Heute habe ich es zum ersten Mal geschafft, eine derartige Spam…
…rechtzeitig wahrzunehmen, also noch bevor Microsoft den verlinkten Inhalt aus seinem „Cloud“-Dienst gelöscht hat. Und das heißt, dass ich endlich mal sagen kann, was in diesen kryptischen Spams ohne Betreff, aber mit Link in Microsofts „Cloud“, so drinsteht. 💡️
$ mime-header 'https://1drv.ms/w/s!AnDdU2-UFXyEgR38iQlfCMh1z6PR' HTTP/1.1 301 Moved Permanently Location: https://onedrive.live.com/redir?resid=847C15946F53DD70!157&authkey=!APyJCV8IyHXPo9E&ithint=file%2cdocx X-MSNSERVER: DB3PPF6CC9BCC04 Strict-Transport-Security: max-age=31536000; includeSubDomains MS-CV: +EIJlvS8cUG3sv2fucBgyA.0 X-AsmVersion: UNKNOWN; 19.1074.105.2010 X-Cache: CONFIG_NOCACHE X-MSEdge-Ref: Ref A: C5916954D1E94930BFB4E53CF1D45EAC Ref B: DUS30EDGE0919 Ref C: 2023-02-02T12:01:17Z Date: Thu, 02 Feb 2023 12:01:17 GMT Connection: close Content-Length: 0 $ _
Leider ist es nicht leicht möglich, diese Datei an der Kommandozeile herunterzuladen, weil die „Cloud“-Anfixer und digitalen Gutsherren von Microsoft einen großen Haufen Javascript gelegt haben, um einfache und direkte technische Möglichkeiten zu verhindern und die Benutzung eines voll aufgeplusterten Webbrowsers zu erzwingen. Na gut, dann eben über die virtuelle Maschine, die ich für solche Momente vorhalte (und auf der sich Kriminelle gern austoben dürfen). 🧸️
Was man dort herunterladen kann, ist ein Dokument für Microsoft Word…
$ file invite-jCB5MMu0I.docx invite-jCB5MMu0I.docx: Microsoft Word 2007+ $ _
…das auch aussieht, und zwar so:
![Bitcoin -- Das ist ihre persönliche Einladung! -- Ihre Freunde und Bekannten nutzen das System bereits! Verpassen sie auch nicht ihre Chance! -- Einzelheiten [Link]](http://spam.tamagothi.de/wp-content/uploads/2023/02/invite-full.jpg)
Krass, ein „Click here“ in der Spam, der auf einen in proprietärer Software verbuddelten „Click here“ in der Cloud führt, und meine Freunde und Bekannten waren so doof, dass sie darauf rumgeklickt haben. Mit denen muss ich aber mal ein sehr ernstes Wort sprechen… 🤭️
Natürlich ist nicht einmal dieser indirekte Link in einem Cloud-Dokument direkt gesetzt. Hier wird noch einmal über Bitly und daran anschließend noch einige Weiterleitungen maskiert, wo die Reise hingehen soll. 🎭️
$ location-cascade https://bit.ly/3WLriKQ 1 https://z3xvg.app.link/sF1RXMkWYwb 2 http://ucuiwwa.contractproduction.co.in/23525662423763622?_branch_match_id=1149668583144555590&utm_medium=marketing&_branch_referrer=H4sIAAAAAAAAA8soKSkottLXrzKuKEvXSywo0MvJzMvWL3YzDIrwzQ6PLE8CAFnhhGEiAAAA 3 http://de.personorganisation.co.in/tr/vip/DE/7011/?bet=28368923&affsub2=hot $ _
Damit ist das Versteckspiel noch lange nicht am Ende. Die Website, bei der man schließlich ankommt, zieht es vor…
$ lynx -dump http://de.personorganisation.co.in/ 403 Forbidden __________________________________________________________________ nginx/1.10.3 $ _
…gar keine Startseite zu haben. Man muss schon die ganze URL mit Parametern und Affiliate-ID des Spammers verwenden, um schließlich…
$ lynx -dump "http://de.personorganisation.co.in/tr/vip/DE/7011/?bet=28368923&affsub2=hot" | sed 8q Bitcoin Code Reite auf der Erfolgswelle des Bitcoins und du kannst bis zu €13.000 in den nächsten 24h verdienen Lass mich dir jetzt live zeigen wie man sich Cash verdient! $ _
…auf der altbekannten Betrugsseite „Bitcoin Code“ zu landen, die ihren Bullshit seit 2017 im Wesentlichen unverändert präsentiert. Die paar Darstellungsfehler, die offenbar bei etwas zu hastigen Umzügen auf neue Server entstanden, sind mir keinen neuen Screenshot wert. Wichtigster Inhalt neben traumhaft schönen Bildern vom Reichtum ist das Video des spammigen Reichwerdexperten Sven Hegel, ebenfalls seit Jahren unverändert. 🥱️
Warum sollte man daran auch etwas verändern. Es läuft ja schon seit Jahren, und eine Neugestaltung der Betrugsnummer wäre doch mühsam. Wenn die Spammer sich Mühe geben wollten, könnten sie ja gleich arbeiten gehen! 🛠️
Offenbar finden sich immer noch genug „ungebrannte Kinder“, denen man erzählen kann, dass sich jeder dahergelaufene Honk klicki-klicki das Geld aus der Steckdose ziehen kann. Das ist natürlich nicht wahr. Tatsächlich ist es ein Betrug. Das Geld, das man da reinsteckt, ist weg. Und die tollen Zahlen, die einem in der App angezeigt werden, sind nur Zahlen. Der persönliche Berater allerdings, der irgendwann anruft und empfiehlt, weil es gerade so gut läuft, noch mehr Geld hinterherzuschmeißen, der ist echt. Er ist ein gewerbsmäßiger Betrüger. Am Ende wird er noch eine sehr gesalzene Gebühr nehmen, wenn man sein angezeigtes Geld auch abholen will, und dann bricht der Kontakt einfach ab. Viele merken erst in diesem Moment, dass sie betrogen wurden und dass das Geld jetzt weg ist. 💸️
Bitte nicht auf solche Reichwerdexperten aus der Spam reinfallen! Man kann mit Geld etwas Besseres anfangen, als solchen asozialen Verbrechern den verfeinerten Lebensstil zu finanzieren. Ich nehme mal an, dass hier jedem etwas einfällt… 😉️