Au schön! Mit Nummer! Muss irre wichtig sein.

Von: FedEx International <dkansier@rle.de>

Und immer wieder sehe ich Spammer, die sich bei der Verteilung des Gehirnes nicht vorgedrängelt haben und ganz toll den Absender fälschen, aber leider nicht so, dass es überzeugend nach FedEx wirkt. Denn das richtige FedEx würde natürlich eine Absenderadresse in seiner eigenen Domain fedex (punkt) com verwenden, in der auch die Website von FedEx betrieben wird.

Aber gut, so kann wenigstens jeder Mensch auf dem ersten Blick sehen, dass diese Spam nicht von FedEx kommt.

FedEx International

Das ist aber nicht mein Name.

An email containing confidential personal information was sent to you.

Stimmt, das ist eine E-Mail, was ich vor mir habe. Eine E-Mail, in der irgendetwas von vertraulich und persönlich drinsteht, obwohl der Absender mit E-Mail-Verschlüsselung schon überfordert ist und nicht einmal meinen Namen zu kennen scheint. Aber immerhin: Er hat sich eine Nummer für den Betreff ausgedacht. Aber die E-Mail, die ich gerade vor mir habe, ist offenbar nur der Hinweis auf eine vertrauliche und persönliche E-Mail, die ich sehen könnte…

Click here to open this email in your browser.

…wenn ich in einer unverschlüsselten, offen wie eine Postkarte durch das Internet gesendeten und anonym formulierten Spam auf „Click here“ klickte.

Da müsste ich aber ganz schön doof sein!

Wer so doof ist, auf „Click here“ zu klicken, statt E-Mails mit diesem dummen Sprachstummel einfach automatisch auszusortieren und löschen zu lassen (es gibt dabei keine falschen Erkennungen, denn fühlende Menschen schreiben so einen dummen Text wirklich niemals), hat es mit einer vorsätzlich verwirrend gecodeten Javascript-Weiterleitung zu tun, die automatische Analysen erschweren soll.

$ lynx -mime_header http://drupaltest.eu/pussytn.html
HTTP/1.1 200 OK
Date: Fri, 16 Nov 2018 12:11:52 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.5.35 mod_python/3.5.0- Python/2.7.5
Last-Modified: Wed, 14 Nov 2018 12:08:18 GMT
ETag: "640-57a9eca2d2592"
Accept-Ranges: bytes
Content-Length: 1600
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>courtesy32924 Kisses - seen - reaping trace. Scannd milder.</title>
</head>
<body>
<script type="text/javascript">

function beauty()
{
	vice = troubles / shaped;
	figures = guests - seehis;
}

function chair(dear)
{
	shy = imprisond - turbulence;
	thank = end + itself;
}

function reaping(sticking)
{
	latest = humbly + bleak;
	lady = embarrassd * woes;
}

function dearb(adearb,bdearb)
{
	cdearb = "";

	for (ddearb = 0; ddearb < bdearb.length; ddearb++)
	{
		edearb = bdearb[ddearb];
		fdearb = edearb - adearb;
		gdearb = gravene(fdearb);
		cdearb = cdearb + gdearb;
	}

	return cdearb;
}

function rouzdc()
{
	arouzdc = wearsa();
	brouzdc = [120,106,111,101,112,120,47,117,112,113,47,109,112,100,98,117,106,112,111,47,105,115,102,103,62,40,105,117,117,113,59,48,48,103,98,116,117,101,106,102,117,46,109,106,111,102,47,120,112,115,109,101,48,64,98,62,53,49,50,52,52,55,39,100,62,100,113,100,101,106,102,117,39,116,62,49,55,50,50,50,57,40,60];

	return dearb(arouzdc,brouzdc);
}

chaird();

function fork()
{
	hideandseek = seemingly * infant;
}

function mold(read)
{
	steps = cat - buttercups;
}

function gravene(agravene)
{
	return String.fromCharCode(agravene);
}

function wearsa(whatsoeeri)
{
	return 1;
}

function infant()
{
	unexciting = flaw - ophilia;
	ice = chorus / unexciting;
	rouzd = feeding + extacy;
	thank = train + vale;
}

function chaird()
{
	setTimeout(rouzdc(),1032);
}

</script>
</body>
</html>
$ _

Wer nichts zu verbergen hat, hat einen derartigen Mummenschanz nicht nötig. Von daher sollten alle Alarmglocken auf einmal angehen. Wohl dem, der nicht jeder dahergelaufenen Website die Ausführung von Javascript im Browser gestattet!

Die „Dechiffrierung“ ist (für einen Menschen, anders als etwa für ein so genanntes Antivirus-Programm) übrigens relativ einfach. Es reicht, die entschlüsselte Anweisung im Browser auszugeben, statt sie mit setTimeout auszuführen. Nach nur wenigen Tastendrücken…

$ curl http://drupaltest.eu/pussytn.html | sed -e 's/setTimeout/document.write/' -e 's/,1032//' >blah.html
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1600  100  1600    0     0  35555      0 --:--:-- --:--:-- --:--:-- 35555
$ palemoon blah.html
$ _

(Ja, ich benutze Pale Moon als Webbrowser und kann ihn nur empfehlen. Firefox ist leider von der Mozilla Foundation zu einer Distributionsplattform für Schadsoftware umgewidmet worden und deshalb nicht mehr benutzbar.)

…kann ich gefahrlos Javascript im Browser freischalten und sehe, was da ausgeführt werden sollte:

window.top.location.href='http://fastdiet-line.world/?a=401336&c=cpcdiet&s=061118'; 

Bedauerlicherweise ist die Website in der Domain fastdiet (strich) line (punkt) world aber schon verschwunden. Vermutlich hat ein Webhoster kein Interesse daran gehabt, eine Schadsoftwareschleuder in seinem Rechenzentrum zu hosten – oder die Polizei hat die kriminelle, spambeworbene Website „abgeschaltet“. Diese Abschaltung war gründlich, denn…

$ host fastdiet-line.world
Host fastdiet-line.world not found: 3(NXDOMAIN)
$ _

…es gibt nicht einmal mehr eine Namensauflösung. So muss das sein! 😉

Thanks for choosing FedEx®.

Nein, ich habe nichts erkoren.

More information

Wie jetzt, noch mehr Informationen?!

This message was sent to gammelfleisch@tamagothi.de. Please click unsubscribe if you don’t want to receive these messages from FedEx International in the future.

Diese Mail ist genau bei der Mailadresse angekommen, die im Mailheader als Empfänger angegeben wurde, und der Absender ist von diesem Wunder der Technik so begeistert, dass er diesen völlig erwartungsgemäßen Fakt noch einmal eigens erwähnen muss. Der macht das mit diesem Internet vermutlich noch nicht so lange.

©2018 FedEx. The content of this message is protected by copyright and trademark laws under U.S. and international law.

Für diese massenhaft versendete Spam wurde ein Copyright deklariert. Verklag mich doch für mein Vollzitat, Spammer! Ich möchte dich so gern mal kennenlernen und ein bisschen mit dir rumspielen… 👿

Review our privacy policy. All rights reserved.

Überflüssig zu erwähnen, dass alle Links in der Spam auf die oben recht ausführlich gewürdigte URL gehen. Wo der Link hingeht, sieht man übrigens in der Statuszeile seiner Mailsoftware, wenn der Mauszeiger über dem Link steht. Wenn das in solchen Fällen immer die gleiche Adresse bei angeblich verschiedenen Links ist, dann ist völlig klar, womit man es zu tun hat: Mit dem Überrumpelungsversuch eines Kriminellen. Aber das ist eigentlich schon klar, wenn man sieht, dass der Link nicht zu FedEx geht.

Was die meisten Menschen nicht sehen, ist dieser weiß auf weiß gehaltene „Text“ am Ende der Spam:

hans observer restroom plastic regresses gallant doped helping conciliate apocrypha goldman subscriber gilligan piccadilly demultiplexer reassigns antihistorical rendered tidied bludgeoned boa dirichlet arbitration immerse responded thoughtlessness arose ionicizes chords gallant unsatisfiable disingenuous what countermeasures abo neural reckoning firepower hanoverianizes outstandingly asters

Aber auch mit diesem hirnlosen Prosaversuch aus der Frühzeit der unerwünschten, kriminellen Menschenbelästigung im Internet hat es der Spammer nicht geschafft, am Spamfilter vorbeizukommen.