Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Wg: Wirst du mir helfen

Mittwoch, 29. Juli 2020, 11:42 Uhr

Abt.: Bedenke, worum die bittest, Spammer! Es könnte dir gewährt werden.

ich bin traurig
Niemand braucht mich
Bitte kontaktiere mich

Das fiele mir viel leichter, wenn du nicht deinen Absender fälschen würdest. 🤥

Willst du meinen Po prügeln?

Ach, wenn ich so an Spammer denke, bekomme ich schon eine gewisse Lust zum Prügeln. Aber nicht nur so ein bisschen Schinkenklopfen. 🥊

Das bin ich

Softerotisches Foto einer Frau, die in aufreizender Unterwäsche vor dem Bett steht und mit ihrem Handy ein Selfie macht

Finde mich hier
Suche nach Namen Lena69

Was, so siehst du aus, Spammer? 👍

Dann hast du es ja gar nicht nötig, andere Menschen asozial mit Spam zu belästigen, damit sie sich bei irgendwelchen halbseidenen Dating-Abzockern anmelden und du das Affiliate-Geld dafür kassierst, sondern könntest zum Beispiel auf den Strich gehen. Das wäre viel ehrenhafter und deutlich weniger asozial. Und das hässliche Gefühl, dass dich niemand braucht, wird sich ganz schnell auflösen, wenn Leute sogar für dich bezahlen. Wie wichtig Geld ist, hast du ja schon als Spammer herausbekommen. 💶

Nur mal so als kleiner Tipp der Unser-täglich-Spam-Berufsberatung. Schreib dich nicht ab, Spammer! 😉

Natürlich ist der Link auf „Finde mich hier“ mal wieder nicht direkt gesetzt, denn Spammer, Werber und andere Feinde setzen niemals einen direkten Link, wie dies jeder denkende und fühlende Mensch tut, weil es einfacher, schneller und besser ist. 🚮

Außerdem wird es mal wieder mithilfe von Javascript ein bisschen kryptisch, damit man den Bullshit auch nicht allzuleicht automatisch analysieren kann, denn das mag der Spammer gar nicht:

$ lynx -mime_header http://yellowpad.info/adredir.asp?url=%68%74%74%70%3a%2f%2f%73%68%6f%70%73%35%2e%73%69%74%65 | grep ^Location
Location: http://shops5.site
$ lynx -mime_header http://shops5.site
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 29 Jul 2020 09:03:17 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 1392
Connection: close
Vary: Accept-Encoding
Last-Modified: Tue, 28 Jul 2020 17:55:46 GMT
ETag: "61a8d-570-5ab8426107ef2"
Accept-Ranges: bytes

<script type="text/javascript">
var dXxiZB = 'h';
var oHmB = 't';
var KfEu = 't';
var JhXa = 'p';
var gLxCcj = 's';
var HQLoLH = ':';
var GYibOZ = '/';
var NHxhM = '/';
var XSOZ = 'd';
var gwmPP = 'a';
var IaKNeUI = 't';
var kTdJ = 'e';
var mUHIKx = '-';
var aNRnA = 'h';
var nGAFIw = 'o';
var TNHZ = 't';
var FRHHAX = '-';
var EYVRD = 'g';
var XefDnm = 'i';
var SYtdrB = 'r';
var OLaW = 'l';
var VFKzs = 's';
var yKEYKa = '-';
var IDXmxp = 'h';
var JaWXQ = 'e';
var bATfq = 'r';
var ISDIHC = 'e';
var jEFZ = '1';
var EZtibL = '.';
var CZjHWS = 'c';
var ZBHmD = 'o';
var BPvxQJ = 'm';
var renP = '/';
var qvQjB = '?';
var yJdk = 'u';
var meQVi = '=';
var JoTwA = 'l';
var SVjX = '2';
var PZTDUK = 'd';
var bmku = 'p';
var vOxpZew = 'd';
var ZWiVh = '0';
var ADkv = '6';
var DZNrf = '&';
var cFvDTL = 'o';
var plirM = '=';
var dZbw = 'h';
var yDwh = 'x';
var bXpCdq = '1';
var vFxlT = 'k';
var RxgLLE = 'e';
var Mcyg = '9';
var TBEiou = 'm';
var TYvrSs = '&';
var ELJJ = 'm';
var eBNNP = '=';
var gjexJn = '1';

location.replace(dXxiZB+oHmB+KfEu+JhXa+gLxCcj+HQLoLH+GYibOZ+NHxhM+XSOZ+gwmPP+IaKNeUI+kTdJ+mUHIKx+aNRnA+nGAFIw+TNHZ+FRHHAX+EYVRD+XefDnm+SYtdrB+OLaW+VFKzs+yKEYKa+IDXmxp+JaWXQ+bATfq+ISDIHC+jEFZ+EZtibL+CZjHWS+ZBHmD+BPvxQJ+renP+qvQjB+yJdk+meQVi+JoTwA+SVjX+PZTDUK+bmku+vOxpZew+ZWiVh+ADkv+DZNrf+cFvDTL+plirM+dZbw+yDwh+bXpCdq+vFxlT+RxgLLE+Mcyg+TBEiou+TYvrSs+ELJJ+eBNNP+gjexJn);
</script>
$ _

Nein, das mache ich doch nicht selbst. Das lasse ich mal schön den Webbrowser machen:

$ lynx -source http://shops5.site | sed s/location\.replace/document.write/ >dumbcrypt.html
$ _

Statt die obskur zusammengesetzte URI im Browser aufzurufen, wird sie nun im Browserfenster ausgegeben. Wenn ich jetzt meine mit sed veränderte Datei dumbcrypt.html im Browser öffne, sehe ich also trotz der Krüpplografie des Spammers, wo die Reise hingeht:

https://date-hot-girls-here1.com/?u=l2dpd06&o=hx1ke9m&m=1

So so, „date hot girls here“. Und, was gibt es da für einen Fleischmarkt? Mal die Startseite ohne URI-Query anschauen:

Screenshot des Browserfensters mit einem HTTP-Fehler 404 und dem Hinweis "Under construction"

Hier gibt sich jemand wirklich große Mühe, sich vor automatisierten Analysen zu verstecken. Nur, wenn ich die Startseite mit allen Parametern aufrufe, sehe ich den Dating-Beschiss in aller seiner Herrlichkeit und Dämlichkeit und Geistlosigkeit:

Screenshot der Dating-Seite. -- Diese ist KEINE Dating-Site! WARNUNG! Du wirst auf Frauen treffen, die du kennst. Bitte verhalte dich verantwortungsvoll. [Ok!]

Gut, inzwischen ist das Wort „Dating-Site“ durch das Wort „Verabredungsort“ ersetzt worden, desgleichen ist das Wort „Warnung“ durch das Wort „Achtung“ ersetzt worden. Da kann ich immer noch meinen historischen Screenshot von damals verwenden. Der Titel der Website lautet heute allerdings „Zum scheissen heute Frauen aus deiner Umgebung“. Ja, wirklich! Zum Scheißen! Aber damit hat sich der Wille der Dating-Spammer, ihre seit fast zweieinhalb Jahre lang völlig unveränderte, auf allen Kanälen mit Spam vorangetriebene Masche mal ein bisschen zu verändern, schon erschöpft. Das sind schließlich Spammer. Wenn die sich Mühe geben wollten, könnten sie auch gleich arbeiten gehen. 🛠️

Alles Weitere und noch ein paar Screenshots der nächsten Schritte gibt es in meinem Text vom 14. März 2018. Wenn ich das alles noch einmal übers Clipboard hier reinkopieren wollte, könnte ich ja gleich arbeiten… oh! 😉

Diese Spam ist ein Zustecksel meines Lesers M. R.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.