Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „JavaScript“

Wonderful male performance

Samstag, 7. August 2010

Diese Mail kommt gerade mit diversen Betreffzeilen und Texten, dies nur ein Beispiel:

Delivery notification

Forwarded Message Attached

Der Anhang ist eine HTML-Datei, was bei einigen Menschen kaum Verdacht erweckt. Allerdings befindet sich in dieser Datei gar kein HTML, sondern nur ein bisschen JavaScript mit einem langen String aus hexadezimalen Zahlen mit jeweils einem Prozentzeichen vorneweg, der mit Hilfe der Funktion unescape in ein meta http-equiv="refresh" umgewandelt und in das Dokument geschrieben wird, welches dann zur sofortigen Weiterleitung auf eine Website, die den Eindruck eines Virenscanners erweckt und zum Download eines Schutzprogrammes für den befallenen Rechners auffordert führen soll.

Also bitte nicht gleich einen Schrecken kriegen, wenn beim Öffnen eines derartigen Mailanhanges erschröckliche Warnungen sichtbar werden, dass man einen völlig kompromittierten Rechner hat. Und am besten solche Spams unbesehen löschen, denn das erhöht die Chancen, keinen kompromittierten Rechner zu bekommen, sehr – die Botnetze der Internet-Kriminellen sind wirklich schon groß genug.

Diese Internet-Neppnummer ist im Moment derart massiv, dass vor allem unerfahrene Nutzer gar nicht genug davor gewarnt werden können. Links auf derartige Seiten kommen in diversen Formen. Offenbar wollen die Kriminellen sehr schnell möglichst vielen Leuten ihre Schadsoftware installieren, bevor die richtigen Virenscanner den Schadcode zuverlässig erkennen – denn was da zum Download angeboten wird, das ist alles, aber garantiert kein Virenscanner.

Eine Einzahlung und Ihr Geld wird verdoppelt

Samstag, 15. Mai 2010

Ah, lange keine von diesen Casino-Spams mehr geöffnet. Also mal einen Blick reinwerfen:

Lassen Sie Ihr Bankkonto wachsen – hier kann man leicht gewinnen! Jetzt herunterladen

http://www.my-cazinoz.net/de/

Aha, da „wächst also das Bankkonto“. Fast wie eine Blume. Oder wie die blühende Fantasie der Spammer auf der Suche nach Texten, mit denen sich noch jemand dazu motivieren lassen könnte, illegale Glücksspiele in einem durch nichts und niemanden kontrollierten Zockladen im Internet zu machen. Und weil die Domains für diese spammende Kooperation mit dem „Magic Box Casino“ schon alle aufgebraucht sind, wird im Moment der Plural auf „z“ gebildet.

Mal schauen, was der Designer des Zockladens sich einfallen ließ. (So etwas macht man nur mit einem besonders gesicherten System, und eine installierte „personal firewall“ nebst Virenscanner machen noch kein besonders gesichertes System. Wer nicht weiß, wie man den Computer besonders absichert, sollte gar nicht erst auf die Idee kommen, in einer Spam herumzuklicken.)

Die Startseite versucht mal wieder, ihre Besucher mit grafischer Exzellenz zu verblenden, was zugegebenermaßen diesmal recht gut gelungen ist (zum Vergrößern klicken):

Screenshot der Website

Für dieses Blendwerk werden stolze 271.666 Bytes an Grafik nachgeladen, die in solcher Datenmenge eine bemerkenswert dürftige Botschaft übermitteln und nebenbei vergessen machen müssen, dass „Golden Mummy Casino“ als Name nichts mit der verwendeten Domain my-casinoz (punkt) net zu tun hat – das Erstellen eines neuen grafischen Designs ist nun einmal wesentlich aufwändiger als die Registrierung einer neuen Domain, und Domains „verbrauchen“ die Casino-Halunken drei pro Tag.

Übrigens wird unter der angegebenen Website nur ein Frame definiert, der die eigentliche Website von der Adresse xredcasino (punkt) com (/) goldenmummy (/) de (/) index (punkt) html nachlädt, und damit man das nicht ganz so einfach nachvollziehen kann, haben die spammenden Schurken sich eine gewisse Mühe gegeben, diese Adresse so in HTML-Entitäten zu schreiben, dass sie für die meisten Menschen unlesbar ist. So wird schon bei einem flüchtigen Blick klar, dass hier jemand etwas zu verbergen hat – und dass das ganze Ding zudem dafür gemacht ist, schnell und einfach umgezogen werden zu können. Die Domain xredcasino (punkt) com gehört übrigens einem angeblichen Huang Neng aus dem schönen Beijing, der nicht nur eine nicht existente Postanschrift hat, sondern zudem als Mailadresse für den administrativen Kontakt die „sehr glaubhafte“ Adresse sfgsdfsdf (at) hotmail (punkt) com angegeben hat. Wer mit solchen Leuten ins „Geschäft“ kommt, wird ganz gewiss von vorne bis hinten beschissen werden. Die Domain wurde am 5. März 2010 registriert und am 22. März dieses Jahres auf den Server 194.143.136.198 konnektiert. Auch diese Kurzlebigkeit gibt einen gewissen Eindruck davon, mit was für einem Pack man es hier, wo einem auf der Startseite „500€ KOSTENLOS“ angeboten werden, als wüchse das Geld im fernen China einfach auf Bäumen, wirklich zu tun hat. Übrigens steht der Server in Odessa, Ukraine und keineswegs in China, aber das hat man sich bei den offensichtlich gefälschten Angaben des Domainbesitzers ja schon denken können.

Ach, apropos Blendwerk: Beim Herunterscrollen der Startseite sieht man auch eine schöne Anzeige eines…

Progressive Jackpot 4,357,981.38€

…progressiven Jackpots, der fröhlich immer weiter hochläuft, um gewaltige und stetig wachsende Gewinnaussichten zu suggerieren. Es gibt nicht nur jede Menge Geld geschenkt, es gibt auch jede Menge Geld zu gewinnen, wollen uns die freundlichen Internet-Kriminellen hiermit sagen. Dieser „Jackpot“ verhält sich wirklich sehr interessant. Wenn man ihn eine Zeitlang beim Hochzählen zugeschaut hat und dann die Seite neu lädt, fängt er beim Zählen wieder dort an, wo er ursprünglich startete. Das liegt daran, dass dieser Zähler in reinem JavaScript geschrieben wurde und im Browser ausgeführt wird, ohne Kontakt zu irgendeinem Casino aufzunehmen und dort irgendeinen Jackpot abzufragen. Das wurde natürlich vorsätzlich ein bisschen verwirrend programmiert und auf zwei weitere Server aufgeteilt, damit es sich auch bei Ansicht des Quelltextes nicht so leicht durchschauen lässt. Oder kurz gesagt: Es ist reine Verarschung. Genau die richtige Grundlage dafür, solchen Leuten Geld zum Verzocken zuzustecken.

Nur, falls jemand glaubt, dass so ein grafisch toll gestaltetes „Casino“ doch seriös sein müsse. Auch Verbrecher können mit Photoshop umgehen. Und die 500 Euro Bonus sind auch so richtig toll auf der Site erklärt:

Ein fantastischer Bonus wartet auf Sie. Nachfolgend finden Sie die Angebote. Vergessen Sie nicht, dass dies nur ein Willkommens-Bonus ist. Es gibt jeden Monat weitere Bonusse auf Ihre Einzahlungen!

1. Bonus

Nach der Anmeldung erhalten Sie 500€ gratis und haben eine Stunde, um so viel wie möglich zu gewinnen. – Sie können Slots, Roulette, Black Jack und Video Poker spielen. Erspielte Beträge über den ursprünglichen 500€ dürfen Sie behalten. So einfach ist das! – Falls Sie nicht gewinnen bietet Ihnen das Casino einen 100% Bonus auf Ihre erste Einzahlung.

Alle Bonusangebote unterliegen den Konditionen und AGB.

Man sollte nur nicht den Link auf die hier so klar erwähnten „Konditionen und AGB“ suchen, denn den gibt es nicht. Und zwar nirgends auf der gesamten Website. Diese Betrüger haben sich also für alle Fälle eine Hintertür in der Größe eines Scheunentores offengelassen, zumal gar nicht so recht klar ist, welchen Staates Justiz darüber zu entscheiden hätte, würden diese Hurensöhne einmal dingfest gemacht.

Ich kann es nicht oft genug sagen: Alle mit Spam beworbenen Angebote sind kriminell. Ausnahmslos. Immer. Wer sich von solchen Leuten eine „Casino-Software“ herunterlädt und installiert, lässt auf seinem Computer die Programme von Kriminellen laufen. Wer in einem solchen „Casino“ zockt, lässt sich auf einen Zock mit Betrügern ein, deren Tricks sich schon bei der Anpreisung ihrer tollen Angebote als Tricks erkennen lassen. Deshalb niemals in einer Spam herumklicken, niemals ein Angebot eines Spammers wahrnehmen und niemals über Spam angebotene Software installieren. Der Ärger, den man sich damit einholen kann, ist das bisschen befriedigte Neugier nicht wert. Wer diesen Verbrechern auch noch Geld gibt – und sei es ein noch so kleiner Betrag – der ist sowieso nicht mehr zu retten. Vielleicht lernt er ja durch die Erfahrung, betrogen worden zu sein.

Dies alles nur mal so ausführlich dargelegt, weil ich davon ausgehe, dass nach einer längeren Ruhezeit jetzt die Casino-Spam wieder zunehmen wird. Alle diese alten Betrugsmaschen kommen nämlich nach einer gewissen Ruhezeit wieder, um ein paar frische Opfer um ihr Geld zu bringen. Das gilt im Internet, und das gilt auch in der realen Welt – aber beim Hütchenspiel und beim Kümmelblättchen wird wenigstens noch eine professionelle Show geboten und nicht so eine Stümperei wie bei den Internet-Betrügern.

Die neue Art der Popup-Gewaltreklame

Montag, 21. Dezember 2009

Ich habe mir jetzt einmal die Mühe gemacht, mir das fröhlich über mehrere Stellen im Internet verteilte JavaScript anzuschauen, mit dessen Hilfe mir neulich der Betreiber einer Website ein Art von Popup-Window mit Reklame für einen Anbieter von in der BRD illegalen Glücksspielen aufgenötigt hat. Diese Form der Werbung ist ein gutes Beispiel dafür, mit wie viel krimineller Energie ein gewisse lichtscheues Gesindel von asozialen Werbern daran arbeitet, die Browsereinstellungen von Surfern, die auf solche Belästigungen verzichten wollen, auszutricksen.

Es war kein Popup-Fenster

Im Gegensatz zu meiner ersten Vermutung handelte es sich nicht um ein gewöhnliches Popup-Fenster, das in JavaScript mit window.open() erzeugt wurde. Deshalb hat der normale und aktivierte Popup-Blocker nicht funktioniert.

Die Vorgehensweise

Stattdessen wurde mit einem gewissen Aufwand in JavaScript (das seine Funktion durch verwirrende Verteilung über das Internet und einige Programmiertechniken zu verbergen suchte) dafür gesorgt, dass der gesamte dargestellte Seitenbereich in einen Link auf das kriminelle Angebot umgestaltet wurde. Dabei wurde folgendermaßen vorgegangen:

  1. Ein kleiner JavaScript-Fetzen wurde eingebunden.
  2. Dieser kleine Fetzen JavaScript lud einen größeren Fetzen JavaScript nach.
  3. Dieser größere Quelltext in JavaScript überlagerte die gesamte Website mit einer unsichtbaren (also komplett durchsichtigen) GIF-Grafik, die mit einem Link auf die Reklameseite belegt wurde. Der Link wurde in einem neuen Fenster geöffnet. Desweiteren wurde dem Link mit CSS der normale Mauszeiger zugewiesen, so dass das böse Spiel der Verbrecher nicht sichtbar war.
  4. Als Nebeneffekt des Klicks wurde der Bereich mit dem seitenfüllenden Link ausgeblendet, so dass nach dem Aufpoppen des Drecksfensters die kooperierende Website wieder benutzbar war.

Als Ergebnis dieser Vorgehensweise wird ein Reklamefenster eingebettet, wenn nur an irgendeine Stelle in der kooperierenden Website geklickt wird. Es handelt sich nicht um ein gewöhnliches Popup-Fenster, sondern für den Browser sieht das Ergebnis wie ein ganz gewöhnlicher Link aus. Da viele Websites dynamisch Inhalte über AJAX nachladen und da diese Inhalte oft Links enthalten, kann eine solche Schweinerei nicht so problemlos unterdrückt werden wie das Öffnen eines Popup-Fensters. Und genau das ist die Absicht der Fäkalmaden, die sich so etwas ausdenken. Die wollen nicht die Wünsche von Menschen respektieren, ungestört von so einem Dreck zu sein, wenn sie sich durchs Internet bewegen.

Abhilfe

Die Abhilfe gegen diese Form der Überrumpelung ist einfach, aber vielleicht für viele ein bisschen unkomfortabel.

Wer mit dem Firefox surft, nimmt das Plugin NoScript und verbietet generell für alle Websites die Ausführung von JavaScript. Wenn man einer Website vertraut, kann JavaScript eigens für diese Website freigeschaltet werden.

Wer mit Opera surft, verbietet global JavaScript und gestattet es vertrauenswürdigen Websites unter „Seitenspezifische Einstellungen“.

Wer mit dem Internet-Explorer surft, muss wohl weiterhin – ich habe diese Sammlung widerspenstiger Bytes aus dem Hause Microsoft lange lange nicht gesehen – damit leben, dass Kriminelle ihn immer wieder mit derartigen Belästigungen quälen. Alternativ kann man sich auch in das recht elaborierte und nicht so leicht durchschaubare Zonenmodell des Internet-Explorers einarbeiten, das setzt aber schon ein bisschen technische Begeisterungsfähigkeit voraus. Für jene Menschen, denen diese Lust am Lernen technischer Zusammenhänge abgeht, bleibt nur noch eine Abhilfe: Es gibt andere Browser.

Abschließendes

Übrigens ist es ein erheblicher Gewinn an Sicherheit und ein Schutz für die Privatsphäre, wenn JavaScript standardmäßig deaktiviert ist. Fast alle Sicherheitslücken in Browsern hängen in der einen oder anderen Form mit JavaScript zusammen, und auch gängige Techniken zum Verfolgen und Identifizieren von Surfern im Internet verwenden häufig JavaScript. Von daher sind Plugins wie NoScript in jedem Fall empfehlenswert.

Über 300 Spiele – goldene Möglichkeiten.

Mittwoch, 9. Dezember 2009

Na, wer hier wohl im Spamversand goldene Möglichkeiten sieht? Ach, es ist mal wieder der „Laden“, der sich jetzt nicht mehr „Euro VIP“ nennt, weil diese Bezeichnung wirklich nirgends mehr durch ein Spamfilter kommt. Stattdessen nennt er sich im Absender neben der gefälschten Adresse „Great Casino“, es gibt den gleichen Sondermüll aber auch in der Geschmacksrichtung „Euro Gaming Palace“ und „Ruby Royale Casino“ – die anderen Phantasienamen zu den Wegwerfdomains der Casino-Spammer wollte ich mir nicht anschauen.

Natürlich betreiben die nicht selbst ein Casino, sondern kassieren Provision dafür, dass sie Idioten in das „Magic Box Casino“ treiben, wo dann illegale und durch niemanden kontrollierte Glücksspiele angeboten werden. Allerdings klingt das in den Spams natürlich etwas anders:

Setzen Sie sich und schnallen Sie sich an! Starten Sie jetzt eine fantastische Reise, auf der Sie die besten Spiele erleben und tolle Bonusse erhalten.

http://www.gameprimeeuro.net/de/

Kurz und schmerzhaft wird der gleiche Unfug versprochen, mit dem jetzt schon seit Jahren Millionen von Menschen belästigt werden, weil sich offenbar immer noch ein paar hundert Deppen finden, die darauf anspringen.

Nun, da setze ich mich doch mal, schnalle mich an und schaue mir mal mit einem besonders gesicherten System an, was diese Gangster im Moment für Websites bauen, um die Leute zu betrügen.

Zunächst einmal öffnet auf der oben zitierten URL nur ein Frameset mit einem einzigen Frame, der von einer anderen Adresse nachgeladen wird. Damit man dies nicht so leicht nachvollziehen kann, wird die nachgeladene Adresse in Form numerisch angegebener HTML-Entities „codiert“, aber hey, Leute, das ist wirklich schwach, das kann ja ein vierjähriger Nachwuchshacker auf dem Kackpott durchschauen. Die dargestellte Seite liegt unter der URL…

http://id777casino.com/cccasino/de/index.html

[Man sieht hier sehr hübsch, dass die auf diesem einen Server, dessen Domainnamen sie nicht ganz schon schnell verbrennen wollen, offenbar ein paar ihrer tollen „Casinos“ mehr abgelegt haben.]

…und sieht so aus:

Screenshot des angeblichen Casinos

Hier hat sich mal wieder so richtig das Streben nach graphischer Exzellenz mit der unfassbaren Dummheit der Kriminellen kombiniert. Man stellt sich doch so einige Fragen, wenn man diese tolle Website sieht. Zum Beispiel fragt man sich unwillkürlich, warum so ein „Great Casino“, das in seiner URL etwas von „Game“, „Prime“ und „Euro“ faselt, sich auf seiner Website denn „CC-Casino“ nennt. Da scheint jemand keinen großen Wert auf eine konsistente Firmierung zu legen. Und dann fragt man sich, was dieser tolle, dunkelgraue Sportflitzer im Zentrum der graphischen Gestaltung…

150 € kostenlos!

…mit einem Bonus von 150 Euro zu tun haben könnte. Soll man sich jetzt etwa für 150 Euro so ein tolles Auto kaufen? Nun, dieses Auto hat es offensichtlich sehr viel günstiger gegeben, denn es ist allzu offensichtlich, dass es mit einem Raytracing-Programm erstellt wurde – vermutlich hat der Designer dieser tollen Website irgendwo das Modell im Internet gefunden, etwas dunkler gemacht, ein Bild rendern lassen und es reingefummelt, damit so eine kriminelle Dreckssite mal wieder neu und frisch aussieht.

Am meisten bohrt natürlich im Betrachter dieser Website die nahe liegende Frage, warum ein doch regel- und gewerbsmäßig mit Geld umgehendes Casino so große Probleme damit haben sollte…

Über 320 Casinospiele - Progressiver Jackpot 2,247,133.17 ?

…das Währungssymbol richtig darzustellen. Von der Kleinigkeit, dass auf einer deutschsprachigen Website das Komma und der Punkt in der Zahlendarstellung genau falschrum verwendet werden, einmal ganz zu schweigen. Allein beim Zustandekommen dieses Jackpots hätte ja einen Umsatz in mindestens der zehnfachen Höhe gemacht, das wäre doch genug Geld, jemanden mit dem Internet zu beschäftigen, der auch etwas kann und solche Peinlichkeiten vermeidet.

Nun gut, den permanent hochzählenden Jackpot haben die Betrüger über JavaScript realisiert. Dieses Skript ist zurzeit unter der URL…

http://www.thepalacegroup.com/scripts/tickerScript.js

…verfügbar. Ist es nicht toll, wie die Gangster ihr Projekt über diverse Server verteilen? Der kleine JavaScript-Fetzen zum Hochzählen sieht übrigens so aus:

var jackpots = JP1; 
var jackpotsTotal = 0; 
var jackpotsInc = new Array();

function doTotals(){ 
  if(incrementTotals==true) 
    setInterval(incTotals, 1000);
  jackpots.splice(15,3); 
  for(i in jackpots) 
    jackpotsTotal += Number(jackpots[i]); 
  jackpots[15] = jackpotsTotal;
}

function displayTotal(id){ 
  jackpotsInc[id] = id; 
  value = formatTotal(jackpots[id]); 
  document.getElementById(id).innerHTML = value; 
}

function formatTotal(data){ 
  data += ""; 
  x = data.split(""); 
  xr = x.reverse(); 
  for(i=0; i<xr.length; i++){ 
    if(i==0) 
      tmpStr = xr[i]; 
    else if(i==2){ 
      tmpStr += "."; 
      tmpStr += xr[i]; 
    }
    else if(i==5){ 
      tmpStr += ","; 
      tmpStr += xr[i]; 
    }
    else if(i==8){ 
      tmpStr += ","; 
      tmpStr += xr[i]; 
    }
    else{ 
      tmpStr += xr[i]; 
    } 
  } 
  x = ((tmpStr.split("")).reverse()).join("");

  if(currencyAlign=="right") 
    return x + currency; 
  else 
    return currency + x; 
}

function incTotals(){ 
  for(i in jackpotsInc){ 
    jackpots[i] = Number(jackpots[i]) + 26; 
    document.getElementById(i).innerHTML = formatTotal(jackpots[i]); 
  } 
}

Wer ein bisschen JavaScript lesen kann, versteht hier schon das Prinzip – für jeden anderen sei es hier kurz erklärt. Hier wird nicht etwa aufwändig mit einem Rechner im Internet kommuniziert, um den Zähler hochzuzählen, sondern es wird in der Funktion incTotals einfach lokal im Browser hochgezählt, und zwar um einen stets konstanten Wert. Nicht einmal an eine Zufallszahl, die es nicht ganz so offensichtlich machen würde, hat dieser tolle Programmierer gedacht. Um es einmal ganz deutlich für jeden zu sagen: Dieses Hochzählen hat nichts mit dem Anwachsen irgendeines Jackpots in irgendeinem Casino zu tun, sondern ist in diesem Zusammenhang ein ganz billig programmierter Beschiss, den jeder JavaScript-Anfänger besser hinbekäme.

[Das Array mit den Werten für die Variable JP wird wiederum von einer anderen tollen Domain nachgeladen, und zwar genau ein Mal beim Seitenaufruf.]

Wer hätte von kriminellen Spammern auch etwas anderes erwartet?

Ach ja, das kaputte Währungssymbol. Na ja, das ist mal wieder eines der üblichen Probleme, es wurde ganz einfach in der falschen Zeichencodierung angegeben – vermutlich beim Kopieren der JavaScript-Anteile in der Zwischenablage des Editors. Warum sollte man sich bei so einem Beschiss auch Mühe geben, wenn man doch sowieso nur unbelehrbare Idioten als „Zielgruppe“ hat – und dass man einfach vor der Spamaktion mal einen Blick auf die Dreckssite wirft, wäre auch zu viel der Mühe gewesen.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.