

Dein deine Spam „genießender“
Nachtwächter

Der Umfrage der Mdchen mit den besten dieser Woche

Freitag, 24. Juni 2016

Was bitte? 😀

Oh, da gibt es Mdchen… ob die wohl auch Brste und Msen haben? Mal gucken:

In die Spam eingebettetes JPEG-Bild mit einer Dateigröße von 165 Kibibyte. Es zeigt sechs Frauen in lasziven Posen, dazu den Text: 'Die Umfrage der Mdchen mit den besten dieser Woche -- Registrieren und Profil sehen die Mädchen -- Registrieren und Profil sehen die Mädchen -- Die Registrierung auf unserer Website ist kostenlos -- Für eine erfolgreiche Anmeldung müssen sie einen Fragebogen ausfüllen

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens. Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

Nun, angesichts solcher Mails – die schwarzen Balken sind natürlich von mir, weil ich davon ausgehe, dass die Fotos der Frauen von „irgendwo aus dem Web“ mitgenommen wurden – erübrigt sich der weitere Kommentar. Dass das gesamte Dating-Business eher ein Dating-Beschiss ist, sollte sich mittlerweile auch zu denjenigen Menschen herumgesprochen haben, die sich ihre Meinung von in erster Linie von Journalisten bilden lassen. Wer trotzdem noch darauf reinfällt, ist wirklich ziemlich dumm. Und wer ausgerechnet auf einen Dating-Betrug reinfällt, weil er in einer Spam daruf hingewiesen wurde, sollte sich besser einen Vormund bestellen lassen – oder, in milderen Fällen, regelmäßig masturbieren, damit der drangvolle Trieb nicht mehr so sehr die Denkfähigkeit beeinträchtigt.

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Egal, ob diese Anschrift stimmt oder nicht (sie wird nicht stimmen, denn auch in Polen ist Spam illegal): Spammer, möge euch die elektrische Entladung eines Gewitters während der Defäkation durchströmen!

Payment

Donnerstag, 23. Juni 2016

Dear gammelfleisch,

Genau mein Name! 😀

Our records show that we have not yet received payment for the previous order #A-797071
Could you please send payment as soon as possible?

Please find attached file for details.

Und einmal das Übliche. Du musst Geld bezahlen. An jemanden, der sich im Absender (in meinem Fall) „Stan Jones“ nennt. Ohne Grund. Wegen der Bestellnummer 08/15. Die zu einer nicht näher bezeichneten Bestellung gehört. Bei einer Unternehmung, die es nicht für erforderlich hält, sich selbst einen Namen zu geben. Mit Kaufleuten, die in ihre Mahnmail nicht reinschreiben, wie groß der Betrag ist. Mach das bitte so schnell wie möglich! Wenn du herausbekommen willst, um was zum hl. Henker es sich hier handelt, wieviel Geld du bezahlen sollst oder was auch immer, dann mach gefälligst den Anhang auf! Auf eine Rückfragemöglichkeit im Text der Mail wurde verzichtet, weil das Mailpapier gerade so knapp ist.

Genau so wird Schadsoftware verpackt. Noch vor jeder eingehenden Prüfung ist klar, dass es sich beim Anhang um das reinste Gift handeln wird. Der Anhang ist ein ZIP-Archiv (mit einerm personalisierten Dateinamen, der in jeder Spam etwas anders lautet, so dass eine Websuche danach fehlschlägt), in dem sich nicht ein wie auch immer geartetes Dokument, sondern eine vorsätzlich kryptisch und unverständlich gecodete Javascript-Datei befindet. Diese wird unter Microsoft Windows übrigens im Windows Scripting Host ausgeführt. Es handelt sich um eine ausführbare Datei für Microsoft Windows, die bei einem Doppelklick ausgeführt wird, alles kann, was jedes gestartete Windows-Programm kann und in einer Spam mit vorsätzlich irreführendem Text zugestellt wurde.

Oder kurz gesagt: Es ist ganz sicher eine Schadsoftware. Wer die Datei im ZIP-Archiv doppelklickt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm wird in vielen Fällen nicht helfen, weil es die Schadsoftware nicht erkennt, aber zum Glück hat ein Mensch ein Gehirn, mit dem sich diese Spam sicher als Spam erkennen und löschen lässt. Das ist der beste Virenschutz. Alles weitere habe ich schon so oft geschrieben, dass es mich ermüdet, es hier noch einmal zu wiederholen – ich verweise auf meinen Text vom 5. März dieses Jahres.

Yours sincerely
Stan Jones
Mexico Key Account Director

Diese Spam kommt mit Winkewinke vom Kriminellen, der lieber nicht seinen richtigen Namen unter die Mail schreibt.

leben und arbeiten in Vereinigte Staaten

Mittwoch, 22. Juni 2016

Diese Spam ging an eine Honigtopfadresse – und kommt damit vermutlich auf jeder Mailadresse an, die sich irgendwie im Internet einsammeln lässt.

IHR AMERIKANISCHER TRAUM LIEGT IN IHREN HÄNDEN!

So so… aber mehr dazu gleich.

An dieser Stelle möchten wir alle wichtigen Fragen zum GreenCard-Programm beantworten.

Bleibt doch noch etwas offen, so zögern Sie bitte nicht, uns zu kontaktieren.

Und, was hat der Spammer mit seinen spammigen Albträumen hier vergessen? Richtig, er hat vergessen, hier alle Fragen zu irgendeinem Programm zu beantworten, von dem man übrigens nur aus der Spam (und gelegentlich aus Werbebannern auf zwielichtigen Websites) erfährt.

Wir sind sieben Tage die Woche, 365 Tage im Jahr für Sie da, um für

bestmögliche Betreuung im Rahmen der GreenCard-Lotterie zu sorgen.

Aha, eine Lotterie ist das neue „liegt in meinen Händen“. Alles klar. Wer nach solchen Offenbarungen der Dummheit des Spammers noch auf den Betrug reinfällt, könnte wirklich der Betreuung bedürfen, aber besser nicht durch eine Bande von Spammern. :mrgreen:

WAS SIE SCHON IMMER RUND UM DIE GREENCARD WISSEN WOLLTEN

Hier klicken.

Das hat noch gefehlt, um den unvorteilhaften Eindruck dieser Spam abzurunden: „Click here“, der dümmste Linktext, den nur Werber, Spammer und sonstige Entseelungsreste verwenden. Jeder, der noch etwas fühlt, würde so ein Stammelgetexte vermeiden. Und damit die Spamfilterung auch wirklich zum Zuge kommt…

If you wish to be unsubscribed from receiving these emails, click here.

…gibt es dieses kleine, aber gar nicht seltene Stückchen spammiger Idiotie noch einmal in Englisch.

report abuse

Du mich auch!

Der Link geht übrigens nach der üblichen Kaskade von Weiterleitungen in die Domain usagc (punkt) org. Dort bekommt man eine hübsche Möglichkeit zum Datenstriptease:

Screenshot der betrügerischen Website

Im „Web of Trust“ hat sich diese betrügerische Website schon einen beachtlichen Ruf erarbeitet: Betrug, Phishing, Spam, Schlechte Erfahrungen und Schadsoftware. Der Kommentar von Kevin.Dingo macht auch klar, worin das „Geschäftsmodell“ dieser asozialen und kriminellen Spammer besteht:

They ask you for £80 up front then chase you in a harassing manner for more money avoid at all costs. if you are considering moving to Canada seek advise from the Canadian embassy in your country AVOID THIS SCAM at all costs

Man bezahlt eine Vorleistung nach der anderen. Für nichts. Natürlich werden die dabei angegebenen Daten in jedem Fall für einen Identitätsmissbrauch verwendet, der einem leicht ein paar Jahre Ärger mit Gerichten, Inkassoklitschen, Polizeien und Staatsanwälten einbringen kann – denn wegen des Verdachts auf gewerbsmäßigen Betrug ermittelt und kassiert wird bei der Person, deren Daten angegeben wurden. Es gibt wahrlich bessere Verwendungen für die beschränkte Lebenszeit… und für das Geld, das man verliert, wenn man darauf reinfällt.

Wer die Absicht hat, in die USA umzuziehen, sollte sich besser an die Botschaft der USA wenden und nicht auf Spammer reinfallen, die bei ihrem Betrug so tun, als würde ein Einwanderungsland wie die USA sich seine Einwanderer nicht aussuchen, sondern sie auslosen.

Konto finanziert für ! Und… Österreich Einladung!

Dienstag, 21. Juni 2016

Wer könnte da schon widerstehen! :mrgreen:

Hallo,

Ja, das bin ich.

Diese E-Mail soll Sie darüber informieren,
ihr Konto mit Profit Maximizer.

Das ist ja nett. Und, was ist das jetzt.

Unten sind Ihre Kontodetails:

################################
E-Mail-Adresse:

%EMAILADDRESS%%
Datum
registriert:
15/06/2016
Date Fund: 15/06/2016
Betrag mit Etatzuweisung:
€350
Funder Name: P# M#####
Kontogültigkeit:
30/06/2016
################################

Aha, es ist Geld. Für eine Mailadresse, die das Spamskript unseres heutigen Reichwerdexperten mit seinem „Profit Maximizer“ leider nicht eintragen konnte. Ja, das hirnt schon, dieser ganze Technikkrams. Vor allem, wenn man Spammer ist und einfach nur schnell ein bisschen spammen möchte, um wieder an frisches Geld für Bordellbesuche und Nasenpuder zu kommen. Da wäre ein kleiner Test, den man macht, bevor man ein paar Millionen Spams auf das Internet loslässt, zuviel verlangt.

Herzlichen Glückwunsch!

Klingt wie ein Lotteriegewinn. Und…

Sie gewann $350
für Ihr Konto.

…ist auch in genau so einem extratollen Deutsch wie ein typischer Lotteriegewinn geschrieben. Schon schade, dass diese ganzen Leute mit dem ganzen Geld niemals die paar Euro zwanzig für einen richtigen Dolmetscher übrig haben… 😀

Klicken
Sie hier für mehr: http://ganglink.com/[ID entfernt]

„Click here“ für noch mehr lustige Lügen der Leute, die Geld verschenken und erzählen, wie jedes Meerschweinchen mit Lobotomie-Hintergrund an der Börse reich werden kann, indem es halbautomatisch mit windigen Wettzetteln der Marke „Binäre Option“ zockt.

*Achtung: Wenn der Link nicht
anklickbar Wegen Sicherheitsgründen bitte
kopieren und
fügen Sie den Link direkt in Ihren Browser!

Achtung! Es gibt Mailsoftware, die den Link für eine gefährliche Betrugsnummer hält. Bitte einfach ignorieren und die Zwischenablage benutzen! Komm schon, mach es, wie es der illegal und asozial spammende Zeitgenosse empfiehlt!

#####################
SUUUUUPER############ SIE AUCH GEWONNEN…..

Freie
3-tägigen Aufenthalt im Hotel der Spitzenklasse in Österreich mit
einem geliebten und bis zu 2 Kinder.
Flug nicht im Preis
inbegriffen.
Freie Treffen
& Grüße und Cocktail Party mit den Entwicklern.
Freie Stadtrundfahrt aus Innsbruck,
einschließlich der Hauptsitz von Swarovski und dem berühmten
Goldenen Dachl.
Kostenlose
ABENDVERANSTALTUNG: Seminar zu diskutieren, die im vergangenen Jahr die
Gewinne sowie die Zukunft;
upcoming Updates neue Module
(gebührenfrei für alle Mitglieder).

Einladung annehmen:
http://ganglink.com/[ID entfernt]

Wer auf den Schwindel mit den binären Optionen reinfällt und dem Spammer ein hübsches Affiliate-Geschäft ermöglicht, der lässt bestimmt auch ein paar Vorleistungen für einen „kostenlosen“ Urlaub rüberwachsen.

Wünsche Dir das Beste,
Olivia Schneider
Profit Maximizer Team.

Dummheit und Naivität wünscht
Ihr Binäre-Optionen-Spammer

BOOKING

Montag, 20. Juni 2016

Abt.: Obskure Spammails.

Diese Spam kam auf einer Honigtopf-Adresse an, die ich versteckt für Spammer ausgelegt habe. Sie kann auf jeder Adresse ankommen, die irgendwo im Web einsammelbar ist. Absender ist steve (underline) an020 (at) yahoo (punkt) co (punkt) in.

Hello,
I write to make inquiry, if it is possible to lodge 6 guests from London in your accommodation facility for the period we will be staying in your area;
Check-in-date: 18th of AUGUST 2016
Check-out-date: 28th of AUGUST 2016
Number of days: 10 nights
Number of persons: 6 (All Adults, 4 male and 2 female) Send the total cost in EUROS of our stay for 10 nights, for our considerati ons Please note that an alternative date might be considered by the group.
Kind regards,
Mr Steve Anderson

Was hier auffällt: Es handelt sich um Spam, die massenhaft an alle möglichen Empfänger gesendet wird (und dementsprechend formuliert wurde). Dieses „in your area“ kann also jeden möglichen Ort auf der Welt meinen. Es geht auf keinen Fall um privat vermittelte Zimmer oder so etwas.

Ich tippe auf einen Vorschussbetrug. Wenn man unter den Millionen Empfängern dieser Spam ein paar hundert Leute unter irgendeinem Vorwand dazu bringt, fünfzig bis hundert Euro im Voraus zu bezahlen, damit sie außerordentlich gut zahlende Übernachtungsgäste kriegen, ist das ja auch ein ordentlicher „Lohn“ für das schnelle Formulieren einiger Spamtexte. Und ich glaube nicht, dass es bei so einem kleinen Betrag bleiben wird, wenn es Vorschussbetrug ist – das ist dann nur die erste Zahlung.

Aber die Masche ist mir immerhin neu, und das habe ich nicht mehr so oft…

Vonux Shop Back Online ( www (punkt) vonux (punkt) ru ) New Big Update Tools And Accounts

Samstag, 18. Juni 2016

Ich habe die Domains in Betreff und Zitat ein bisschen weniger direkt verwendbar gemacht. Von einem Besuch rate ich ab. Warum? Nun, das erklärt sich aus dem Text der Spam.

DEAR CUSTUMERS [sic!]

We would like to now for our new domain name of VONUX SHOP
The Domain www (punkt) vonux (punkt) bz is closed and suspendet [sic!]
Now we have a [sic!] 2 new domains ( www (punkt) vonux (punkt) biz and www (punkt) vonux (punkt) ru )

What we sell ?

SPAMMING TOOLS
– Fresh SMTP – IP or Domain – ISP specified , SMTP checker is available too.
– Fresh RDP – USA & WorldWide – Administrator – With AMS or TurboMailer ( port 25 opened ).
– cPanels – Long lasting cPanels – Domain works.
– PHP Mailers – High sending quota & Delivering Inbox.
– PHP Shells – Upload, Unzip & Delivering Working.
– Webmail – Inbox Delivering & high sending quota.

ACCOUNTS
– PAYPALS [sic!], MATCH, FEDEX, NEWEGG
– SKYPE, ALIBABA, ALIEXPRESS, UPS
– DHL, MACYS, APPLE, OVERSTOCK
– SKRILL, CRAIGLIST, WALMART, DELL
– AMAZON, NETFLIX, NECTAR, TESCO
– EHARMONY, GODADDY, PATH, CABELAS
… and 50 other types of accounts (almost every account type).

CARDS
– FRESH UK FULLZ-12$ – Fresh worldwide CVV with Cheap Prices , starting from 3$.
– VISA – MC – AMEX – DISCOVER – High Balance & Validity.
– Checker : available & very accurate.

BANK LOGINS
– USA AND WORDLWIDE [sic!]

We wish You happy shopping with us , and good spamming results!
Best Regards,
( www (punkt) vonux (punkt) biz and www (punkt) vonux (punkt) ru ) Team.

Mein Verhältnis zur Polizei ist ja oft etwas angespannt, aber ich wünsche den Ermittlern von ganzem Herzen nachhaltigen und durchschlagenden Erfolg! 😉

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! 😉

Dating -- für Freundschaft und Sex in deiner Stadt -- Sehen sie die profile >>>

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht… :mrgreen:

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

Screenshot der durch Spam beworbenen, mutmaßlich betrügerischen Dating-Website

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.