Hey, Spammer: Dass eine E-Mail für die im Header eingetragene Empfängeradresse bestimmt ist, ist jetzt nicht so ungewöhnlich, dass du es eigens noch einmal im Betreff erwähnen musst. 😀

Die Mail hat niemals einen Server von Ferrero gesehen. Auch gehe ich davon aus, dass man bei Ferrero die deutschen Produkte abbilden würde, wenn man sich an deutsche Kunden wendet – einmal ganz davon abgesehen, dass Ferrero wohl kaum die Reputation seiner Marken mit illegaler und asozialer Spam durch den Dreck ziehen würde. Das Bild wurde mit hoher Wahrscheinlichkeit vom Spammer aus der Nutella-Website von Ferrero mitgenommen, die ich hier leider nicht wie sonst verlinken kann, weil die Designer dieser Website von den Besuchern verlangen, dass diese die Sicherheitseinstellungen ihres Webbrowsers lockern und die Ausführung von Javascript zulassen, um überhaupt etwas auf dieser Website zu sehen. Eine solche, in meinen Augen dumme und verantwortungslose Design-Entscheidung arbeitet direkt der Internet-Kriminalität zu und ist damit für mich unverlinkbar. Ich habe zu diesem Thema einmal einen launigen Text auf meiner Homepage veröffentlicht. Und ja, natürlich ist das eine überlagerte, undurchsichtige Ebene, also eine HTML-Trickserei, auf die jeder normale Gestalter einer Website verzichten würde, um sich seinen Lesern nicht in den Weg zu stellen; und natürlich ist der Text der Website deshalb in einem reinen Textbrowser lesbar:

Den Screenshot habe ich schnell mit Emacs-w3m gemacht, weil ich beim Schreiben dieses Blogartikels eh schon meinen gewohnten Editor offen hatte. Werber können so gnadenlos dumm sein! Nein, mit Intelligenz kommt man nicht auf solche Ideen.

Aber die dumme und kriminalitätsfördernde Webnutzung durch eine Werbeklitsche, die leider von Ferrero bezahlt wird, ist hier ja nicht mein Thema, sondern eine dumme und kriminelle Spam. Also weiter in der Spam:

Guten Tag gammelfleisch@tamagothi.de,

Das ist ja genau mein Name! Woher kennen die den bloß!

Herzlichen Glückwunsch!

Wenn hier nicht die meisten Menschen Geburtstag feiern würden, würde ich sagen, dass der „herzliche Glückwunsch“ genau so ein sicheres Spam-Kriterium zum automatischen Aussortieren wie „Click here“ ist. Mit Ausnahme von Geburtstagsmails findet sich diese Phrase nur in Überrumpelungen der Marke „Sie haben ganz toll gewonnen, jetzt klicken sie schon und fallen sie auf uns rein“.

Sie wurden als möglicher Tester für neue Nutella Produkte ausgewählt.

Der Link geht natürlich nicht in die Nutella-Website von Ferrero. Und es ist kaum davon auszugehen, dass Ferrero für einen solchen Zweck eine andere Website benutzen würde.

Wo der Link hingeht, sieht man übrigens, wenn man den Mauszeiger über dem Link schweben lässt und in die Statuszeile (oder für Webmail-Nutzer: unten links im Browser) schaut. Dabei wird klar, dass der Link in die Domain track (punkt) rearwind (punkt) net geht, die…

$ whois -h whois.domain.com rearwind.net | grep "^Registrant" | sed 7q
Registrant Name: Jose Pancas
Registrant Organization: Jose Pancas
Registrant Street: R. Dr. Antnio Manuel Gamito 2
Registrant City: Setubal
Registrant State/Province: NA
Registrant Postal Code: 2900-056
Registrant Country: PT
$ _

…angeblich von einem Portugiesen betrieben wird, der sich nicht ganz so nach Ferrero anhört. Bevor ihr dem armen angeblichen Registranten mit seiner öffentlich im Internet zugreifbaren Anschrift jetzt Hassmails schreibt oder gar eine Strafanzeige erstattet, haltet ein! Ich bin mir sicher, dass Kriminelle hier die Identität eines anderen Menschen für ihre „Geschäfte“ missbraucht haben. Das ist ja auch der Grund, weshalb man Kriminellen keine Daten gibt. Alles andere führt nämlich leicht dazu, dass man sich mehrere Jahre seiner beschränkten Lebenszeit mit allerlei Ärger, viel Polizei, vielen Gerichtsbriefen, vielen Mahnungen, vielen Strafanzeigen und einigen Stunden beim Untersuchungsrichter verhagelt. So viel Nutella kann man gar nicht essen, dass man dafür entschädigt wird!

Sie haben jetzt die Chance ein großes Testpaket mit einer großen Auswahl an Nutella-Produkten zu gewinnen!

Wie, ich werde dafür beglücktwünscht, dass ich eine Chance habe? Das ist ja, als ob man einen Brief von seiner Lottogesellschaft bekäme, in dem „Herzlichen Glühstrumpf, sie haben jetzt die Chance, demnächst sechs Richtige mit Superzahl getippt zu haben und die Überweisung eines Millionenbetrages zu empfangen“ steht.

Und, was soll ich für diese „Chance“ tun?

Verlieren Sie keine Zeit, die Aktion ist zeitlich begrenzt!

Erstmal soll ich schnell machen und ja nicht darüber nachdenken. Denn wenn ich nachdenke, lösche ich die Mail spätestens, nachdem ich über die letzte Aussage nachgedacht habe.

Dazu 3 einfache Fragen beantworten und sich qialifizieren [sic!]!

Und dann soll ich eine Aufgabe lösen, die als einfach bezeichnet wird.

Viel Glück,
Produkttest-Team

Und dann brauche ich nur noch Glück. Wer richtiges Glück hat, hat ein Gehirn, das Spam erkennt und ist beim Lesen gar nicht so weit gekommen, weil er vorher schon unwiderstehliche Zuckungen im Löschfinger hatte. Wehe denen, die dieses Glück nicht haben und auf solche Maschen reinfallen! 🙁

» Zur Anmeldung

Auch dieser Link geht wieder in die schon erwähnte Domain track (punkt) rearwind (punkt) net, die sich leider noch nicht auf den einschlägigen Blacklists findet. Aber das ist nur noch eine Frage der Zeit.

Wer nicht das Glück mit dem Gehirn hat und deshalb auf den Link klickt, teilt dem Spammer über die im Link verbastelte eindeutige ID mit, dass die Spam auf seiner Mailadresse auch angekommen ist (was in diesem Fall harmlos ist, denn die Gammelfleisch-Adresse ist ausdrücklich für unseriöse Angebote und geht deshalb direkt ins Glibberloch). Und dann gibt es die übliche Weiterleiterei:

$ mime-header "http://track.rearwind.net/1mqfx6Nutella" | grep Location
  Location: http://www.clkmg.com/digitalpl/1mqfx6Nutella
$ mime-header "http://www.clkmg.com/digitalpl/1mqfx6Nutella" | grep Location
  Location: http://nutella.kickst.net/ 
$ _

Endlich am Ziel! Eine Website in einer nach Nutella klingenden Subdomain der Domain kickst (punkt) net, die übrigens…

$ whois -h whois.domain.com kickst.net | grep "^Registrant" | sed 7q
Registrant Name: Raul Costa
Registrant Organization: Raul Costa
Registrant Street: Rua Costa Cabral, n 2075
Registrant City: Porto
Registrant State/Province: NA
Registrant Postal Code: 4200-230
Registrant Country: PT
$ _

…mit einer anderen mutmaßlich missbrauchten Identität aus Portugal registriert wurde. Aber das sieht ja der mit solcher Spam angelockte Besucher nicht, der sieht das hier:

Moment, diese hochnotpeinliche Sache mit dem generellen „über achtzehn“ und der zusätzlichen Auswahl dreier Altersklassen über achtzehn Jahren habe ich doch schon einmal in meiner Spam gehabt… das war aber nicht Nutella… das war… richtig! Das war das Milka-Probierpaket!

Gut, dann reicht ja der Link und ich muss nicht noch einmal schreiben, dass es eine schlechte Idee ist, kriminellen Spammern die Daten für einen Missbrauch der Identität zu geben. Auch die Fortsetzung nach drei trivialen und im Grunde harmlosen Fragen entspricht völlig der Milka-Masche, hier nur mit einem anderen Köder:

Alle dort eigegebenen Daten gehen an Gestalten, die sich durch asoziale und illegale Spam bewerben lassen. Wer mir wirklich nicht glaubt, dass es eine schlechte und sehr gefährliche Idee ist, für ein über Spam transportiertes Versprechen der Möglichkeit eines eventuellen Gewinnes den Namen, die Meldeanschrift, das Geburtsdatum und die Telefonnummer anzugeben – ich bin ja nur ein dahergelaufener Blogger, der im geduldigen Internet voller „Fake News“ vieles erzählen kann – gehe bitte zur nächsten Polizeidienststelle und frage mal dort! Und zwar bitte vor einem derartigen Datenstriptease im Internet!

Click here to report this message as unsolicited

Klick in der Spam auf „Click here“, um die Spam als Spam zu melden. Da müsste man aber ganz schön doof sein… 😉

database management (contact): twist . marketing @ yandex . com
Twist Marketing, Carrer de Tarragona, 161, 08014 Barcelona – Spain

Oh, damals wart ihr noch in der Maximillianstraße in München… ach, ist ja eh Spam und alles Lüge.