Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Canadian Pharmacy“

New voicemail 3:35AM

Freitag, 16. Oktober 2015

Wer schreibt denn da?

Von: Whats App <er (punkt) steinnn (at) csu (strich) landtag (punkt) de>

Bwahahahaha!

Muss ich noch erklären, dass diese toll gestaltete HTML-Mail…

Screenshot der angeblichen Whatsapp-Mail

…mit einer angeblichen „New voice message“ eines leider völlig unerwähnten anderen Menschen nicht von WhatsApp kommt? Wenn die Spammer sogar zu doof sind, sich beim Fälschen des Absenders etwas einigermaßen überzeugendes auszudenken, ist es wirklich leicht, niemals auf eine Spam reinzufallen. (Aber Achtung! Viele Spammer machen es viel besser!)

Der Klick auf „Play“ führt dann auch nicht zu WhatsApp, sondern in die Domain lovelessknives (punkt) com. Wer darauf klickt, lasse alle Hoffnung fahren! Erstmal gibt es eine Weiterleitung, die natürlich nicht in Klartext formuliert ist, sondern schön undurchschaubar mit JavaScript und einem bisschen „Kryptografie“ aus dem Spamkindergarten erledigt wird:

Screenshot der Ausgabe von 'lynx -dump -mime_header' in einem Terminalfenster, dabei wird der vorsätzlich kryptische Quelltext der Seite sichtbar

Diese lustig formulierte JavaScript-Weiterleitung führt in die Website der Domain naturalherbsoutlet (punkt) ru, und das, was man dort zu sehen bekommt, ist eine der vielen Inkarnationen der Betrugsnummer „Canadian Pharmacy“ – eine kanadische „Apotheke“ in der russischen TLD, die eher nichts gegen Erkältungsbeschwerden zu verkaufen hat:

Screenshot der betrügerischen Website, die beinahe nur Pimmelpillen und Medikamente mit hohem Potenzial des Medikamentenmissbrauches anzubieten hat -- zum Vergrößern klicken

Aber warum sollte jemand, der glaubt, gleich nach dem Klick eine WhatsApp-Nachricht zu hören, jetzt auf einmal Interesse an Pimmelpillen bekommen? Richtig, das ist schon ein bisschen verdächtig. Deshalb ist wohl die Website auch als „attackierend“ gemeldet und wird in den meisten Browsern nur noch angezeigt, wenn man einen auffälligen alarmroten Hinweis wegklickt, dass man das Risiko eingeht. Ich konnte zwar keine Anzeichen für einen Angriff erkennen, aber ich habe hier auch nicht durchanalysiert und außerdem keinen Standard-Browser verwendet, so dass entsprechender Code möglicherweise gar nicht erst ausgeliefert wird. Links aus einer Spam sind in keinem Fall vertrauenswürdig und können schnell einen Ärger verursachen, der in keinem guten Verhältnis zur befriedigten Neugierde steht. Wer in seinem Browser keinerlei Vorkehrungen trifft, wer also nicht mindestens ein Browser-Addon wie NoScript verwendet, kann nach einem einzigen Klick in eine Spam – die keineswegs so leicht als Spam erkennbar sein muss wie in diesem Beispiel – einen Computer anderer Leute auf dem Tisch stehen haben, denn die Verbrecher sind auf neuestem technischen Stand. Ein so genanntes „Antivirusprogramm“ hilft dagegen eher nicht, es erkennt nur schon bekannte Schädlinge und Angriffe, und niemals die frischeste Brut der Kriminellen. Nicht einmal seinen Hersteller kann ein so genanntes Antivirus-Programm schützen!

Diese Spam ist ein Zustecksel meines Lesers E.T.

Good day Elias Schwerdtfeger NowYou Can Get Med

Freitag, 26. Juni 2015

Wie, jetzt erst?! :D

Nun gut, greife ich mal eine x-beliebige 08/15-Spam raus, wie sie so allgegenwärtig ist, dass sie sich kaum noch jemand anschaut.

Have a nice day Elias Schwerdtfeger
Here You Can Order Exclusive Pills :-)
http (doppelpunkt) (doppelslash) tulaykumasci (punkt) com (slash) wp (strich) content (slash) themes (slash) breeze (slash) stuck (punkt) php

Hey, Spammer!

Ist ja toll, dass du meine Mailadresse mit meinem Namen zusammengekriegt hast. Und noch begrüßenswerter finde ichs, dass dir gar nichts gefährliches einfällt, um dieses Wissen für deine kriminellen Machenschaften zu benutzen – denn auch die niedrigsten Preise für irgendwelche Pimmelpillen brächten mich niemals auf die Idee, bei einem gemeingefährlichen Giftmischer von Spam-Apotheker zu kaufen. Allein die Tatsache, dass jemand Medikamente verkauft und zur Auffassung kommt, diese gingen nur mit illegaler und asozialer Spam weg… nee, friss deine Giftpillen einfach selbst!

Ebenfalls lustig ist die angegebene URL. Diese geht direkt in das Theme-Verzeichnis einer WordPress-Installation und legt auf diese Weise Zeugnis davon ab, dass du…

  1. …entweder anderen Leuten WordPress-Themes mit fernsteuerbarem Trojaner-Code zum Download und zur Installation anbietest, oder…
  2. …dass du anfällige WordPress-Installationen crackst, um solchen Trojaner-Code reinzumachen.

In beiden Fällen ist vollkommen klar, dass man von dir nicht einmal ein harmloses Angebot annehmen sollte, weil du ein Verbrecher bist.

Dieser Eindruck wird dann davon verstärkt, was unter dem von dir angegebenen Link zu finden ist. Natürlich liegt dort keine Apotheke, sondern nur ein Weiterleiter, den du brauchst, weil deine richtigen Betrugsdomains sonst binnen einer halben Stunde auf jeder Blacklist dieser Welt stünden. Und dein in JavaScript realisierter Weiterleiter zieht es vor, etwas kryptisch zu sein:

Screenshot eines Terminal-Fenster mit der Ausgabe von lynx -dump -mime_header von der angegebenen URL, die eine in JavaScript programmierte Entschlüsselung verschlüsselten JavaScript-Codes zeigt; der entschlüsselte Code wird dann nach 1,3 Sekunden ausgeführt. Ansonsten gibt es, von einem idiotisch-dadaistischen Titel einmal abgesehen, keine weiteren Inhalte.

Spammer, es besteht kein technischer Grund, da nicht direkt

window.top.location.href = 'http://genericherbpurchase.ru';

reinzuschreiben. Das kommt nämlich bei der „Entschlüsselung“ heraus¹. Der einzige Grund, weshalb du das so verschlüsselst, liegt in der Erschwerung automatischer Scans. Und dir soll ich Pillen abkaufen?

Screenshot der betrügerischen Website. Eine Pimmelpillen-Apotheke der Marke 'Canadian Pharmacy' mit hochnotpeinlichen Amerika-Getümel in deutscher Sprache

Weil du so ein „kanadischer Apotheker“ bist? Dessen Website in der TLD für Russland liegt? Und der mir am 26. Juni erzählt, dass heute der 4. Juli sei, ganz so, als ob der 4. Juli für mich irgendeine Bedeutung habe? (Oder haben die USA inzwischen ein Sternchen mehr auf ihrer Flagge, und ich habs noch nicht mitbekommen? Wäre gar nicht so schlecht, dann hätte die BRD endlich mal eine Verfassung und die Menschen in der BRD Rechte…)

Ach komm, Spammer! Da hättest du dir die „deutsche Übersetzung“ deiner Giftapotheke auch gleich sparen können.

Dein dich „genießender“
Nachtwächter

¹Um das zu „entschlüsseln“, habe ich einfach den Code editiert und anstelle von setTimeout eine Ausgabeanweisung verwendet. Bei solchen Versuchen ist immer Vorsicht geboten, vor allem, wenn man nicht leicht verstehen kann, was im betrachteten Code geschieht oder wenn man nicht genau weiß, was man tut. Es ist Code von Kriminellen, mit dem herumgespielt wird! In diesem Fall war es trivialer und verständlicher Code…

Die geniale HTML-Mail des Tages…

Donnerstag, 16. Oktober 2014

Eine HTML-formatierte Spam, die nur einen kontrastarmen, gelben Linktext 'Pill Shop' auf weißem Hintergrund enthält

Ohne Worte.

Lustig ists übrigens auch, was mir die so verlinkte Seite einer Betrugsapotheke (die hauptsächlich angebliche Pillen für die Härtung des Schwellkörpers anbietet) mitzuteilen hat:

Canadian Pharmacy -- Entschuldigen, wir können ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist! KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

Entschuldigen, aber ihr habt doch meine Anfrage bearbeitet. Nur, um mir eine Meldung anzuzeigen, dass ich sinnvolle Sicherheitseinstellungen¹ im Browser lockern soll. Einen Teufel werde ich tun!

¹Übrigens, die ganzen kommerziellen Websites, die ohne technischen und/oder sachlichen Grund immer mehr JavaScript verbasteln und die immer häufiger ohne freigeschaltetes JavaScript nicht mehr zu benutzen sind, fördern die organisierte Kriminalität im Internet.

Let me introduce myself

Dienstag, 24. Juni 2014

Hello, my name is Leopoldo Wagner, M. D., and I‘m your new family physician.

Wenn ein Spammer mein Arzt ist, wird der Tod zur Kur.

I want to recommend you online pharmacy with great amount of medicine and 70% discount.

Denn das einzige, was ein Canadian-Pharmacy-Spammer will, ist: Mir Pillen andrehen, die wesentlich billiger als irgendwo anders sind. Trotzdem macht der damit Reibach. Was könnte es wohl sein, was dieser Halunke bei den Pillen weglässt? :mrgreen:

I haven’t believed till I checked it by myself. I‘m sending you my vCard, so you are able to find more info about me as well as link of mentioned pharmacy.

Das ist die Innovation dieser Spam. Es steht kein Link mehr drin, sondern stattdessen hängt eine VCard dran. Die enthält hier allerdings nicht nur Name, Mailadresse und eine bemerkenswerte dienstliche Anschrift…

Screenshot der Darstellung dieser VCard im Mozilla Thunderbird

…sondern auch die URL, unter der dieser „Arzt“ aus New York, USA seine Praxis eröffnet hat, in der TLD Russlands, versteht sich.

Immer wieder lustig, was sich Spammer ausdenken, um sich an die Spamfilter vorbeizumogeln. Allerdings ist kaum zu erwarten, dass diese Masche zu einem großen Erfolg führt, denn VCards werden zwar immer noch – im Gegensatz etwa zu wirksamer Ende-zu-Ende-Kryptografie – von jedem Mailclient direkt unterstützt, sind aber im Alltag so gut wie tot. Ich habe über ein Jahr lang keine mehr gesehen. (Obwohl sie ganz nützlich sind…) Sehr viele Empfänger dieses Sondermülls werden gar nichts damit anzufangen wissen.

BEST DRUGS for the BEST PRICE!!

Montag, 14. April 2014

Dieses großarte Werk eines unbekannten Meisters der eher technischen Kunstrichtungen HTML und CSS fand ich heute in Glibbersieb meines Spamfilters. Eine Wiedergabe des Textes würde die unbeschreibliche Einheit aus Inhalt, Formatierung und grafischer Erscheinung zerstören, deshalb ein Screenshot der Ausgabe eines Skriptes, das einen auf die Tastatur eindreschenden Halbaffen simuliert des mit Worten nicht mehr zu fassenden, spam-dadaistischen Stückes Kunst:

Screenshot der Spam, die vor allem aus Zeichensalat besteht, in dem einige größere und farbig gekennzeichnete Buchstaben eine 'Botschaft' formen sollen, die jedoch nicht mehr erkennbar ist

Voller Spannung und Kunsthunger warte ich auf weitere Offenbarungen dieser Geisteswelt, die mich dankbar dafür sein lässt, das sie nicht die meinige ist.

Update your amorous software

Freitag, 3. Mai 2013

..Hello___Elias «Can cf adia juk nPha hmn rmacy» onl ryq ine dru bzm gst qpq ore is the leading Can ykr adian dru llk gst umn ore which daily ships hundreds of orders to patients internationally. More and more people start purchasing me fzt dica vwe tions in Can sy ada, since they are much more cheaper than American ones and are of the same quality, and manufactured according to the same strict standards. Purchase with «Can ung adia zz nPha fm rmacy» and your me dt dicat qm ions will come right on time well packed and in perfect condition. Privacy and confidentiality are guar kyn anteed! Start new life with «Can all adia lf nPhar hd macy»! ... www.dxxxxxxxxe.ru

Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen

Here’s some activity you have missed on Facebook

Samstag, 10. November 2012

Diese „liebevoll“ dem Facebook-Design nachempfundenen E-Mails kommen nicht von Facebook, ganz egal, was da als gefälschter Absender eingetragen wurde:

Here's some activity you have missed on facebook. There are a total of 2 messages awaiting your response

Sämtliche Links in diesen E-Mails führen dann auch nicht zu Facebook, sondern zu einer „kanadischen Pimmelpillenapotheke“, deren Website allerdings in der TLD für Russland, .ru, zu erreichen ist. Die Frage, die ich nicht beantworten kann: Wieso diese Vollpfosten von Spammern glauben, dass jemand in besondere Kauflaune kommt, wenn er durch so eine Überrumpelung nicht wie erwartet bei Facebook, sondern bei einer windigen Betrugsapotheke landet. Aber weil ich diese besonders hirnverätzte Masche wahrlich nicht zum ersten Mal sehe (es gibt sie auch mit LinkedIn und Twitter), muss ja wohl das eine ums andere Mal wirklich jemand so doof sein, bei einer so beworbenen „Apotheke“ zu kaufen. Und wenns nur einer von hundert so doof ist, hat es sich für die organisiert Kriminellen schon gelohnt.

Ob diese ganz besondere Doofheit wohl dafür erforderlich ist, dass man sich beim Spammer (siehe auch hier und hier, Tracker und Datensammler „Facebook“ wohlfühlt? :mrgreen:

You must see it, it is important!

Samstag, 6. Oktober 2012

Na, wenn das so im Betreff einer Mail eines Unbekannten steht, gleich mal öffnen. Huch, die ist ja HTML-formatiert und besteht aus lustigen Tabellchen mit ganz viel CSS:

VIAGRA CIALIS and more... Visit Online Web Store. You can also contact customer service or visit online for more information. Copyright 2012 All rights reserved.

Na, so wichtig ist jetzt auch wieder nicht, diesem Link auf eine „kanadische“ Pimmelpillenapotheke zu folgen, deren Domain von jemanden aus dem schönen Warschau eingerichtet wurde, das wohl neuerdings zu Kanada gehört. Zu schade, dass die Anschrift nicht existiert, in der Straße haben alle so schöne große Gärten und ich verlinke doch sonst so gern mit Google StreetView auf diese „Unternehmen“, um einen Eindruck zu geben… ;)

Gegenüber dem Screenshot aus dem Sommer letzten Jahres hat sich nichts an der Gestaltung der Betrugssite geändert – nichts, außer die für den Betrug verwendete Domain natürlich. Sogar die Preise im Banner für das tolle Aktions-Doppelpack „Cialis + Viagra“ sind gleich geblieben. Aber nett, dass ich diesen Beschiss mal wieder sehe, nachdem ich so lange Ruhe davor hatte. Ich wusste ja immer, dass Spammer faul sind (sonst wären sie ja keine Spammer geworden, sondern würden sich auf weniger widerlicher Weise ihre Brötchen verdienen), aber das sie im Verlaufe eines ganzen Jahres gar nichts an ihrer tollen „Apotheken-Site“ machen, ist nochmal eine ganz besondere Ansage. Ob inzwischen wohl wieder ein paar Leute da sind, die allen Ernstes glauben, dass man bei solchen Anbietern richtige Medikamente für sein Geld bekommt?

Herzallerliebst auch das für die Drecksmail beanspruchte Copyright eines Rechteinhabers mit dem hübschen Namen „All rights reserved“.