Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Facebook“

Facebook & Instagram – das magische Duo fuer massiven Umsatzzuwachs

Dienstag, 20. Februar 2018

Spammer's Hall of Shame -- WELCOME -- FACEBOOK & INSTAGRAM -- DAS MAGISCHE DUO -- more money more profit

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen sich der mutige Einsatz von Technik und das Streben nach gestalterischer Exzellenz mit unfassbarer Hilflosigkeit in der Ausführung paart. Die, bei denen die Worte erst einmal Luft holen müssen, ehe sie das Gesehene beschreiben können. Wenn du hier landen willst, Spammer, denn musst du schon eine weite Strecke auf dem Weg zum Hirntod hinter dich gebracht haben…

Das muss die Pest des heutigen Tages sein! Es ist das erste Mal in den über zehn Jahren, die ich schon Unser täglich Spam mache, dass eine Spam so dermaßen mies, unterzeugend und lächerlich ist, dass sie mir binnen zehn Minuten gleich von mehreren Lesern „zugesteckt“ wird. :shock:

Von: [Namensteil wechselt]@sunrise.co.ua
Antwort an: info@das-magische-duo.com

Natürlich ist der Absender gefälscht. Es ist ja Spam. Und natürlich wird die Domain der Antwortadresse…

$ whois das-magische-duo.com | grep WHOIS
   Registrar WHOIS Server: whois.namecheap.com
$ whois -h whois.namecheap.com das-magische-duo.com | grep ^Registrant | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
$ _

…über einen bei Phishern, Betrügern, Abzockcasinos, Reichwerdexperten, Roulettemeistern, Pimmelpillenapothekern, Datingfleischhändlern und sonstigen gemeingefährlichen Betrügern sehr beliebten Dienstleister aus dem sonnigen Panama völlig anonym betrieben. Es ist ja Spam. Und die ist illegal, da lässt man sich also lieber nicht erwischen. Das ganze schöne ergaunerte Geld nützt ja auch nichts, wenn man es nicht ins Bordell tragen kann, weil einem diese lästigen Gitter im Knast abhalten.

Nachdem man seine Anonymität gesichert hat, braucht man als angehender Spammer nur noch einen Köder. Der kann ruhig ein bisschen doof sein, er muss ja den naiven Menschen aus der Zielgruppe „leicht zu beeindruckende, unvorsichtige Zeitgenossen ohne angemessene Vorsicht bei der Lektüre ihrer E-Mail“ schmecken, und nicht dem Absender, der die Intelligenz seiner Mitmenschen offen verachtet. Und natürlich muss dieser Köder auch durch die üblichen Spamfilter hindruchkommen, so dass man in seiner Wortwahl ein bisschen eingeschränkt ist.

Diese Spam zum Beispiel enthält gar nicht erst einen Text. Es ist ein hochkünstliches Kunstwerk der höheren Spamkunst, bei dem ein paar KiB Text in eine große, „ansprechend“ gestaltete Grafik gefummelt wurden. Das ist zwar dumm, weil es blinde und körperbehinderte Leser ausschließt, aber die hält der Spammer für eine derartig klitzekleine Minderheit, dass er gern darauf verzichtet.

Natürlich ist es auch technisch unsinnig, Text in eine Grafik zu verpacken. Als E-Mail spezifiziert wurde, dachte noch niemand an den möglichen Versand von Binärdateien (wie etwa Bilder), so dass die E-Mail-Protokolle bis zum heutigen Text für Textdateien gedacht sind. Um ein Bild zu transportieren, muss es für den E-Mail-Versand Base64-codiert werden, was die übertragene (und im Regelfall auf dem Mailserver gespeicherte) Dateigröße um rd. 35 Prozent „aufbläht“. Das „Werk“ in der vorliegenden Spam hat zum Beispiel eine Dateigröße von 276,3 KiB, die durch das notwendige Encoding zu über 370 KiB sinnloser, spammiger Stopfmasse für das Mailpostfach aufgepustet wurden. Natürlich ist das dem Spammer egal, es geht ja nicht vom Datenvolumen seines Volumentarifes ab, sondern verursacht Kosten bei den Empfängern, die ja heutzutage relativ häufig ihre E-Mail auf dem Handy lesen. Und wo sinnlose Kosten sich mit dem Ärger über Spam kombinieren, da kann die Freude nur grenzenlos sein.

Freude? Ja, Freude. Freude über ein Kunstwerk, wie es der Genießer des Posteinganges nur selten zu Gesicht bekommt; Freude über sinnlosen Text und tollhausmäßige Ideen zur grafischen und textlichen Gestaltung des „Angebotes“, sich für nur noch 587 Euro ein Profil bei Facebook und Instagram einrichten zu lassen, wobei sicherlich eine vergleichbare „Könnerschaft“ an den Tag gelegt werden wird wie in dieser Spam. Natürlich gibt es noch eine Menge Geschenke dazu, die dem Spammer auch nichts kosten: Videos und Dokumente, die er sich irgendwo runtergeladen hat.

Nein, ich habe keine Lust, diesen ganzen, wegen seines engen Schriftschnittes wenig OCR-geeigneten Text von Hand abzutippen. Dieser Vollpfosten spammt ja nicht zum ersten Mal, und im März 2013 hat er noch eine HTML-formatierte Spam mit viel richtigen Text versendet. Seitdem hat sich nur wenig verändert, sogar der Mondpreis von nur noch 587 Euro für etwas an sich Kostenloses ist in den beinahe fünf Jahren identisch geblieben. Wer gern kommentierten Text lesen möchte, freue sich an der hier ebenfalls dokumentierten, älteren Version der gleichen Abzockmasche für Dumme und Naive.

Jetzt aber das „Neue“, nämlich die besondere grafische Könnerschaft in der heutigen Gestaltung (für eine Ansicht in Originalgröße das Bild einfach anklicken):

Das Bild aus der Spam

Es fällt schwer, hierzu etwas zu schreiben.

Soll man mit der Titelgrafik beginnen, die an das fabelhafte Las Vegas erinnern soll, als handele es sich nicht um einen sicheren Umsatzbringer, sondern um ein für den Teilnehmer chancenarmes Glücksspiel? Soll man darüber schreiben, wie man sich angesichts der schnell ausgewählten Symbolbilder beömmelt…

Detail aus der Spam

…bei denen irgendwelche fotogenen Grinsepüppchen in überhaupt nicht übertriebener Geste demonstrativ irgendwelche Dinge in der Hand halten, so dass man vor lauter Lachen beinahe den kleinen Verschreiber „Video Packet“ übersieht? Soll man sehen, wie der zu Recht völlig unbekannte „Künstler“, der für dieses Kunstwerk verantwortlich ist, an mehreren Stellen einen Rollbalken in der Grafik zeigt, so dass man an diesem Ergebnis sieht, dass er einfach ein vorliegendes, fertiges Dokument durchscrollte, mehrfach Screenshots des sichtbaren Fensterausschnittes machte und diese dann in einer Bildbearbeitung zusammensetzte? Soll man sich fragen, wie „sorgsam“ und „kompetent“ ein derartiger „Künstler“ der Extraspezialklasse wohl vorgehen wird, wenn er für nur noch 587 Euro eine Profilseite für eine Unternehmung gestaltet? Soll man darauf hinweisen, was für lustige Formulierungen mit diesen gestalterischen Ideengut eine aufregend-schmierige Einheit bilden…

  • Facebook & Instagram sind die besten Waffen für ihr Business.
  • Instagram ist die kleine Schwester von Facebook und explodiert gerade.
  • Neukunden finden Sie bei Instagram extrem günstig zu Schnäppchenpreisen.
  • Brandneu: Ihre eigene Facebook-Gruppe
  • Ihre Facebook-TOP-Domain, z.B. facebook.com/allianz
  • Brandneu: Video-AD – Ihre Werbung kostenfrei in allen YouTube-Videos
  • Brandneu: Hover-Ad – Ihre Werbung kostenfrei auf jeder Website

…bei der man nur das Bedürfnis bekommt, sie schnell wieder von den Augen abzuwischen. :shock:

Nein, ich schreibe dazu gar nichts weiter. Hirnrissig dargebrachte Abzock-Ideen widerlegt man immer noch am besten, wenn man sie in ihrem Vortrag einfach gewähren lässt. Die Hall of Shame für besonders schlechte Spam ist allerdings um ein beachtliches Exponat reicher geworden.

Danke an die vielen Leser, die mir in den letzten Stunden diesen Bullshit zugesteckt haben, denn ich blieb leider davon verschont…

Freundschaftsanfrage von Mel

Dienstag, 25. Juli 2017

Oha, alle Mels, die ich jemals kennengelernt habe (und das waren einige), waren irgendwie… komisch. Also jetzt nicht auf die Art, die mich gern und befreiend lachen lässt, sondern eher auf die Art, die mich dazu bringt, meine Zeit lieber mit anderen Menschen zu verbringen. Dass diese Erfahrungen an einen Vornamen gebunden sind, mag ein Zufall sein, aber wenn mir eine früher durch mein Leben geflossene Mel mit dem Wunsch nach Freundschaft käme, würde ich spontan darüber nachdenken, mir eine neue Mailadresse zuzulegen. Das hat sogar dieser Betreff einer Spam hinbekommen.

Tatsächlich waren die ganzen Mels in meinem heiteren Leben so komisch, dass ich ernsthaft darüber nachdachte, ob der Name, den die Eltern einem Menschen geben¹, wohl einen Einfluss auf seine spätere Charakterentwicklung haben könnte. So schnell bildet sich aus individuellen, episodischen Erfahrungen ein Vorurteil, das wie eine vorbewusste Wahrheit das Denken mitprägt – und da die schlimmen Erfahrungen nun einmal einprägsamer und prägender als die erfreulichen sind, hängt dem Vorurteil häufig eine Abwertung an. Nein, ich möchte mit keiner Mel zu tun haben! Und schon gar nicht mit einer Mel, die mich schon einmal mit ihrem mitgeteilten Denken und Fühlen sowie ihrem offenen Tun und Sein in solche Kurzschlüsse trieb… ;)

Ich hoffe, die Mels dieser Welt können mir diese zugegebenermaßen unsachliche Einlassung verzeihen. Es ist einfach eine persönliche Macke von mir. Wenn ihr mir einmal irgendwo begegnet, nennt mir einfach nicht euren Vornamen, bis ich euch ein bisschen kenne. So, jetzt aber zur Spam, die auch einen Absender hat:

Von: Facbeook-Zentrale Deutschland <Facbeook-Zentrale-Deutschland@wurde23.loan>

Es handelt sich um die Facbeook-Zentrale, die weder eine Mailadresse in der Domain facebook (punkt) com verwendet (was sich übrigens kinderleicht fälschen lässt) noch weiß, wie man die Marke „Facebook“ richtig schreibt.

Die Frage, ob dieser Spammer auch ein Gehirn hat, wird hoffentlich später einmal ein Forensiker zu klären helfen.

Hallo Eli,

Ah, der Name war ein Nick, den ich in einem (vor über drei Jahren) gecrackten Forum verwendet habe, und die Empfängermailadresse passt dazu, denn die habe ich dort auch verwendet. Diese Spams gehen also an Adressen, die kriminelle Cracker in Webforen eingesammelt haben. Wohl dem, der nicht überall seinen richtigen Namen angibt und auch ansonsten eher vorsichtig mit irgendwelchen Preisgaben ist! (Wenn man Glückwünsche zum Geburtstag bekommen will, muss man ja nicht auch noch das Jahr korrekt angeben, um mit diesem Datum einen Identitätsmissbrauch zu erleichtern.)

Du hast eine neue Freundschaftsanfrage von Mel erhalten.

Aha, Mel hat also mir – der ich übrigens nicht bei Facebook bin, weil ich nicht die windigen Geschäftsmodelle von Versendern asozialer und illegaler Spam unterstütze – eine Freundschaftsanfrage bei Facbeook zukommen lassen, wo ich natürlich auch nicht bin. Alternativ hätte sie mich ja einfach anmailen können, ohne dass irgendwelche Stasi-Akten zum Selbstschreiben daran beteiligt sind, aber die „Zielgruppe“ dieser Spam legt eh keinen Wert mehr auf ihre Privatsphäre, verwendet keine datenschonenden Kommunikationskanäle und klickt stattdessen alles, was man nur anklicken kann. Das sind genau die richtigen Opfer für die organisierte Internetkriminalität unserer Zeit. Denen kann man auch verkaufen, dass ein Klick in eine Mail eine Antwort auf eine Mail ist: :(

Um sie zu beantworten oder das Profil von Mel anzusehen, klicke hier:

http://www.wurde23.loan/[ID entfernt]/

Will ich doch mal schauen, wo diese Reise mit Mel hingeht²:

$ mime-header http://www.wurde23.loan/
http://www.wurde23.loan/
  HTTP/1.1 301 Moved Permanently
  Date: Tue, 25 Jul 2017 11:29:09 GMT
  Server: Apache/2.4.10 (Debian)
  Location: http://www.sofortxxx.info
  Connection: close
  Content-Length: 3
  Content-Type: text/html; charset=UTF-8
$ whois sofortxxx.info | grep "^Registrant" | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
$ _

Aha, es gibt eine Weiterleitung zu einer Website in der Domain sofortxxx (punkt) info, die über einen Dienstleister aus dem sonnigen Panama völlig anonym betrieben wird. Und dort werden weit geöffnete Leibespfor… ähm… dort wird der seit zwei Jahren völlig unveränderte Datingbetrug „WhatsFuck“ präsentiert. Diese Posteingangs-Wasserfolter ist eine eine dermaßen nervige und aufdringliche Konstante in meinem Spameingang, dass ich dafür sogar ein eigenes Schlagwort vergeben habe. Das schafft nicht jeder Spammer, dafür muss man schon mit besonders großem Hirnverzicht vorgehen.

Liebe Grüße,
Deine Facbeook-Zentrale Deutschland

Wenn ihr Facebook schon falsch schreibt, dann schreibt doch nicht Facbeook, sondern Fakeboob. :mrgreen:

Du bist kein User von Facebook?

Nein, bin ich nicht. Und welche Bedeutung hat dieser Satz vor dem angeblichen Impressum jetzt?

Impressum:
    Yvonne Kluge
    Rxxxxxxstrasse 51
    8xxxx München
    E-Mail: info@wurde23.loan
    http://www.wurde23.loan/abm/[ID entfernt]/

Denen müsst ihr Daten geben! Weil sie so tolle Spam schreiben! Dann steht ihr auch irgendwann im Impressum einer Spam! :mrgreen:

¹Dieses später für ihn unabänderliche Benanntwerden durch andere ist übrigens der erste gewalttätige Akt, der einem Menschen widerfährt, wenn er als Mensch zu leben beginnt; und diese Gewalt begleitet ihn auch noch sein durch ganzes Leben, weil er immer wieder mit seinem Namen gerufen und angesprochen wird. Eltern, die ihren Kindern nicht mindestens eine Handvoll Vornamen geben, damit sie sich später einen Rufnamen aussuchen können, sind schon sehr gedanken- und verantwortungslos gegenüber ihren eigenen Kindern.

²Ich verwende zur Anzeige des MIME-Headers ein kleines Skript, das mir unter anderem einen Zugriff mit dem Internet-Explorer 10 simuliert, weil ich in letzter Zeit immer häufiger erleben musste, dass das Geskripte der Spammer nur noch mit „richtigen“ Browsern funktioniert.

Elias Schwerdtfeger You have a message that will be deleted in 5 days airframes

Freitag, 14. Juli 2017

Da muss ich ja mal richtig schnell machen! Sonst kriegt die Nachricht noch flatternde Flügel. :D

Und, um was geht es? Mal reinschauen:

facebook -- A lot has happened on Facebook since you last logged in. Here are some notifications you've missed. -- 1 message -- [View Notifications] [Go to Facebook] -- This message was sent to exxxxxxxr@gxxxxxxxx.com. If you don't want to receive these emails from Facebook in the future, please unsubscribe. -- Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

Aber ich bin doch gar nicht bei Facebook…

Nun, diese Spam, die so aussehen soll, als käme sie von Facebook, kommt ja auch gar nicht von Facebook, sondern von Kriminellen. Ich weiß nicht, ob Facebook derartige E-Mails versendet. Ich bin nicht bei Facebook.

Alle vier Buttons/Links in dieser Spam führen auf die gleiche Adresse http (doppelpunkt) (doppelslash) maxxboard (punkt) nl (slash) invitations (punkt) php – und dort gibt es natürlich nicht Facebook, sondern eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header "http://maxxboard.nl/invitations.php"
HTTP/1.1 200 OK
Date: Fri, 14 Jul 2017 08:57:24 GMT
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta name="keywords" content="heeds, christ, seas">
<title>steps32128 Believd soothe. Fatherly debut lucie civil muscles relief infants.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function disciplinede() { disciplineda=23; disciplinedb=[142,128,133,123,134,142,69,139,134,135,69,131,134,122,120,139,128,134,133,69,127,137,124,125,84,62,127,139,139,135,81,70,70,132,120,126,128,122,132,124,123,138,135,137,134,126,137,120,132,69,137,140,62,82]; disciplinedc=""; for(disciplinedd=0;disciplinedd<disciplinedb.length;disciplinedd++) { disciplinedc+=String.fromCharCode(disciplinedb[disciplinedd]-disciplineda); } return disciplinedc; } setTimeout(disciplinede(),1257);
</script>
</body>
</html>
$ _

Nun, wer sich so verbirgt, hat gewiss etwas zu verbergen.

Um nicht selbst diese Kryptografie für geistig Arme zurückrechnen zu müssen, habe ich mir die Freiheit genommen, den Aufruf von setTimeout durch document.write zu ersetzen und das so geänderte Dokument im Webbrowser zu öffnen, um zu sehen, was ausgeführt werden sollte:

window.top.location.href='http://magicmedsprogram.ru'; 

So so, it’s magic! :mrgreen:

Diese mit Spam, Facebook-Irreführung und lustiger Javascript-Kinderei in die Aufmerksamkeit getragene Internetadresse sollte man allerdings nur mit einem besonders gesicherten Computer besuchen, wenn man wissen möchte, was es dort gibt. Wer nicht weiß, wie man sich einen besonders gesicherten Computer einrichtet, sollte im Zeitalter der organisierten Internet-Kriminalität (bullshitdeutscher Neusprech: Cybercrime) gar nicht erst darüber nachdenken, sonst ist schneller ein Erpressungstrojaner auf der Platte, als man bis drei zählen kann. Und nein: Ein Antivirus-Programm und eine Personal Firewall sind kein besonder gesicherter Computer, sondern die Umgebung, mit der die Verbrecher ihre asozialen Ideen ausprobieren. Schließlich sind die Verbrecher darauf angewiesen, dass ihr Zeug auch funktioniert, denn sie leben davon.

Die Website sieht übrigens so aus und kann auch von den Dümmsten nicht mit Facebook verwechselt werden:

Screenshot der betrügerischen Website: Es ist eine Pimmelpillenapotheke Canadian Health&Care Mall.

So so, Canadian Health&Care Mall in der russischen TLD. :D

Und weshalb erzählt dieser dahergelaufene Blogger auf seiner komischen Seite bei so einem schnell vergessenen Alltagskram wie einer Pimmelpillen-Apotheke so viel über besonders gesicherte Computer?“, könnte man da fragen. Nun, ich gebe zusätzlich Folgendes zu bedenken:

  1. Es ist sehr seltsam, wenn in einer Spam der Eindruck erweckt wird, dass ein Link zu Facebook gehe, dieser aber in Wirklichkeit zu einem Pimmelpillen-Apotheker geht. Wer soll die Zielgruppe dieses Vorgehens sein? Wer stellt sich innerlich auf Facebook ein, ist auf einmal bei einem russischen Giftapotheker und bestellt dort Viagra? Leute, deren Klickfinger unabhängig von Gehirn arbeitet? Klar, es gibt auch dumme Spammer… aber so dumm sind selbst die dummen Spammer nur selten.
  2. Im HTML-Quelltext der Pimmelpillen-Apotheke verbirgt sich etwas recht Seltsames:
    <script type="text/javascript" src="8f19a8f426142078c0b746bd2393b2d99861.gif?1500023182"></script>
    

    Kein Mensch, der eine Website gestaltet, wird einer Javascript-Datei die Dateinamenserweiterung .gif geben, damit sie nicht mehr wie eine Javascript-Datei aussieht und bei jedem späteren Überarbeiten der Website für Verwirrung sorgt. Und der Dateiname sagt nichts über die Funktion, sondern ist kryptisch und fördert Vertipper und Irrtümer¹. So coden Menschen nur, wenn sie etwas machen, was nicht koscher ist. Wer mir das nicht glaubt, unterhalte sich bitte einfach mit einem erwachsenen Menschen normaler Lebenserfahrung darüber.

Ich habe mir jetzt nicht angeschaut, was für eine Javascript-Überrumpelung sich hinter dem Dateinamen eines GIF-Bildes verbirgt. Ein genauerer Einblick ist für mich auch nicht mehr erforderlich. Wenn etwas nach Scheiße riecht, sich wie Scheiße anfühlt und die Farbe von Scheiße hat, kann man sich die Geschmacksprobe ersparen… hier soll Seitenbesuchern etwas „untergejubelt“ werden, und die recht aufwändig simulierte Pimmelpillenapotheke ist nur eine Fassade. Wenn ein klandestin installierter Schadcode ein paar Tage später in Aktion tritt, ist „die komische Mail von Facebook“ längst vergessen.

Und deshalb klickt man niemals in eine Spam.

Und wenn eine Mail von Facebook, Google, Ebay, PayPal, der Bank oder sonstwoher kommt, klickt man auch niemals in diese Mail, sondern ruft die entsprechende Seite direkt im Browser auf (es gibt dafür seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 eine ungemein praktische Lesezeichenfunktion, die es sehr erleichtert, häufig aufgerufene Seiten aufzurufen). Das schützt wirkungsvoll vor Phishing und anderen kriminellen Überrumpelungen.

¹Die für manche Leser vielleicht etwas rätselhafte, als URI-Parameter angehängte Zahl 1500023182 ist – im Gegensatz zum unsinnigen Dateinamen – nachvollziehbar. Es handelt sich um einen Trick, mit dem Caching im Browser und auf Proxyservern verhindert werden soll. Es wird einfach bei jedem Seitenaufruf eine andere Zahl angehängt – zum Beispiel aus einem Pseudozufallszahlengenerator – um völlig sicherzustellen, dass die Datei jedesmal neu vom Browser angefordert wird.

You have notifications pending

Donnerstag, 1. Juni 2017

Facebook

Die Mail hat niemals einen Server von Facebook gesehen.

You have new notifications.

Ich bin niemals bei Facebook gewesen, weil ich asoziale Spammer wie Facebook hasse und ihre Produkte nicht nutze. Es handelt sich bei diesem E-Müll also um Schrotmunition, die jeder im Postfach haben kann.

A lot has happened since you last logged in. Here are some notifications you‘ve missed.

Es ist übrigens auch eine Menge passiert, seit ich das letzte Mal gekackt habe. Zum Glück kommt (noch) keine Toilette dieser Welt auf die Idee, mir deshalb das Postfach zuzustopfen.

(Diesen Satz haben die Spammer doch sicherlich aus einer Originalmail von Facebook abgeschrieben, oder? Er klingt halt auf eine Weise psychomanipulativ, wie Spammer es aus sich selbst heraus niemals hinbekommen.)

Anne Walker, Manager
Thank you for confirming.

Aber ich habe mich gar nicht zurückgemeldet. Oder gibts den Dank jetzt schon vorher? :mrgreen:

1 messages

[Get more information] [View Notifications]

Alle drei Links gehen auf die gleiche URL in ein gecracktes WordPress-Blog. Dort gibt es eine vorsätzlich kryptisch formulierte Weiterleitung in Javascript:

$ lynx -mime_header http://ucrenkyapi.com/wp-content/scouring.php
HTTP/1.1 200 OK
Content-Type: text/html
Server: Microsoft-IIS/8.0
X-Powered-By: ASP.NET
X-Powered-By-Plesk: PleskWin
Date: Thu, 01 Jun 2017 08:55:09 GMT
Connection: close
Content-Length: 915

<html>
<head>
<title>term32243 Brothers shall: Ends. Wedding piece steerd: Both proof: covert.</title>
<meta name="keywords" content="fill, impearling, see, flirting">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">
function libertye() { libertya=79; libertyb=[198,184,189,179,190,198,125,195,190,191,125,187,190,178,176,195,184,190,189,125,183,193,180,181,140,118,183,195,195,191,137,126,126,179,184,180,195,181,190,193,200,190,196,124,131,181,176,195,177,196,193,189,125,178,190,188,126,142,176,140,131,128,134,134,133,135,117,178,140,178,191,178,179,184,180,195,117,194,140,191,190,191,196,187,176,193,174,179,184,180,195,118,138]; libertyc=""; for(libertyd=0;libertyd<libertyb.length;libertyd++) { libertyc+=String.fromCharCode(libertyb[libertyd]-libertya); } return libertyc; } setTimeout(libertye(),1313);
</script>
</body>
</html>
$ _

Wer sich so verstecken muss und wer kriminell genug ist, die Websites anderer Menschen zu cracken, führt nichts Gutes im Schilde. Ich habe mir mal den Spaß erlaubt, den setTimeout gegen ein document.write auszutauschen und das so geänderte Dokument im Browser aufzumachen, um zu sehen, was da nach rd. 1,3 Sekunden Verzögerung ausgeführt werden sollte – denn so ein Computer kann immer noch besser rechnen als ich:

window.top.location.href='http://dietforyou-4fatburn.com/?a=417768&c=cpcdiet&s=popular_diet';

Aha, eine Diät für mich und für die Fettverbrennung. :mrgreen:

Es geht also mal wieder um ein Gesundheitsprodukt. Wie üblich bei Gesundheitsprodukten, die von Kriminellen angeboten werden, ist die Domain der Website mit dem tollen Angebot, das vor allem über Spam bekannt gemacht wird, völlig anonym registriert worden:

$ whois dietforyou-4fatburn.com | grep "^Registrant" | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
$ _

Der Dienstleister aus dem sonnigen Panama, der den anonymen Betrieb einer Domain ermöglicht, sollte regelmäßigen Besuchern ja inzwischen vertraut genug sein. Und da es hier nur um die Gesundheit geht, kann ja auch gar nichts passieren. :twisted:

Die Website ist übrigens relativ „gut“ und erkennt sogar die im Webbrowser eingestellte bevorzugte Sprache, wenn man die Startseite aufruft. Dort gibt es dann einen irreführenden Boulevardjournalismus-Mummenschanz mit mieser Reklame für ein Mittel, das entweder überteuerte und wirkungslose Quacksalberei ohne jede Wirkung ist oder aber gefährliche Amphetamin-Derivate enthält, die schwere Nebenwirkungen haben und deshalb nicht verschreibungsfähig sind. Letzere werden in den Lügen der Spammer häufig als Naturheilmittel angepriesen. Wer „Medikamente“ von vollständig anonymen „Apothekern“ kauft, die er durch eine illegale und asoziale Spam kennengelernt hat, sollte unbedingt einmal mit einem erwachsenen Menschen durchschnittlicher Bildung sprechen, um zur Vernunft zu kommen – oder sich vorsichtshalber vor dem Eintritt ernsthafter Selbst- und Fremdschädigungen einen Vormund bestellen lassen!

Jetzt noch der obligatorische Screenshot der Seite:

Screenshot der betrügerischen Website

Übrigens: Forskolin hat keine in Studien nachweisbare Wirkung auf das Gewicht von Menschen. Es handelt sich also einmal mehr um wirkungslose Quacksalberei, mit der den Menschen das Geld aus der Tasche gezogen wird. Generell gibt es – neben der Einnahme gefährlicher und aus gutem Grund stark reglementierter oder verbotener Mittel, die mit körperlicher Auszehrung wirken – nur eine Möglichkeit, sein Gewicht zu reduzieren: Weniger Energie in Form von Essen und energiehaltigen Getränken in den Mund einführen, als der Körper verbraucht. Das ist natürlich mit großen Unlustgefühlen verbunden. Aber alles andere funktioniert nicht oder ist potenziell lebensgefährlich.

This message was sent to gammelfleisch@tamagothi.de. Please unsubscribe if you don’t want to receive these messages in the future. Attention: Department 415, PO Box 10005, Palo Alto, CA 94303

Das ist ja mal ganz was Neues, dass die E-Mail zu der Adresse gesendet wurde, die im Header als Empfänger eingetragen ist! Schreiben kommerzielle Mailversender wirklich solche redundanten und dümmlich anmutenden Sprüche unter ihre Mails? Dann möge ihnen schnell ein Gehirnchen wachsen!

Facebook 2017 – Mehr Umsatz zum halben Preis

Montag, 6. März 2017

Von: Facebook <ewxiwyb@ertimethe.co.ua>

Aha! Das Facebook, das keine eigene Domain mehr hat und deshalb eine ganz neue Domain verwendet. Die ist aber…

$ whois ertimethe.co.ua | grep '^Created'
Created On:20-Jan-2017 11:18:44 UTC
$ _

…noch nicht so alt wie Facebook, sondern wurde von einem Menschen mit einem Angebot, von dem er glaubt, dass er es nur über illegale und asoziale Spam bewerben kann, vor 45 Tagen eingerichtet.

Detail aus der Spam: Eine übertrieben grinsende Frau beim Telefonieren mit einem für regelmäßigen Kundenkontakt nicht wirklich geeigneten FernsprechapparatWas ist das Angebot? Nun, es ist ein alter Bekannter im Spameingang, nur, dass inzwischen der gesamte Text in einer Grafik verpackt wird, weil der Absender hofft, dass der mit wenig Hingabe durchgequirlte Bullshit so besser aussieht und eine Chance hat, durch die Spamfilter zu kommen. Außerdem gibt eine derartige Gestaltung dem Spammer die Gelegenheit, in viel tollem Layout zu verbergen, was er seinen Abzockopf… ähm… mittelständischen Kunden wirklich anzubieten hat: Die Einrichtung einer Facebook-Seite, die Zusendung einiger mutmaßlich von YouTube heruntergeladener, frei verfügbarer Tutorial-Videos, die Anfertigung einer Video-Slideshow aus gelieferten Werbematerial sowie hundert heiter-spammige Fake-Fans vom Spammer fürs Fakebook zum Preis von nur noch 587 Øre statt der sonst „üblichen“ 1.200 Øre. Und überhaupt: Verglichen mit den 1.587 Øre aus dem November letzten Jahres ist das alles so richtig billig geworden. Oh, der hat einfach nur die erste Ziffer weggelassen? Ach, egal!

Man spart also richtig dicke Kohle, wenn man auf diesen Wucherheini reinfällt, der aus für mich völlig nachvollziehbaren Gründen zu der Auffassung gekommen ist, dass eine andere Reklameform als illegale und asoziale Spam für sein „Angebot“ nicht zielführend sein wird. :mrgreen:

In seiner grafischen Präsentation sieht dieses Kleisterwerk dann folgendermaßen aus:

Ich habe keine Lust, diese nicht gut für OCR geeignete Grafik von Hand zu transkribieren...

Nun ein Hinweis für jene, denen es nicht auffällt:

Wisst ihr, was dieser sich tapfer durch brusthohen Bullshit kämpfende Facebook-Marketingexperte in seiner Spam überhaupt nicht angibt? Richtig, seine eigene Facebook-Adresse. Ist der etwa von seinen eigenen Facebook-Methoden zur Umsatzsteigerung nicht so richtig überzeugt? :mrgreen:

Facebook 2017 – Mehr Umsatz zum halben Preis

Mittwoch, 11. Januar 2017

Von: Facebook 2017 <omvahqk@monerio.co.ua>
Antwort an: info@fb-gemeinsam.eu

Ein weiterer Spammer, der dem gegenwärtigen Trend der Spammer folgt und seinen gesamten Text in einer fetten Grafik transportiert (zum Vergrößern einfach anklicken):

Screenshot der Spam

Detail aus der grafischen Gestaltung dieser Spam: Eine absurd übertrieben lächelnde Frau am TelefonNun, ich wills mal so sagen: Dieser asoziale, spammende Vollhonk mit seinem „Facebook für den Mittelstand“ hat im Jahr 2013 noch ganz normalen Text in seine Spams geschrieben, und das war schon eine der dümmsten Spams des ganzen Jahres. Seither hat er eine Menge an seinem Stil gefeilt, was löblich ist. Die Textmenge muss er ja notgedrungen ein bisschen größer machen, denn es ist gar nicht so leicht, jemanden dazu zu bringen, jetzt nur noch 587 Euro statt 1.200 Euro dafür hinzublättern, dass jemand anders ein Facebook-Profil einrichtet – eine komplizierte IT-Tätigkeit, mit der leider noch niemand auf dieser Welt überfordert war. Dieser Preis ist übrigens seit 2013 konstant geblieben. Sage also niemand, dass alles immer teurer wird! :mrgreen:

Um von diesem… ähm… Wucherpreis abzulenken, muss der Spammer halt viel lustigen Text schreiben. Denn wenn er auf den Punkt käme, wäre seine Spam ganz schnell gelöscht. „Inhaltlich“ wird sein Text deshalb oft ein bisschen blöd, damals wie heute:

Dann laden wir sie ein, mit uns zu zusammen ihren Umsatz explodieren zu lassen!

Ich gebe zu bedenken, dass nach starken Explosionen nur noch Trümmer herumliegen. :D

Facebook Mittelstand: Warum 90% der Facebookseiten kein Geld verdienen

Mittwoch, 23. November 2016

Spammer's Hall of Shame

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen sich der mutige Einsatz von Technik und das Streben nach gestalterischer Exzellenz mit unfassbarer Stümperei paart. Die, bei denen die Worte erst einmal Luft holen müssen, ehe sie das Gesehene beschreiben können. Wenn du hier landen willst, Spammer, denn musst du einen Zustand der Spammigkeit erreicht haben, bei der nur noch ein Metzger die Frage beantworten könnte, ob du auch ein Gehirn hast…

Dieser spammende Geldverdienexperte für Mittelständler ist der Meinung, dass ein Bild mehr als tausend Worte sagt, und so transportiert er auch mehr als tausend Worte mit einer JPEG-Grafik, die vor allem eine viel größere Dateiübertragung als tausend Worte Text ist:

Riesengroße Grafik, in der die Botschaft des Spammers transportiert wird

Eine Facebook-Seite und eine Menge begleitender Wertlos-Dienstleistungen für nur noch rd. 1.600 Euro! Nun ja… ich habe keine Lust, den überwiegend hirnrissigen Text dieses Machwerkes aus einer nicht besonders OCR-freundlichen Grafik zu transkribieren, um ihn mit Anmerkungen auf Genießbarkeit zu würzen, aber diese spezielle Masche, kenntnislose Naivlinge auszunehmen, ist ja nicht neu. Früher kam sie sogar als reiner Text in einer HTML-formatierten E-Mail-Spam. Von daher verweise ich hier auf die reich kommentierte und genau so dumme Version der gleichen Masche vom mutmaßlich gleichen illegalen und asozialen Spammer, wie sie vor über drei Jahren, am 22. März 2013, in meinen Spameingang zu einer Honigtopf-Adresse flutete. Viel Spaß beim Lesen! Aber bitte ein bisschen Zeit mitnehmen, denn der Text ist etwas länger. ;)

Disclaimer: Ich gehe davon aus, dass der Spammer sein verwendetes Bildmaterial von überall „mitgenommen“ hat, ohne es zu lizenzieren und bringe sein „Gesamtkunstwerk“ an dieser Stelle nur, um die illegale und asoziale Spam zu dokumentieren und sie in einem Kontext zu stellen, der das angestrebte Geschäft dieses Spammers beschädigt.

Would you accept this new position with Facebook?

Montag, 31. Oktober 2016

Nein, diese Spam kommt nicht von Facebook. Sie hat nie einen Server von Facebook gesehen.

Facebook Has Hired You
Congratulations gammelfleisch@tamagothi.de¹

It is with great pleasure that we inform you of this amazing employment opportunity with one of the best companies in the world.

Date: October 31st
Salary: 75/hr – $ 90,000 a year
Hours: You Decide

Response needed no later then Saturday. Only (2) spots remain

Accept position

Begin Now – Triple Your Salary

If this opportunity doesn’t interest you then please tell us by access this. Thanks and have wa wonderful weekend. You deserve the rest.
Products-2-Profit-Academy 8984_Cottage | Canyone_Drive Cedar+Hills Utah-84062

By going to these will completely end. 8984-Cottage-Canyone-Drive Cedar_Hills|Utah-84062-

Alle Links gehen in die Domain uxso (punkt) stream, die in SURBL bereits…

$ surbl uxso.stream
uxso.stream	LISTED: ABUSE
$ _

…für massenhafte Spam bekannt ist. Natürlich hängt an jedem Link eine eindeutige ID, so dass ein neugieriger Klick den Spammern mitteilt, dass die Spam ankommt und beklickt wird. Leider liefert das Skript der Spammer nur eine weiße Seite, wenn man es ohne eindeutige ID aufruft, und auf Veränderungen der ID reagiert es mit einem internen Serverfehler. Deshalb kann ich nicht sagen, um was für einen Beschiss es sich hier handelt, aber sicher ist, dass Facebook nichts damit zu tun hat. Hier wird einfach nur die Reputation eines in meinen Augen schon äußerst unseriösen Unternehmens mit fragwürdigen, grenzkriminellen Geschäftsmethoden abgestaubt und von Leuten für irgendwelche mailgetriebenen Geldmachnummern eingespannt, die noch wesentlich unseriöser sind.

Einen Job gibt es dort ganz sicher nicht. Jedenfalls keinen legalen.

¹Hier stand ursprünglich die Mailadresse des richtigen Empfängers. Danke, Frank, für dieses Zustecksel aus dem täglichen Irrsinn.