Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Canadian Pharmacy“

canadian pharmacies online

Sonntag, 16. September 2018

So nannte sich der spammende Giftapotheker, der wollte, dass dieser Name voller SEO-werter Keywords mit seiner Giftapotheke verlinkt wird und der meinte, dass das folgende Lob mich schon dazu bringen würde, so eine Spam stehenzulassen:

Thanks for sharing such a good opinion, post is fastidious, thats why i have read it completely

Tja, Spammer, hättest du es mal wirklich gelesen! Ach, dein Skript kann gar nicht lesen, es kann nur spammen? Das habe ich mir doch gleich gedacht.

Wie man es von einer spambeworbenen Apotheke der spambeworbenen Firmierung „Canadian Pharmacy“ auch niemals anders erwarten würde, gibt es bei diesem freundlichen Giftapotheker mit seinen lobenden Worten für Blogger leider nichts gegen Erkältungsbeschwerden, sondern nur…

Detail aus der Website: ERECTION PILLS FOR HAPPY LIFE -- TOP QUALITY 100% GUARANTEE

…Pimmelpillen mit hundertprozentig garantierter Spitzenqualität. Mit Spamsiegel und hl. Ehrenwort eines Spammers, der davon lebt, fragwürdige Kopien von Markenarzneien zu verkaufen, bei denen zwar die Verpackung ans Original erinnert, aber die Inhaltsstoffe dafür nicht so sehr. Wer dort bestellt und Glück hat, bekommt für teures Geld eine Lieferung ohne jegliche Wirkstoffe. Wer weniger Glück hat, schmeißt Chemieabfälle in sich rein und bekommt im ungünstigsten Fall endlich eine schnelle Antwort auf die Frage, ob es ein Leben nach dem Tod gibt.

Die Giftapotheke sieht so aus:

Screenshot der spambeworbenen Pimmelpillenapotheke

So so, „amerikanische Pillen“ aus der „kanadischen Apotheke“, deren verwendete Domain übrigens…

$ whois canadianonlinepharmacyoffer.com | grep WHOIS
   Registrar WHOIS Server: whois.registrar.eu
Registrar WHOIS Server: whois.registrar.eu
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-09-16T10:33:43Z <<<
; By submitting a WHOIS query, you agree that you will use this data
$ whois -h whois.registrar.eu canadianonlinepharmacyoffer.com | grep ^Registrant | sed 7q
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Whois Privacy Protection Foundation
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: Zuid-Holland
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: NL
$ _

…von jemanden EU-DSGVO-Geschütztes in den Niederlanden betrieben wird. (Mit an Sicherheit grenzender Wahrscheinlichkeit wird hier die Identität eines anderen Menschen kriminell missbraucht, denn diese Verbrecher verstehen es, anonym zu bleiben.) Ein wahrlich internationaler Geschäftsbetrieb!

Und nein! Dieser Spamkommentar war nicht der einzige, und Unser täglich Spam ist sicherlich nicht die einzige Website, die mit dieser Spam bombadiert wird… :(

Viagra ist übrigens kein blauer Zuckerbonbon, sondern ein hochwirksames Medikament, das auch erhebliche Nebenwirkungen hat (die bei Einnahme trotz Kontraindikationen sogar zum Tod führen können) und deshalb mit gutem Grund verschreibungspflichtig ist. Wer Viagra oder andere Arzneien mit Wirkstoff Sildenafil oder verwandte Wirkstoffe wie Tadalafil oder Avanafil ohne Rezept abgibt, ist kein Apotheker, sondern kriminell. Und zwar fast überall auf dieser Welt. Und wer möchte schon Pillen von Kriminellen in sich reinwerfen?

You appeared in 8 search this week

Samstag, 4. August 2018

Niemals vom Design einer HTML-formatierten E-Mail beeindrucken lassen! Diese Spam kommt nicht von LinkedIn, was man wegen akuter Doofheit der Spammer in der Auswahl ihres gefälschten Absenders…

Von: LinkedIn <gutiern@stthom.edu>

…auch beim Hingucken sehen kann. Das richtige LinkedIn würde selbstverständlich eine Mailadresse aus seiner eigenen Domain nehmen. ;)

Wenn der Spammer so dumm ist, reißt das Design es auch nicht mehr raus:

You appeared in 8 search this week -- LinkedIn --xxxxxxxxxxxxx@googlemail.com -- You appeared in 8 search this week -- You were found by people from these companies -- Avanade -- See all searches -- Get the LinkedIn app. -- Stay updated wherever you are -- Download for free -- Unsubscribe | Help -- You are receiving LinkedIn notification emails. -- This email was intended for xxxxxxxxxxxxx@googlemail.com Learn why we included this. -- LinkedIn -- © 2018 LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085. LinkedIn and the LinkedIn logo are registered trademarks of LinkedIn. -- amaretto inconsistency yanked newcastle syllogism abstained informing formalizations leaves nucleus

Was man im Screenshot des HTML-Layouts nicht sieht, ist die folgende unsichtbare Spamprosa am Ende der Mail:

amaretto inconsistency yanked newcastle syllogism abstained informing formalizations leaves nucleus

Dieser Text wird in jeder Spam anders sein und soll den Spamfiltern das Leben erschweren.

Sämtliche Links in dieser Spam führen in eine gecrackte, mit WordPress betriebene Website portugiesischer Sprache. Dort gibt es eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header http://cuidandomais.com.br/wp-content/uploads/apostolicj.html
HTTP/1.1 200 OK
Date: Sat, 04 Aug 2018 09:00:54 GMT
Server: Apache/2.2.22 (Debian)
Last-Modified: Wed, 01 Aug 2018 20:49:42 GMT
ETag: "df9f7-68d-57265d58374b7"
Accept-Ranges: bytes
Content-Length: 1677
Vary: Accept-Encoding
Connection: close
Content-Type: text/html

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>mournfully32999 Imprisond. Length - bending, roys: Sense. Latest lucie poets reaping - cull.</title>
</head>
<body>
<script type="text/javascript">

bared();

function holidayb(aholidayb,bholidayb)
{
	cholidayb = "";

	for (dholidayb = 0; dholidayb < bholidayb.length; dholidayb++)
	{
		eholidayb = bholidayb[dholidayb];
		fholidayb = eholidayb - aholidayb;
		gholidayb = String.fromCharCode(fholidayb);

		cholidayb = cholidayb + gholidayb;
	}

	return cholidayb;
}

function opposing(harmless,sorrows)
{
	courtesies = flutterd / sip;
	beautifully = pursue / daisy;
	ask = sweetly - scannd;
	hadn = bands - braes;
}

function bared()
{
	setTimeout(effortlessc(),1036);
}

function hither(sunshine)
{
	figures = latest - panting;
	seeking = grotto / shy;
	confuse = lucky + infant;
}

function effortlessc()
{
	aeffortlessc = planneda();
	beffortlessc = [124,110,115,105,116,124,51,121,116,117,51,113,116,104,102,121,110,116,115,51,109,119,106,107,66,44,109,121,121,117,63,52,52,107,102,121,116,107,107,50,103,116,105,126,57,113,110,108,109,121,51,124,116,119,113,105,52,68,102,66,57,53,54,56,56,59,43,104,66,104,117,104,105,110,106,121,43,120,66,54,61,53,60,55,53,54,61,44,64];

	return holidayb(aeffortlessc,beffortlessc);
}

function unprofitable()
{
	guests = yellow - panting;
	hair = homefelt / common;
}

function homefelt()
{
	beautifully = train + mild;
}

function benignant(sticking,prisons)
{
	debut = plotted * imprisond;
}

function planneda(hideandseeki)
{
	return 5;
}

</script>
</body>
</html>
$ _

Um zu sehen, wo die Reise hingeht, besinne ich mich darauf, dass Rechner nun einmal besser rechnen können als ich und ersetze einfach setTimeout durch document.write

$ lynx -source http://cuidandomais.com.br/wp-content/uploads/apostolicj.html | sed -e s/setTimeout/document.write/ -e s/,1036// >blah.html
$ _

…und lasse meinen Browser das „Entziffern“ für mich machen, um zu sehen, was da ausgeführt werden sollte – dafür muss ich natürlich Javascript zulassen, was ich standardmäßig nicht gestatte:

window.top.location.href='http://fatoff-body4light.world/?a=401336&c=cpcdiet&s=18072018';

Aber zum Glück für den Rest der Welt gibt es dort – nicht einmal eine Stunde, nachdem ich diese Spam empfangen habe – schon nichts mehr zu sehen:

$ lynx -source http://fatoff-body4light.world/

Looking up fatoff-body4light.world
Making HTTP connection to fatoff-body4light.world
Sending HTTP request.
HTTP request sent; waiting for response.
HTTP/1.1 301 Moved Permanently
Data transfer complete
HTTP/1.1 301 Moved Permanently
Using https://fatoff-body4light.world/
Looking up fatoff-body4light.world
Making HTTPS connection to fatoff-body4light.world
Verified connection to fatoff-body4light.world (cert=fatoff-body4light.world)
Certificate issued by: /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
Secure 128-bit TLS1.2 (ECDHE_RSA_AES_128_GCM_SHA256) HTTP connection
Sending HTTP request.
HTTP request sent; waiting for response.
Alert!: Unexpected network read error; connection aborted.
Can't Access `https://fatoff-body4light.world/'
Alert!: Unable to access document.

lynx: Can't access startfile
$ _

Das gefällt mir. ;)

Leider ist es nur die halbe Wahrheit. :(

In Wirklichkeit sollen die „Inhalte“ vor automatischen Analysen versteckt werden. Man sieht dort nur etwas, wenn man auch die URI-Parameter anhängt, die mit irreführender Spam und vorsätzlich kryptischen Javascript-Weiterleitungen bekannt gemacht werden. Aber erstmal gibt es noch eine Weiterleitung…

$ location-cascade "http://fatoff-body4light.world/?a=401336&c=cpcdiet&s=18072018"
     1	https://fatoff-body4light.world/?a=401336&c=cpcdiet&s=18072018
     2	https://fatoff-body4light.world/all/ytsl/cpc?bhu=CWpYzN8K6PkSaG2iT8B8digyiN9zFU1rVT9YW
$ _

…bevor man in den „Genuss“ einer weiteren Javascript-Weiterleitung kommt:

$ lynx -source "https://fatoff-body4light.world/all/ytsl/cpc?bhu=CWpYzN8K6PkSaG2iT8B8digyiN9zFU1rVT9YW"
<link rel="stylesheet" href="/assets/CWpYzN8K6PkSaG2iT8B8digyiN9zFU1rVT9YW/theme_xa9fa4.css?CID=411298&ADID=2129826" type="text/css">        <link rel="dns-prefetch" href="http://178.3.171.181.d.megaanalitycsstats.com"><script>
    window.location.replace("http://magictabsstore.ru");
</script>
$ _

Ganz wichtig: Wenn man eine Seite ohne Inhalte hat, muss man unbedingt ein Stylesheet einbinden! :D

Nun, unter magictabsstore (punkt) ru begegnet einem dann die Fassade einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, die so aussieht:

Screenshot einer betrügerischen Apotheke der spammigen Marke Canadian Pharmacy

Ich gehe übrigens davon aus, dass es sich hier um eine „Notweiterleitung“ handelt, bei der man landet, wenn man keinen anfälligen Webbrowser hat. Leider habe ich es in einer Mischung aus Müdigkeit und Sommerheiterkeit (eine schönere Umschreibung für Dummheit ist mir gerade nicht eingefallen) versäumt, den User-Agent von lynx zu ändern, zum Beispiel in einen Internet Explorer 10. Angesichts der besonderen Mühe im Verstecken von Inhalten, damit diese wirklich nur bei klickenden Spamempfängern auftauchen, gehe ich davon aus, dass über eine komplizierte Weiche versucht werden wird, jedem anfälligen Browser auf jedem Betriebssystem sein aktuelles Schadsoftware-Paket auszuliefern. Wenn denn eine Woche später der Schaden eintritt, erinnern sich die meisten Menschen nicht mehr an „die komische Mail von LinkedIn“.

Um sich vor solchen Gefahren zu schützen, gibt es – neben der obligatorischen Absicherung des verwendeten Webbrowsers durch einen Adblocker und einen Scriptblocker – ein ganz einfaches Mittel: Die Angewohnheit, niemals in eine E-Mail zu klicken und niemals einen Mailanhang zu öffnen, der nicht vorher explizit vereinbar war. Wer bei einer solchen angeblichen Benachrichtung von LinkedIn die Website von LinkedIn über ein Lesezeichen aufruft, kann gar nicht von Kriminellen überrumpelt werden. Diese sehr einfache und völlig kostenlose Vorsichtsmaßnahme kann sehr viel Ärger und Geld sparen. Denn natürlich hilft sie auch gegen überzeugend vorgetragene Phishing-Maschen und gegen Schadsoftware im Mailanhang.

Viagra Brand. Du gehst Meilen dafur, wenn du es versuchst.

Dienstag, 17. April 2018

Wie, man nimmt die Pimmelpillen jetzt zum Gehen? Womit dieser Spammer wohl gehen mag? Ich gehe jedenfalls mit Beinen und Füßen. :D

Online-Apotheke, Garantierte Qualitat!

Ja, ich glaube euch, dass ihr eine Qualität garantiert. Und was für eine! Ihr könnt das Wort nicht einmal richtig schreiben, weil euch die Pünktchen ausgegangen sind, die man manchmal über Vokale setzt. :D

E-Mails in Ihrem Browser anzeigen

Aber ich sehe die Spam doch schon in meinem Posteingang, und da ist sie schlimm genug.

Extern eingebettetes Bild in der Spam. Auf der linken Seite vorn ein weißbekittelter Mann mit Stethoskop, der offenbar einen Arzt darstellen soll, hinter ihm sehr unscharf eine Frau und ein Mann. Zur rechten Seite neben ihm ein Päckchen Viagra und ein Päckchen Cialis, darüber ein typisches Spamsiegel mit 100% Garantie Zufriedenheits. Dazu der Text 'Die populärsten Präparate für die Männer in der Online Apotheke! Bestelle, aus dem Haus nicht hinausgehend!'.

Wie, was ich bei euch bestelle, geht aus eurem Haus nicht hinaus? Wozu bestelle ich es denn überhaupt? :mrgreen:

Cialis Daily ist wurdig zu versuchen und zu lieben.

Och nö!

Online-Apotheke, Garantierte Qualitat!

Aber den hattest du schon, Spammer. Und er sieht groß auch nicht besser als klein aus.

Sparen Sie Ihr Geld, Zeit, Bemuhungen. Sie werden nie besseres Angebot finden!
Die besten Medikamente erhaltlich sind in unserer vertrauenswurdigen Online-Apotheke verkauft! Dieser Monat zum halben Preis!

Aber ich muhe doch gar nicht.

Verwenden Sie diesen Code – SALE2018 und erhalten Sie 10% Rabatt fur alle unsere Produkte.

Das ist ja ein unglaublich guter, ganz geheimer Geheimcode, auf den niemals jemand kommen könnte! :mrgreen:

Sparen Sie Geld und kaufen Sie jetzt!
http://saletradeinfo.ru/?tr=7780

Wenn ich etwas kaufe, spare ich kein Geld, sondern gebe Geld aus. Und wenn ich etwas von spammenden Halunken kaufe, gebe ich das Geld für Betrugsprodukte aus. Das ist wirklich schade ums Geld. Wenn man irgendwelche Pillen schluckt, ist es oft auch schade um die Gesundheit.

– Schnelle EURO Versand

Wie, ihr versendet Euro-Banknoten?! :D

– Sichere Bestellung

Und wenn ich im Browser rumklicke, werde ich nicht vom Computer gebissen?

– Geringster Preis

Dass Betrüger behaupten, dass man einen Vorteil hätte, wenn man sich von ihnen betrügen lässt, ist ganz normal, denn sonst würde sich ja niemand betrügen lassen. Und dass es sich um Betrüger handelt, zeigt sich allein daran…

– KEINE PRESCRIPTION ERFORDERLICH

…dass der Spamapotheker verschreibungspflichtige Arzneien auch ohne Rezept abgibt. Wenn sie wirklich nicht wissen, warum ein richtiger Apotheker so etwas niemals tun würde, dann gehen sie einfach mal zur nächsten Apotheke und fragen sie einen richtigen Apotheker!

Wie man das Rezept auf Deutsch nennt, wird der Spammer sicherlich noch für die nächste Spamwelle lernen.

So, und jetzt noch völlig kontextlos eine lange Liste, weil dem Spammer noch ein paar deutsche Wörter eingefallen sind:

– Anti allergisch
– Asthma
– Antibiotika
– Antidepressiva
– Antidiabetikum
– Antivirale
– Angst
– Schlafmittel
– Blutdruck
– Herz
– Krebs
– Cholesterin
– Augenpflege
– Allgemeine Gesundheit
– Manner Gesundheit
– Psychische Gesundheit
– Epilepsie
– Schmerzlinderung
– Hautpflege
– Bauch
– Aufhoren zu rauchen
– Vitamine
– Krautererganzungen
– Gewichtsverlust
– Frauengesundheit

Ich nehme dann mal Angst, Blutdruck, Krebs und Epilepsie. Und dazu als kleines Leckerli noch die Krauterganzungen. :D

You can unsubscribe from this list

Dem betrügenden Spammer mitzuteilen, dass seine Spam ankommt, gelesen wird und sogar beklickt wird, ist aber auch keine gesunde Idee.

So, und jetzt noch der obligatorische Screenshot der aktuellen Betrugsapotheke – von einem Besuch rate ich strikt ab, denn hier wird Javascript erzwungen. Es ist nie eine gute Idee, kriminellen Spammern das Privileg einzuräumen, dass sie beliebige Programme ausführen können. Die Betrugsapotheke der spammigen Marke „Canadian Pharmacy“ sieht so aus:

Screenshot der betrügerischen Website einer angeblichen Online-Apotheke

Wenn man von diesem Apotheker mal etwas anderes als Pillen für den Pimmel haben will, muss man schon ganz schön weit nach unten scrollen, und auch dann gibt es nur Gnadenhammer-Antibiotika der Marke „Zithromax“ und Bullshit-Produkte der Marke „Testosteron-Booster“. Erkältungsbeschwerden scheinen in der Kundschaft dieser Betrugsapotheke deutlich seltener aufzutreten als der drängende Bedarf nach chemischen Hilfsmitteln für das Orgasmüssen.

Es gibt viele helle Streifen im Leben mit Cialis.

Dienstag, 26. Dezember 2017

Der Betreff klingt, als gäbe es im Intellekt des Absenders viele dunkle Flecken. :D

Online-Apotheke, Garantierte Qualitat!
E-Mails in Ihrem Browser anzeigen

Verwandeln Sie Ihren Korper fur Abenteuer! Probieren Sie unsere Cialis Soft.
Online-Apotheke, Garantierte Qualitat!

Da will ich mal hoffen, dass die „garantierte Qualität“ besser ist als das HTML dieser HTML-formatierten Spam, das die Spammer dazu bringt, einen Link für die Anzeige der „E-Mails“ im Browser zu hinterlegen. Das Klicken auf diesen Link – sowie auf jeden anderen Link in einer beliebigen Spam – verwandelt den Computer allerdings für Abenteuer und sollte deshalb besser vermieden werden. :D

Sparen Sie Ihr Geld, Zeit, Bemuhungen. Sie werden nie besseres Angebot finden!
Die besten Medikamente erhaltlich sind in unserer vertrauenswurdigen Online-Apotheke verkauft! Dieser Monat zum halben Preis!

„Dieser Monat“ ist ja fast vorbei, so dass man ihn zum halben Preis verkaufen kann; und die Apotheke ist so gut, dass sie die Texte von Yoda schreiben lässt, um sie hinterher von jemanden in eine Mail kopieren zu lassen, der diese ganzen kleinen Pünktchen über einige deutsche Vokale nicht hinbekommt. Das ist eine Bemuhung des Spammers, die einen zutreffenden ersten Eindruck von der vertrauenswurdigen Qualitat gibt. :mrgreen:

Verwenden Sie diesen Code – SALE2017 und erhalten Sie 5% Rabatt fur alle unsere Produkte.

Ein ganz geheimer Geheimcode! :D

Sparen Sie Geld und kaufen Sie jetzt!

http://newrxelement.su

Sparen sie Geld, indem sie Geld ausgeben, weil ein krimineller Spammer und Giftapotheker ihnen gesagt hat, dass sie dabei Geld sparen! Die Website seiner Giftapotheke der spammigen Marke „Canadian Pharmacy“ sieht übrigens so aus:

Screenshot der in der Spam verlinkten betrügerischen Website namens 'Canadian Pharmacy'

Gegen eine Erkältung findet man bei diesem Giftapotheker zwar eher nichts, aber dafür gibt es geschenkte Bonuspillen, als handele es sich um ein chancenarmes Gesundheitscasino:

erhalten frei bonus -- 4 GIBT FREI VIAGRA PILLEN FÜR JEDERMANN

Wer so verrückt ist, sich diese pillz reinzuwerfen, kann auch manchmal Glück haben. Häufig ist nämlich kein Wirkstoff drin und man bleibt wenigstens am Leben.

– Schnelle EURO Versand
– Sichere Bestellung
– Geringster Preis
– KEINE PRESCRIPTION ERFORDERLICH

Übrigens: Ein „Apotheker“, der verschreibungspflichtige Arzneien ohne Rezept rausgibt, ist überall auf der Welt kriminell – und Viagra ist aus guten Gründen verschreibungspflichtig, denn es handelt sich nicht um bunte Smarties, sondern um ein sehr wirksames Medikament mit möglichen schweren Nebenwirkungen und Wechselwirkungen mit anderen Medikamenten. Wer im Zeitalter der fake news so etwas mir als dahergelaufenen Blogger nicht glauben will, kann ja mal in der nächsten Apotheke fragen. Oder einfach den Arzt, wenn man dem Apotheker nicht traut. Aber bitte nicht uninformiert auf so eine gefährliche Kriminalität reinfallen! Und danach bitte nie wieder auch nur eine Sekunde darüber nachdenken, Geld für irgendwelche Pimmelpillen von Verbrechern auszugeben!

So, jetzt hat sich unser Spamapotheker zum Abschluss gesagt, dass seine Spam noch viel zu kurz ist und hat eine ganze Liste kontextloser Wörter in seine Spam hineinkopiert:

– Anti allergisch
– Asthma
– Antibiotika
– Antidepressiva
– Antidiabetikum
– Antivirale
– Angst
– Schlafmittel
– Blutdruck
– Herz
– Krebs
– Cholesterin
– Augenpflege
– Allgemeine Gesundheit
– Manner Gesundheit
– Psychische Gesundheit
– Epilepsie
– Schmerzlinderung
– Hautpflege
– Bauch
– Aufhoren zu rauchen
– Vitamine
– Krautererganzungen
– Gewichtsverlust
– Frauengesundheit

Ich kaufe Angst, Krebs, Cholesterin und noch die Krauterganzungen. :mrgreen:

You can unsubscribe from this list

Ja, Spammer, du kannst mich auch mal!

Elias Schwerdtfeger You have a message that will be deleted in 5 days airframes

Freitag, 14. Juli 2017

Da muss ich ja mal richtig schnell machen! Sonst kriegt die Nachricht noch flatternde Flügel. :D

Und, um was geht es? Mal reinschauen:

facebook -- A lot has happened on Facebook since you last logged in. Here are some notifications you've missed. -- 1 message -- [View Notifications] [Go to Facebook] -- This message was sent to exxxxxxxr@gxxxxxxxx.com. If you don't want to receive these emails from Facebook in the future, please unsubscribe. -- Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

Aber ich bin doch gar nicht bei Facebook…

Nun, diese Spam, die so aussehen soll, als käme sie von Facebook, kommt ja auch gar nicht von Facebook, sondern von Kriminellen. Ich weiß nicht, ob Facebook derartige E-Mails versendet. Ich bin nicht bei Facebook.

Alle vier Buttons/Links in dieser Spam führen auf die gleiche Adresse http (doppelpunkt) (doppelslash) maxxboard (punkt) nl (slash) invitations (punkt) php – und dort gibt es natürlich nicht Facebook, sondern eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header "http://maxxboard.nl/invitations.php"
HTTP/1.1 200 OK
Date: Fri, 14 Jul 2017 08:57:24 GMT
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta name="keywords" content="heeds, christ, seas">
<title>steps32128 Believd soothe. Fatherly debut lucie civil muscles relief infants.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function disciplinede() { disciplineda=23; disciplinedb=[142,128,133,123,134,142,69,139,134,135,69,131,134,122,120,139,128,134,133,69,127,137,124,125,84,62,127,139,139,135,81,70,70,132,120,126,128,122,132,124,123,138,135,137,134,126,137,120,132,69,137,140,62,82]; disciplinedc=""; for(disciplinedd=0;disciplinedd<disciplinedb.length;disciplinedd++) { disciplinedc+=String.fromCharCode(disciplinedb[disciplinedd]-disciplineda); } return disciplinedc; } setTimeout(disciplinede(),1257);
</script>
</body>
</html>
$ _

Nun, wer sich so verbirgt, hat gewiss etwas zu verbergen.

Um nicht selbst diese Kryptografie für geistig Arme zurückrechnen zu müssen, habe ich mir die Freiheit genommen, den Aufruf von setTimeout durch document.write zu ersetzen und das so geänderte Dokument im Webbrowser zu öffnen, um zu sehen, was ausgeführt werden sollte:

window.top.location.href='http://magicmedsprogram.ru'; 

So so, it’s magic! :mrgreen:

Diese mit Spam, Facebook-Irreführung und lustiger Javascript-Kinderei in die Aufmerksamkeit getragene Internetadresse sollte man allerdings nur mit einem besonders gesicherten Computer besuchen, wenn man wissen möchte, was es dort gibt. Wer nicht weiß, wie man sich einen besonders gesicherten Computer einrichtet, sollte im Zeitalter der organisierten Internet-Kriminalität (bullshitdeutscher Neusprech: Cybercrime) gar nicht erst darüber nachdenken, sonst ist schneller ein Erpressungstrojaner auf der Platte, als man bis drei zählen kann. Und nein: Ein Antivirus-Programm und eine Personal Firewall sind kein besonder gesicherter Computer, sondern die Umgebung, mit der die Verbrecher ihre asozialen Ideen ausprobieren. Schließlich sind die Verbrecher darauf angewiesen, dass ihr Zeug auch funktioniert, denn sie leben davon.

Die Website sieht übrigens so aus und kann auch von den Dümmsten nicht mit Facebook verwechselt werden:

Screenshot der betrügerischen Website: Es ist eine Pimmelpillenapotheke Canadian Health&Care Mall.

So so, Canadian Health&Care Mall in der russischen TLD. :D

Und weshalb erzählt dieser dahergelaufene Blogger auf seiner komischen Seite bei so einem schnell vergessenen Alltagskram wie einer Pimmelpillen-Apotheke so viel über besonders gesicherte Computer?“, könnte man da fragen. Nun, ich gebe zusätzlich Folgendes zu bedenken:

  1. Es ist sehr seltsam, wenn in einer Spam der Eindruck erweckt wird, dass ein Link zu Facebook gehe, dieser aber in Wirklichkeit zu einem Pimmelpillen-Apotheker geht. Wer soll die Zielgruppe dieses Vorgehens sein? Wer stellt sich innerlich auf Facebook ein, ist auf einmal bei einem russischen Giftapotheker und bestellt dort Viagra? Leute, deren Klickfinger unabhängig von Gehirn arbeitet? Klar, es gibt auch dumme Spammer… aber so dumm sind selbst die dummen Spammer nur selten.
  2. Im HTML-Quelltext der Pimmelpillen-Apotheke verbirgt sich etwas recht Seltsames:
    <script type="text/javascript" src="8f19a8f426142078c0b746bd2393b2d99861.gif?1500023182"></script>
    

    Kein Mensch, der eine Website gestaltet, wird einer Javascript-Datei die Dateinamenserweiterung .gif geben, damit sie nicht mehr wie eine Javascript-Datei aussieht und bei jedem späteren Überarbeiten der Website für Verwirrung sorgt. Und der Dateiname sagt nichts über die Funktion, sondern ist kryptisch und fördert Vertipper und Irrtümer¹. So coden Menschen nur, wenn sie etwas machen, was nicht koscher ist. Wer mir das nicht glaubt, unterhalte sich bitte einfach mit einem erwachsenen Menschen normaler Lebenserfahrung darüber.

Ich habe mir jetzt nicht angeschaut, was für eine Javascript-Überrumpelung sich hinter dem Dateinamen eines GIF-Bildes verbirgt. Ein genauerer Einblick ist für mich auch nicht mehr erforderlich. Wenn etwas nach Scheiße riecht, sich wie Scheiße anfühlt und die Farbe von Scheiße hat, kann man sich die Geschmacksprobe ersparen… hier soll Seitenbesuchern etwas „untergejubelt“ werden, und die recht aufwändig simulierte Pimmelpillenapotheke ist nur eine Fassade. Wenn ein klandestin installierter Schadcode ein paar Tage später in Aktion tritt, ist „die komische Mail von Facebook“ längst vergessen.

Und deshalb klickt man niemals in eine Spam.

Und wenn eine Mail von Facebook, Google, Ebay, PayPal, der Bank oder sonstwoher kommt, klickt man auch niemals in diese Mail, sondern ruft die entsprechende Seite direkt im Browser auf (es gibt dafür seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 eine ungemein praktische Lesezeichenfunktion, die es sehr erleichtert, häufig aufgerufene Seiten aufzurufen). Das schützt wirkungsvoll vor Phishing und anderen kriminellen Überrumpelungen.

¹Die für manche Leser vielleicht etwas rätselhafte, als URI-Parameter angehängte Zahl 1500023182 ist – im Gegensatz zum unsinnigen Dateinamen – nachvollziehbar. Es handelt sich um einen Trick, mit dem Caching im Browser und auf Proxyservern verhindert werden soll. Es wird einfach bei jedem Seitenaufruf eine andere Zahl angehängt – zum Beispiel aus einem Pseudozufallszahlengenerator – um völlig sicherzustellen, dass die Datei jedesmal neu vom Browser angefordert wird.

You have 2 damaged emails

Montag, 15. Februar 2016

Und du, Spammer, du hast ein beschädigtes Gehirnchen.

Diese Mail…

Screenshot der HTML-formatierten Spam

…kommt natürlich nicht von Google, sondern ist eine Spam von Verbrechern. Das kann man nahezu sofort an folgenden Merkmalen erkennen:

  1. Es wird nicht das aktuelle Google-Logo verwendet.
  2. Die Mail ist nicht in der bei Google eingestellten Sprache verfasst.
  3. Der Inhalt ist dümmlicher Bullshit.
  4. Alle Links führen nicht zu Google.

Google

Wenn du Google bist, Spammer, dann ist ein Kuhfladen eine Pizza.

We have sent you a message.

<loriot>Ach</loriot>, und ich habe eine Nachricht bekommen, in der drinsteht, dass „ihr“ mir eine Nachricht gesendet habt. Das hätte ich sonst nie bemerkt! :mrgreen:

Und was steht nun drin in dieser Nachricht?

2/13/2016

Aha, ein Datum. Das stimmt immerhin. (Die Mail ist von vorgestern.) Aber das Datum steht sowieso in der Mail und ist deshalb eine völlig nutzlose Angabe.

2 damaged emails was recovered and re-sent to you.

View emails

Und auch das ist ein völlig nutzloser Hinweis. Denn ich würde die Mail ja ganz einfach im Posteingang finden, wenn ich nach meiner Mail schaute.

Tolle Nachricht!

Der Link geht in die Domain sbtechnologies (punkt) in und nicht zu einer Domain von Google. Den Server haben Kriminelle mit einem Crack übernommen und verwenden ihn nun als Zieladresse für ihren Dreck – und dass die Sahyog Development Services dadurch auf Blacklists landet, möglicherweise vom E-Mail-Verkehr ausgeschlossen wird und wirtschaftlichen Schaden erleidet, ist den asozialen und kriminellen Spammern egal. Dort gibt es eine kryptisch formulierte Javascript-Weiterleitung, die schließlich in die Domain genericherbpurchase (punkt) ru führt, wo man scheinbar eine Betrugsapotheke der Marke „Canadian Pharmacy“ vor sich hat, die sich mit krimineller Spammerei schon eine beachtliche Reputation im Web of Trust „erarbeitet“ hat.

Wie eben schon angedeutet, handelt es sich um kriminelle Cracker, die Computer anderer Menschen einfach übernehmen, und diese Website sollte man deshalb nur mit der Kneifzange anfassen. Zeilen wie die folgende im HTML-Quelltext der Startseite…

<script type="text/javascript" src="d5e1500cdeec800c25e887a4a5b5f97c1f4f.gif?1455536929"></script>

…wo ein Javascript-Programm für den Browser mit der Dateinamenserweiterung für ein GIF-Bild gespeichert wurde, sehen jedenfalls sehr verdächtig aus. Ich halte es für sehr wahrscheinlich, dass die „Apotheke“ nur Mummenschanz ist. (Warum sollte jemand, der erwartet, sich zu Google zu klicken, auch Lust auf einen Viagra-Kauf haben?) In Wirklichkeit gibt es wohl einen kostenlosen „Sicherheitscheck“ des Betriebssystems und des Browsers durch Kriminelle, und wenn irgendein ausbeutbarer Fehler vorliegt, kommt eine aktuelle Kollektion von Schadsoftware hinterher.

Zum Glück ließ sich diese Spam sehr leicht als Spam erkennen, so dass kaum jemand so dumm gewesen sein wird. Aber solche Spams können auch besser gemacht werden – und deshalb verwendet man im Browser eben ein Addon wie NoScript. Damit hätte die „Reise“ schon auf der Weiterleitungsseite geendet – und nicht bei einem Satz heimlich installierter aktueller Trojaner.

We hope you found this message to be useful. However, if you‘d rather not receive future e-mails of this sort, please opt-out here.

Hach, wäre das schön, wenn man Spam abbestellen könnte!

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

Screenshot der HTML-formatierten Spam, die so aussieht, als käme sie von Google -- Google Support -- sag (at) ich (punkt) net -- Mckenna Balley (Google Service) just sent you a message: -- 1/31/2016 -- Message you sent blocked by our bulk email filter -- [Link] Learn more -- [Button] View Messages -- This e-mail was sent to sag (at) ich (punkt) net -- Don't want occasional updates about Google activity? [Link] Change what email Google Service sends you

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Deutsch Trusted Meds Online

Samstag, 5. Dezember 2015

Oh schön, auf „Deutsch“! :D

Pull yourself together! Erectile dysfunction is not a death penalty!

Plattdeutsch eben! Aber hey, Spammer: Deine Hirnlosigkeit ist leider auch kein Todesurteil, denn sonst hätten wir alle Ruhe vor dir.

View this email in your browser

So so, ich soll mir also deine Website angucken, weil du in der Mail schon kein HTML kannst. Das klingt nach einem tollen Argument!

Deutsch Trusted Meds Online

Das hast du schon im Betreff gesagt, und da klang es genau so daneben. Na gut, jetzt ist es verlinkt.

Der Link geht übrigens zu Google, weil der Spammer glaubt, dass er damit durch die Spamfilter kommt – und Googles nutzertrackende URL-Weiterleitung wird dann benutzt, um eine Weiterleitung in die Website der Domain zglbk (punkt) firstdrugservice (punkt) ru durchzuführen, wo es eine weitere Weiterleitung in die Website der Domain luckytabsmall (punkt) ru gibt. Die steht wegen exzessiver illegaler Spammerei nicht nur auf so ziemlich jeder Blacklist dieser Welt, sondern hat sich auch im „Web of Trust“ einen beachtlichen Ruf „erarbeitet“. Was man dort, auf der Website einer russischen Domain sieht, ist eine „kanadische Apotheke“ in „deutscher“ Sprache, die eher kein Mittel gegen Kopfschmerzen hat (zum Vergrößern klicken, aber besser keine Getränke im Mund):

Screenshot der betrügerischen Website, die sich mal wieder 'Canadian Pharmacy' nennt

Nun ja, wer da etwas bestellt, hat vielleicht Glück: Wenn nichts geliefert wird, bleibt man wenigstens am Leben. Obwohl…

Set free your desires from now and forever!

…das gar nicht so wichtig ist: Wenn man ersteinmal tot ist, hat man auch all sein Begehr von jetzt an und für alle Zeiten befreit! :mrgreen:

I was ready to give my right arm to get back my former erection!
Ändern Sie Ihr Leben jetzt!

Tja, vom Abhacken des Armes wird er auch nicht wieder steif. Genau so wenig wie von den Angeboten der Spammer.

Deutsch Trusted Meds Online

Es bleibt auch weiterhin so richtig deutsch!

Also we have
– Skin Care
– Men’s Health
– Pain Relief
– Stop Smoking
… and more than 2.000 positions
Just visit our shop!

Wie wäre es mal mit „Stop Spamming“ – ach, das geht nicht, weil die besteste und billigste Apotheke des ganzen Internets niemand nehmen würde, wenn sie nicht spammte? Wie das nur kommt… :D

Copyright ©insidethestripes.com, All rights reserved.

Diese Spam ist wertvolles „geistiges Eigentum“ eines Domainnamens! :mrgreen:

Verklag mich doch für das Vollzitat deines wertvollen „geistigen Eigentums“, du hirngeschrumpelter Spammer an der Menschheitsverblödungsfront! Los, mach zu! Ich würde dich so gern mal näher kennenlernen… und die Kriminalpolizei hier auch…

Want to change how you receive these emails?
You can update your preferences or unsubscribe from this list

Ach nö, die empfange ich schon ganz richtig, diese Spams. Sie gehen auf meiner Seite direkt in das virtuelle Tönnchen mit dem ganzen kriminellen Glibberzeug. Da muss ich den Verbrechern, die mir so etwas ins Postfach machen, nicht auch noch sagen, dass es ankommt, gelesen wird und beklickt wird.