Alarm! ❗
Von: Reminder <fred.gonzalez@spectra-physics.com>
Kenne ich nicht. Und einen „Account“ habe ich da ganz sicher nicht. 😉
An: elias.schwerdtfeger@googlemail.com
Kommt mir schon bekannter vor. Denn bei Google habe ich einen Account. Die zugehörige Mailadresse nutze ich übrigens ausschließlich als Weiterleitungsadresse für völlig spamverseuchte Mailadressen, die ich beim besten Willen nicht mehr nutzen mag. Soll Google doch jeden Tag meine ganze Spam fressen! Lecker Spam! Guten Appetit! 😉
Your profile is listed as the recovery email for
elias.schwerdtfeger@googlemail.com. Don’t recognize this account? click here.
Aha, mein Profil ist also als Wiederherstellungsmail gelistet. Welches Profil meinst du? Das bei „Click here“? Und wieso geht die Mail „von Google“ dann nicht dorthin? Ob das daran liegt, dass ich die Spam dann gar nicht sehen würde?
Sign-in attempt was blocked for your linked profile
elias.schwerdtfeger@googlemail.com
Hey, dann ist ja alles in Ordnung. Ich nehme mal an, dass es da hinten bei Google mindestens genau so viele Idioten gibt, die mal eben einen Nutzernamen und ein Passwort ausprobieren, wie hier jeden verdammten Tag auf Unser täglich Spam ihr Glück versuchen. Hier ist heute übrigens ein ruhiger Tag, es waren bis jetzt (so um 10:00 Uhr) erst fünf derartige Crackversuche.
Someone just used your password to try to sign in to your account. googlemail.com blocked them, but you should check what happened.
CHECK ACTIVITY
Moment mal, Spammer!
Wenn jemand „mein Passwort“ benutzt hat, um sich in „meinem Konto“ anzumelden, woran kann Google dann bemerkt haben, dass nicht ich das bin. Tatsächlich hat Google keine Möglichkeit, das zu bemerken. (Nein, ich nutze dort keine Zwei-Faktor-Authentifizierung, und nein, ich gebe Google nicht auch noch eine Telefonnummer von mir.) Das, was der Idiot von Spammer hier vorgibt, geht also in den Bereich der außersinnlichen Wahrnehmung. Ich weiß ja, dass Google viel in „künstlicher Intelligenz“ forscht, um seine vielen Nutzer noch besser gängeln, manipulieren und mit Reklame bestupsen zu können, während die Qualität von Google-Diensten seit Jahren immer unbrauchbarer wird¹, aber dass diese Forschungen so weit gingen, wäre mir neu.
You received this email to let you know about important changes to your profile and services.
Aber es hat sich doch gar nichts geändert.
© 2018 googlemail.com.,1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
et:6
Diese Spam hat niemals einen Server von Google auch nur gesehen.
fortunate sibley presbyterianism hale reproducibility cubes
Ja, ist ja schon gut, Spammer! Nimm deine Medikamente und leg dich wieder hin!
Da stellt sich eigentlich nur noch die Frage, wo wohl die Reise hingeht. Und diese Frage ist gar nicht so einfach zu beantworten, denn der Idiot von Spammer hat sich als Kryptologe versucht und eine Weiterleitung in vorsätzlich unlesbarem Javascript gecodet:
$ lynx -mime_header "http://elwoodcapital.com/viers.html"
HTTP/1.1 200 OK
Date: Fri, 25 May 2018 08:08:30 GMT
Server: Apache
Last-Modified: Thu, 24 May 2018 16:45:46 GMT
ETag: "7ba0e83-579-56cf662102000"
Accept-Ranges: bytes
Content-Length: 1401
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html
<html>
<head>
<title>clever32727 Govern: Hair liveth. Chorus, money mostly laughing rouzd thank – acted.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function schoold()
{
setTimeout(pangc(),1035);
}
function holiday()
{
grotto = blinded / seemingly;
debut = vale * humbly;
}
schoold();
function exquisite()
{
listend = palms – happy;
wanderers = fatherly – beyond;
}
function sunbright(train,mechanics)
{
beauty = history + seas;
plotted = booze * civil;
}
function pangc()
{
apangc = seekinga();
bpangc = [123,109,114,104,115,123,50,120,115,116,50,112,115,103,101,120,109,115,114,50,108,118,105,106,65,43,108,120,120,116,62,51,51,112,109,107,108,120,56,102,115,104,125,49,106,101,120,102,121,118,114,50,123,115,118,112,104,51,67,101,65,56,52,53,55,55,58,42,103,65,103,116,103,104,109,105,120,42,119,65,104,54,52,113,52,57,125,53,60,43,63];
return hutb(apangc,bpangc);
}
function delighted(feeding)
{
fowls = lithest – yellow;
}
function seekinga(imprisondi)
{
return 4;
}
function hutb(ahutb,bhutb)
{
chutb = "";
for (dhutb = 0; dhutb < bhutb.length; dhutb++)
{
ehutb = bhutb[dhutb];
fhutb = ehutb – ahutb;
ghutb = String.fromCharCode(fhutb);
chutb = chutb + ghutb;
}
return chutb;
}
</script>
</body>
</html>
$ _
Nun gut, ersetze ich doch mal in der aufgerufenen Funktion schoold
den Aufruf von setTimeout
(welche eine als String übergebene Javascript-Anweisung nach einer Verzögerung ausführt) durch einen Aufruf von document.write
(welcher den Text, hier den „entschlüsselten“ Text, ausgibt), damit der Computer diese „kryptografische“ Sonderleistung wieder lesbar macht, ohne dass ich gleich unbekanntes Javascript auf meinen armen Webbrowser loslasse. Natürlich könnte man das auch mit einem Editor machen, aber hier mache ich es der Nachvollziehbarkeit und Kompaktheit zuliebe direkt in der Shell:
$ curl "http://elwoodcapital.com/viers.html" | sed -e s/setTimeout/document.write/ -e s/\,1035// >blah.html
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1401 100 1401 0 0 4272 0 --:--:-- --:--:-- --:--:-- 4284
$ _
Danach habe ich eine Datei mit dem schönen Namen blah.html
, die ich im Browser öffnen kann. Nachdem ich Javascript erlaubt habe – es ist bei mir aus guten Gründen standardmäßig gesperrt, und zwar selbst noch für lokale Dateien – und noch einmal geladen habe, kann ich sehen, was da im Browser ausgeführt werden soll:
window.top.location.href='http://light4body-fatburn.world/?a=401336&c=cpcdiet&s=d20m05y18';
Das ist eine ziemlich umständliche und geschwätzige Methode, eine Website zu verlinken, und wer so etwas nötig zu haben glaubt, hat sicherlich nichts anzubieten, was auch nur im weitesten Sinne des Wortes empfehlenswert oder interessant wäre. Aber das hätte man auch schon an der irreführenden Spam „von Google“ bemerken können.
Gut, gebe ich mir diese „Freude“ mit der Fettverbrennungs-Domain auch noch einmal:
$ lynx -mime_header "http://light4body-fatburn.world/"
Looking up light4body-fatburn.world
Making HTTP connection to light4body-fatburn.world
Sending HTTP request.
HTTP request sent; waiting for response.
Alert!: Unexpected network read error; connection aborted.
Can't Access `http://light4body-fatburn.world/'
Alert!: Unable to access document.
lynx: Can't access startfile
$ _
Och, hat der Hoster schon den Stecker gezogen, um nicht an den kriminellen Machenschaften irgendwelcher Spammer beteiligt zu sein?! Gefällt mir. Sollte viel häufiger so schnell gehen! 😉
Und nein, dort wäre kein Fett verbrannt worden. Nur Geld, das man für überteuertes und meist wirkungsloses Zeug ausgegeben hätte. Und wenn man gar irgendwelche vom Spammer in irgendwelchen Spamapotheken angebotenen Mittel in sich reinwirft, vielleicht sogar die Gesundheit. Zurzeit ist es zwar meist völlig wirkungsloses Zeug mit Forskolin, aber es gab auch schon wirklich gefährliche und mit schweren Nebenwirkungen behaftete Arzneien, die von mörderischen Spammern als „Naturheilmittel“ angepriesen wurden.
Wie man auf die sonderbar anmutende Idee kommen kann, dass eine „Security-Warnung von Google“ den Geist der Empfänger für irgendwelche Bauchwegpillen öffnen könne, gehört zu den tiefen Geheimnissen aus den Dunkelkammern des Gehirnes eines unbekannten Spammers. Und dieses Geheimnis aus den unendlichen Tiefen der kriminellen Dummheit wahrt unser Spammer wesentlich besser und wirkungsvoller als die Geheimnisse seiner lächerlichen Javascript-Kryptografie. Ich würde mich jedenfalls nicht darüber wundern, wenn die verlinkte Website ihren Besuchern auch noch eine Schadsoftware untergejubelt hätte. Deshalb klickt man ja auch nicht in eine Spam!
¹Die einst so gute Suche lebt nur noch vom Ruhm längst vergangener Tage und ist objektiv unbrauchbarer als Suchmaschinen aus der zweiten Reihe, und auch andere Google-Dienste werden nach und nach unbrauchbar gemacht, ob es sich um Google News oder YouTube handelt. Zudem glänzt der von Google „verschenkte“ Webbrowser durch absichtliche Technikverhinderung auf Desktop-Computern. Auch, wenn Google alles dafür tut, auf jedem Computer und in jeder Software präsent zu sein, oder besser gesagt: Weil Google alles dafür tut, kann ich nur empfehlen, sich nach anderen Anbietern umzuschauen, solange man diese Wahl noch hat. Eine Situation, in der man keine Wahl mehr hat, habe ich vor rd. zwanzig Jahren mit dem mit Microsofts Marktmacht und aller damit erzielbaren Gewalt durchgedrückten Internet Explorer von Microsoft erlebt, und glaubt mir: Solche Erlebnisse sollte man sich besser ersparen. Deshalb nutzt Alternativen, so lange ihr noch könnt!