Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „HTML“

Rejected ACH transaction, please review the transaction report

Freitag, 20. August 2010

Dear bank account holder,

The ACH transaction, recently initiated from your bank account (by you or any other person), was rejected by the Electronic Payments Association. Please Find Attached Transaction Report

Lorena Shafer Electronic Payments Association Manager

Lieber Kontoinhaber, der du zwar Inhaber eines Kontos bei uns sein sollst, den wir aber nicht beim Namen ansprechen können,

sei doch bitte mal so nett und öffne den Anhang dieser Mail. Da steht nämlich das drin, was dich ein bisschen alarmieren soll, aber wir wollen dir im Text unserer Mail nicht die geringste Andeutung davon machen, warum deine Überweisung geplatzt ist. Das klingt hanebüchen? Ja, das ist es auch. Aber macht nichts, es machen ja immer noch genug Leute den Anhang auf, der übrigens eine HTML-Datei ist, die in ihrem Quelltext völlig klar macht, dass da jemand nicht so ganz mit offenen Karten spielen mag. Also komm, öffne den Anhang schon in deinem Browser, der wirds schon verstehen!

Mit mechanischem Gruß
Dein Dummspammer.

Huch! Das sieht ja mal wieder sehr „maschinenlesbar“ aus, was da einer in JavaScript mit einem unescape() umgeben hat. :mrgreen:

Na ja, ich kriege so etwas öfter. Und weil dieser armselige Trick der Spammer bei mir niemals funktioniert, ganz einfach, weil ich JavaScript grundsätzlich abschalte und nur für einige Websites, denen ich vertraue, im Einzelfall aktiviererichtige Browser haben solche Möglichkeiten zumindest über ein Plugin, und allein dieses Quäntchen Vorsicht in Hinblick auf Javascript bewahrt einem nicht nur vor der Mehrzahl der ganzen kriminellen Versuche da draußen, sondern auch vor den neuesten kranken Ideen der Werber, die Aufmerksamkeit auf die meist unerwünschte Reklame zu zwingen. Deshalb habe ich auch ein kleines Python-Skript in meiner Werkzeugkiste für den täglichen Wahnsinn, das vielleicht keinen Preis für besondere Ästhetik im Quelltext gewinnt, aber mir derartiges Gestrokel (es ist relativ häufig) lesbar macht. Das Skript kann man einfach mit der „maskierten“ Zeichenkette, mit einem Dateinamen oder sogar mit einer URL als Parameter aufrufen (um etwa mal zu sehen, wohin die genau so „verschlüsselten“ eingebetteten Frames der Spammer für das Magic Box Casino gehen), und schon werden die ganzen Texte auch „menschenlesbar“.

In diesem Fall ists ein Vertrauter der gegenwärtigen Spamwelle. Das Skript offenbart mir, dass es sich um eine billige Weiterleitung auf www (punkt) mindconnect (punkt) nl (slash) x (punkt) html handelt, und allein der Dateiname x.html ist sehr charakteristisch für diesen angeblichen (und im Browser ablaufenden) Virenscan, der sogar auf meiner Linux-Kiste so tut, als hätte ich mindestens sechs Handvoll aktueller Windows-Viren und Trojaner. Was man bei diesen Typen dann herunterladen soll, das kann alles sein, aber es mit Sicherheit kein Programm, das die Sicherheit des Rechners erhöht. Wer sich diese „Schutzsoftware“ installiert, der hat ein Problem, vielleicht sogar ein Problem, das sich auch durch Anwendung eines richtigen Virenscanners nicht mehr leicht in den Griff bekommen lässt.

Windows-Anwender sollten auf dem Hintergrund solcher primitiven Attacken der kriminellen Spammer vielleicht mal darüber nachdenken, ob die 1998 von Microsoft getroffene Entscheidung, den Internet-Explorer ins Betriebssystem zu „integrieren“ und den Windows-Desktop wie eine Website aussehen zu lassen, wohl so eine gute Idee war. Noch besser wäre es freilich, wenn man darüber auch bei Microsoft ein bisschen nachdenken würde und endlich damit begönne, die idiotischsten Ideen aus dem Wirtschaftskrieg gegen Netscape (ja, so lange ist das schon her) zu korrigieren. Sie sind nämlich inzwischen nicht mehr angemessen und aus Nutzersicht sogar ein bisschen gefährlich.

Dank für den Hinweis an SvOlli

Good music

Donnerstag, 19. August 2010

Vergleichbares kommt im Moment mit sehr vielen Betreffzeilen und unterschiedlichen Macharten, konstant ist immer der Anhang der Mail.

It has a beat, you can dance to it – I’d give it an eight.

Second chord sounds in world’s longest lasting concert – Yahoo! News

Häh?

****************************************************
This e-mail and any of its attachments may contain Exelon Corporation proprietary information, which is privileged, confidential, or subject to copyright belonging to the Exelon Corporation family of Companies. This e-mail is intended solely for the use of the individual or entity to which it is addressed. If you are not the intended recipient of this e-mail, you are hereby notified that any dissemination, distribution, copying, or action taken in relation to the contents of and attachments to this e-mail is strictly prohibited and may be unlawful. If you have received this e-mail in error, please notify the sender immediately and permanently delete the original and any copy of this e-mail and any printout. Thank You.
****************************************************

Wenn ich solche Absätze in einer Mail lese, bekomme ich es ja regelrecht mit der Angst zu tun. Wenn ich diese Mail also irrtümlich bekommen habe, denn soll ich sogar noch eventuelle Ausdrucke in den Schredder schieben? Weil ich immer wieder irrtümlich erhaltene Mails, deren Inhalt mir gar nichts sagt, ausdrucke? Weil ich glaube, dass eine nichts sagende Mail für mich viel verständlicher wird, wenn ich sie auf Papier vor mir sehe? Hey, wie toll so ein Text nach dem eigentlichen „Inhalt“ doch zum „Inhalt“ passt: „Es hat einen Rhythmus, man kann dazu tanzen, also ich finds ja ganz gut“, direkt neben dem von Yahoo gemeldeten Erklingen des zweiten Akkordes im längstdauernden Konzert der Welt. So etwas soll also nach Meinung der Spammer urheberrechtlich geschützt sein, vertraulich, exklusiv, einzig für die Augen des Empfängers bestimmt. Und wer es irrtümlich gelesen hat, soll sich die beteiligten Hirnareale mit einem Bolzenschussapparat rauskloppen, weil jede Kopie von irgendwas an dieser Mail total verboten ist und unbarmherzig strafrechtlich verfolgt wird – und im Hirn ist ja auch eine Kopie entstanden.

Na, wenn ihr meint, Spammer… :mrgreen:

Aber was wollt ihr mir sagen, Spammer? Dieser Text ist ja wirklich nicht besonders interessant, und mit Spam spielt man doch nicht, damit befördert man Verbrechen.

Oh, da ist ja noch ein Anhang. Eine HTML-Datei. Mal reinschauen:

<meta http-equiv="refresh" content="0;url=http://acquaintive.in/x.html/"> <html><body></body></html>

Aha, eine einfache Weiterleitung. Auf eine dieser tollen Seiten (leicht zu erkennen am zurzeit immer verwendeten Dateinamen x.html), die dann so tut, als mache sie da einen Virencheck und die dann sogar auf meiner Linuxbox aussieht wie Windows und ganz viele erschröckliche Meldungen ausgibt, dass sich Windows-Trojaner und Viren bei mir tummeln. Und die dann natürlich eine Abhilfe anbietet, nachdem sie mich so erschrocken hat, ein tolles Programm zum Runterladen. Weil man niemanden unter Vernunft dazu bringen kann, sich Software von Spammern zu installieren, muss man es eben unter Stress und Angst probieren. Das tolle Programm ist alles mögliche, aber es ist mit Sicherheit kein Antivirus-Programm.

Und wer sich das installiert hat, der hat auch schon ein großes Problem. Und zwar im schlimmsten Fall eines, das er nicht mehr einfach los wird, auch nicht mit einem richtigen Programm gegen Viren und Trojaner.

Vergleichbare Mails mit HTML-Anhängen machen bei im Moment etwa ein Viertel des Spamaufkommens aus. Immer handelt es sich um eine Weiterleitung auf derartige Websites, wobei es zurzeit auch immer auf eine Datei x.html geht. Zum Glück lässt sich das mal recht einfach filtern. Aber aus diesem Versuch, Scareware anzudrehen, sollte eines gelernt werden: Auch eine HTML-Datei als Anhang einer Spam sollte niemals geklickt werden. Es lohnt sich nicht.

Arbeitsangebot

Sonntag, 15. August 2010

Oh, diese Spam hatte ich doch schon einmal, und zwar wortwörtlich identisch, wenn man einmal davon absieht, dass die Antwortadresse nun arbeit (at) westek (strich) group (punkt) com heißt. Und wie habe ich damals wegen des etwas zerschossenen HTML-Layouts abschließend bemerkt:

Ach ja, und diesen Versuch, mit aufwändig gestalteten HTML-Mails die Empfänger zu verblenden sollten diese Verbrecher auch noch ein bisschen üben. So muss man ja nicht einmal mehr den Text lesen, um zu bemerken, wie „seriös“ dieses Angebot ist.

Offenbar haben die hier mitgelesen und das HTML-Layout ein bisschen verbessert, und das sieht jetzt so aus:

Screenshot der Spam mit dem Jobangebot

Die scheinen ja zu glauben, dass man sich eine rosarote Brille aufsetzen muss, um diesen Text für ein richtiges Jobangebot halten zu können. :mrgreen:

N.N. send you a message on Facebook

Freitag, 13. August 2010

Diese Spams kommen zurzeit massenhaft, natürlich mit ständig wechselndem Namen für den angeblichen Absender der Nachricht. Dafür aber ohne namentliche Ansprache des Empfängers, die es bei einer richtigen Mail von Facebook wohl gäbe. Auch die gefälschte Absenderadresse der Mails ist nicht einmal so gefälscht, dass diese Mails aussehen, als kämen sie von Facebook, da hilft dann auch das „liebevoll“ nachgebaute Layout einer „echten“ Facebook-Mail nicht.

„Inhaltlich“ sehen die Spams so aus:

facebook
Christy Delaney sent you a message.

To reply to this message, follow the link below:
http://www.facebook.com/
Find people from your Gmail address book on Facebook!
This message was intended for elias (at) hxxxxxxu.de. If you do not wish to receive this type of email from Facebook in the future, please follow the link below to unsubscribe. http://www.facebook.com/ Facebook, Inc. P.O. Box 10005, Palo Alto, CA 94303

Natürlich handelt es sich um eine HTML-formatierte Mail, und die ganzen Links führen nicht etwa zu Facebook, sondern zu feetspicy (punkt) com. Was bei so einem massenhaften Spamschwindel von einer derartigen Website zu halten ist, das bedarf hoffentlich keiner weiteren Worte.

Ja, Facebook selbst wandte für seine Werbung Spamtechniken an, aber diese Mails (es sind wirklich viele) kommen mit Sicherheit nicht von Facebook. Mein Mitleid für den Spammer „Facebook“ ob des beschädigten Ansehens und eventueller Supportnachfragen wegen dieser Drecksmails hält sich allerdings in sehr engen Grenzen. Spammt euch doch gegenseitig zu, Spammer!

Die besten Dinge im Leben sind kostenlos – deswegen winken bei uns drei kostenlose Bonusangebote zum Start

Dienstag, 10. August 2010

Ach, deswegen! :mrgreen:

Unbezahlbar auch die prächtige HTML-formatierung dieser Spam, die mich auf eine Seite locken soll, die einen IFRAME enthält, der eine andere Seite enthält, die mich dann wiederum zum Download der Zugangssoftware für das Magic Box Casino mit seinen in der BR Deutschland illegalen Glücksspielen von einer anderen Site auffordert, damit schließlich eine Affilate-ID der Spammer an das Magic Box Casino übermittelt wird, von der die Spammer denn wiederum leben.

Die besten Dinge im Leben sind kostenlos – deswegen winken bei uns drei kostenlose Bonusangebote zum Start -- Bent u een fan van online slots? Dan zult u ons online casino helemaal te gek vinden. Want wij hebben bijna meer dan 300 slots staan wachten op u!

Immer wieder schön, eine Mischung aus Deutsch und Niederländisch zu lesen.

Natürlich weiß das tolle „Casino“ nichts von den vollmundigen Versprechungen der Spammer, aber wenn ein Empfänger der Spam erstmal eingezahlt hat, denn kommen die Spammer an ihre paar Groschen dafür und das durch nichts und niemanden kontrollierte „Casino“ kann so richtig hübsch die Möglichkeiten eines beliebig manipulierbaren Glücksspieles ausnutzen. Schade eigentlich, dass die verlinkte Website schon eine halbe Stunde nach Empfang der Mail nicht mehr online war, ich schaue mir doch so gern die komischen Nummern an, die auf diesen Websites versucht werden. Na gut, denn muss ich eben ein paar frühere Beschreibungen verlinken, etwa diese, diese, diese, diese, diese – es ist ja doch immer das Gleiche…

Und wer sich jetzt durch die kleine Auswahl von Archivbeiträgen mit relativ gelungenen Schwindelseiten gekämpft hat und sieht, dass es wirklich immer das gleiche ist, der darf sich auch einmal dieses etwas Detail aus dem Jahr 2007 anschauen und herzlich über das Streben nach grafischer Exzellenz durch Design-Klau bei PacificPoker in Kombination mit der gelungenen Übertragung in die deutsche Sprache lachen:

Spiel für realen. Gewinn für reales. $3,500 Gratis -- Erhalten Sie zollfreie Einfuhr in 7 Turniere mit Ihnen niederlegen zuerst.

[Der schwarze Balken ist von mir. Ich mag von PacificPoker halten, was ich will, aber die Schande für so einen Murks soll gefälligst auf die Spammer fallen, die diesen Murks angerichtet haben.]

Schade, dass auch nach so vielen Jahren dieser Maschen immer noch Leute auf unverlangte Mails für Glücksspiel-Anbieter reinzufallen scheinen, trotz der illegalen Spam und der ständig wechselnden Internetadressen dieser Spammer.

Upgrade to Visio Professional 2007 now for as low as $79,95.

Sonntag, 8. August 2010

If you are a technician or always make some diagrams. -- Graphs or other visual components to present them to other people, than you probably have Microsoft Visio. Now Microsoft has launched a new version of this program which gives users more freedom of action. Upgrade your outdated version to a Visio Professional 2007 now for as low as $79,95 and you will feel the full functionality of the newest version. Moreover, you can download upgrade in any language you want. Use only fresh software in order to fulfill all needed functions. -- The Twitter Team -- If you received this message in error and did not sign up for a Twitter account, click not my account. -- Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at Twitter Support.

An dieser Mail ist nicht nur die tolle „Unterschrift“ vom „Twitter Team“ und das HTML-Layout mit Mut zur blass himmelblauen Farbe bemerkenswert, das schon andeutet, dass einem das Blaue vom Himmel heruntergelogen wird.

Darüber hinaus ist es auch beachtlich, wo die stets nach neuen Formen des dümmstmöglichen Fails suchenden Spammer den Link untergebracht haben, mit dessen Hilfe man angeblich die neueste Version von Microsoft Visio bekommen kann. (Vermutlich bekommt man gar nichts und wird einfach nur um sein Geld betrogen, und wenn man etwas bekommt, ist es eine nicht-lizenzierte Kopie.) Denn dieser Link auf die mit Sicherheit üble Website unter digital (strich) storeoem (strich) 7 (punkt) com liegt auf dem Text „If you received this message in error and did not sign up for a Twitter account, click not my account.“ – also an einer Stelle, die nur von Menschen angeklickt werden wird, die glauben, dass sie diese Mail irrtümlich erhalten haben und deshalb wohl gar nicht besonders an diesem Angebot interessiert sind.

Aber was solls, sagt sich der Spammer, wenn es in einem Promille der Mails funktioniert, habe ich ja immer noch mein betrügerisches Geschäft gemacht…

Wonderful male performance

Samstag, 7. August 2010

Diese Mail kommt gerade mit diversen Betreffzeilen und Texten, dies nur ein Beispiel:

Delivery notification

Forwarded Message Attached

Der Anhang ist eine HTML-Datei, was bei einigen Menschen kaum Verdacht erweckt. Allerdings befindet sich in dieser Datei gar kein HTML, sondern nur ein bisschen JavaScript mit einem langen String aus hexadezimalen Zahlen mit jeweils einem Prozentzeichen vorneweg, der mit Hilfe der Funktion unescape in ein meta http-equiv="refresh" umgewandelt und in das Dokument geschrieben wird, welches dann zur sofortigen Weiterleitung auf eine Website, die den Eindruck eines Virenscanners erweckt und zum Download eines Schutzprogrammes für den befallenen Rechners auffordert führen soll.

Also bitte nicht gleich einen Schrecken kriegen, wenn beim Öffnen eines derartigen Mailanhanges erschröckliche Warnungen sichtbar werden, dass man einen völlig kompromittierten Rechner hat. Und am besten solche Spams unbesehen löschen, denn das erhöht die Chancen, keinen kompromittierten Rechner zu bekommen, sehr – die Botnetze der Internet-Kriminellen sind wirklich schon groß genug.

Diese Internet-Neppnummer ist im Moment derart massiv, dass vor allem unerfahrene Nutzer gar nicht genug davor gewarnt werden können. Links auf derartige Seiten kommen in diversen Formen. Offenbar wollen die Kriminellen sehr schnell möglichst vielen Leuten ihre Schadsoftware installieren, bevor die richtigen Virenscanner den Schadcode zuverlässig erkennen – denn was da zum Download angeboten wird, das ist alles, aber garantiert kein Virenscanner.

Thank you for your EXPRESS payment

Freitag, 6. August 2010

Wie jetzt, ich habe was bezahlt. Dabei habe ich doch gar kein Geld, mit dem ich bezahlen könnte…

***PLEASE DO NOT REPLY TO THIS MESSAGE***

Antworten sinnlos, denn der Absender ist wie immer gefälscht.

Dear exxxx (at) hxxxxxxu.de,

Und wenn man jemanden nicht mit Namen anreden kann, denn wirkt es bestimmt total überzeugend, wenn man ihn einfach mit seiner Mailadresse anspricht. Leute, mit denen man geschäftlich zu tun hat, müssen ja persönlich angesprochen werden. Wer würde denn dabei Wert auf eine persönliche, kundenbindende Note legen?

Thank you for your online payment of $500.00. Your payment will be applied on Fri, 6 Aug 2010 19:26:27 +0300

Wow, fünfhundert Dollar habe ich gelegt. Mit welchem Konto? Fehlanzeige. An wen? Fehlanzeige. Total überzeugend. Genau wie die Angabe des Zeitpunktes für diese tolle Transaktion, bei der dieser Spammer keinen Bock hatte, es gut zu machen und deshalb einfach die rohe Ausgabe der Standardfunktion asctime() eingefügt hat. So richtige Alarmstimmung will da einfach nicht aufkommen, und dabei braucht dieser Spammer doch so eine richtige Alarmstimmung, denn er will ja, dass jemand…

Remember you can manage your account online, view statements and pay your bill at www.mycardcare.com/express.

…unüberlegt in einer Spam rumklickt, um diesen angeblichen Vorgang noch irgendwie zu stoppen. So fünfhundert Dollar sind ja keine Kleinigkeit.

Die Mail sieht zwar wegen der betont bescheidenen Formatierung nicht so aus, aber es handelt sich um eine HTML-formatierte Mail. Der Link auf mycardcare (punkt) com kann deshalb auch bequem woanders hinführen, und das tut er auch. Dieser Link geht zu opus22 (punkt) org (slash) x (punkt) html.

Damit ist das Opfer aber noch lange nicht am Ziel, denn dort findet sich erstmal nur eine über ein meta http-equiv... realisierte Weiterleitung auf eine andere tolle Seite in der Domain hoopdotami (punkt) cz (punkt) cc, schön mit einer Affiliate-ID, über die der Spammer wohl seine schäbigen Spamgroschen verdient. Aber mit der Weiterleitung allein ist es noch nicht getan, denn da ist noch ein kleiner unsichtbare IFRAME drin. Was so klammheimlich im Hintergrund dem System reingewürgt werden soll, habe ich jetzt nicht näher untersucht – ein einfacher Aufruf (natürlich nicht im Browser, sondern mit curl und mit dem passenden Referer und einem User-Agent, der einen Internet Explorer simulieren soll) liefert nur eine leere Seite. Trotzdem gut möglich, dass hier bestimmte Systeme gezielt attackiert werden, die Heimlichkeit des Vorgehens lässt nichts Gutes ahnen.

Der eigentliche Zweck der Spam ist jedoch die Weiterleitung. Statt irgendwelcher Informationen über eine Zahlung, die ich veranlasst habe, gibt mir diese tolle Seite einen „liebevoll“ nachgebauten Windows-Desktop, der so tut, als ob er meine Windows-Platten durchscannt…

Screenshot der Seite

…und allerlei Probleme, Viren, Trojaner und dergleichen findet. Und das auf meiner Linux-Kiste! :mrgreen:

Dass diese tolle Datei antivirus_25.exe, die da so frei zum Download angeboten wird…

Screenshot des Download-Dialoges

…alles andere als ein Virenscanner ist, sollte wohl klar sein. Hier wird einfach unerfahrenen Benutzern Angst vor einer enormen Kompromittierung des Systemes gemacht, damit sie ein Software herunterladen und installieren, die ausschließlich über kriminelle Spam verbreitet wird. Die ganzen alarmierenden Meldungen…

Screenshot der alarmierenden Meldungen

…sind reine JavaScript-Programmierungen, die nur im Browser laufen. (Um meinen „Spaß“ daran zu haben, habe ich extra kurz JavaScript aktiviert, es ist bei mir grundsätzlich abgeschaltet.) Hier kommt es den Kriminellen, die so etwas machen, sehr entgegen, dass sich ein großer Teil des Dateimanagements und der Systemverwaltung in Microsoft Windows aus Anwendersicht wie eine Website „anfühlt“, so dass mit derart einfachen Mitteln eine unvernünftig machende Stimmung erzeugt werden kann. Das System wurde nicht auf Viren, Trojaner und Co gescannt, und diese ganzen scheinbaren Meldungen sind reine Irreführung. So etwas auf einer Linux-Box zu sehen, ist allerdings nicht erschreckend, sondern erheiternd. Ein wegen einer „Überweisung“ von fünfhundert Dollar eh schon gestresster Windows-Anwender, der mit JavaScript-Programmierungen konfrontiert ist, die es unmöglich machen, das Browserfenster zu schließen und ständig schreckliche Alarmmeldungen vor die Augen stellen, wird allerdings weniger heitere Stimmung entwickeln – und sich wohl gar nicht so selten dazu entschließen, die „Antivirus-Software“ herunterzuladen und zu installieren…

Wer sich wegen einer derart irreführenden Seite allerdings ein bisschen Software runtergeladen und auf seinem Windows installiert hat, der hat jetzt ein Problem, das eventuell sogar eine komplette Neuinstallation seines Rechners (mit Plattmachen der Festplatte) erfordert. Ich kann es nicht oft genug sagen: In eine Spam klickt man nicht. Niemals. Das gilt besonders für jene unerfahrenen Nutzer, die „Zielgruppe“ derartiger Bauernfängereien sind.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.