Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „JavaScript“

Federal Express #2321

Freitag, 16. November 2018

Au schön! Mit Nummer! Muss irre wichtig sein.

Von: FedEx International <dkansier@rle.de>

Und immer wieder sehe ich Spammer, die sich bei der Verteilung des Gehirnes nicht vorgedrängelt haben und ganz toll den Absender fälschen, aber leider nicht so, dass es überzeugend nach FedEx wirkt. Denn das richtige FedEx würde natürlich eine Absenderadresse in seiner eigenen Domain fedex (punkt) com verwenden, in der auch die Website von FedEx betrieben wird.

Aber gut, so kann wenigstens jeder Mensch auf dem ersten Blick sehen, dass diese Spam nicht von FedEx kommt.

FedEx International

Das ist aber nicht mein Name.

An email containing confidential personal information was sent to you.

Stimmt, das ist eine E-Mail, was ich vor mir habe. Eine E-Mail, in der irgendetwas von vertraulich und persönlich drinsteht, obwohl der Absender mit E-Mail-Verschlüsselung schon überfordert ist und nicht einmal meinen Namen zu kennen scheint. Aber immerhin: Er hat sich eine Nummer für den Betreff ausgedacht. Aber die E-Mail, die ich gerade vor mir habe, ist offenbar nur der Hinweis auf eine vertrauliche und persönliche E-Mail, die ich sehen könnte…

Click here to open this email in your browser.

…wenn ich in einer unverschlüsselten, offen wie eine Postkarte durch das Internet gesendeten und anonym formulierten Spam auf „Click here“ klickte.

Da müsste ich aber ganz schön doof sein!

Wer so doof ist, auf „Click here“ zu klicken, statt E-Mails mit diesem dummen Sprachstummel einfach automatisch auszusortieren und löschen zu lassen (es gibt dabei keine falschen Erkennungen, denn fühlende Menschen schreiben so einen dummen Text wirklich niemals), hat es mit einer vorsätzlich verwirrend gecodeten Javascript-Weiterleitung zu tun, die automatische Analysen erschweren soll.

$ lynx -mime_header http://drupaltest.eu/pussytn.html
HTTP/1.1 200 OK
Date: Fri, 16 Nov 2018 12:11:52 GMT
Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips mod_fcgid/2.3.9 PHP/5.5.35 mod_python/3.5.0- Python/2.7.5
Last-Modified: Wed, 14 Nov 2018 12:08:18 GMT
ETag: "640-57a9eca2d2592"
Accept-Ranges: bytes
Content-Length: 1600
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>courtesy32924 Kisses - seen - reaping trace. Scannd milder.</title>
</head>
<body>
<script type="text/javascript">

function beauty()
{
	vice = troubles / shaped;
	figures = guests - seehis;
}

function chair(dear)
{
	shy = imprisond - turbulence;
	thank = end + itself;
}

function reaping(sticking)
{
	latest = humbly + bleak;
	lady = embarrassd * woes;
}

function dearb(adearb,bdearb)
{
	cdearb = "";

	for (ddearb = 0; ddearb < bdearb.length; ddearb++)
	{
		edearb = bdearb[ddearb];
		fdearb = edearb - adearb;
		gdearb = gravene(fdearb);
		cdearb = cdearb + gdearb;
	}

	return cdearb;
}

function rouzdc()
{
	arouzdc = wearsa();
	brouzdc = [120,106,111,101,112,120,47,117,112,113,47,109,112,100,98,117,106,112,111,47,105,115,102,103,62,40,105,117,117,113,59,48,48,103,98,116,117,101,106,102,117,46,109,106,111,102,47,120,112,115,109,101,48,64,98,62,53,49,50,52,52,55,39,100,62,100,113,100,101,106,102,117,39,116,62,49,55,50,50,50,57,40,60];

	return dearb(arouzdc,brouzdc);
}

chaird();

function fork()
{
	hideandseek = seemingly * infant;
}

function mold(read)
{
	steps = cat - buttercups;
}

function gravene(agravene)
{
	return String.fromCharCode(agravene);
}

function wearsa(whatsoeeri)
{
	return 1;
}

function infant()
{
	unexciting = flaw - ophilia;
	ice = chorus / unexciting;
	rouzd = feeding + extacy;
	thank = train + vale;
}

function chaird()
{
	setTimeout(rouzdc(),1032);
}

</script>
</body>
</html>
$ _

Wer nichts zu verbergen hat, hat einen derartigen Mummenschanz nicht nötig. Von daher sollten alle Alarmglocken auf einmal angehen. Wohl dem, der nicht jeder dahergelaufenen Website die Ausführung von Javascript im Browser gestattet!

Die „Dechiffrierung“ ist (für einen Menschen, anders als etwa für ein so genanntes Antivirus-Programm) übrigens relativ einfach. Es reicht, die entschlüsselte Anweisung im Browser auszugeben, statt sie mit setTimeout auszuführen. Nach nur wenigen Tastendrücken…

$ curl http://drupaltest.eu/pussytn.html | sed -e 's/setTimeout/document.write/' -e 's/,1032//' >blah.html
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1600  100  1600    0     0  35555      0 --:--:-- --:--:-- --:--:-- 35555
$ palemoon blah.html
$ _

(Ja, ich benutze Pale Moon als Webbrowser und kann ihn nur empfehlen. Firefox ist leider von der Mozilla Foundation zu einer Distributionsplattform für Schadsoftware umgewidmet worden und deshalb nicht mehr benutzbar.)

…kann ich gefahrlos Javascript im Browser freischalten und sehe, was da ausgeführt werden sollte:

window.top.location.href='http://fastdiet-line.world/?a=401336&c=cpcdiet&s=061118'; 

Bedauerlicherweise ist die Website in der Domain fastdiet (strich) line (punkt) world aber schon verschwunden. Vermutlich hat ein Webhoster kein Interesse daran gehabt, eine Schadsoftwareschleuder in seinem Rechenzentrum zu hosten – oder die Polizei hat die kriminelle, spambeworbene Website „abgeschaltet“. Diese Abschaltung war gründlich, denn…

$ host fastdiet-line.world
Host fastdiet-line.world not found: 3(NXDOMAIN)
$ _

…es gibt nicht einmal mehr eine Namensauflösung. So muss das sein! ;)

Thanks for choosing FedEx®.

Nein, ich habe nichts erkoren.

More information

Wie jetzt, noch mehr Informationen?! :mrgreen:

This message was sent to gammelfleisch@tamagothi.de. Please click unsubscribe if you don’t want to receive these messages from FedEx International in the future.

Diese Mail ist genau bei der Mailadresse angekommen, die im Mailheader als Empfänger angegeben wurde, und der Absender ist von diesem Wunder der Technik so begeistert, dass er diesen völlig erwartungsgemäßen Fakt noch einmal eigens erwähnen muss. Der macht das mit diesem Internet vermutlich noch nicht so lange. :mrgreen:

©2018 FedEx. The content of this message is protected by copyright and trademark laws under U.S. and international law.

Für diese massenhaft versendete Spam wurde ein Copyright deklariert. Verklag mich doch für mein Vollzitat, Spammer! Ich möchte dich so gern mal kennenlernen und ein bisschen mit dir rumspielen… :evil:

Review our privacy policy. All rights reserved.

Überflüssig zu erwähnen, dass alle Links in der Spam auf die oben recht ausführlich gewürdigte URL gehen. Wo der Link hingeht, sieht man übrigens in der Statuszeile seiner Mailsoftware, wenn der Mauszeiger über dem Link steht. Wenn das in solchen Fällen immer die gleiche Adresse bei angeblich verschiedenen Links ist, dann ist völlig klar, womit man es zu tun hat: Mit dem Überrumpelungsversuch eines Kriminellen. Aber das ist eigentlich schon klar, wenn man sieht, dass der Link nicht zu FedEx geht.

Was die meisten Menschen nicht sehen, ist dieser weiß auf weiß gehaltene „Text“ am Ende der Spam:

hans observer restroom plastic regresses gallant doped helping conciliate apocrypha goldman subscriber gilligan piccadilly demultiplexer reassigns antihistorical rendered tidied bludgeoned boa dirichlet arbitration immerse responded thoughtlessness arose ionicizes chords gallant unsatisfiable disingenuous what countermeasures abo neural reckoning firepower hanoverianizes outstandingly asters

Aber auch mit diesem hirnlosen Prosaversuch aus der Frühzeit der unerwünschten, kriminellen Menschenbelästigung im Internet hat es der Spammer nicht geschafft, am Spamfilter vorbeizukommen.

Elias Schwerdtfeger, FedEx International Ticket No.8777

Samstag, 7. Juli 2018

Für mich? Sogar mit Namen?

FedEx No.8777

Nein, sogar noch besser. Mit einer Nummer! Die steht zwar schon im Betreff, aber was solls, so sieht der wenige und dumme Text zumindest nach etwas mehr und dummem Text aus.

We have sent you a message.

Das ist schön für euch. Und, um was ging es in dieser Nachricht? Und auf welchem Kanal habt ihr mir die gesendet? Und wann?

An email containing confidential personal information was sent to you.

Aha, es war eine E-Mail. Da schreibt mir einer eine E-Mail, in der drinsteht, dass er mir eine E-Mail geschrieben hat. Das ist aber ganz sicher ein diplomierter Spezialexperte für Kommunikation! :mrgreen:

Have trouble reading this email?
Click here to open this email in your browser.
View messages
Please click unsubscribe if you don’t want to receive these messages from Federal Express in the future.

Alle drei Links führen auf die gleiche URL – und Links, die „Click here“ heißen, kann ich ja sowieso feiern! Dieser Sprachstummel kommt nur in dummer Reklame und krimineller Spam vor, niemals in der Mitteilung eines fühlenden Menschen. Daraus eine Regel zu machen, führt niemals zu einer Fehlerkennung.

Aber selbst ohne dieses todsichere Müllerkennungszeichen ist eine E-Mail ganz sicher E-Müll, wenn drinsteht, dass mir eine sehr wichtige Mitteilung gemacht wird, ich aber in die Mail klicken muss, um sie sehen zu können, weil in der E-Mail kein Platz mehr war. Oder genauer: Sie ist ganz sicher krimineller E-Müll, den man nur mit der Kneifzange anfassen darf.

Dass dieser Link in ein mutmaßlich von Kriminellen gecracktes WordPress-Blog geht, ist natürlich auch alles andere als eine Entwarnung.

Mal schauen, wo der Link hinführt:

$ lynx -mime_header http://smbardoli.org/wp-includes/attitudinaljr.html
HTTP/1.1 200 OK
Date: Sat, 07 Jul 2018 09:38:23 GMT
Content-Type: text/html
Connection: close
Set-Cookie: __cfduid=da1df8ac066fe70cbf597f05d2f03d5891530956302; expires=Sun, 07-Jul-19 09:38:22 GMT; path=/; domain=.smbardoli.org; HttpOnly
Last-Modified: Mon, 02 Jul 2018 17:15:21 GMT
Accept-Ranges: bytes
X-Powered-By: ASP.NET
X-Powered-By-Plesk: PleskWin
Server: cloudflare
CF-RAY: 4369567bf1a92c2a-AMS

<html>
<head>
<title>separating32982 Imprisond - christ bare withdrawn. Cull turbulence next lucie fowls. cat.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">

function fellowtravellerb(afellowtravellerb,bfellowtravellerb)
{
	cfellowtravellerb = "";

	for (dfellowtravellerb = 0; dfellowtravellerb < bfellowtravellerb.length; dfellowtravellerb++)
	{
		efellowtravellerb = bfellowtravellerb[dfellowtravellerb];
		ffellowtravellerb = efellowtravellerb - afellowtravellerb;
		gfellowtravellerb = String.fromCharCode(ffellowtravellerb);

		cfellowtravellerb = cfellowtravellerb + gfellowtravellerb;
	}

	return cfellowtravellerb;
}

function woes(beginning,woess)
{
	leaps = daisy - bushes;
	trees = concern + wilt;
}

function tiviota(puzzledi)
{
	return 5;
}

function mered()
{
	setTimeout(graspedc(),1036);
}

mered();

function lucky(infants,grottos)
{
	eer = aver - courtesy;
	fill = faculty - godheads;
	fathers = palms - runaway;
	childish = wilt / lithest;
}

function graspedc()
{
	agraspedc = tiviota();
	bgraspedc = [124,110,115,105,116,124,51,121,116,117,51,113,116,104,102,121,110,116,115,51,109,119,106,107,66,44,109,121,121,117,63,52,52,126,116,122,119,120,109,106,102,113,121,109,50,103,116,105,126,51,124,116,119,113,105,52,68,102,66,57,53,54,56,56,59,43,104,66,104,117,104,105,110,106,121,43,120,66,55,61,53,59,55,53,54,61,44,64];

	return fellowtravellerb(agraspedc,bgraspedc);
}

function baby(civil,amazings)
{
	diffuse = sacrifice * gaze;
	convinced = stranger * soothed;
}

</script>
</body>
</html>
$ _

Aha, eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, um die Analyse zu erschweren. Nun gut, dann ersetzen ich doch einfach setTimeout durch document.write und überlasse meinem Webbrowser¹ die „Entzifferung“. ;)

$ curl http://smbardoli.org/wp-includes/attitudinaljr.html | sed -e "s/setTimeout/document.write/" -e "s/,1036//" >blah.html
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1660    0  1660    0     0   1788      0 --:--:-- --:--:-- --:--:--  1788
$ palemoon blah.html &
$ _

Ist doch schön, wenn einem der Computer Arbeit abnimmt, statt einem immer nur Arbeit zu machen… ;)

Jetzt nur noch kurz Javascript erlauben – das Privileg, Code im Webbrowser auszuführen, schalte ich immer mit einem geeigneten Addon aus – und schauen, was da so „aufwändig verschlüsselt“ ausgeführt werden sollte:

window.top.location.href='http://yourshealth-body.world/?a=401336&c=cpcdiet&s=28062018';

Hmm, ich habe es noch nicht gesehen, aber denke angesichts der URL jetzt schon, dass da irgendwelche Giftpillen verkauft werden sollen. Es gibt jetzt aber noch etliche weitere Weiterleitungen, die ich nicht in ihren ermüdenden Details auflisten möchte – unter anderem wird sichergestellt, dass man einen Desktop-Browser benutzt (dass man Javascript gestattet, wird ja schon im ersten Schritt erzwungen). Es gibt Weiterleitungen in Abhängigkeit vom User-Agent im HTTP-Request, so dass auch mit Leichtigkeit spezielle Seiten für die Kombination von Betriebssystemversion und verwendetem Webbrowser ausgeliefert werden können. Das stinkt schon sehr aufdringlich danach, dass einem hier Schadsoftware untergejubelt werden soll, wenn die Möglichkeit dazu besteht, denn umsonst macht sich jemand solche Mühen nicht. Wegen solcher Gefahren klickt man ja auch nicht in eine Spam.

Wenn ich meine Requests als solche von einem unter Linux laufenden Firefox ausgebe, lande ich jedenfalls nach einem etwas längerem Umweg in der Domain successexpert.su, in der mir die folgende impressumslose Pimmelpillen-Apotheke präsentiert wird, die heute leider nichts gegen Erkältungsbeschwerden im Angebot hat:

Screenshot der betrügerischen und möglicherweise gefährlichen Website

Eine tolle Spampotheke, die nicht nur die chemischen Keulen zur Versteifung des Pimmels anbietet, sondern auch etwas für Kunden hat, die Angst vor der ganzen Chemie haben:

Pflanzliche Pillen. 100% Pflanzlich -- ALLE ANZEIGEN >

Ich wills mal so sagen: Schwarzes Bilsenkraut und Gefleckter Schierling sind auch zu hundert Prozent pflanzlich. :mrgreen:

Aber wieso ich nach einer Mitteilung von FedEx auf die Idee kommen sollte, mir von einem Giftapotheker irgendwelche Pimmelpillen-Imitate zu kaufen, gehört zu den Geheimnissen aus der bizarren Kopfwelt eines Spammers.

Übrigens: In der Mail war ja nicht der Platz, die angebliche „Mitteilung von FedEx“ unterzubringen. Das lag vermutlich daran, dass der Platz von den folgenden Worten eingenommen wurde, die in der HTML-Darstellung mit einem CSS-Trick unsichtbar gemacht wurden:

prevent activists hobbles degradation beltsville assassinates replay macrophage rounded ablate grandmothers articulatory die befouling mushrooming mine embarrassed mains meditating weighted redirect stupidly destine northfield normalize instrumentally commonly forewarned sensation avoidably spouses adaptor presumptions pus california platforms lizzy suffered christens cackling bloods monopoly kinship smashing resoluteness hilltops

Wer solche abgestandenen Tricks aus dem Spam-Neolithikum gegen die Spamfilter versucht, aber ein „Click here“ im „Nutztext“ seiner Spam nicht vermeiden kann, sollte vielleicht mal in der Metzgerei nachschauen lassen, ob er noch ein Gehirn im Kopfe hat.

¹Ich benutze Pale Moon, weil der Firefox von der Mozilla Foundation in eine Distributionsplattform für Schadsoftware umgebaut wurde und damit nicht mehr benutzbar ist. Zum Glück für uns alle gibt es noch Alternativen.

Critical security alert for your account

Freitag, 25. Mai 2018

Alarm! :!:

Von: Reminder <fred.gonzalez@spectra-physics.com>

Kenne ich nicht. Und einen „Account“ habe ich da ganz sicher nicht. ;)

An: elias.schwerdtfeger@googlemail.com

Kommt mir schon bekannter vor. Denn bei Google habe ich einen Account. Die zugehörige Mailadresse nutze ich übrigens ausschließlich als Weiterleitungsadresse für völlig spamverseuchte Mailadressen, die ich beim besten Willen nicht mehr nutzen mag. Soll Google doch jeden Tag meine ganze Spam fressen! Lecker Spam! Guten Appetit! ;)

Your profile is listed as the recovery email for
elias.schwerdtfeger@googlemail.com. Don’t recognize this account? click here.

Aha, mein Profil ist also als Wiederherstellungsmail gelistet. Welches Profil meinst du? Das bei „Click here“? Und wieso geht die Mail „von Google“ dann nicht dorthin? Ob das daran liegt, dass ich die Spam dann gar nicht sehen würde?

Sign-in attempt was blocked for your linked profile
elias.schwerdtfeger@googlemail.com

Hey, dann ist ja alles in Ordnung. Ich nehme mal an, dass es da hinten bei Google mindestens genau so viele Idioten gibt, die mal eben einen Nutzernamen und ein Passwort ausprobieren, wie hier jeden verdammten Tag auf Unser täglich Spam ihr Glück versuchen. Hier ist heute übrigens ein ruhiger Tag, es waren bis jetzt (so um 10:00 Uhr) erst fünf derartige Crackversuche.

Someone just used your password to try to sign in to your account. googlemail.com blocked them, but you should check what happened.
CHECK ACTIVITY

Moment mal, Spammer!

Wenn jemand „mein Passwort“ benutzt hat, um sich in „meinem Konto“ anzumelden, woran kann Google dann bemerkt haben, dass nicht ich das bin. Tatsächlich hat Google keine Möglichkeit, das zu bemerken. (Nein, ich nutze dort keine Zwei-Faktor-Authentifizierung, und nein, ich gebe Google nicht auch noch eine Telefonnummer von mir.) Das, was der Idiot von Spammer hier vorgibt, geht also in den Bereich der außersinnlichen Wahrnehmung. Ich weiß ja, dass Google viel in „künstlicher Intelligenz“ forscht, um seine vielen Nutzer noch besser gängeln, manipulieren und mit Reklame bestupsen zu können, während die Qualität von Google-Diensten seit Jahren immer unbrauchbarer wird¹, aber dass diese Forschungen so weit gingen, wäre mir neu. :mrgreen:

You received this email to let you know about important changes to your profile and services.

Aber es hat sich doch gar nichts geändert.

© 2018 googlemail.com.,1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
et:6

Diese Spam hat niemals einen Server von Google auch nur gesehen.

fortunate sibley presbyterianism hale reproducibility cubes

Ja, ist ja schon gut, Spammer! Nimm deine Medikamente und leg dich wieder hin!

Da stellt sich eigentlich nur noch die Frage, wo wohl die Reise hingeht. Und diese Frage ist gar nicht so einfach zu beantworten, denn der Idiot von Spammer hat sich als Kryptologe versucht und eine Weiterleitung in vorsätzlich unlesbarem Javascript gecodet:

$ lynx -mime_header "http://elwoodcapital.com/viers.html"
HTTP/1.1 200 OK
Date: Fri, 25 May 2018 08:08:30 GMT
Server: Apache
Last-Modified: Thu, 24 May 2018 16:45:46 GMT
ETag: "7ba0e83-579-56cf662102000"
Accept-Ranges: bytes
Content-Length: 1401
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html

<html>
<head>
<title>clever32727 Govern: Hair liveth. Chorus, money mostly laughing rouzd thank – acted.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">

function schoold()
{
	setTimeout(pangc(),1035);
}

function holiday()
{
	grotto = blinded / seemingly;
	debut = vale * humbly;
}

schoold();

function exquisite()
{
	listend = palms – happy;
	wanderers = fatherly – beyond;
}

function sunbright(train,mechanics)
{
	beauty = history + seas;
	plotted = booze * civil;
}

function pangc()
{
	apangc = seekinga();
	bpangc = [123,109,114,104,115,123,50,120,115,116,50,112,115,103,101,120,109,115,114,50,108,118,105,106,65,43,108,120,120,116,62,51,51,112,109,107,108,120,56,102,115,104,125,49,106,101,120,102,121,118,114,50,123,115,118,112,104,51,67,101,65,56,52,53,55,55,58,42,103,65,103,116,103,104,109,105,120,42,119,65,104,54,52,113,52,57,125,53,60,43,63];

	return hutb(apangc,bpangc);
}

function delighted(feeding)
{
	fowls = lithest – yellow;
}

function seekinga(imprisondi)
{
	return 4;
}

function hutb(ahutb,bhutb)
{
	chutb = "";

	for (dhutb = 0; dhutb < bhutb.length; dhutb++)
	{
		ehutb = bhutb[dhutb];
		fhutb = ehutb – ahutb;
		ghutb = String.fromCharCode(fhutb);

		chutb = chutb + ghutb;
	}

	return chutb;
}

</script>
</body>
</html>
$ _

Nun gut, ersetze ich doch mal in der aufgerufenen Funktion schoold den Aufruf von setTimeout (welche eine als String übergebene Javascript-Anweisung nach einer Verzögerung ausführt) durch einen Aufruf von document.write (welcher den Text, hier den „entschlüsselten“ Text, ausgibt), damit der Computer diese „kryptografische“ Sonderleistung wieder lesbar macht, ohne dass ich gleich unbekanntes Javascript auf meinen armen Webbrowser loslasse. Natürlich könnte man das auch mit einem Editor machen, aber hier mache ich es der Nachvollziehbarkeit und Kompaktheit zuliebe direkt in der Shell:

$ curl "http://elwoodcapital.com/viers.html" | sed -e s/setTimeout/document.write/ -e s/\,1035// >blah.html
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1401  100  1401    0     0   4272      0 --:--:-- --:--:-- --:--:--  4284
$ _

Danach habe ich eine Datei mit dem schönen Namen blah.html, die ich im Browser öffnen kann. Nachdem ich Javascript erlaubt habe – es ist bei mir aus guten Gründen standardmäßig gesperrt, und zwar selbst noch für lokale Dateien – und noch einmal geladen habe, kann ich sehen, was da im Browser ausgeführt werden soll:

window.top.location.href='http://light4body-fatburn.world/?a=401336&c=cpcdiet&s=d20m05y18';

Das ist eine ziemlich umständliche und geschwätzige Methode, eine Website zu verlinken, und wer so etwas nötig zu haben glaubt, hat sicherlich nichts anzubieten, was auch nur im weitesten Sinne des Wortes empfehlenswert oder interessant wäre. Aber das hätte man auch schon an der irreführenden Spam „von Google“ bemerken können.

Gut, gebe ich mir diese „Freude“ mit der Fettverbrennungs-Domain auch noch einmal:

$ lynx -mime_header "http://light4body-fatburn.world/"

Looking up light4body-fatburn.world
Making HTTP connection to light4body-fatburn.world
Sending HTTP request.
HTTP request sent; waiting for response.
Alert!: Unexpected network read error; connection aborted.
Can't Access `http://light4body-fatburn.world/'
Alert!: Unable to access document.

lynx: Can't access startfile 
$ _

Och, hat der Hoster schon den Stecker gezogen, um nicht an den kriminellen Machenschaften irgendwelcher Spammer beteiligt zu sein?! Gefällt mir. Sollte viel häufiger so schnell gehen! ;)

Und nein, dort wäre kein Fett verbrannt worden. Nur Geld, das man für überteuertes und meist wirkungsloses Zeug ausgegeben hätte. Und wenn man gar irgendwelche vom Spammer in irgendwelchen Spamapotheken angebotenen Mittel in sich reinwirft, vielleicht sogar die Gesundheit. Zurzeit ist es zwar meist völlig wirkungsloses Zeug mit Forskolin, aber es gab auch schon wirklich gefährliche und mit schweren Nebenwirkungen behaftete Arzneien, die von mörderischen Spammern als „Naturheilmittel“ angepriesen wurden.

Wie man auf die sonderbar anmutende Idee kommen kann, dass eine „Security-Warnung von Google“ den Geist der Empfänger für irgendwelche Bauchwegpillen öffnen könne, gehört zu den tiefen Geheimnissen aus den Dunkelkammern des Gehirnes eines unbekannten Spammers. Und dieses Geheimnis aus den unendlichen Tiefen der kriminellen Dummheit wahrt unser Spammer wesentlich besser und wirkungsvoller als die Geheimnisse seiner lächerlichen Javascript-Kryptografie. Ich würde mich jedenfalls nicht darüber wundern, wenn die verlinkte Website ihren Besuchern auch noch eine Schadsoftware untergejubelt hätte. Deshalb klickt man ja auch nicht in eine Spam!

¹Die einst so gute Suche lebt nur noch vom Ruhm längst vergangener Tage und ist objektiv unbrauchbarer als Suchmaschinen aus der zweiten Reihe, und auch andere Google-Dienste werden nach und nach unbrauchbar gemacht, ob es sich um Google News oder YouTube handelt. Zudem glänzt der von Google „verschenkte“ Webbrowser durch absichtliche Technikverhinderung auf Desktop-Computern. Auch, wenn Google alles dafür tut, auf jedem Computer und in jeder Software präsent zu sein, oder besser gesagt: Weil Google alles dafür tut, kann ich nur empfehlen, sich nach anderen Anbietern umzuschauen, solange man diese Wahl noch hat. Eine Situation, in der man keine Wahl mehr hat, habe ich vor rd. zwanzig Jahren mit dem mit Microsofts Marktmacht und aller damit erzielbaren Gewalt durchgedrückten Internet Explorer von Microsoft erlebt, und glaubt mir: Solche Erlebnisse sollte man sich besser ersparen. Deshalb nutzt Alternativen, so lange ihr noch könnt!

Sebrina

Montag, 9. April 2018

Was bitte?

It’s so difficult to keep in secret all my minds.
Right now I made a decision to explain you everything.
You don’t know me but I live in your area and…
I am in love with you.
You should visit my profile.

http://tvautoweb.com.br/68113he/91fq28pxa.php?Z2FtbWVsZmxlaXNjaEB0YW1hZ290aGkuZGU=

Hey Sebrina,

es ist echt schwierig, etwas geheim zu halten, wenn man es in ein paar Millionen Spams reinschreibt und nach überall in der Welt versendet. Du hast die Entscheidung getroffen, Spammer zu werden. Das erklärt alles, was man über dich wissen muss. Natürlich kennst du mich nicht. Und du lebst auch nicht ein paar Häuser weiter, sonst würdest du mich vermutlich in der Sprache ansprechen, in der ich als Zwerg Äpfel geklaut habe und nicht in diesem international eingängigeren Plattdeutsch.

Du liebst mich. Mit eisiger Wärme.

Deshalb soll ich „dein Profil“ besuchen und dir nicht antworten, denn dein Absender ist gefälscht. Und der Link, den du mir gegeben hast, funkt zu dir zurück, welche von den Empfängern deiner Spam so doof sind, in deine dumme Spam reinzuklicken. Für eine halbwegs intelligente Lösung hat es bei dir nicht gereicht, und deshalb…

$ echo "Z2FtbWVsZmxlaXNjaEB0YW1hZ290aGkuZGU=" | base64 -d; echo
gammelfleisch@tamagothi.de
$ _

…hast du die jeweils zugespammte Adresse einfach Base64-codiert als URI-Parameter an den Link geklebt. Ich könnte jetzt so vielen Leuten, die ich nicht mag, zu massenhaft Mails von dir verhelfen, indem ich da ihre Mailadresse dranhänge, so dass du sie in Zukunft mit weiteren dummen Spams zuspachteln wirst, aber das lasse ich mal. Stattdessen frage ich mich, wohin die Reise wohl geht?

$ location-cascade "http://tvautoweb.com.br/68113he/91fq28pxa.php?Z2FtbWVsZmxlaXNjaEB0YW1hZ290aGkuZGU="
     1	https://maturegift.com/mqphwznsz?t=3209
     2	http://finalfeelings.com/mqphwznsz?t=3209
     3	http://a.comtesrm.com/?utm_medium=fbc33a63526786a49569f373b2ab5c2d474c7788&utm_campaign=Adverten_adult_redirect&1=32296&cid=VMULUZNMslQZUZTBbMqEdqjKxwL
$ _

Aha…

Screenshot des Browserfensters. Leerer Bildschirm mit einem grünen Kreis und dem Hinweis 'Loading'

…es führt mich in ein Javascript-Wunderland, wo ich mit meinem Webbrowser erstmal gar nichts sehe. Nein, ich gestatte nicht jeder dahergelaufenen Website die Ausführung von Code auf meinem Rechner in meinem Browser. Und zwar aus guten Gründen nicht. Nahezu alle in den letzten fünf Jahren über den Webbrowser vorgetragenen kriminellen Angriffe auf Computer standen im Zusammenhang mit Javascript und hätten sich dadurch verhindern lassen, dass die Ausführung von Javascript unterbunden wird.

Und, was gibt es dort im Wunderlande? Achtung, gut festhalten, jetzt kommt eine etwas längere Zeile:

$ lynx -mime_header "http:526786a49569f373b2ab5c2d474c7788&utm_campaign=Adverten_adult_redirect&1=32296&cid=VMULUZNMslQZUZTBbMqEdqjKxwL"
HTTP/1.1 200 OK
Server: nginx
Date: Mon, 09 Apr 2018 12:03:28 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Vary: Accept-Encoding
Cache-Control: no-store, no-cache, must-revalidate, max-age=0
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Set-Cookie: u=29501e4c3d9cedf2ff0b81ad0cb4e899; expires=Tue, 09-Apr-2019 12:03:28 GMT; Max-Age=31536000; path=/

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><title>Loading...</title><meta name="viewport" content="width=320,initial-scale=1" /><style type="text/css">body,html{background:#fff;height:100%;margin:0;text-align:center}body:before{content:"";display:inline-block;vertical-align:middle;height:100%}div{font:bold 28px/160px arial;display:inline-block;color:#000;background:#32ad38;text-align:center;border-radius:50%;-moz-border-radius:50%;-webkit-border-radius:50%;width:160px;vertical-align:middle}</style></head><body><div>Loading</div><script type="text/javascript">!function(){var t=0;setInterval(function(){document.body.firstChild.style.opacity=.5+Math.abs(50-t++%100)/100},10)}();var FontInspector=function(){function n(){var n=("0000"+s.offsetWidth.toString(16)).substr(-4),e=("0000"+s.offsetHeight.toString(16)).substr(-4);return e+n}function e(n){for(var e=0;e<f.length;e++)if(f[e]==n)return!0;return!1}function t(){s.innerHTML=p;for(var e in u)s.style.fontFamily=u[e],c.appendChild(s),f.push(n()),c.removeChild(s);l=!0}function r(r){l||t(),s.style.fontFamily=r+","+u,c.appendChild(s);var i=!e(n());return c.removeChild(s),i}function i(){var n=[];for(var e in h)"blank"!=h[e]?n.push(r(h[e])?1:0):n.push(0);var t=n.join(""),i=("0000000000000000"+parseInt(t,2).toString(16)).substr(-16);return i}function o(){s.innerHTML="😀🤣🤨🤥👶🏽👨🏽‍🎓🤛🙌🧠🍞🥧🥄🎰🌪🖱〽©〰™▪◼",s.style.fontFamily=u[0],c.appendChild(s);var e=n();return c.removeChild(s),e}function a(){for(var n in u){var e=document.createElement("span"),t=u[n];e.innerHTML=p+" : "+t,e.style.fontFamily=t+","+u,c.appendChild(e),c.appendChild(document.createElement("br"))}for(var n in h){var e=document.createElement("span"),t=h[n];e.innerHTML=p+" : "+t,e.style.fontFamily=t+","+u,c.appendChild(e),c.appendChild(document.createElement("br"))}}var u=["monospace","sans-serif","serif"],c=document.getElementsByTagName("body")[0],s=document.createElement("span");s.style.fontSize="75px",s.style.whiteSpace="nowrap";var f=[],l=!1,p="BbEeIilLMmSsWwYy",h=["blank","Dancing Script","sans-serif-light","sans-serif-condensed-light","blank","Zapfino","Cochin","sans-serif-black","blank","Cambria","serif-monospace","blank","Damascus","sans-serif-smallcaps","Noto Serif","Bookerly","blank","HelveticaNeue","blank","Avenir-Book","ArialMT","blank","Microsoft Sans Serif","blank","Comic Sans","Superclarendon-Regular","Georgia","Open Sans","FreeSans","Algerian","Bookman Old Style","Bitstream Vera Sans","FreeSerif","sans-serif-condensed","AppleSDGothicNeo-Thin","sans-serif-thin","sans-serif-medium","Droid Sans","AppleColorEmoji","Monospace","Webdings","TrebuchetMS","Tahoma","Roboto","Lucida Console","DejaVu Sans","DBLCDTempBlack","Calibri","FreeMono","Lucida","casual","blank","Impact","AlNile-Bold","AmericanTypewriter","Ubuntu","Syncopate","Liberation Serif","blank","Didot","AcademyEngravedLetPlain","Trebuchet","OpenSymbol","blank"];this.fontExists=r,this.unicodeFingerprint=o,this.fontFingerprint=i,this.testFontList=a},fi=new FontInspector;!function(n,e,t,r,i,o,a){function u(n){function e(n){return(n<16?"0":"")+n.toString(16)}for(var t="",r=137,i=0;i<n.length;++i){var o=170^n.charCodeAt(i)^255&i;r=r+o&255,t+=e(o)}return t+=e(r)}function c(){function i(n){return"function"==typeof n||!1}var c,s=new Date,f=[function(){return t.platform},function(){return"ontouchstart"in e||"onmsgesturechange"in e?1:a},function(){return r.availWidth},function(){return r.availHeight},function(){return t.plugins&&t.plugins.length||a},function(){return(e.ontouchstart+"")[0]},function(){return(e.onmsgesturechange+"")[0]},function(){return e.MSGesture?1:a},function(){return e.innerWidth},function(){return e.innerHeight},function(){return s.getTimezoneOffset()},function(){return(new Date).getTime()-s.getTime()},function(){return t.buildID},function(){return t.cookieEnabled?1:a},function(){return t.performance&&t.performance.navigation&&t.performance.navigation.redirectCount||a},function(){return t.performance&&t.performance.navigation&&t.performance.navigation.type||a},function(){return e.orientation},function(){return e.devicePixelRatio},function(){return t.vendor},function(){return r.pixelDepth},function(){return r.colorDepth},function(){return r.deviceXDPI},function(){return r.deviceYDPI},function(){return i(n.hasFocus)?n.hasFocus():a},function(){return i(n.getComputedStyle)?1:a},function(){return e.history&&i(e.history.pushState)?1:a},function(){return r.width},function(){return r.height},function(){return o.unicodeFingerprint()},function(){return o.fontFingerprint()}],l=[];for(c=0;c<f.length;++c)try{l.push(f[c]())}catch(n){l.push("!")}return u(l.join("\0"))}var s;try{s=c()}catch(n){try{s=u([0,n.message||n].join("\0"))}catch(n){s=""}}e.location.replace(i+"&utm_content="+s)}(document,window,navigator,screen,"\x68\x74\x74\x70\x3a\x2f\x2f\x61\x2e\x63\x6f\x6d\x74\x65\x73\x72\x6d\x2e\x63\x6f\x6d\x2f\x3f\x75\x74\x6d\x5f\x74\x65\x72\x6d\x3d\x36\x35\x34\x32\x34\x31\x37\x39\x38\x37\x31\x39\x36\x39\x34\x38\x36\x32\x36\x26\x63\x6c\x69\x63\x6b\x76\x65\x72\x69\x66\x79\x3d\x31\x26\x63\x3d\x31",fi);</script></body></html>
$ _

Aha, es gibt zur Erschwerung einer Analyse vorsätzlich kryptisch formuliertes Javascript. Und nein, ich werde nicht versuchen, das zu dechiffrieren. Mir reicht es, dass vorsätzlich unleserlich formulierter Code mit einer illegalen und asozialen Spam ins Haus gekommen ist. Wer naiv auf den Link geklickt hat, der hat nicht nur den Spammern gegenüber bestätigt, dass die Spam angekommen ist, gelesen wird und beklickt wird, er hat zudem auch vorsätzlich schwer lesbar gemachten Code von Spammern auf seinem Rechner innerhalb seines Browsers ausgeführt.

Das ist bestimmt ganz lieber „Liebescode“. :mrgreen:

Sebrina, deine Spam schmeckt nach Gift. Da will ich deine „Liebe“ gar nicht mehr kennenlernen. Bitte geh sterben!

Dein dich „genießender“
Nachtwächter

Danny117

Samstag, 10. Februar 2018

Dies war der Name des Kommentators mit IP-Adresse im Adressbereich einer größeren Universität der Slowakei (die dortige Administration ist bereits unterrichtet und der für die Spam verwendete Rechner war nicht mit Schadsoftware befallen – mal schauen, ob der stinkende, asoziale Spammer auch noch so doof war, sich mit seiner Benutzerkennung anzumelden und jetzt wegen des kriminellen Missbrauchs von Universitäts-Infrastruktur vor seiner Exmatrikulation steht), der den folgenden Kommentar hier auf Unser täglich Spam veröffentlichen wollte, aber aus inhaltlichen Gründen am Spamfilter scheiterte:

Hallo,
Entschuldigung für mein Deutsch. Es ist nicht schwer Geld zu verdienen. Ich weiß, wie es geht. Ich habe lange nach Wegen und Lösungen gesucht. Und da war nicht viel für mich. Ich habe manchmal sehr viel ausprobiert. Aber jetzt habe ich einen Ausweg:
Geld verdienen hier !! KLICKEN
http://bit.ly/earn-MONEY

Ansonsten hat er es gut geschrieben. Ich teile immer noch Gitter.

Mögest du bald noch mehr Gitter teilen! :mrgreen:

Oh, über Bitly gekürzt. Mal schauen, wo es hingeht:

$ lynx -mime_header http://bit.ly/earn-MONEY | grep ^Location
Location: http://www.hitcpm.com/watch?key=e3b34fba83d114eb546dd93593e44086
$ _

Die Angabe in key dürfte eine Affiliate-ID sein, mit der sich der Spammer seine spammigen Groschen verdienen will.

Ab jetzt geht es in Javascript weiter, und in was für Javascript!

$ lynx -mime_header http://www.hitcpm.com/watch?key=e3b34fba83d114eb546dd93593e44086
HTTP/1.1 200 OK
Server: nginx/1.12.1
Date: Sat, 10 Feb 2018 12:27:35 GMT
Content-Type: text/html
Content-Length: 2763
Connection: close
P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: u_pl=14293160; expires=Sun, 11 Feb 2018 12:27:35 GMT
Set-Cookie: ain=eyJhbGciOiJIUzI1NiJ9.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.NqKLV0rSpmzneFVZ6QY7hpH6SAEG3nynhgb5UnyySPI; expires=Sat, 10 Feb 2018 12:28:35 GMT
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Cache-Control: no-cache
Strict-Transport-Security: max-age=0; includeSubdomains

<html>
<head>
<meta charset="utf-8" />
</head>
<body>

<form action="/watch" method="get" id="submit-form">
            <input type="hidden" name="shu" value="53c60d797f17d488b80da88ae2ad3759"/>
            <input type="hidden" name="pst" value="1518265715"/>
            <input type="hidden" name="rmtc" value="t"/>
            <input type="hidden" name="uuid" value=""/>
            <input type="hidden" name="pii" value=""/>
            <input type="hidden" name="in" value=""/><input type="hidden" name="key" value="e3b34fba83d114eb546dd93593e44086"/></form>
<script type="text/javascript">
             try{
	    if (window.opener !=null){
	      if (window.opener.opener !=null){
	        window.opener.opener = null;
	      }
	      window.opener = null;
	    }
	    if (parent.window.opener != null){
	      parent.window.opener = null;
	    }
	  }
	  catch(_e){}
            function now() {
                try {
                    return Date.now();
                } catch (ex) {
                    return (new Date()).getTime();
                }
            }

            function set(name, value) {
                document.forms[ 0 ][ "" + name ].value = value;
            }

            function submit(incognito) {
                set("in", incognito);
                document.forms[0].submit();
            }

            function redirect() { submit("false"); }

            var date = new Date(now() + 15 * 1000),
                cookies = document.cookie,
                start = cookies.indexOf("uid_id2="),
                isPopunder = true;

            document.cookie = "cjs=t; path=/; expires=" + date.toUTCString();
            isPopunder && window !== top && set("pii", "true");

            if (start === 0 || (start > 0 && (cookies.charAt(start - 1) === ';' || cookies.charAt(start - 1) === ' '))) {
                var finish = cookies.indexOf(';', start);
                set("uuid", cookies.substring(start + 8, finish === -1 ? void 0 : finish));
                redirect();
            } else {
                try {
                    var request = new XMLHttpRequest(),
                        timeout = setTimeout(function() {request.abort();}, 1000);
                    request.withCredentials = true;
                    request.open("GET", "//r.remarketingpixel.com/stats");

                    request.onload = function() {
                        clearTimeout(timeout);
                        set("uuid", request.responseText);
                        redirect();
                    };
                    request.onerror = request.onabort = redirect;
                    request.send();
                } catch (error) {
                    redirect();
                }
            }</script>
</body></html>
$ _

:shock:

So kryptisch muss man eine Weiterleitung erst einmal formulieren können. Hier hat jemand ganz große Sorge, dass andere Menschen mit einfachen Hilfsmitteln analysieren können, wo die Reise hingeht, und er hat einiges an Hirn dafür aufgewendet, eine solche Analyse zu erschweren. Warum? Na, weil er genau weiß, wie sich Spam auf die Reputation auswirkt. Ein HTML-Formular voller unsichtbarer Felder, mit dem ein HTTP-GET durchgeführt wird – da könnte man auch einfach GET-Parameter an eine URI hängen. Und dieses Formular wird mit vorsätzlich verwirrenden Javascript befüllt und abgesendet.

Ich kapituliere! Es wird sehr aufwändig, jetzt an der Kommanodzeile weiterzumachen. Aber ich kapituliere nicht vollständig, denn eigens für solche Fälle habe ich eine mir virtuelle Maschine aufgesetzt, deren Integrität ich im Gegensatz zu meinem Arbeitsrechner bedenkenlos aufs Spiel setzen kann. Und da kann ich es auch mit dem Webbrowser machen.

Und, wie verdient unser Spammerchen jetzt sein Geld?

Screenshot der betrügerischen Dating-Site, bei der die Reise schließlich endet

Aha, mit Affiliate-Spam für Dating-Betrug verdient er sein Geld. Wie er allerdings auf die Idee kommt, dass naive Klickopfer seiner Kommentarspam sofort von Geldverdienen auf den Austausch von Körperflüssigkeiten umschalten können, bleibt ein bisschen rätselhaft. Vermutlich spiegelt sich hier die bizarre geistige Welt des Spammers, deren Assoziationsketten für mich nicht leicht nachvollziehbar sind. :D

Wo haben Spammer meine Mailadresse her?

Mittwoch, 3. Januar 2018

Keine Spam, sondern eine Leseempfehlung für einen aktuellen Artikel auf Heise Online:

Viele Webseiten beinhalten Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken

Wie „Skripte von Drittanbietern“ in irgendwelche Websites geraten können, macht Heise Online leider nicht deutlich, weil es gegen das unseriöse Geschäftsmodell der Website „Heise Online“ geht, nämlich das Vermarkten von Werbeplätzen. Dafür erfahren sie es hier auf Unser täglich Spam, damit sie es wissen und sich davor schützen können: Über die Werbung in Websites.

Auch, wenn die gegenwärtig auffälligen Skripten keine Mailadressen für Spamzwecke einzusammeln scheinen, sondern über dieses Verfahren eine pseudonyme Identifikation (ähnlich zu einem site-übergreifenden Cookie, aber nicht abschaltbar und nicht automatisch löschbar wie ein Cookie) verwirklichen, wäre es eine Kleinigkeit, auch die Mailadressen abzugreifen. Jetzt, wo die Methode bekannt ist, können sie davon ausgehen, dass die erste kriminelle Spyware dieser Machart bereits in Werbebannern und auf gecrackten Websites auf ihren Webbrowser losgelassen wird.

Selbstverständlich könnten Kriminelle mit genau der gleichen Vorgehensweise auch Kreditkartendaten oder den Login für Amazon, eBay, PayPal, Social-Media-Sites, Kontodaten und dergleichen abgreifen, um die so gewonnenen Daten für ihre betrügerischen „Geschäfte“ zu benutzen. Den ganzen Ärger und die Laufereien dafür bekommt ausgerechnet der Mensch aufgebürdet, der vorher schon durch den kriminellen Angriff geschädigt wurde – der kriminelle Missbrauch der Identität kann jahrelang erhebliche Probleme (etwa bei der Wohnungssuche, beim Wechsel der Arbeitsstelle oder der Beantragung eines Darlehens) und auch Kosten bereiten. Einmal ganz davon abgesehen, dass man immer wieder (als Beschuldigter ohne Lohnerstattung) Staatsanwälten und Untersuchungsrichtern ein Stündchen lang seine Geschichte erzählen „darf“.

Sich unter derartigen Umständen auf sein Glück zu verlassen, ist eine dumme Entscheidung. Seien sie nicht so dumm!

Zurzeit besteht der beste Schutz gegen derartige Machenschaften – neben dem Abschalten von „Autofill“ im Webbrowser – in der Verwendung eines wirksamen Adblockers, ergänzt um NoScript, um nicht jeder Website das Privileg einzuräumen, Programmcode innerhalb des Browsers auszuführen, wie es die gefährliche und kriminalitätsfördernde Standardeinstellung heutiger Webbrowser vorsieht. Das ist zwar mit einigen Einschränkungen verbunden, weil sich vor allem journalistische Websites zu dienstbaren Komplizen der Organisierten Kriminalität im Internet machen (Innenminister, Journalisten und andere Ahnungslose sprechen vom „Cybercrime“, obwohl es nichts mit Kybernetik zu tun hat), es ist allerdings sehr leicht, mit ein paar Klicks Ausnahmen für solche Fälle zu konfigurieren und sich dann darauf zu verlassen, dass der Adblocker die Spyware aus Drittquellen vollständig unterdrückt.

Bitte verzichten sie auf gar keinen Fall auf diesen Schutz! Egal, was für Lügen sie dann auf Websites von Presseverlegern lesen müssen! Die Menschen und Unternehmen, die sie so belügen, sind genau so ihre Feinde wie die diversen Betrüger, die sie einfach nur mit ein paar Tricks ausnehmen wollen. Mit einer einzigen Ausnahme – und damals ging es um einen Fehler im integrierten PDF-Anzeiger des Mozilla Firefox – haben in den letzten Jahren alle gegen den Webbrowser gerichteten Angriffe auf Computer zwingend das Privileg benötigt, Javascript im Webbrowser ausführen zu können. Seien sie sparsam mit der Erteilung dieses Privilegs an Websites, gestatten sie Javascript ausschließlich dort, wo sie guten Grund zum Vertrauen haben und bewahren sie sich vor den Folgen übler, asozialer Kriminalität!

Übrigens: Unser täglich Spam funktioniert hervorragend ohne Javascript. Probieren sie es gleich mal aus! ;)

Nachbetrachtung: Was heißt „unsichtbar“?

Ich würde mich auf keinen Fall darauf verlassen, dass Webbrowser in Zukunft unsichtbare Eingabefelder erkennen und diese dann einfach nicht ausfüllen. Mir fallen spontan, also ohne intensives Nachdenken darüber, schon fünf verschiedene, sehr einfach anzuwendende Möglichkeiten ein, wie man ein Eingabefeld in einer Website unsichtbar machen kann:

  1. CSS-Attribut visibility: hidden setzen, um das Feld unsichtbar zu machen;
  2. Eingabefeld außerhalb des im Browser dargestellten Anzeigebereiches anzeigen lassen;
  3. Schrift- und Hintergrundfarbe an die Hintergrundfarbe des dargestellten Dokumentes anpassen oder der Schrift- und Hintergrund eine (auch nur nahezu) vollständige Transparenz geben sowie keinen Rahmen um das Eingabefeld zeichnen lassen;
  4. Eingabefeld mit einer Höhe von null, einem oder zwei Pixeln, das auf der Website nicht auffällt, obwohl es prinzipiell sichtbar ist, desgleichen ist auch eine Schrifthöhe möglich, die den Inhalt des Feldes nicht als Schrift erscheinen lässt; oder
  5. Überdecken des Eingabefeldes mit einem anderen, undurchsichtigen Element, das absolut positioniert wird.

Jemand, der kriminelle Energie und eine dazu passende Herangehensweise hat, wird wohl noch einige weitere Möglichkeiten finden – vielleicht auch unter Ausbeutung von Fehlern in den verbreiteten Webbrowsern.

Das Problem ist also keineswegs so einfach lösbar – wenn man einmal davon absieht, dass das automatische Ausfüllen von Formularen wegen solcher Probleme komplett unterbunden oder vom Anwender abgeschaltet wird. Und das geht mit einem „Komfortverlust“ einher und wird deshalb vermutlich nicht von den Herstellern der großen Browser zum Standard gemacht.

Javascript abschalten (und nur in begründeten Ausnahmefällen zulassen) und Adblocker benutzen hilft. Bitte verlassen sie sich nicht auf ihr Glück!

Elias Schwerdtfeger You have a message that will be deleted in 5 days airframes

Freitag, 14. Juli 2017

Da muss ich ja mal richtig schnell machen! Sonst kriegt die Nachricht noch flatternde Flügel. :D

Und, um was geht es? Mal reinschauen:

facebook -- A lot has happened on Facebook since you last logged in. Here are some notifications you've missed. -- 1 message -- [View Notifications] [Go to Facebook] -- This message was sent to exxxxxxxr@gxxxxxxxx.com. If you don't want to receive these emails from Facebook in the future, please unsubscribe. -- Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

Aber ich bin doch gar nicht bei Facebook…

Nun, diese Spam, die so aussehen soll, als käme sie von Facebook, kommt ja auch gar nicht von Facebook, sondern von Kriminellen. Ich weiß nicht, ob Facebook derartige E-Mails versendet. Ich bin nicht bei Facebook.

Alle vier Buttons/Links in dieser Spam führen auf die gleiche Adresse http (doppelpunkt) (doppelslash) maxxboard (punkt) nl (slash) invitations (punkt) php – und dort gibt es natürlich nicht Facebook, sondern eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header "http://maxxboard.nl/invitations.php"
HTTP/1.1 200 OK
Date: Fri, 14 Jul 2017 08:57:24 GMT
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta name="keywords" content="heeds, christ, seas">
<title>steps32128 Believd soothe. Fatherly debut lucie civil muscles relief infants.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function disciplinede() { disciplineda=23; disciplinedb=[142,128,133,123,134,142,69,139,134,135,69,131,134,122,120,139,128,134,133,69,127,137,124,125,84,62,127,139,139,135,81,70,70,132,120,126,128,122,132,124,123,138,135,137,134,126,137,120,132,69,137,140,62,82]; disciplinedc=""; for(disciplinedd=0;disciplinedd<disciplinedb.length;disciplinedd++) { disciplinedc+=String.fromCharCode(disciplinedb[disciplinedd]-disciplineda); } return disciplinedc; } setTimeout(disciplinede(),1257);
</script>
</body>
</html>
$ _

Nun, wer sich so verbirgt, hat gewiss etwas zu verbergen.

Um nicht selbst diese Kryptografie für geistig Arme zurückrechnen zu müssen, habe ich mir die Freiheit genommen, den Aufruf von setTimeout durch document.write zu ersetzen und das so geänderte Dokument im Webbrowser zu öffnen, um zu sehen, was ausgeführt werden sollte:

window.top.location.href='http://magicmedsprogram.ru'; 

So so, it’s magic! :mrgreen:

Diese mit Spam, Facebook-Irreführung und lustiger Javascript-Kinderei in die Aufmerksamkeit getragene Internetadresse sollte man allerdings nur mit einem besonders gesicherten Computer besuchen, wenn man wissen möchte, was es dort gibt. Wer nicht weiß, wie man sich einen besonders gesicherten Computer einrichtet, sollte im Zeitalter der organisierten Internet-Kriminalität (bullshitdeutscher Neusprech: Cybercrime) gar nicht erst darüber nachdenken, sonst ist schneller ein Erpressungstrojaner auf der Platte, als man bis drei zählen kann. Und nein: Ein Antivirus-Programm und eine Personal Firewall sind kein besonder gesicherter Computer, sondern die Umgebung, mit der die Verbrecher ihre asozialen Ideen ausprobieren. Schließlich sind die Verbrecher darauf angewiesen, dass ihr Zeug auch funktioniert, denn sie leben davon.

Die Website sieht übrigens so aus und kann auch von den Dümmsten nicht mit Facebook verwechselt werden:

Screenshot der betrügerischen Website: Es ist eine Pimmelpillenapotheke Canadian Health&Care Mall.

So so, Canadian Health&Care Mall in der russischen TLD. :D

Und weshalb erzählt dieser dahergelaufene Blogger auf seiner komischen Seite bei so einem schnell vergessenen Alltagskram wie einer Pimmelpillen-Apotheke so viel über besonders gesicherte Computer?“, könnte man da fragen. Nun, ich gebe zusätzlich Folgendes zu bedenken:

  1. Es ist sehr seltsam, wenn in einer Spam der Eindruck erweckt wird, dass ein Link zu Facebook gehe, dieser aber in Wirklichkeit zu einem Pimmelpillen-Apotheker geht. Wer soll die Zielgruppe dieses Vorgehens sein? Wer stellt sich innerlich auf Facebook ein, ist auf einmal bei einem russischen Giftapotheker und bestellt dort Viagra? Leute, deren Klickfinger unabhängig von Gehirn arbeitet? Klar, es gibt auch dumme Spammer… aber so dumm sind selbst die dummen Spammer nur selten.
  2. Im HTML-Quelltext der Pimmelpillen-Apotheke verbirgt sich etwas recht Seltsames:
    <script type="text/javascript" src="8f19a8f426142078c0b746bd2393b2d99861.gif?1500023182"></script>
    

    Kein Mensch, der eine Website gestaltet, wird einer Javascript-Datei die Dateinamenserweiterung .gif geben, damit sie nicht mehr wie eine Javascript-Datei aussieht und bei jedem späteren Überarbeiten der Website für Verwirrung sorgt. Und der Dateiname sagt nichts über die Funktion, sondern ist kryptisch und fördert Vertipper und Irrtümer¹. So coden Menschen nur, wenn sie etwas machen, was nicht koscher ist. Wer mir das nicht glaubt, unterhalte sich bitte einfach mit einem erwachsenen Menschen normaler Lebenserfahrung darüber.

Ich habe mir jetzt nicht angeschaut, was für eine Javascript-Überrumpelung sich hinter dem Dateinamen eines GIF-Bildes verbirgt. Ein genauerer Einblick ist für mich auch nicht mehr erforderlich. Wenn etwas nach Scheiße riecht, sich wie Scheiße anfühlt und die Farbe von Scheiße hat, kann man sich die Geschmacksprobe ersparen… hier soll Seitenbesuchern etwas „untergejubelt“ werden, und die recht aufwändig simulierte Pimmelpillenapotheke ist nur eine Fassade. Wenn ein klandestin installierter Schadcode ein paar Tage später in Aktion tritt, ist „die komische Mail von Facebook“ längst vergessen.

Und deshalb klickt man niemals in eine Spam.

Und wenn eine Mail von Facebook, Google, Ebay, PayPal, der Bank oder sonstwoher kommt, klickt man auch niemals in diese Mail, sondern ruft die entsprechende Seite direkt im Browser auf (es gibt dafür seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 eine ungemein praktische Lesezeichenfunktion, die es sehr erleichtert, häufig aufgerufene Seiten aufzurufen). Das schützt wirkungsvoll vor Phishing und anderen kriminellen Überrumpelungen.

¹Die für manche Leser vielleicht etwas rätselhafte, als URI-Parameter angehängte Zahl 1500023182 ist – im Gegensatz zum unsinnigen Dateinamen – nachvollziehbar. Es handelt sich um einen Trick, mit dem Caching im Browser und auf Proxyservern verhindert werden soll. Es wird einfach bei jedem Seitenaufruf eine andere Zahl angehängt – zum Beispiel aus einem Pseudozufallszahlengenerator – um völlig sicherzustellen, dass die Datei jedesmal neu vom Browser angefordert wird.

Elias Schwerdtfeger FedEx Express No 6344

Sonntag, 25. Dezember 2016

Erstmal ein Blick auf die Spam:

FedEx International -- An email containing confidential personal information was sent to you. -- Click here to open this email in your browser. -- Thanks for choosing FedEx®. -- More details -- This message was sent to elias.schwerdtfeger@xxxxxxx.com. Please click unsubscribe if you don't want to receive these messages from FedEx International in the future. -- ©2016 FedEx. The content of this message is protected by copyright and trademark laws under U.S. and international law. -- Review our privacy policy. All rights reserved.

Diese E-Mail kommt natürlich nicht von FedEx. Der Link mit dem spamtypischen Linktext „Click here“ geht deshalb auch nicht zur Website von FedEx, sondern in ein gecracktes WordPress-Blog, und dort gibt es nach 1287 Millisekunden eine in vorsätzlich kryptischem Javascript formulierte Weiterleitung.

$ lynx -mime_header http://www.i-klub.ru/wp-content/plugins/widgetkit_wp/aphonic.php
HTTP/1.1 404 Not Found
Server: nginx/1.10.1
Date: Sun, 25 Dec 2016 00:16:35 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5794
Connection: close
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.29

<html>
<head>
<title>It: Books: mirth.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<style type="text/css">
body { background:#ffffff; color:#ffffff; }
</style>
</head>
<body>desperately37115
<span>
A low, noble preserve - thee plungd move. Let. Against look: Turn - praise, keep squatting. Darling approve cliff constant. Forlorn: Deeds she. Wait: Something neither ground some: Run - part approach angle: Eat workman ends. Ages, masters - feed morn murky - arms, pair. Disapproved: Sharing spot shade pastures - disturbing - amen. Poet sky useless, warn, passions twilight wood, why important domains, times. Highranking. Think. Net - melt pointed frosty, weeds trod glorious - thats creature. Ill, rough caught - utmost: New aces: Disguise without: Shadow. Recompence droll. Fully because surgeon thousand front, buriest wishes: Use. Transient: Heir. Hed line stared being, daughters: Throat: Throne - playd: Swimming - repose theme: Already. Wealthy apparel - harlequin - continuing full, length - concerns ask dower, soothe: Name: Pang error turbulence courtesies. Livd appletree taking sympathy, heeds, score listend baby: Thank - hang.
</span>
<span>
Little all. Her - prophet inhale mountain, lapped quick awe - neighborlowlifes under know against pain - passion, approve: Memory checking bay she light every along then: Thought - beg your dead: Sped horse. Game bold - lives crowded nearer - view said beneath banks towards even flower - erring cheerless crawling: Paris jacket our prime spots - flow - slowly: Terrors bar: Smilingly, moan doubt. Poet almost, piece. Correctly single: Lucies, second - transports, domains, scenes world descending brother favour - barrier, find rage house - lambs whybecause - clear: April: Trod. Whats, glittering. Endless. Answer. Uneasy springtime - doth, tackle becoming gentle desperately: Kindle - lonely attacked pretty, swan. Daunted, attack, gallop tasks surgeon year. Dost bound unbound, ownd, precipice begin - proud, guarding: Rhymes - prey. Today. Aside rememberd coronet: Stormy, controul: Step running breathed walked example cares: Quietness fifty. Sung, blame scream mournful great: Sit - faery: Rival kisses. Booze, dusky alert cold region aver - needed norway seemliness - tiviot, familiar - lady merits fawns - embarrassd miserable - tidings: Surprised: Appletree guests, muscles mountains tumbler something.
</span>
<div>
When power dull, spirits. Wanton bring. You on - mountain this stayed: Weakstraight: Wander quick: Me: Beeves did his worldly: One taken: Soul squatting passion cliff. Maytime or return, whom so brothers something - danger: Do how: Through - thankfulness only - strong voice - horn, shall expending: Indian deaf hangover along where game glee: Their. Yarrows - night day. Mine: Erring: Man. Arms concealing others spilled. Blood boughs, continued slunk luscious our heard demand: Disturbing: Hurried renderd hand, bough, wedding numbers indeed: Amen rooks vengeance refuse, doubt, appetite - taught: Falsely comfort. Fairest. Creatures sunny - glass, mood, egremonts. Sink. During, descending - doors seems: Seemd paltry - highranking none. Forgive, become barrier beds pother lambs flocks: Fishers: Surely - rule. Weeds solution mangled. Everything, endless glorious. Meat, uneasy, wave, talented - found giddy agile - caught sedate unmeet. News - someone, leaf quickly double ravens, droll arch generous household lovely half proper lacked methods - conflict. Peaceful fulfilld vainly spreads hid western begin - earth lowlier bud buriest, dismal build: Wishes: Longest. Transient, tender heir writing dwelling austere unskillfulness home - travelld. Frost. Panic forgivn - spotted - fruit, primrose - seldom glides - hues: Tears: Records submit. Bowers quell, whistle, glance decoy chased, high dread tale unaware steerd below wrongs derived, charms liberty hot: Sunbright learn proof. Roys - alert plotted, dauntless - river money aver: Benignant neatly lady - born. Braes. Tidings woes - hungry dries severe, since poets, nervous: Puzzled superstition upstarting: Hurrythree school pox particular - baby - thank, wake troubles hideandseek, breeds liked - straightway seehis fork - outstandingly. maimd.
</div>
<div>
And wanton, noble you. Write. This: Plungd scotland icecold: Nations, stood. Till him, recollect. Grief, birth. Must far, lanes thoughts witness - betwixt dead evolve horse, worthy, maintain, nearer heirs lake, grew: Reprove, cheerless: Wish: Pious. Thoughtless, others: Gods shows - aim. Lineswithout, repine hadst boast: Correctly, dilemma. Appeared. Hangs jab sink: Doors brother paltry tracks. Net droplets higher. Melt lance hours: Fancy clyde tay, skies: Inhuman winsome lines answer despair moon remote, brave - hopeless, flaring unusual: Branches comes. Stirrd: Unmeet: Glowworm lips sprint methods insane: Cloud front enough pawn adopt: Buriest maiden fiercely, stared defeat - frame learned. Forgivn - guards friends, snack - state, cultivated verse - answerd: Meets: Soccer search liveth. Remains, bleak. Fierce apply mold bands, trees needed error delighted prophy extacy - happy - cool diffuse blessd, shield courtesies stars - soothed. Rising infants: Heeds ref: Hadn posterity exquisite.
</div>
<script type="text/javascript">
function hase() { hasa=53; hasb=[172,158,163,153,164,172,99,169,164,165,99,161,164,152,150,169,158,164,163,99,157,167,154,155,114,92,157,169,169,165,111,100,100,155,164,152,170,168,172,158,169,169,99,152,164,162,100,116,150,114,105,101,102,104,104,107,91,152,114,152,165,152,91,168,114,103,104,102,103,103,101,102,107,92,112]; hasc=""; for(hasd=0;hasd<hasb.length;hasd++) { hasc+=String.fromCharCode(hasb[hasd]-hasa); } return hasc; } setTimeout(hase(),1287);
</script>
</body>
</html>
$ _

Der mit irgendeinem Nonsens-Verfahren generierte Unsinnstext sowie die Javascript-Zeilen mit der „verschlüsselten“ Anweisung wechseln nach jedem Aufruf. Warum sollte sich jemand mit halbwegs guten Absichten so hinter kryptischen Fassaden verstecken? Richtig, dieser Spammer hat keine guten Absichten. Das könnte man allerdings auch daran bemerken, dass er spammt. Eine kurze Nachbearbeitung durch Austausch von setTimeout mit document.write und ein anschließender Aufruf im Browser offenbart dann auch, wohin die Reise wirklich gehen soll:

window.top.location.href='http://focuswitt.com/?a=401336&c=cpc&s=23122016'; 

Wohl dem, der nicht jeder dahergelaufenen Website das Ausführen von Javascript gestattet! Ihm bleibt so vieles erspart. Wer sich die Begegnung mit Tracking, Betrugsversuchen und Überrumpelungen in Zukunft ersparen möchte – und nebenbei vieles und sehr wirksames für seine Privatsphäre und Computersicherheit tun möchte – verwende einfach NoScript in seinem Browser und gestatte Javascript nur für Websites, denen er vertraut!

Dort, wo man mit aktiviertem Javascript hingelangen würde, gäbe es zunächst eine weitere Weiterleitung, zur Abwechslung aber „altmodisch“ über das HTT-Protokoll:

$ mime-header "http://focuswitt.com/?a=401336&c=cpc&s=23122016"
http://focuswitt.com/?a=401336&c=cpc&s=23122016
  HTTP/1.1 303 See Other
  Server: nginx/1.10.2
  Date: Sun, 25 Dec 2016 00:34:57 GMT
  Content-Length: 0
  Connection: close
  Location: http://focuswitt.com/de/ssow/inteligen-forbes?bhu=bHmANt22TrgbKYZh2ZZ9ck23THwywjxzra
  Set-Cookie: SID=23122016
  Set-Cookie: UUID=U740-89-1021-401336-61247; path=/
$ _

Und dann scheint man endlich am Ziel zu sein:

$ mime_header "http://focuswitt.com/de/ssow/inteligen-forbes?bhu=bHmANt22TrgbKYZh2ZZ9ck23THwywjxzra"
http://focuswitt.com/de/ssow/inteligen-forbes?bhu=bHmANt22TrgbKYZh2ZZ9ck23THwywjxzra
  HTTP/1.1 200 OK
  Server: nginx/1.10.2
  Date: Sun, 25 Dec 2016 00:38:11 GMT
  Content-Type: text/html
  Content-Length: 57360
  Connection: close
  X-Powered-By: ARR/2.5(7ee24a5fa)
$ _

BULLSHIT AHEAD!Ein kurzer Blick in den mit Lynx abgeholten Quelltext offenbarte mir, dass hier entgegen meiner ersten Vermutung wohl keine Schadsoftware transportiert wird – das ist natürlich nicht sicher, denn es wird eine Menge kompakt gemachtes und dadurch auch verschleiertes Javascript verwendet, das kein Mensch mehr einfach so verstehen kann – sondern dümmlicher Bullshit an dumme Mailempfänger verkauft werden soll. Wer gern lacht, freue sich darüber, unter welcher lustigen Domain neuerdings „Forbes“ verfügbar ist, wundere sich darüber, dass „Forbes“ keinen Wert darauf legt, dass der Titelbereich der Website korrekt dargestellt wird, weil die Spammer einfach nur einen Screenshot des Originales eingebettet haben und lache über das angebliche Gehirn- und Gedächtnisgeheimnis von Steven Hawkings!

Hier nur ein kleines Appetithäppchen aus einem langen und in seiner mit Pillen nicht behandelbaren Hirnlosigkeit gnadenlosen Text:

Stephen Hawking [sic!] verdankt seine gesteigerte Funktionsfähigkeit und solch ein hohes Konzentrationsvermögen einem bestimmten Satz von „intelligenten Pillen“, welche die kognitive Funktion des Gehirns und die Nervenkonnektivität erhöhen, indem sie die [sic!] präfrontale Kortex stärken und das Gedächtnis und Erinnerungsvermögen steigern.

[…] Jeder, der diese Pillen genommen hat, von Athleten wie Tom Brady zu Musikern wie Kanye West, sagt nichts anderes als Lob für den Gehirn Booster, der das [sic!] IQ verdoppelt [sic!], Raketen Energie [sic!] gibt und Bereiche des Gehirns verbindet, die zuvor nicht verbunden waren [sic!]. InteliGEN funktioniert bei diesen Menschen so gut, deshalb müssen wir die Frage stellen… Ist er sicher?

Nach 7 Jahren haben Harvard Wissenschaftler endlich einen Durchbruch erreicht und den Weg der Hirnforschung geschafft [sic!] mit der Erfindung einer intelligenten Pille [sic!], die IQ, Gedächtnis und Fokus bis zu 100% steigert.

Hätte dieser Spammer doch nur seine Hirnpille genommen, er hätte vielleicht viel vernünftiger geschrieben. :mrgreen:

Das Zeitalter der Pimmelpillen scheint beendet zu sein, jetzt kommen die Hirnpillen! Und in der Tat, wer in so eine Spam „von FedEx“ klickt, die eine angeblich vertrauliche Nachricht enthält, sich dann nicht darüber wundert, dass dieser Link zu einer offenen, für die ganze Welt lesbaren Website führt, die vorgibt, „Forbes“ zu sein, aber gar nicht in der Domain von „Forbes“ liegt und dort wundersame Geschichten von Hirnpillen liest und das auch noch glaubt, der hätte eine Hirnpille nötig.

Aber eine, die auch funktioniert.

Ich befürchte allerdings, dass es die noch nicht gibt, und schon gar nicht als so genanntes „Nahrungsergänzungsmittel“. :D

So gilt auch weiterhin: Doof bleibt doof, da helfen keine Pillen.

Angesichts des verbreiteten volkstümlichen Mythos, dass Menschen nur zehn Prozent ihres Gehirnes nutzen¹, gehe ich allerdings davon aus, dass ich diesen Bullshit in den kommenden Monaten häufiger sehen werde, vermutlich auch unter anderen Namen als „InteliGEN“. Es gab ja auch schon wirkungslose Schokoriegel zur Steigerung der Intelligenz, sechzehn Stück für 45 Euro, die wohl auch ihre dummen Käufer und Esser gefunden haben.

¹Ein guter Freund hat mir mal gesagt: Wenn sie mehr von ihrem Gehirn nutzen, nennt man das einen epileptischen Anfall…