Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Compliments

Samstag, 3. September 2016, 13:32 Uhr

Von: gammelfleisch@tamagothi.de
An: gammelfleisch@tamagothi.de

Nicht, dass noch ein Empfänger übersieht, dass der Absender dieser Spam gefälscht ist!

Hello!

Genau mein Name!

We are looking for employees working remotely.

Du suchst also neue Hilfsgeldwäscher, Konten und Briefkästen. Wer diese „Jobs“ macht, ist dir völlig egal, deshalb suchst du mit Spam.

My name is Cherie, I am the personnel manager of a large International company.

Du hast dir einen Namen ausgedacht und einen tollen Job bei einem riesigen Unternehmen, für das dir leider kein Name eingefallen ist. Dieses Unternehmen…

Most of the work you can do from home, that is, at a distance.
Salary is $2500-$5000.

…hat tolle „Jobs“ im Angebot, die es nur über illegale und asoziale Spam loswird, obwohl sie gutbezahlt sind und man nichts dafür können muss.

If you are interested in this offer, please visit Our Site

Der Link geht in eine Domain, die…

$ surbl traveltoolpro.com
traveltoolpro.com	LISTED: ABUSE 
$ _

…schon für massenhafte Verwendung in Spam auf die Blacklist gekommen ist. Das Skript, mit dem ich schnell eine SURBL-Abfrage mache, gibt es übrigens hier. Ich finde es bequemer, an der Kommandozeile eine Abfrage zu machen, als auf einer Website ein Captcha zu lösen.

Best regards!

Du mich auch!

Bleibt nur noch eine Frage für die Neugierigen: Wohin wird man geführt, wenn man auf den Link in der Spam klickt, und welchen Weg nimmt man durchs Internet. Nun, hier eine ganz kleine Untersuchung an der Kommandozeile:

$ loc() { lynx -mime_header "$1" | sed '/^\s*$/q' | grep -i "location"; }
$ _

Ja, ich werde das etwas öfter tippen, deshalb mache ich lieber eine Funktion dafür. Das macht es übrigens auch einfacher, die folgende (übrigens nicht einmal vollständig durchwanderte) Weiterleitungskette nachzuvollziehen:

$ loc http://traveltoolpro.com/libraries/rokcommon/RokCommon/I18N/Platform/bi.php
Location: http://silvervphop.com/?a=400642&c=rom
$ loc "http://silvervphop.com/?a=400642&c=rom"
Location: http://worlduufording.com/?a=400642&c=rom
$ loc "http://worlduufording.com/?a=400642&c=rom"
Location: http://320-iq.worlduufording.com/de/hfkt/inteligen/
$ loc http://320-iq.worlduufording.com/de/hfkt/inteligen/
Location: http://worlduufording.com/de/mfto/forskolin/
$ loc http://worlduufording.com/de/mfto/forskolin/
Location: http://worlduufording.com/de/inbg/forskolin/
$ loc http://worlduufording.com/de/inbg/forskolin/
Location: http://worlduufording.com/de/xsvl/forskolin-trial/
$ loc http://worlduufording.com/de/xsvl/forskolin-trial/
Location: http://worlduufording.com/de/wgbg/forskolin-trial/
$ loc http://worlduufording.com/de/wgbg/forskolin-trial/ 
Location: http://worlduufording.com/de/ulaw/forskolin/
$ loc http://worlduufording.com/de/ulaw/forskolin/
Location: http://worlduufording.com/de/rczi/forskolin/
$ loc http://worlduufording.com/de/rczi/forskolin/ 
Location: http://worlduufording.com/de/kwyt/forskolin-trial/
$ loc http://worlduufording.com/de/kwyt/forskolin-trial/
Location: http://worlduufording.com/de/muax/forskolin/
$ loc http://worlduufording.com/de/muax/forskolin/
Location: http://worlduufording.com/de/spsw/forskolin/
$ loc http://worlduufording.com/de/spsw/forskolin/
Location: http://worlduufording.com/de/orum/forskolin/
$ _

😯

Ich erspare dem gequälten Leser den Rest der Weiterleitungskette dieses Links aus der Spam. Wie sehr das spammende Pack es nötig hat, sich hinter sinnlosen Weiterleitungen zu verschanzen, ist hoffentlich auch bei dieser unvollständigen Einsicht deutlich genug geworden. Am Ende landet man in der Domain head (strich) binary (punkt) com, die auch schon…

$ surbl head-binary.com
head-binary.com	LISTED: ABUSE
$ _

…in Blacklists auftaucht, weil sie massenhaft in Spams verwendet wurde. Dieser gesamte Mummenschanz mit den Weiterleitungen hat also nicht viel genützt. Die scheinbare „Zielseite“ ist dann noch einmal eine in Javascript realisierte Weiterleitung auf eine Website in der Domain profitformula1 (punkt) com, die erwartungsgemäß…

$ surbl profitformula1.com
profitformula1.com	LISTED: ABUSE
$ _

…ach, ihr wisst schon.

Und, was haben diese extraseriösen Spezialexperten nun für einen „Job“ anzubieten?

Screenshot der betrügerischen Website

Um das nach dieser endlosen Kaskade von Weiterleitungen und Javascript-Weichen zu erfahren, muss man einfach nur noch einmal auf ein Klickeknöpfchen klicken, nachdem einem gar nichts von Arbeit, aber dafür von zwölftausend Dollar im Monat ohne Kreditkarte und ohne Ausgeben von Kleingeld vorgeschwindelt wurde. Wer dann auf dieses Knöpfchen klickt – es könnte ja ein leckerer Keks erscheinen, wenn man darauf klickt, also klickt man mal darauf – sieht nicht etwa eine Stellenanzeige und auch keine Beschreibung, wie man denn jetzt mühelos, kenntnislos und ohne jegliche Investition reich werden kann, sondern einfach nur eine Aufforderung…

Screenshot der Aufforderung, einen Namen und eine E-Mail-Adresse einzugeben

…dem Spammer seinen Namen zusammen mit seiner E-Mail-Adresse zu geben, um endlich zu erfahren, um was zum heftig hackenden Henker es hier überhaupt geht. Das macht man doch gern, der schreibt ja auch immer so nette Spam, dieser Spammer. Und hat so ein schönes Foto von einem Balkonplatz und wolkenlosem Himmel, hoch erhaben über den Mühen dieser Welt, ein spammiger Fiebertraum des Reichtums. Wer würde dem nicht auch noch seinen richtigen Namen sagen, damit er noch ein bisschen besser spammen kann? Wer hat keine Lust, sich von dem noch ein paar tolle Lügen durchzulesen? Doch nur ein Mensch mit einem Gehirn.

Aber an Menschen mit einem Gehirn richtet sich dieser Spammer nicht. Die löschen ja auch schon die dümmlich formulierte Spam, statt darin rumzuklicken…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert