Holla, fragen mich heute viele „Frauen“ in fast völlig gleichlautenden Spams danach, ob ich ihr Paket angenommen habe. Der arme Paketbote…
Hi!
Genau mein Name!
Ich bin Deine neue Nachbarin, ich hab mir die Tage ein paar nette Sachen im Internet bestellt. Ich habe gerade die Mail bekommen dass der Shop das Paket bei euch zugestellt hat.
Nun, wenn du wirklich eine derartige Mail bekommen hättest, dann wüsstest du von mir einen anderen Namen als „Hi“. Hast du aber nicht. Das ist nur eine Geschichte, mit der du Leute zum Rumklicken in einer Spam motivieren willst. Und damit das noch ein bisschen besser wirkt…
Magst Du mir das heute Abend rüberbringen? Da sind ein paar Erwachsenen-Spielzeuge mit drin
…spielst du asozialer und krimineller Spammer (der du gewiss keine Frau bist) die lebensfrohe Frau mit heiterem Spielzeug für Erwachsene zum wohligen Einführen in aufnahmebereite Leibespforten.
Naive Männer, denen von dieser Vorstellung das ganze Blut in den Schwellkörper fließt (und so im Hirne fehlt), sollen dann zum Klick auf einen Link motiviert werden, um mal zu sehen, wie so ein Paket ausgepackt wird (und sich dabei vorstellen, dass das ihre Nachbarin ist):
Hier mal n heisses Video wie ich meine letzte Bestellung auspacke:
Natürlich ist das eine Wegwerfdomain.
Natürlich gibt es da auch kein Video.
Wenn ich die ID aus der URI entferne, gibts auch keine Weiterleitung zu irgendetwas heißem, sondern es geht zu einer Pimmelpillen-Apotheke:
$ lynx -mime_header http://www.server213.win/ | sed '/^\s*$/q' HTTP/1.1 301 Moved Permanently Date: Sat, 06 Aug 2016 10:11:42 GMT Server: Apache/2.4.10 (Debian) Location: http://www.offizieller-generikashop.com Connection: close Content-Length: 3 Content-Type: text/html; charset=UTF-8 $ _
Dabei handelt es sich um eine Website von Giftapothekern, über die ich mich schon im Januar dieses Jahres ein wenig ausgelassen habe.
Wer ein grundsätzliches Interesse an der „Diversifizierung“ von Online-Betrügerbanden hat¹, halte hier kurz fest, dass sich wieder einmal zeigt, dass der illegale und in Einzelfällen lebensgefährliche Handel mit gefälschten Medikamenten von der gleichen spammenden Bande vorangetrieben wird wie das Affiliate-Geschäft mit dem Dating-Betrug. Aber das habe ich ja schon vor ein paar Tagen mitgeteilt, wenn auch mit deutlich weniger Indizien.
So weit, so schlecht.
Um mal zu sehen, wo die Reise mit angehängter ID hingeht – Leute, die auf den Köder dieser Spam reingefallen sind, wollen ja gewiss keine Pimmelpillen kaufen, sondern ein erregendes Video sehen – habe ich mal ein paar Zeichen in der originalen ID aus der Spam verändert²:
$ lynx -mime_header http://www.server213.win/25_1h3Oy1a7un8t/ | sed '/^\s*$/q' HTTP/1.1 301 Moved Permanently Date: Sat, 06 Aug 2016 10:25:08 GMT Server: Apache/2.4.10 (Debian) Location: http://www.whats-xxx.com/ Connection: close Content-Length: 52 Content-Type: text/html; charset=UTF-8 $ _
Die Domain whats (strich) xxx (punkt) com
ist ganz frisch und unverbraucht…
$ whois whats-xxx.com | grep '^Creation' Creation Date: 2016-06-30T13:23:00.00Z $ _
…sie wurde gerade erst vor etwas mehr als einem Monat eingerichtet. Was einem dort anschaut, ist dann eine Vul… ähm… wieder einmal das schon aus dem letzten Jahr bekannte WhatsFuck-Design der Dating-Spammer. Nichts wurde daran verändert. Der schwarze Balken über den einladend präsentierten Leibespforten im Screenshot ist natürlich von mir, und ich gehe davon aus, dass dieses Foto von irgendwo aus dem Internet „mitgenommen“ wurde… die Frau tut mir leid. Das einzige, was sich geändert hat, ist die für den Beschiss verwendete Domain. Vermutlich stehen die zuvor von diesen Gangstern verwendeten Domains inzwischen auf jeder Blacklist dieser Welt.
Natürlich wurde auch diese neue Domain über einen Dienstleister aus dem sonnigen Panama anonym registriert.
Gruß
Deine Vivien-Maus
Nee, Vivi, wenn du wirklich meine „Nachbarin“ wärest, dann brauchten wir keinen Dating-Betrug, der von Affiliate-Lumpenkaufleuten vertrieben wird, sondern du könntest einfach zu mir rüberkommen. Ich treibe es aber nur im Schlamm…
¹Das ist eine gute Gelegenheit, mal meine treuen Mitleser im Niedersächsischen Landeskriminalamt zu grüßen! Ich wünsche euch von ganzem Herzen viel Erfolg! Wer das Ziel hat, Spammer dingfest zu machen, hat den gleichen Feind wie ich, und das überbrückt viele Differenzen…
²Wer sich über die Pipe auf sed
wundert: Ich lösche damit alles, was nach der ersten Leerzeile kommt, so dass ich für das Zitat nur die Header habe. Ansonsten würde der komplette HTML-Quelltext einer eventuellen Webseite ausgegeben, der mich in diesem Kontext zunächst nicht interessiert.
Schreibe einen Kommentar