Schlagwortarchiv „HTML“

Abt.: Zu doof zum Spammen

Donnerstag, 14. März 2013

Screenshot eines Ausschnitts einer unlesbaren Spam mit völlig zerschossener Zeichencodierung

Hey, Spammer,

wenn du zu doof zum Spammen bist, schließ dich doch bitte einfach ein und wirf den Schlüssel weg. Du kannst echt stolz auf dich sein, denn du hältst bis jetzt den diesjährigen Punkterekord der Bewertung durch SpamAssassin, und ich gehe davon aus, dass du nicht mehr überboten wirst. Denn so mies wie du machts keiner:

 
Content analysis details:   (139.9 points, 8.0 required)

pts  rule name              description
---- ---------------------- --------------------------------------------------
 3.0 RCVD_IN_PBL            RBL: Received via a relay in Spamhaus PBL
                            [118.166.194.136 listed in zen.spamhaus.org]
 3.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                            [score: 0.9997]
 1.5 MIME_BOUND_DD_DIGITS   Spam tool pattern in MIME boundary
 3.2 TVD_RCVD_IP4           TVD_RCVD_IP4
 1.9 TVD_RCVD_IP            TVD_RCVD_IP
 6.5 MSGID_YAHOO_CAPS       Message-ID has ALLCAPS@yahoo.com
 6.5 MSGID_SPAM_CAPS        Spam tool Message-Id: (caps variant)
 8.0 FROM_ILLEGAL_CHARS     From: has too many raw illegal characters
 6.5 SUBJ_ILLEGAL_CHARS     Subject: has too many raw illegal characters
 2.5 RCVD_NUMERIC_HELO      Received: contains an IP address used for HELO
 8.0 HEAD_ILLEGAL_CHARS     Headers have too many raw illegal characters
 0.5 UNPARSEABLE_RELAY      Informational: message has unparseable relay lines
 4.5 FORGED_YAHOO_RCVD      'From' yahoo.com does not match 'Received' headers
 8.5 HTML_IMAGE_RATIO_02    BODY: HTML has a low ratio of text to image area
 2.0 HTML_MESSAGE           BODY: HTML included in message
 2.5 MPART_ALT_DIFF         BODY: HTML and text parts are different
 3.8 TVD_SPACE_RATIO        BODY: TVD_SPACE_RATIO
 6.5 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 8.7 HTML_IMAGE_ONLY_16     BODY: HTML: images with 1200-1600 bytes of words
 0.4 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 chars
 1.7 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [118.166.194.136 listed in dnsbl.sorbs.net]
 1.0 SUBJECT_NEEDS_ENCODING SUBJECT_NEEDS_ENCODING
 0.1 RDNS_DYNAMIC           Delivered to trusted network by host with
                            dynamic-looking rDNS
 7.0 HTML_SHORT_LINK_IMG_3  HTML is very short with a linked image
 6.8 REPTO_QUOTE_YAHOO      Yahoo! doesn't do quoting like this
 7.0 FORGED_OUTLOOK_HTML    Outlook can't send HTML message only
 6.0 MIME_HTML_ONLY_MULTI   Multipart message only has text/html MIME parts
 6.0 MISSING_MIMEOLE        Message has X-MSMail-Priority, but no X-MimeOLE
 6.8 FORGED_MUA_OIMO        Forged mail pretending to be from MS Outlook IMO

Dafür kriegst du von mir die rostige Spammedaille am fadenscheinigen Band.

Geh sterben, Idiot!

Dein dich genießender
Nachtwächter

Konto-Status

Freitag, 8. März 2013

Natürlich kommt diese Mail nicht von PayPal, was sich beim Lesen auch schnell zeigt:

Lieber PayPal Kunde,

Du bist Kunde und ich weiß nicht, wie du heißst.

Aufgrund der jngsten betrgerischen Aktivit￤ten haben wir ein neues Online-Sicherheitssystem fr den maximalen Schutz der pers￶nliche Daten unserer Kunden gestartet.
Nach dieser Tatsache, wird Ihnen angeboten, ihr PayPal-Konto zu aktualisieren.

Ich schreibe Deutsch und weiß nicht, wie man diese komischen deutschen Vokale mit den Pünktchen drüber in eine HTML-formatierte Mail kriegt. Wenn ich das einfach nachlesen und verstehen würde, wäre das ja echte Mühe. Und wenn ich mir Mühe geben würde, könnte ich doch gleich arbeiten.

Um Ihr PayPal-Konto zu aktualisieren, liegt Ihnen in Ihrer E-Mail Adresse ein Formular zur Verfgung.
Bitte laden Sie das Formular aus, rufen Sie ber Ihren Internet-Browser und folgen Sie den Anweisungen auf dem Bildschirm.

Ich weiß auch nicht so ganz genau, wie man Dinge auf Deutsch formuliert. Deshalb liegt ein Formular zur Verfügung, das sie ausladen sollen. Das ist übrigens eine HTML-Datei von Kriminellen, die unbedingt erfordert, dass du JavaScript erlaubst. Da kannst du dann lauter lustige Angaben zu ihrem PayPal-Account und ihrer Kreditkarte machen, und die schickst du dann an mich. Das habe ich da natürlich nicht ganz so direkt in den HTML-Quelltext reingeschrieben, sondern ein bisschen verklausuliert, damit man auch gleich merkt, dass ich so richtig lichtscheues Gesindel bin:

Ausschnitt des versteckten, über JavaScript implementierten Submit-Buttons aus der angehängten HTML-Datei

Dein Browser macht aus dieser lustigen sedezimalen Zahlenfolge ein Starttag für ein HTML-Formular, das alle Daten an http (doppelpunkt) (doppelslash) media (punkt) cds (punkt) ed (punkt) cr (slash) images (slash) al (punkt) php sendet. Natürlich ist das nicht die PayPal-Homepage, schließlich bin ich ein widerwärtiger Krimineller, der vom Internetbetrug lebt und mal wieder ein paar Konten phishen will.

Hinweis: Das Formular muss in einem modernen Browser ge￶ffnet werden, dass JavaScript aktiviert hat. (z.B. Internet Explorer, Mozilla Firefox)
Nach Abschluss dieser Phase wird die Aktualisierung Ihres PayPal-Kontos normal funktionieren.

In meinem hochhirnrissigen Text habe ich das Wort JavaScript mit der Downloadseite für Java verlinkt. Ich bin schließlich Verbrecher, kein Techniker, und deshalb muss ich solche Unterschiede nicht kennen.

Nach Abschluss deines Datenstriptease habe ich wieder ein Konto mehr.

Wir entschuldigen uns fr die Unannehmlichkeiten und danken Ihnen fr Ihre Zeit.
Fr weitere Informationen kontaktieren Sie bitte den Kundenservice.

Ich tue so, als wäre ich höflich, aber ich bin ein kriminelles Arschloch, das dir mit einer hingestümperten Spam das Geld aus der Tasche ziehen will und deine persönlichen Daten für kriminelle Geschäfte missbrauchen will, damit ich den Gewinn habe und du den Ärger. Für weitere Informationen geh einfach auf die PayPal-Website und lies dort die Informationen zum Thema Phishing! Der in diesem Kontext wichtigste Satz darin lautet übrigens: „Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang.“

Mit freundlichen Gr￟en,
PayPal-Team.

Copyright ﾩ 1999-2013 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.￠ r.l.et Cie, S.C.A.
Soci￩t￩ en Commandite par Actions
Registered office: 22-24 Boulevard Royal, L-2449 Luxemburg
RCS Luxemburg B 118 349
PayPal Email ID PP59

Mit mechanischen Grüßen von einem spammenden Idioten, der nicht einmal die HTML-Entitäten für die wichtigsten europäischen Sonderzeichen kennt, aber seinen Empfängern gegenüber so tut, als sei er ein großer Dienstleister im Web.

RechnungOnline Monat

Mittwoch, 20. Februar 2013

Ganz kurz nur eine aktuelle Warnung: Die im folgenden gezeigte E-Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de (ja, mit einem seltsamen Punkt drin) kommt nicht von der Telekom Deutschland GmbH, auch wenn sie auf dem ersten Blick überzeugend aussieht. Sie kommt von Verbrechern und enthält einen äußerst gefährlichen Anhang.

Im Original steht da noch eine Menge Reklame für Telekom-Produkte drunter. Vermutlich sind die Mails der Telekom ähnlich gestaltet und werden bei jeder Gelegenheit mit einem Berg von nervender, in der Regel unerwünschter Reklame angereichert.

Die angehängte Datei mit den immer wieder wechselnden Namen ist keine Rechnung der Telekom, sondern ein ZIP-Archiv voller aktueller Schadsoftware. Zuzeit wird diese Schadsoftware von drei Vierteln der „Antivirusprogramme“ nicht erkannt. Wer das ZIP-Archiv entpackt (oder in einem modernen Dateimanager öffnet) und die darin liegende Datei mit der Namenserweiterung .pdf.exe öffnet, wird also von seiner „Schutzsoftware“ im Stich gelassen. Deshalb öffnet man solche Anhänge ja auch nicht, sondern löscht die Spam sofort.

Man kann leicht erkennen, dass es sich um eine Spam handelt, wenn man den Text der zugegebenermaßen überzeugend gestalteten E-Mail aufmerksam liest.

Ihre Rechnung für Januar 2013

Ich bin kein Kunde der Telekom, aber ich würde annehmen, dass dieser Text im Betreff der E-Mail stünde – anstelle des lächerlichen Textstummels „RechnungOnline Monat“.

Guten Tag,

Keine Unternehmung würde darauf verzichten, ihre Kunden namentlich anzusprechen. Wenn solche Mails ohne persönliche Ansprache kommen, braucht man schon nicht mehr weiterlesen und kann den Sondermüll löschen.

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 43,48 Euro.

Es bedarf nur kurzen Nachdenkens, um diesen Satz als Blendwerk zu entlarven. Etliche Kunden der Telekom nehmen mehrere Dienstleistungen in Anspruch. Deshalb würde zu dem Hinweis auf „Ihre aktuelle Rechnung“ stehen, wofür diese Rechnung ist, und zwar in Form einer Produktbeschreibung und ergänzend, um es in jedem Fall eindeutig zu machen, einer Vertragsnummer. Ohne diese klärenden Angaben ist der angebliche „Rechnungsbetrag“ für eine recht große Minderheit der Kunden bedeutungslos.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Unglaublicherweise geht der Link in die Telekom-Site. Es ist eben kein Phishing, sondern der Versuch, den Computer kriminell zu übernehmen.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Steht so ein Text wirklich in Mails der Telekom? Wenn ja, dann würde die Telekom aktiv dabei helfen, dass gefährliche Spam-Kriminelle ihre gefälschten Absenderadressen „plausibel“ machen können. Die Telekom wäre damit ein gedankenloser Gehilfe der organisierten Kriminalität. Ich kann mir nicht vorstellen, dass bei der Telekom dermaßen dumme Entscheidungen getroffen werden.

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Nur echt mit einem Bild der eingescannten Unterschrift.

Bitte löschen!

Selbstschutz

Wie sich an diesem Beispiel zeigt, ist so genannte Schutzsoftware vollständig wirkungslos. Das Geld für den zusätzlichen Energieverbrauch eines ständig im Hintergrund mitlaufenden Schlangenöl-Programmes könnte man sich sparen. Man könnte es zum Beispiel darin investieren, ein kostenloses Betriebssystem zu installieren, das wesentlich weniger Sicherheitsprobleme bietet und es damit kriminellen Zeitgenossen wesentlich schwieriger macht, den Rechner durch zugesandte Schadsoftware zu übernehmen.

Wer das nicht kann – ich weiß, dass es Menschen gibt, die auf Microsoft Windows angewiesen sind, aber ich weiß auch, dass es viel mehr Menschen gibt, die glauben, darauf angewiesen zu sein als solche, die es wirklich sind – sollte wenigstens sein Hirn schulen, denn das ist und bleibt der beste Virenschutz.

Immer wissen, dass Absenderadressen beliebig fälschbar sind! Nicht von der Absenderadresse verblenden lassen!
Immer wissen, dass das Design beliebig aus einer anderen, echten E-Mail kopierbar ist! Nicht vom Design verbleben lassen!
Bei Geschäftskontakten, die aufwändig formatierte HTML-Mails versenden, rückfragen, warum sie für ihre Kommunikation keine Text-Mails versenden wollen – und warum sie ihre E-Mail nicht digital signieren, um im Zeitalter der organisierten Internet-Kriminalität den Absender jenseits jedes vernünftigen Zweifels sicher zu stellen. Digitale Signatur ist keine Raketentechnologie, sondern ein Verfahren, das jedem Internetnutzer seit über einem Jahrzehnt fertig und kostenlos zur Verfügung steht. Wer geschäftliche Mails nicht digital signiert, ist selbst ein Teil des Phishings und der Kriminalität! Das sollte immer wieder kommuniziert werden (insbesondere gegen Banken), bis diese Technikverweigerung auf Kosten der Kundensicherheit endlich aufhört.
Immer wissen, dass kein Unternehmen darauf verzichten wird, seine Kunden persönlich in Mails mit Rechnungen und anderen vertragsrelevanten Daten und Vorgängen anzusprechen! Wenn eine solche persönliche Ansprache fehlt, kann die Mail gelöscht werden, es handelt sich immer um einen kriminellen Versuch.
Immer wissen, dass der Vertragsgegenstand, auf den sich eine geschäftliche Mail bezieht, in jedem Fall präzise benannt werden wird. Die hier vorliegende Mail sagt, wenn man sie ihrer formalen Sprache entkleidet, folgendes: „Zahlen sie uns 43 Euro und ein paar Zerquetschte, ohne dass wir ihnen sagen, wofür sie zahlen sollen“. So etwas ist ein klares Anzeichen für Spam und sollte dazu führen, dass man die Mail ohne weiteres Nachdenken löscht.
Niemals auf Virenscanner verlassen, sondern immer sehr vorsichtig bei E-Mail sein. In Zweifelsfällen immer rückfragen. Niemals eine ausführbare Datei für Microsoft Windows öffnen, die als Mailanhang zugestellt wird, denn das ist immer Schadsoftware. Aber auch bei Dokumentformaten wie PDF ist Vorsicht angemessen, denn der Adobe Reader strotzt nur so vor kriminell ausbeutbaren Fehlern, und ein typisches Office-Dokument kann Programmcode enthalten.

Diese Mail ist recht überzeugend, und sie ist durch meinen Spamfilter geflutscht. Sie wird auch bei vielen anderen Menschen durch den Spamfilter gehen, und etliche davon sind Telekom-Kunden. Es ist davon auszugehen, dass die Kriminellen mit dieser Spam-Aktion tausende neuer Botrechner in Deutschland bekommen werden.

Mitschuldig daran ist die Telekom, die in ihrer E-Mail-Korrespondenz nicht auf digitale Signatur (und eine Aufklärung ihrer Kunden, wie sich der Urheber der Mail sicher feststellen lässt) setzt, sondern auf beliebig kopierbares Design einer HTML-formatierten Mail. Diese Entscheidung von Menschen, die vermutlich eher in Begriffen des Marketings als der Computersicherheit denken, macht es Verbrechern unnötig leicht und spielt hirnlos mit der Privatsphäre, dem Geld und den Computern von Kunden herum. Solchen Haltungen muss endlich die Ächtung entgegengebracht werden, die solche Haltungen verdienen. Und zwar überall, nicht nur bei der Telekom.

Die nächste überzeugende Spam mit tausenden Opfern kommt nämlich bestimmt.

Wie Sie spektakuläre Newsletter erstellen

Samstag, 16. Februar 2013

Headergrafik der HTML-Mail

Erstmal eine schöne, dicke Grafik, damit die Postfächer auch richtig zugestopft werden. Nehmen wir einfach ein nicht-optimiertes PNG mit einer stolzen Dateigröße von 203 KiB. Natürlich extern verlinkt, damit es in den meisten sicher konfigurierten Mailprogrammen gar nicht erst erscheint, und natürlich mit einem URI-Parameter, der über eine eindeutige ID nach Hause telefoniert, dass die Mail angekommen ist und gelesen wird. Warum wir darüber noch extra einen weiteren Webbug – also eine unsichtbare Grafik, die nur tracken soll – verbastelt haben? Na, damit man unsere ganz besondere Sonderkompetenz bemerkt. Eine sinnvolle Mitteilung können wir zwar nicht machen, aber hey, dafür können wir jedem Betrachter unserer Drecksmail zeigen, wie sehr wir ihn und seine Datenschutzbedürfnisse verachten.

Guten Tag,

Wir haben keine verdammte Ahnung, wie unser Leser heißt. Dies ist Massenware.

zuallererst, wollen wir uns bei Ihnen entschuldigen. Wie haben Ihre Kontaktdaten und Ihre PDF online gefunden, weil wir Ihnen etwas zu den Themen Digital Publishing und digitale Flip-Newsletter erzählen wollen.

Wir tun gern ein bisschen höflich, wenn wir unhöflich sind. Wir haben Mailadressen massenhaft mit dafür geschriebenen Programmen aus dem Internet geschlürft und haben dabei sogar noch am Honigtöpfchen von Unser täglich Spam genuckelt, und wir glauben, dass unsere asoziale Drecksspam ein bisschen weniger wie eine asoziale Drecksspam aussieht, wenn wir uns dafür entschuldigen, dass wir bei unserer Adresseakquise wie die ganz normale, kriminelle Pimmelpillen-Apotheke, wie das ganz normale, kriminelle Abzockbetrugs-Casino oder wie der ganz normale, kriminelle Vorschussbetrüger vorgehen. Weil es ja eigentlich nicht so irre wichtig ist, dass wir verrottete Astlöcher von Spammern sind, wenn wir unbedingt etwas „erzählen“ wollen, dessen informationeller Nährwert für ungefähr 99 Prozent unserer Leser auf dem Niveau eines Glases Wasser zur Fastenzeit liegt.

Wir glauben, dass Newsletter immer noch eine der effektivsten Möglichkeiten sind, Ihre Kunden und Leser mit aktuellen Informationen zu versorgen.

Wir glauben nämlich, dass Spam immer noch eine der effektivsten und vor allem billigsten Möglichkeiten ist, um genervte Menschen mit unseren Reklamelügen zu versorgen – dass Spam asozial und kriminell ist, nehmen wir dabei in Kauf. Eine eventuelle gute Reputation haben wir nicht mehr zu verlieren.

Aber wir glauben auch, dass Sie Ihren Lesern mehr bieten können, als klassische E-Bulletin- oder PDF-Newsletter!

Und wie man schon an der aufwändigen Headergrafik ohne Informationsnährwert gesehen hat, glauben wir auch, dass Design wichtiger ist als Inhalt. Und jetzt schwafeln wir im besten Werbeblah weiter.

Die Möglichkeiten und Vorteile eines flip-newsletters:

Engagement – Leser verbringen mehr als 10 Minuten mit dem Lesen eines Flip-Newsletters, also sehr viel länger als die 2 Minuten in einem PDF- oder HTML-Newsletter.

Hohe Konversionsraten – mehr als 60% der User, die einen Flip-Newletter erhalten, öffnen diesen auch und beschäftigen sich intensiv damit.

Inhalte besser vermitteln – Features wie Videos, Interaktivität, Umfragen und Quizzes vermitteln Inhalte besser und machen Produkte und Dienstleistungen einfacher verständlich.

Effektivere Werbung, mehr Gewinn – Empfänger können den Newsletter einfach per E-Mail und über soziale Netzwerke teilen und auch direkt von ihrem Newsletter aus einkaufen.

Statistiken – Sie behalten den Überblick über Besucherzahlen und darüber, was Leser in Ihrem Newsletter angeklickt haben. Ein durchschnittlicher Actionpaper Flip-Newsletter verzeichnet mehr als 10.000 Besuche.

Kompatibilität auf allen Kanälen – Ihr Flip-Newsletter ist auf allen Geräten abrufbar – Computer, Laptops, Smartphones und Tablets – alles nur mit einem Link!

Natürlich gibt es für jede unserer Behauptungen exakt eine einzige Quelle, nämlich die stinkende, asoziale Spam, in der wir diese Behauptung aufstellen. Sonst hätten wir ja in einer HTML-Mail einen Link auf weitere Informationen zum jeweiligen Thema zur Verfügung gestellt.

Wie wichtig uns Statistiken sind, sehen sie allein schon daran, dass unsere Links ebenfalls über ein Tracker-Skript laufen und mit einer langen, eindeutigen ID versehen sind. Auch wenn wir ihren Namen (noch) nicht kennen, wollen wir doch ganz genau wissen, ob sie so doof sind und auf eine Spam anspringen, statt diese einfach unbesehen in den virtuellen Papierkorb zu werfen.

[Immerhin, nicht „Click here“!]

Die Übermittlung einer derartigen ID erfolgt natürlich auch beim Abruf unserer buttonförmigen Grafik. Fürwahr, unsere großartigen Ideen zur Belästigung der Umwelt mit aufwändiger, multimedialer Scheißreklame sind so toll, die können wir nicht mit gewöhnlichen Links und schon gar nicht in einer reinen Textmail vermitteln.

So, und zum Abschied weisen wir noch einmal darauf hin…

Wir möchten uns erneut dafür entschuldigen, falls Sie diese Mail irrtümlich [sic!] bekommen haben. Wenn Sie in Zukunft keine Mails mehr von uns erhalten möchten, bitte lassen Sie es uns wissen, indem Sie auf diese Mail antworten oder auf Abmelden klicken. Ihre E Mail Adresse wird dann entfernt [sic! Und Deppenleerzeichenalarm!] und Sie werden keine Mails mehr von uns bekommen.

…dass wir von unserem Produkt selbst so sehr überzeugt sind, dass wir zur Auffassung gelangt sind, dass ohne das spottbillige Werbemittel der asozialen Spam niemals jemand etwas davon erfahren hätte oder Interesse daran bekommen hätte. Dieses Werturteil über unser eigenes Produkt ist so überzeugend, dass sich gewiss jeder Empfänger anschließen wird.

So, jetzt noch…

…ein knalliges Logo drunter, damit man auch weiß, welche fragwürdige Klitsche hier auf asoziale Spamreklame setzt. Und natürlich beansprucht diese Klitsche…

Copyright © 2013 Actionpaper. All Rights Reserved.

…auf eine mutmaßlich in siebenstelliger Ausfertigung versendete Massenware auch ein Immaterialgüterrecht. Damit man etwas zum Lachen hat.

Wienerbergstraße 11/12A | Vienna | Austria
+43 129 800 xx xx | office@action-paper.tk Unsubscribe

Eine tolle Anschrift im Business-Park Vienna haben wir auch. Da wir zusammen mit etlichen seriöser auftretenden Geschäftsleuten ein paar Räume in einem großen, hässlichen Bürogebäude im brummenden Wien gemietet haben, mag uns auch niemand verwünschen und einen Schwarm Meteoriten zu uns herabholen.

Jetzt rasch raus mit den paar hunderttausend Spams, denn ein paar Leute sind ja immer so blöd, dass sie ein „Angebot“ über asoziale, internet-missbräuchliche Spam für die beste Sache seit der Erfindung des Rades halten.

Diese Müllmail wurde automatisch erstellt.
Deshalb kommt sie ohne persönliche Ansprache und ohne freundliche Grüße.

Ihr Reklameheini, der Spam für eine tolle Erfindung hält.

Hol euch bitte ganz ganz schnell der Insolvenzverwalter. Diese Mail kam bei mehreren meiner Mailadressen an. Sie kam auch bei typischen Honeypots an. Es ist klar Spam an Adressen, die mit einem Harvester eingesammelt wurden. Es ist klar asozialer Internetmissbrauch zu Lasten Aller im Versuche, sich einen geschäftlichen Vorteil zu verschaffen. Es ist mir scheißegal, was ihr anzubieten habt. Ihr seid Spammer. Widerliche, stinkende Spammer. Mehr muss ich über euch nicht wissen. Geht sterben.

Sichtiger hinweis aus PayPal

Freitag, 25. Januar 2013

Ein extratoller Hinweis mit dem (selbstverständlich gefälschten) Absender aufmerksam1 (at) email (punkt) paypal (punkt) com.

Sehr geehrter Kunde,

Um weiterhin unsere
Dienste in Anspruch
nehmen zu kцnnen,
klicken Sie, bitte, auf
den unten stehenden
Link:

https://www.paypal.com/de/cgi-
bin/webscr?cmd=_login-
submit

© 2013 PayPal.com

Die Zeilenumbrüche sind aus dem Original.

Der Link in dieser HTML-formatierten Müllmail geht in Wirklichkeit zur dynamischen IP-Adresse eines Privatrechtners aus dem Adresspool der Deutschen Telekom AG. Der unter Windows XP laufende Rechner wurde mit an Sicherheit grenzender Wahrscheinlichkeit mit Schadsoftware übernommen, und der Besitzer des Rechners wird vermutlich in Kürze Besuch von ein paar „freundlichen“ Beamten der Kriminalpolizei bekommen, die wegen gewerbsmäßigem Betruges ermitteln. Dass die eingegebenen Daten auf der „liebevoll“ nachgemachten PayPal-Login-Seite in die Hände von Kriminellen geraten, ist hoffentlich jedem klar.

Gut ist nur, dass diese Phishing-Mail dermaßen mies ist, dass wohl niemand darauf hereinfallen wird. Solche Mails gibt es allerdings auch in „gut gemacht“. Und die Methodik, geownte Privatrechner zu benutzen, sehe ich immer häufiger in dem Zeug, das sich im glibbrigen Sieb des Spamfilters verfängt.

Account suspicious activity

Freitag, 21. Dezember 2012

Hi elias.schwerdtfeger,

Oh, wie „schön“ ihr die Zeichenkette vor dem @ in der Mailadresse in eine Anrede umformen könnt, damit ich eher glaube, dass diese Spam von Facebook kommt. Fällt euch eigentlich beim Zusammenhacken eurer Spamskripten nicht auf, dass die meisten Namen keine Punkte enthalten… 😀

Your account has been blocked due to suspicious activity.

To activate account, please follow this link:

http://www.facebook.com/confirmemail.php [gekürzt!]

Toll, da macht ihr eine HTML-formatierte Mail, und schreibt da so eine hässliche URL rein, statt einfach einen Text wie „activate account“ zu verlinken. So für Leute wie mich, die gar keinen Facebook-Account haben (und niemals einen haben werden). Aber der Link geht natürlich auf eine ganz andere Website unter der Domain site (strich) dating2012 (punkt) info, natürlich ebenfalls mit eindeutiger ID als Parameter. Was immer ihr dort mal abgelegt hattet, das gibt es leider inzwischen nicht mehr – aber vermutlich war es ein Phishing-Versuch auf Facebook-Accounts.

You may be asked to enter this confirmation code: 6779524

Wie, ihr tut so, als wüsstet ihr gar nicht, dass ich der richtige Account-Inhaber bin, aber schickt mir einen Code zu, mit dem ich mich bestätigen kann. Ich kann nur hoffen, dass Facebook etwas bessere Verfahren hat, um einen Nutzer wieder Zugriff auf sein von Phishern übernommenes Konto zu geben.

The Facebook Team

Mit Gruß
Deine kriminellen Spammer

Didn’t sign up for Facebook? Please let us know.

Wie, du bist gar nicht bei Facebook. Dann schöpfe bitte gar keinen Verdacht, dass „Facebook“ dir eine Mail wegen deines Facebook-Account schickt, sondern klick auf einen Link in dieser Spam. Großes Spamkino!

Download-Software ohne Kosten

Sonntag, 2. Dezember 2012

roulettebotplus.com

Anstelle einer Anrede lieber eine Domain. Aber nicht wundern, dass der Link auf eine ganz andere Adresse geht und außerdem (genau wie die Mengen eingebetteter Bilder in der Mail) eine eindeutige ID beinhaltet, über die sie uns mitteilen, dass unsere Spam bei ihnen ankommt und dass sie sogar so doof sind, in eine Spam zu klicken.

Unsere Benutzerhaben gebrauchte die kostenlos Software heruntergeladen und gewann über 3 Millionen

Damit sie einen Grund haben, in der Spam herumzuklicken, schreiben wir auch etwas Text in die Spam. Wenn sie auch nach dreimaligem Lesen dieses fetten, großen Linktextes nicht wissen, um was es sich überhaupt handeln soll, glauben sie doch ganz bestimmt, dass das alles auf unserer kriminelle Dreckssite in verständlicherer Sprache erklärt wird.

Wenn sie das nicht glauben und trotz unserer tollen Sprachkompetenz glauben, dass wir ihnen in dieser kriminellen Drecksspam noch etwas mitzuteilen haben, lesen sie vielleicht weiter. Aber halten sie sich gut fest!

Was ist RouletteBotPlus?
RouletteBotPlus ist die erste vollständig automatisierte Software der Welt, die das Roulettespiel analysiert und automatisch für Sie spielt und gewinnt! [sic!]

Was wir ihnen anbieten, ist, dass sie ihr Geld in irgendwelchen Internetcasinos bei illegalen Glücksspielen verzocken können, ohne dass sie noch einen Spielablauf sehen. Sie können uns das Geld auch gleich direkt schenken. Das ist doch toll! Dazu kann doch niemand „Nein“ sagen! Also los, machen sie das!

Warum funktioniert es?
Die Casinos würden RBP Clients liebend gern sperren, dürfen Sie aber nicht. weil alle marken sind lizensiert und reguliert sind [sic!], dürfen keine Spieler gesperrt werden, die Profite erzielen.

Und wenn sie wissen wollen, wie das funktioniert, erzählen wir ihnen lieber irgendeinen Bullshit, dass völlig unreglementierte und unkontrollierte illegale Zockläden im Internet sie nicht sperren dürfen.

Gewinnen Sie immer:
Sehr schnell, unsere Kunden einen Profit von mehr als 3 Millionen US Dollar erzielt! Die Gewinne werden immer { besser grösser [sic!], lassen Sie Sich dieseChance nicht entgehen!!

Großes Spammerehrenwort, sie werden garantiert nur gewinnen. Und wir sind Weihnachtsmänner, die so ein tolles Verfahren nicht einfach selbst anwenden und uns selbst die Taschen mit den fetten Gewinnen vollstopfen, obwohl uns ja niemand sperren darf.

So, jetzt klicken sie schon auf irgendeinen unserer Links!

Sagt mal, Spammer, ich habe da noch eine Frage: Wie fühlt man sich eigentlich nach so einer Gehirnamputation?

nicht suchen – FINDEN – heute noch voegeln

Sonntag, 18. November 2012

Einen dieser ganz gigantisch großen Sexdating-Anbieter mit Millionen von zahlenden Kunden, der es aber immer noch nötig hat, mit asozialer und krimineller Drecksspam um zahlende Kunden zu buhlen… ja, so einen hatte ich schon lange nicht mehr.

Alle Links gehen über ein Trackingskript auf einen anderen Server. Ich habe von daher nicht die geringste Ahnung, ob sie wirklich wie angegeben zu guter Letzt auf affaire (punkt) com führen, und eine Spam ist das letzte, was in mir diesbezügliche Neugier erweckt. Diese Links können überall hingeführt werden, und nebenbei teilt man damit dem Spammer auch noch mit, dass die Spam ankommt, vom Empfänger gelesen wird und sogar zu einem Klick führt. Auch die eingebetteten Grafiken werden über diesen obskuren Server www (punkt) marketdoors (punkt) info nachgeladen, und einige Grafiken werden ebenfalls mit einer ID als URI-Parameter angefordert. So wird bei Menschen, die nicht wie ich standardmäßig das Laden von Grafiken in E-Mail ausschaulten, ebenfalls die Information an die Spammer gesendet, dass die Spam angekommen ist und immerhin betrachtet wurde.

Der Betreiber von marketdoors (punkt) info hat es vorgezogen, seine Identität über WhoisGuard zu verschleiern. Die Domain wurde immerhin schon am 12. Juni dieses Jahres eingerichtet und am 7. November (vor anderthalb Wochen) zum letzten Mal konfiguriert, mutmaßlich, um diese Spamaktion durchzuziehen. Die Mail wurde von einer fest zugewiesenen IP-Adresse aus Panama versendet, ich mache mir nur wenig Hoffnung, dass mein Abuse-Report überhaupt gelesen wird. Immerhin ist die erwähnte Domain affaire (punkt) com schon etwas älter, sie wurde am 12. August 1998 registriert. Allerdings erfuhr sie ihre letzte Änderung vor vier Tagen. Ein Vergleich des gegenwärtigen Standes mit etwas älteren Inhalten zeigt allerdings keine auffallenden konzeptionellen Änderungen. Da ich angesichts der maskierten Links in der Spam nicht weiß, ob hier eine bereits eingeführte Firmierung von Internet-Verbrechern missbraucht wird (und es auch gerade nicht untersuchen mag), fälle ich kein Urteil darüber, ob die niederländische Unternehmung, die diese Website betreibt, auch für diese Spams verantwortlich ist. Es wäre nicht das erste Mal, dass Spammer eine Firmierung missbrauchen und auf diese Weise beschädigen. Die als Kontaktmöglichkeit auf der Website unter affaire (punkt) com angegebene Anschrift ist zumindest insofern „verdächtig“, als dass es nicht einmal ein Firmenschild gibt. Aber eine hübsche Ecke von Amsterdam, ich muss schon sagen…

Bei aller Ungewissheit über diese Details ist eines jedenfalls sehr sicher: Spam ist immer ein schlechtes Zeichen. Ich glaube, dass der Stil dieser Spam, die an völlig willkürliche Empfänger versandt wird – diese übrigens an die Mailadresse einer Frau – alles über den Absender sagt. Wenn ich nur daran denke, wie viele kleinere Kinder nach dem Lesen dieser Mail eine Frage wie „Mutti, was ist eigentlich ficken“ stellen!