Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen…
Diese „liebevoll“ dem Facebook-Design nachempfundenen E-Mails kommen nicht von Facebook, ganz egal, was da als gefälschter Absender eingetragen wurde:
Sämtliche Links in diesen E-Mails führen dann auch nicht zu Facebook, sondern zu einer „kanadischen Pimmelpillenapotheke“, deren Website allerdings in der TLD für Russland, .ru, zu erreichen ist. Die Frage, die ich nicht beantworten kann: Wieso diese Vollpfosten von Spammern glauben, dass jemand in besondere Kauflaune kommt, wenn er durch so eine Überrumpelung nicht wie erwartet bei Facebook, sondern bei einer windigen Betrugsapotheke landet. Aber weil ich diese besonders hirnverätzte Masche wahrlich nicht zum ersten Mal sehe (es gibt sie auch mit LinkedIn und Twitter), muss ja wohl das eine ums andere Mal wirklich jemand so doof sein, bei einer so beworbenen „Apotheke“ zu kaufen. Und wenns nur einer von hundert so doof ist, hat es sich für die organisiert Kriminellen schon gelohnt.
Ob diese ganz besondere Doofheit wohl dafür erforderlich ist, dass man sich beim Spammer (siehe auch hier und hier, Tracker und Datensammler „Facebook“ wohlfühlt? 
Na, wenn das so im Betreff einer Mail eines Unbekannten steht, gleich mal öffnen. Huch, die ist ja HTML-formatiert und besteht aus lustigen Tabellchen mit ganz viel CSS:
Na, so wichtig ist jetzt auch wieder nicht, diesem Link auf eine „kanadische“ Pimmelpillenapotheke zu folgen, deren Domain von jemanden aus dem schönen Warschau eingerichtet wurde, das wohl neuerdings zu Kanada gehört. Zu schade, dass die Anschrift nicht existiert, in der Straße haben alle so schöne große Gärten und ich verlinke doch sonst so gern mit Google StreetView auf diese „Unternehmen“, um einen Eindruck zu geben… 😉
Gegenüber dem Screenshot aus dem Sommer letzten Jahres hat sich nichts an der Gestaltung der Betrugssite geändert – nichts, außer die für den Betrug verwendete Domain natürlich. Sogar die Preise im Banner für das tolle Aktions-Doppelpack „Cialis + Viagra“ sind gleich geblieben. Aber nett, dass ich diesen Beschiss mal wieder sehe, nachdem ich so lange Ruhe davor hatte. Ich wusste ja immer, dass Spammer faul sind (sonst wären sie ja keine Spammer geworden, sondern würden sich auf weniger widerlicher Weise ihre Brötchen verdienen), aber das sie im Verlaufe eines ganzen Jahres gar nichts an ihrer tollen „Apotheken-Site“ machen, ist nochmal eine ganz besondere Ansage. Ob inzwischen wohl wieder ein paar Leute da sind, die allen Ernstes glauben, dass man bei solchen Anbietern richtige Medikamente für sein Geld bekommt?
Herzallerliebst auch das für die Drecksmail beanspruchte Copyright eines Rechteinhabers mit dem hübschen Namen „All rights reserved“.
Hey Spammer,
ich finde es ja lobenswert, dass du dich mal hingesetzt und HTML gelernt hast. Du hast dir bestimmt gedacht: Das ist ja toll, dass ich meine Drecksmails auch ansprechend formatieren kann, das macht sie bestimmt gleich viel überzeugender und wirksamer:
Jetzt musst du nur noch eines lernen: Dieses Ding mit den Inhalten. Ein einfaches Wiederholen des Betreffs ist jedenfalls wenig als „Inhalt“ geeignet und wird niemanden dazu motivieren, auf den tollen Linktext „Here“ zu klicken. Weder, um deinem Skript mit der eindeutigen ID aus dem Link mitzuteilen, dass deine Drecksspam ankommt, noch, um sich auf deine betrügerische Pimmelpillen-Apotheke mit der lächerlichen Firmierung „Canadian Health&Care Mall“ weiterleiten zu lassen. Diese Dreckssite ist übrigens auch schon bei allen Filtern dieser Welt bekannt, so dass Menschen mit einem aktuellen Browser eine Warnung wegklicken müssen, bevor sie Viagra, Cialis und Levitra zu Gesicht bekommen.
Aber wenns auch völlig sinnlos ist, was du da treibst, unbekannter Idiot: Du hast wenigstens ein bisschen HTML gelernt.
Vielleicht fängst du damit ja mal was anderes an, als lächerliche Mailtexte aufwändig zu verpacken…
Dein dich lesen müssender
Nachtwächter
Ein kanadischer Spieler knackte nur fünf Tage nach seiner Anmeldung einen der massiven Jackpots [sic!] im SP Casino. Er durfte sich über unglaubliche eine Millionen US-Dollar [sic!] freuen. Auch er begann mit diesem 200% Bonusangebot, fing sofort an zu spielen und landete nur kurze Zeit später den absoluten Volltreffer.
Sie könnten der nächste große Gewinner oder die nächste große Gewinnerin sein. Sie erhalten denselben Bonus, den auch unser Großgewinner erhalten hat. Doch Sie müssen sich beeilen, denn dieses Bonusangebot ist nur noch für eine kurze Zeit gültig.
Spielen noch heute eines der über 450 Spiele im SP Casino, wo viele Jackpots in Millionenhöhe auf sie warten. Viel Glück!
Casino manager [sic!]
http://y.ahoo.it/zWC0c
Hui, Affiliate-Spammer für das „Magic Box Casino“, ihr habt ja inzwischen für eure deutschen Texte jemanden gefunden, der auch mehr als nur rudimentär Deutsch kann. Dazu erstmal herzlichen Glückwunsch, das wird nicht einfach gewesen sein. Oder habt ihr dieses hingestümperte Deutsch vorheriger Spamaktionen etwa bewusst als Stilmittel eingesetzt? Kaum vorstellbar.
Und einen neuen Lieblings-URL-Kürzer habt ihr auch gefunden, und tatsächlich, der ist noch ziemlich unverbraucht. Ich kann mir auch so richtig vorstellen, warum ihr den nehmt – Yahoo hat bei seinenm Formular zum Melden eines Missbrauchs an alles mögliche gedacht, nur eben nicht an einen Missbrauch seines URL-Kürzers durch kriminelle Spammer wie euch, die sich am Spamfilter vorbeimogeln wollen. Tja, wenn das nicht so einfach geht mit dem Melden, dann bleiben die Links auch länger gültig. Das kommt euch ja entgegen, wenn eure millionenfachen Drecksspams nicht schon nach zehn Minuten nur noch ins Leere weisen, das bringt euch so richtig Tinte auf den Füller. Euren Opfern natürlich weniger.
Da muss ich mir doch gleich mal anschauen, was ihr für ein neues Design für die betrügerische Casino-Site gebaut habt. Bislang gingen eure Spamfluten ja immer mit einer neuen Bullshit-Firmierung und einem neuen Design einher:
Oh, da sind euch wohl die Links ein bisschen… 😳
Na, dann nehme ich eben eine andere von euren Drecksspams. Ihr seid ja immer so „nett“ und versendet die gleich im Fünfziger-Pack, falls mal eine verloren geht:
Betreff: Haben Sie schon von diesen Casinoangeboten gehört?
Ich arbeite im SP Casino als Kunden-Manager und es freut mich, Ihnen mitteilen zu können, dass ein exklusives Angebot [sic!] für Sie ausgewählt wurde.
Melden Sie sich noch heute im SP Casino an und wir VERDREIFACHEN Ihre erste Einzahlung. Damit sind Ihre Chancen, einen lebensverändernden Gewinn [sic!] zu erhalten, gleich dreimal höher.
Unsere Spieleauswahl umfasst über 450 der besten Casinospiele und schließt großartige Varianten von Black Jack, Video Poker, Roulette und Spiele mit massiven progressiven Jackpots [sic!] ein. Registrieren Sie sich jetzt und tauchen Sie mit diesem unglaublichen Bonus in unsere Welt der Gewinner ein.
Casino manager
http://y.ahoo.it/vzREm
Sieht eher aus, als tauchte man in eine Klärgrube ein. Mal die Betrugssite anschauen:
Aha, diesmal stimmt der Link.
Und der Rest der Welt kann sich merken, dass die Pimmelpillen-Apotheker und die angeblichen Betreiber der illegalen und nicht empfehlenswerten Spamcasinos genau die gleiche Bande sind. Das ist mir zwar schon ein bisschen länger klar gewesen, aber so deutlich, dass es auch ein Laie versteht, wurde es nur selten gemacht.
Übrigens finde ich ja, dass ihr ein hübsches neues Feature auf euren Betrugssites gecodet habt – nachdem ihr euch endlich von dem unentwegt hochzählenden Bullshit-Jackpot verabschiedet habt, der beim Neuladen der Seite wieder bei seinem Startwert begann. Hinter dem Link „Play For Free“ verbirgt sich eine angebliche Möglichkeit, die Spiele im Browser auszuprobieren. Mit Speck fängt man Mäuse! Als ihr vor nicht ganz einem Jahr damit angefangen habt, dieses Feature in eure Betrugsnummer zu integrieren, hat es noch nicht funktioniert und die Präsentation war zum Brüllen schlecht. Jetzt gibt es immerhin Flash-Spiele für jene, die wirklich auf die Idee kommen, einer Website von Spammern aus der organisierten Internet-Kriminalität das Ausführen von Code im Browser zu gestatten.
Ach, übrigens, Pimmelpillenspammer, ich finde das ja ganz toll, wie ihr im Moment Kunden für eure „Apotheken“ gewinnen wollt. Da vesendet ihr englischsprachige Mails, die so tun, als kämen sie von Amazon, in denen ihr mitteilt, dass die Bestellung storniert wurde. Diese Mails sehen aus, als wären es reine Textmails, sie sind aber in Wirklichkeit HTML-Mails, und die darin erwähnte URL bei Amazon führt in der gleichen Wirklichkeit auf einen Server, der die dynamische IP eines Einwahlproviders hat – vermutlich seid ihr jetzt dazu übergegangen, eure Bots auch als Webserver mitzubenutzen, weil eure Domains immer so schnell in allen Blacklists dieser Welt stehen.
Ich habe wirklich einen Moment lang geglaubt, es handele sich um Phishing bei Amazon-Kunden, was ich schon ein bisschen absurd gefunden hätte. Aber nein, als ich mir anschaute, was man dort geboten bekommt, wurde mir klar, was es wirklich ist. Denn mich grinste nach einem Klick in eine englischsprachige Mail eine deutschsprachige Website einer „kanadischen Apotheke“ an, die es vorzieht, diese Website auf der dynamischen IP-Adresse eines mit dem Internet verbundenen Privatrechners in Japan zu hosten (der Provider ist schon informiert). Das vermittelt schon einen gediegenen Eindruck von ungewohnter Internationalität, aber nicht unbedingt das Vertrauen, das manche Menschen doch gern zu den Leuten hätten, von denen sie Arzneimittel kaufen.
Auch wer nicht so weit geht, dass er sich solche Gedanken macht oder mal recherchiert, für wen die angegebene IP-Adresse registriert ist, wird dennoch kein Vertrauen entwickeln. Das wirkt nicht gerade toll, wenn man in eine Mail „von Amazon“ reinklickt, um eine Betrugsapotheke vor sich zu sehen. Das weckt keinen unmittelbares Bedürfnis, die dort auf der Startseite ganz oben abgelichteten Pimmelsteifer zu kaufen. Das macht sofort klar, womit man es hier zu tun hat.
Nicht einmal die Seite eurer „Apotheke“ richtig machen könnt ihr! Es ist ja toll, dass sie deutschen Lesern deutschen Text liefert. Der liest sich ja auch gar nicht mehr, als wäre er mit Umweg über das Mittelhieratische aus dem Koreanischen übersetzt worden. Da scheint ihr ja inzwischen einen richtigen Deutschbeauftragten bei euch zu haben. Vielleicht sollte der sich auch mal um die Headergrafik kümmern, die ihr zu der deutschen Seite verwendet, denn…
…dass eure „Schnelllieferung“ in den USA höchstens fünf Tage benötigt, zerstört doch wieder den mühsam aufgerichteten Eindruck, dass man es mit einem Service für den deutschsprachigen Raum zu tun habe. Da hilft auch die Europaflagge im Hintergrund nicht.
Und wie lange wohl die „langsame“ Lieferung braucht, möchte man gar nicht mehr erfahren.
Euer euch täglich lesender
Nachtwächter
Neues Jahr, alte Blödheit im Postfach.
USPS – Fast Delivery Shipping 1-4 day USA
Best quality drugs
Worldwide shipping
Professional packaging
100% guarantee on delivery
Best prices in the market
Discounts for returning customers
FDA approved productas
350000+ satisfied customers
Jaou, genau so stelle ich mir eine seriöse „Apotheke“ im Internet vor. Liefert mit UPS in die USA, weiß aber nicht, wie man UPS schreibt. Und gibt im Betreff vor, eine Apotheke aus Kanada zu sein, benutzt aber doch lieber eine russische Domain für die Internetadresse – und ganz komische Flektionen wie „canadiana“ und „produktas“, die vermuten lassen, dass der Text vorm mechanischen Übersetzen auch schon mal spanisch war. Da glaubt man doch jedes Wort! Na ja, vielleicht bis auf die gefälschte Absenderadresse…
Oh, das ist ja nett, ich bin dort doch gar nicht. Mal reinschauen in die Mail:
Das ist ja interessant, dass „bei Facebook“ die Nachrichten einfach so verloren gehen können. Und dann diese Gaga-Idee „von Facebook“, dass der Anwender irgendwo draufklicken muss, um die Nachrichten wiederherzustellen. Wenn „Facebook“ das kann und „Facebook“ ein Problem mit einer „verlorenen Nachricht“ feststellen kann, dann kann „Facebook“ das ja eigentlich auch ohne Klick (und vielleicht eine Hinweismail raussenden).
Die Mail ist HTML-formatiert, und der Link geht nicht zu Facebook. Er geht zu einer tollen Seite unter captivehosting (punkt) com, die nicht nur versucht, Windows-Rechnern mit einem IFRAME-Hack Schadsoftware unterzujubeln, sodern ganz nebenbei auch ein erheblich umgestaltetes „Facebook“ zeigt:
Welche komische Tablette diese Spammer allerdings genommen haben, um daran zu glauben, dass einer sofort Pimmelpillen kauft, wenn er eine betrügerische Pimmelpillen-Seite vor sich sieht, wo er eigentlich Facebook erwartet hat, das bleibt im Dunkeln.
Deshalb gehe ich auch davon aus, dass es in diesem Fall eher um das Unterjubeln von Schadsoftware geht. Die „Apotheke“ ist in diesem Fall reine Fassade. Was dort alles in den Rechner gedrückt werden soll, kann und mag ich nicht untersuchen. Entsprechende Baukästen zum Ausnutzen einer ganzen Bandbreite von Sicherheitslücken der populären Betriebssysteme werden unter den Kriminellen Preisen um die 100 Dollar gehandelt, und jeder Virenscanner hinkt den tatsächlich eingesetzten Schädlingen um ein bis zwei Tage hinterher.
Deshalb klickt man ja auch nicht in einer Spam rum. Auch nicht, wenn sie aussieht, als käme sie von Facebook, aber schon eine halbe Minute Nachdenken klar macht, dass Facebook niemals so einen Unsinn fordern würde. Übrigens kann man in der Statuszeile seiner Mailsoftware sehen, wo der Link hingeht, bevor man darauf klickt – und wenn da in einer Mail „von Facebook“ nicht Facebook steht, denn kann die Mail getrost gelöscht werden.
Warum populäre Web-Zwo-Nullsites wie Facebook, Google Plus und Twitter allerdings nicht dazu imstande sind, ihre Mails digital zu signieren, um diesem gefährlichen Markenmissbrauch durch Kriminelle wenigstens das Menschenmögliche entgegen zu setzen, kann ich auch nicht sagen. Vermutlich ist es den Betreibern dieser tollen Web-Zwo-Nullsites vollkommen egal, wenn Zugangsdaten abgephisht werden und die Computer ihrer Nutzer immer wieder einmal von Kriminellen eine aktuelle Kollektion von Schadsoftware installiert bekommen.
