Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Dating“

Weiter, Party, Webseite, Top…

Sonntag, 31. Juli 2016

Zunächst eine typische Spam, mit der Leute zum Datingbetrug gelockt werden sollen, damit die Spammer die Affiliate-Groschen kassieren können, die ihren Opfern dann hinterher hundertfach von Skripten und Betrügern kostenpflichtig aus der Tasche gechattet werden:

Betreff: Rabea schickt Dir einen Kuss

Hallo!

Rabea hat Dir über unser Kuss-Flirt-Netzwerk einen dicken Kuss geschickt und hat angegeben, Dich unbedingt kennenlernen zu wollen.

Folge folgendem Link, um die gesamte Nachricht und das Profil von Rabea einzusehen:

http://www.weiter158.party/[ID entfernt]/

Viel Spass,
Dein Kuss-Netzwerk

Keine Küsse mehr?: http://www.weiter158.party/abm/[ID entfernt]/

Hach ja, immer diese Judasküsschen aus dem Spamordner! :mrgreen:

Allerdings läuft das Geschäft mit dem Datingbetrug – trotz einer immer noch unfassbaren Spamflut – wohl nicht mehr ganz so gut, und deshalb gibt es mit der gleichen Domain in der TLD .party auch noch ein anderes tolles Geschäftsmodell, das ebenfalls nur mit illegaler und asozialer Spam beworben wird:

Betreff: Bezahlen Sie nur nach der Lieferung!

Sehr geehrte Herren,

bitte verzeihen Sie uns, dass wir uns auf diese Art vorstellen. [sic!]

Wenn Sie auf der Suche nach günstigen aber wirksamen Medikamenten gegen Erre.ktions.störungen [sic!] sind, so möchten wir uns anbieten.

Wir verkaufen ausschließlich überprüfte Ware von bekannten deutschen Herstellern. Wir geben Ihnen die Möglichkeit, die Waren erst nach Erhalt zu bezahlen. Der Versand erfolgt aus Deutschland! Rezeptfrei [!], sicher und diskret!

Für nur 3 Euro pro Tablette!

http://www.weiter158.party/

Mit freundlichen Grüßen Ihre
Apotheke Heinkes

Wer in der BRD verschreibungspflichtige Arzneien (wie wirksame Mittel gegen Erektionsstörungen) rezeptfrei verkauft, ist keine Apotheke, sondern ein Krimineller. Man kann natürlich daran glauben, dass die Medikamente trotzdem einen Wirkstoff enthalten und einen nicht umbringen…

Dating und Pimmelpillen aus der gleichen Hand… diese beiden Spams kamen mit einem zeitlichen Abstand von drei Sekunden. 😀

Und diese Spammer haben jetzt auch ein neues Namensschema für ihre Domains gefunden. Sie nehmen das Wort „weiter“, hängen eine laufende Nummer dran und verwenden eine der neu eingeführten TLDs ohne Whois-Dienst, so dass sie sich nicht einmal mehr falsche Daten ausdenken müssen. Dann wird die Spam in wehrlose Postfächer gestreut und darauf gewartet, dass wieder ein paar Leute darauf reinfallen. Das geht natürlich nicht nur mit .party, sondern auch in der TLD .accountant:

Betreff: Die Bilder vom Nacktbaden gestern

Hey Mike!

Du meintest doch Du willst noch die Bilder vom Nacktbaden gestern mit Dir und Tine haben. Aber das waren zuviel für Whatsapp, deswegen musste ich sie auf meinem Profil hochladen.

Du findest sie hier: http://www.weiter186.accountant/[ID entfernt]/Vivien/

Viel Spass damit, war ja echt ne heisse Nummer

Bussi
Vivien

Und auch hier kommt die Pimmelpillenspam nur wenige Sekunden später:

Betreff: Ich fi**e dich 48 Stunden: 20% Rabatt bei Erekitons-Pillen

Hey Süßeer!

Mit dem Rabattcode
go2016
bekommst Du heute alle Erekitons-Pillen 20% billiger.

http://www.weiter186.accountant/[ID entfernt]/

Unser Shop ist risikofrei (zahlbar per Paypal mit Käuferschutz) oder Nachname [sic!]!

Rezeptfreie Pillen aus einer offiziellen Apotheke mit unschlagbar gutem und schnellen Kundensupport.

Lies unsere Kundenbewertungen, Du wirst überzeugt sein und Dein Freund ist hart wie eine Eins!

http://www.weiter186.accountant/[ID entfernt]/

Grüße
Die Valentina-Maus

Und wenn weiter186 schon verbrannt ist, dann – so sagen sich die Spammer – kommt vielleicht weiter181 durch die Spamfilterung:

Betreff: Die Bilder vom Nacktbaden gestern

Hey Mike!

Du meintest doch Du willst noch die Bilder vom Nacktbaden gestern mit Dir und Tine haben. Aber das waren zuviel für Whatsapp, deswegen musste ich sie auf meinem Profil hochladen.

Du findest sie hier: http://www.weiter181.accountant/[ID entfernt]/Lara/

Viel Spass damit, war ja echt ne heisse Nummer

Bussi
Lara

Und weil die Spammer ja gar nicht wissen, was schon verbrannt ist, wird die 186-Spam und die 181-Spam in einem zeitlichen Abstand von dreißig Sekunden in das Internet gerotzt, und natürlich ist auch wieder eine Giftapotheke dabei, deren Spam in weniger als einer Sekunde nach der Dating-Spam ankam:

Betreff: Ich fi**e dich 48 Stunden: 20% Rabatt bei Erekitons-Pillen

Hey Süßeer!

Mit dem Rabattcode
go2016
bekommst Du heute alle Erekitons-Pillen 20% billiger.

http://www.weiter181.accountant/[ID entfernt]/

Unser Shop ist risikofrei (zahlbar per Paypal mit Käuferschutz) oder Nachname [Tja, ist schon mistig, wenn homophone Wörter unterschiedlich geschrieben werden]!

Rezeptfreie Pillen aus einer offiziellen Apotheke mit unschlagbar gutem und schnellen Kundensupport.

Lies unsere Kundenbewertungen, Du wirst überzeugt sein und Dein Freund ist hart wie eine Eins!

http://www.weiter181.accountant/[ID entfernt]/

Grüße
Die Marleen-Maus

Wer sich dafür interessiert: Die mit illegaler und asozialer Spam beworbene Pimmelpillen-Apotheke habe ich schon im Januar kurz mit einem Text gewürdigt. Dabei ist auch ein Screenshot entstanden. Da die diversen Fehler und Verschreiber in den vergangenen sieben Monaten noch nicht korrigiert wurden, habe ich auf einen neuen Screenshot verzichtet. Da ist nichts zu dokumentieren. Der Spammer hat keine Lust auf irgendeine Arbeit. Warum auch, er ist doch Spammer. Und sein Geschäft läuft auch mit einer Giftapotheke, deren Betreiber nicht dazu imstande ist, leidlich fehlerfreies Deutsch zu schreiben.

Die gleiche Vorgehensweise sehe ich auch mit dem Wort „webseite“ in der TLD .top – auch hier gibts laufende Nummern und einen lustigen Einblick darin, was für Geschäfte von der gleichen Bande betrieben werden.

Zunächst die Pest des Postfaches, die Dating-Spam:

Betreff: Marie will sich mit Dir treffen

Hallo!

Marie hat Dein Profil auf unserem Seitensprung-Portal folgendermaßen bewertet:
„Möchte ich gerne kennenlernen“
und
„Er soll es mir richtig besorgen“

Bitte klick auf das Profil von Marie um zu entscheiden, ob Du auch an ihr interessiert bist:

http://www.webseite109.top/[ID entfernt]/Marie28/

Viel Spass
Dein Seitensprung-Heute -Team

Ja ja, schon klar: Marie hat ein nichtexistentes Profil von mir gesehen und möchte mal so richtig von einem Unbekannten durchgenommen werden. Da muss schon sehr viel Blut im Schwellkörper und sehr wenig Blut im Gehirnchen sein, damit man darauf reinfallen kann. Die Tatsache, der dermaßen doofe Spams seit gefühlt zwei Jahren jeden verdammten Tag kommen, zeigt aber, dass es immer noch genug dumme und notgeile Männer geben muss, die darauf reinfallen. Die wundern sich dann nicht einmal mehr darüber, wenn es auf der potemkinschen Dating-Site spammender Affiliate-Lügenkaufleute nur Frauen und keine Männer gibt…

Aber natürlich gibt es auch hier noch weitere Geschäftsmodelle mit „Webseite“ und „Top“ in der laufenden Nummer 109, und auch die sind schon seit langem vertraut:

Betreff: Korrigierte Beitragsabrechnung August 2016

Guten Tag n ,

ab dem 01. August 2016 wird sich die monatliche Belastung für Ihre Krankenversicherung verändern.

Viele Kunden müssen mit einer Erhöhung der monatlichen Beiträge rechnen, einige können sich über eine Tarifreduzierung freuen.

Bitte prüfen Sie zeitnah, ob Sie mit einer Erhöhung oder einer Reduzierung rechnen müssen:

http://www.webseite109.top/[ID entfernt]/

Die Überprüfung ist natürlich frei von jeglicher Verpflichtung – und für alle Beitragszahler selbstverständlich kostenlos.

Unter Umständen kann Ihr derzeitiger Tarif schnell und unbürokratisch umgestellt werden, so können Sie bereits ab August 2016 mit einer spürbaren Vergünstigung rechnen.

Bitte handeln Sie zeitnah!

http://www.webseite109.top/[ID entfernt]/

Mit freundlichen Grüßen,

Jana Franke
Kundenservice Zentrale Buchhaltung

PS: Die KSP distanziert sich von unseriösen Benachrichtigungen – unsere Infoseite dient lediglich Ihrer Information und verpflichtet Sie zu nichts. [Prust! Spammer distanzieren sich von unseriösen Benachrichtungen! Der war gut!]

Wünschen Sie dennoch keine weiteren Benachrichtigungen?
http://www.webseite109.top/abm/[ID entfernt]/

Diese Spam kam zwei Sekunden nach der Datingspam, die ihre Opfer auf das Weiterleitungsskript in der Domain webseite109 (punkt) top locken sollte…

Pimmelpillen-Giftapotheken, Datingbetrug und Krankenversicherungsvergleiche – alles aus einer Hand! (Die andere Hand schreibt hinter dem Rücken Spam und Spam und Spam und Spam und zählt die Affiliate-Judasgroschen.)

Mein Pool-Video von gestern

Montag, 25. Juli 2016

Hey Schnucki!

Du meinst nicht mich, oder? :mrgreen:

Ich hab doch versprochen dass ich Dir mein Video wie wir im Pool schwimmen waren gestern noch schicke. Ist leider etwas später geworden, aber das Video war ja echt lang, das hat n bissl gedauert zum hochladen:

http://www.wwwclick84.faith/[ID entfernt]/

Ich kann mich gar nicht daran erinnern, auch nur alleine in irgendeinem Pool geplantscht zu haben¹. Aber egal, ob man sich erinnert oder die Mail einfach nur für fehlgeleitet hält und glaubt, nach einem klicki klicki Klick in die illegale und asoziale Spam gibt es tolles Frauenfleisch in Wasser zu sehen: Wer klickt (und über die in der URI enthaltene, eindeutige ID dem Spammer mitteilt, dass die Spam angekommen ist und beklickt wird), landet nach der üblichen Kaskade von Weiterleitungen nicht bei einem Video, sondern in der Domain myfunbook (punkt) net, die hier schon häufiger ihre Spuren hinterlassen hat. Diesmal gibts aber keinen Trick, „wie man jeden Tag eine andere knallt“, der dann dazu führt, dass man sich bei einem Betreiber kostenpflichtiger Chats anmeldet, sondern das bereits aus dem Winter dieses Jahres bekannte Design Ficki-Berater. Das macht aber nichts, denn die Masche ist dieselbe. Und nein, das kleine Fehlerchen mit dem fehlenden Bild in der dritten Zeile des „Ficki-Berater“-Designs ist immer noch nicht behoben worden. Wozu auch?! Die Spammer verachten schließlich die Leute, die auf diese Masche reinfallen und die dann bei irgendwelchen völlig unseriösen, vorgeblichen Fleischmärkten landen. Hauptsache, es gibt Affiliate-Geld von den Betreibern der im Regelfall betrügerischen Dating-Sites, die gern mit solchen Spammern zusammenarbeiten – und dieses Geld wird den Opfern schnell genug wieder mit unaufwändigem, automatisiert durchgeführtem Beschiss abgeknöpft. Mühe geben? Wozu? Die Masche richtet sich doch an notgeile Idioten, deren Gehirn nicht richtig durchblutet ist². An Leute, die so doof und hirnverbrannt sind, dass sie ganz schnell vergessen, dass es doch eigentlich unter dem Link ein privates Video geben sollte, wenn sie nur ein paar mies skalierte pr0n-Fotos in Thumbnail-Größe sehen. Die sind keine Mühe wert…

Viel Spass damit! Wiederholen wir gerne
Bussi
Anja

Nee, Anja, ich wiederhole keine niemals stattgefundenen Ereignisse. Gib mir deinen geldgierigen Judaskuss dorthin, wo die Sonne niemals hinscheint!

¹Außerdem ist doch bekannt, dass ich nur in Schlamm bade…

²Das ist die Sichtweise der Spammer, nicht meine.

Zustellung auf Mobiltelefon nicht möglich

Mittwoch, 29. Juni 2016

Mit Verlaub, Dating-Spammer…

–=_aa7dff548dc53e91b86f7b5260ecbd91 Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=ISO-8859-1 http://www.server127.xyz/[ID entfernt]/ –=_aa7dff548dc53e91b86f7b5260ecbd91 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset=ISO-8859-1 Hallo Eli ,

eine Nachricht von Sonja Albrecht konnte Dir nicht auf Dein Handy zugestell= t werden.

Bitte klicke hier, um sie zu lesen:

http://www.server127.xyz= /[ID entfernt]/

Viele Gr=FC=DFe,
Dein Serviceteam

…aber auch mit der Zustellung per E-Mail scheint ihr so eure Probleme zu haben. Na, habt ihr gerade schöne Schmerzen mit einem neuen Spamskript? :mrgreen:

Weshalb nehmt ihr überhaupt ein neues Skript?

<img src=3D"http://www.server128.xyz/vie/[ID entfernt]/" width=3D"1" height=
=3D"1">

Ah ja, um den Leuten einen Webbug reinzumachen, damit ihr endlich auch die tracken könnt, die nicht in eure hirnlosen Spams klicken¹. Das finde ich eine gute Idee von euch, dass ihr euren Datenbestand mal bereinigen wollt. Wesentlich einfacher als das Tracking wäre es allerdings, wenn ihr die ganzen doppelten Mailadressen mal rausnähmet…

Ach, da hat euch „Datingportalbetreibern“ noch keiner gezeigt, wie das geht?

Na, dann lasst ihr es eben… 😀

¹Eine anständige Mailsoftware wie etwa der Mozilla Thunderbird lädt niemals automatisch Grafiken aus dem Web nach und macht diese häufige Form des Trackings damit unmöglich. Benutzt solche Software für eure E-Mail! Das kostet nicht einmal Geld…

Ivonne und Anna wollen mit dir einen flotten Dre…

Montag, 27. Juni 2016

Einen was? „Einen flotten Drehorgelspieler kennenlernen“ vielleicht? :mrgreen:

Hallo Eli!

Folgende Nachricht sollen wir Dir übermitteln:
„Anna und ich haben Dein Foto gesehen und wurden Dich gerne treffen. Wir sind 25 und 24 und studieren beide BWL. Hattest du schon mal einen heissen Dreier mit 2 heis …“

Mit was? „Mit zwei heiseren Kettenrauchern“ vielleicht? :mrgreen:

Die Textlänge einer E-Mail ist nicht begrenzt. Das ist nicht Twitter. Es gibt keinen Grund, etwas abzukürzen.

Zum Beantworten dieser Nachricht klicke hier:

http://www.mailing25.xyz/[ID entfernt]/

Zum Beantworten der Spammail nicht „Antworten“ in der Mailsoftware benutzen, sondern klicki klicki in die Spammail machen. Ist ja nur eine illegale und asoziale Spam von Kriminellen. Was kann da schon passieren?

Bis bald
Vicky und Ivonne

Oben hieß „Vicky“ noch „Anna“. Am besten geeignet für den Beschiss der Dating-Spammer sind Demenzkranke.

Keine Nachrichten mehr?
http://www.mailing25.xyz/abm/[ID entfernt]/

Ihr mich auch!

Du wurdest angestupst

Montag, 27. Juni 2016

Hallo n,

Na ja, sagen wir es mal so: Eine Zuordnung von Name zu Mailadresse, die die Spammer einmal haben, verschwindet niemals wieder aus dem Posteingang. Egal, wie unplausibel sie ist.

Du wurdest von Lena angestupst.

Auf der gleichen Mailadresse – die spammenden Vollidioten sind also immer noch nicht dazu imstande, Dubletten aus ihrem Datenbestand zu entfernen – kam mit gleichem Text auch noch die folgende Kollektion von Frauennamen an:

  • „Du wurdest von Kerstin angestupst“
  • „Du wurdest von Nora angestupst“
  • „Du wurdest von Celina angestupst“
  • „Du wurdest von Marleen angestupst“
  • „Du wurdest von Anna angestupst“
  • „Du wurdest von Lisa angestupst“
  • „Du wurdest von Eva angestupst“
  • „Du wurdest von Leonie angestupst“

Die stupsen mich ja wund, diese Frauen aus der Namensliste eines Dating-Spammers! :mrgreen:

Unser Tipp: Folge einfach diesem Link um zu sehen, wer Dich angestupst hat!

http://www.mailing33.xyz/[ID entfernt]/

Der Link führt nach der üblichen Kaskade von Weiterleitungen in die Domain mit dem schönen Namen seitensprung (strich) treffen (punkt) com, wo es das immer noch unveränderte WhatsFuck-Design der Dating-Betrüger gibt. Dieses Design ist offenbar die vorläufige Krone des schöpferischen Geistes dieser intellektuell unbewaffneten Stümper, die wohl immer noch recht erfolgreich nach den Enthirnungsresten aus der Generation Jamba angeln. Es hatte allerdings viel miesere Vorgänger mit genau so blöden Namen: FriendBook, FunBook und WhatsSexy. Natürlich jeden Tag in einer anderen Domain, denn die Spamfilter lernen schnell. Andere Experimente der gleichen Bande wie etwa ganz geheime Geheimtricks, mit denen jeder notgeile Honk ganz viel ficki ficki machen kann, waren offenbar auch beim Bodensatz der Totalverdummten nicht erfolgreich genug, als dass die Spammer davon ihre eigenen Bordellbesuche hätten bezahlen können. Warum sollte man sich für „Tipps“ auch irgendwo anmelden und namentlich registrieren? Und das kleine Problemchen mit dem peinlich fehlenden Foto im Ficki-Berater von ebenfalls dieser Bande hat diese Bande leider binnen zweier Monate nicht behoben bekommen. Dafür hätte man ja HTML können müssen. Und damit sind diese vorgeblichen Betreiber eines Dating-Portals überfordert. Das liegt daran, dass sie gar kein Dating-Portal betreiben, sondern nur Affiliate-Opferakquise für einen anderen Dating-Betrüger machen.

(Ich gehe übrigens davon aus, dass sämtliche Kontakt-, Sex- und Datingangebote im Web Beschiss sind. Es ist eine sinnvolle Annahme. Wenn dieses pauschale Urteil zu hart erscheint: Jene Fleischmärkte, die mit illegaler und asozialer Spam beworben werden, sind mit Sicherheit Beschiss.)

Was einem blüht, wenn man auf spambeworbene Dating-Betrüger reinfällt, habe ich vor fünf Jahren mal ausprobiert und hier dokumentiert. Ich weiß nicht, ob die Methoden immer noch so plump sind, aber da mit den momentanen Spamfluten und den dazwischengestellten Dreckssites wirklich nur sehr naive Opfer angesprochen werden, kann das durchaus sein. Leider ist die Mutter der Dummen immer schwanger.

Lieben Gruß,
Dein Paarship-Team

So so, sich „Paarship“ nennen, aber eine Website namens „WhatsFuck“ betreiben.

Der Umfrage der Mdchen mit den besten dieser Woche

Freitag, 24. Juni 2016

Was bitte? 😀

Oh, da gibt es Mdchen… ob die wohl auch Brste und Msen haben? Mal gucken:

In die Spam eingebettetes JPEG-Bild mit einer Dateigröße von 165 Kibibyte. Es zeigt sechs Frauen in lasziven Posen, dazu den Text: 'Die Umfrage der Mdchen mit den besten dieser Woche -- Registrieren und Profil sehen die Mädchen -- Registrieren und Profil sehen die Mädchen -- Die Registrierung auf unserer Website ist kostenlos -- Für eine erfolgreiche Anmeldung müssen sie einen Fragebogen ausfüllen

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens. Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

Nun, angesichts solcher Mails – die schwarzen Balken sind natürlich von mir, weil ich davon ausgehe, dass die Fotos der Frauen von „irgendwo aus dem Web“ mitgenommen wurden – erübrigt sich der weitere Kommentar. Dass das gesamte Dating-Business eher ein Dating-Beschiss ist, sollte sich mittlerweile auch zu denjenigen Menschen herumgesprochen haben, die sich ihre Meinung von in erster Linie von Journalisten bilden lassen. Wer trotzdem noch darauf reinfällt, ist wirklich ziemlich dumm. Und wer ausgerechnet auf einen Dating-Betrug reinfällt, weil er in einer Spam daruf hingewiesen wurde, sollte sich besser einen Vormund bestellen lassen – oder, in milderen Fällen, regelmäßig masturbieren, damit der drangvolle Trieb nicht mehr so sehr die Denkfähigkeit beeinträchtigt.

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Egal, ob diese Anschrift stimmt oder nicht (sie wird nicht stimmen, denn auch in Polen ist Spam illegal): Spammer, möge euch die elektrische Entladung eines Gewitters während der Defäkation durchströmen!

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! 😉

Dating -- für Freundschaft und Sex in deiner Stadt -- Sehen sie die profile >>>

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht… :mrgreen:

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

Screenshot der durch Spam beworbenen, mutmaßlich betrügerischen Dating-Website

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.

Anja und ich überlegen uns ob wir Dich vern…

Freitag, 17. Juni 2016

Was jetzt? „Vernichten“? :mrgreen:

Hallo Eli!

Nahe dran!

2 unserer Mitglieder […]

Wie, die sind „mit Gliedern“? Das gibts bei euch Dating-Betrügern doch gar nicht. Auf euren tollen Dating-Sites gibts regelmäßig nur Frauen. Wie die wohl immer die ganzen Männer vertreiben? :mrgreen:

[…] haben Dir eine Nachricht hinterlassen:
„Hey Süßer! Angela und ich haben Dein Profil […]

Jaou, ihr habt mein Profil. 😀

[…] und überlegen, ob wir Drei nicht mal zusammen richtig heiß…“

Na, was denn schon wieder? Heiße Suppe essen? Leider muss ich klicken, um es zu erfahren (und das ist bei Spam immer eine ganz schlechte Idee):

Zum Beantworten dieser Nachricht klicke hier:

http://www.mailserver28.xyz/[ID entfernt]/

Willst Du erstmal die Nachricht ganz lesen:

http://www.mailserver28.xyz/[ID entfernt]/message/

Es begrüßt einem das unveränderte Design des Datingschwindels „WhatsFuck“, das naive WhatsApp-Nutzer bei ihrer lebenspraktischen Dummheit abzuholen versucht, um sie mit Dating-Betrug abzuzocken.

Viel Spass!

Du mich auch.

Keine Nachrichten mehr?
http://www.mailserver28.xyz/abm/[ID entfernt]/

„Nachrichten“ hätten eine Bedeutung für mein Leben. Die dumme Stopfmasse, die ihr Verbrecher in mein Postfach macht, wird viel besser durch das Wort „Scheiße“ charakterisiert.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.