Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Paket“

Eliasschwerdtfeger,📦 Ihr Paket ist bereit zur Zustellung

Freitag, 28. Juni 2024

Och, ist bei der Verarbeitung des Namens ein Leerzeichen verloren gegangen? Na, vielleicht haben die Spammer beim nächsten Mal ja etwas mehr Glück bei der Datenverarbeitung. 🍀️

Paketspams sind immer noch die Pest des täglichen Spameinganges. Es fallen also immer noch Menschen darauf herein, obwohl Pakete an eine Lieferanschrift und nicht an eine Mailadresse geliefert werden, was die Mailbenachrichtigung sehr unwahrscheinlich erscheinen lässt. Wenn nämlich niemand mehr darauf hereinfiele, würde das mal aufhören und die Trickbetrüger müssten widerwillig ihre halbverweste Schädelfüllmasse benutzen, um sich mal eine neue kriminelle und höchst asoziale Masche auszudenken. Beinahe alle diese Paketspams sind unfassbar dumm. Das heutige Exemplar zum Beispiel.

Von: Ihre Lieferung <51s2atvobjrvlctkhq73r@torres.fecomputing.com>

Welcher Lieferant nennt sich „Ihre Lieferung“? 😅️

Aber abgesehen von solchen Peinlichkeiten, die entstehen, damit der Text zu so ziemlich jeden Logistiker passt, von dem ein potenzielles Opfer ein Paket erwarten könnte, ist diese Spam auch technisch interessant.

Sie hat einen Textteil und einen HTML-Teil.

Das ist an sich nicht so interessant, sondern man sieht es relativ häufig, und keineswegs nur in Spam. Damals, als diverse frühe Software des Webzeitalters damit angefangen hat – der Netscape Navigator sei hier mal als prominentes und unangenehm einflussreiches Beispiel erwähnt – dass man seine E-Mail in HTML formatiert und das auch gleich zum Standard gemacht hat, musste auch noch daran gedacht werden, dass die ganze ältere Mailsoftware gar kein HTML konnte. Die „Lösung“ war es nicht etwa, auf ein unnützes Funktionsmerkmal zu verzichten, sondern in jeder Mail den Inhalt doppelt zu codieren: als Text und in HTML. 🤦‍♂️️

Und das wird bis heute so gemacht. Vermutlich wird es auch in einigen hundert Jahren noch so gemacht, und selbst die so genannten „künstlichen Intelligenzen“ werden es genau so von uns so erlernen und fortsetzen.

Mit Stable Diffusion erzeugtes Bild einer absurden MaschineUnd das, obwohl praktisch niemand bewusst HTML-Mails verfasst. Obwohl die meisten Menschen einfach nicht herausbekommen (oder aus noch größerer Unkenntnis niemals danach gesucht) haben, wie man den Standard für das Format einer neuen Mail auf etwas Vernünftigeres einstellt. Obwohl es überhaupt keinen sinnvollen Nutzen bei HTML-Mails gibt. Denn sollte es einmal nötig werden, ein strukturiertes und aufwändiger formatiertes Dokument (sagen wir einmal: ein mittelkompliziertes Angebot mit einer tabellarischen Auflistung von Tätigkeiten und Vergütungen) per Mail zu transportieren, dann kann man ein solches Dokument ja immer noch an die Mail anhängen. Das machen auch die allermeisten Menschen genau so, und niemand klickt sich stattdessen Formatierungen für eine HTML-Mail zusammen. Oder genauer gesagt: Ich habe es noch nicht erlebt, dass das jemand tut. Die meisten Menschen wissen nun einmal etwas Besseres mit ihrer Lebenszeit anzufangen.

Aber trotzdem versenden diese Menschen HTML-Mail. Im Regelfall sind sie sich dessen gar nicht bewusst. Sie glauben vermutlich, dass die Voreinstellungen ihrer Mailsoftware sinnvoll sind. Außerdem macht es ja jeder, also muss es doch gut sein. Und dass sie ihre Texte in jeder Mail gleich doppelt versenden, wissen sie gar nicht. Woher denn auch? Aus der Schule? Aus dem Journalismus?

Aber man muss bei diesem Verfahren natürlich nicht zwei Mal den gleichen Text codieren. Man kann da auch zwei verschiedene Texte reinschreiben. So, wie es der heutige Frisurpuppenkopf von Spammer aus für mich nicht nachvollziehbaren Gründen tut.

Wenn man diese Spam als Textmail betrachtet, so wie das heute viele Menschen tun, die aus persönlichen oder beruflichen Gründen auf Computersicherheit Wert legen oder Wert legen müssen, dann sieht sie so aus:

https://www.apt2b.com/pages/easy-financing

https://www.apt2b.com/

https://www.apt2b.com/collections/ready-to-ship

https://www.apt2b.com/collections/made-in-the-usa-sectionals/products/brentwood-2pc-sectional-pecan-raf?variant=3D40317553508441

https://www.apt2b.com/products/wilco-2pc-leather-sectional-sofa

https://www.apt2b.com/products/catalina-reversible-chaise-sleeper-sofa-pecan-innerspring?variant=3D15807694602329

https://www.apt2b.com/collections/new-arrivals/products/addison-sofa?variant=3D40562936119385

https://www.apt2b.com/products/potenza-dining-bundle?variant=3D40991989858393

https://www.apt2b.com/products/abacus-sideboard

https://www.apt2b.com/collections/tempur-pedic-cloud-mattresses/products/tempur-pedic-cloud-mattress?variant=3D40430879539289

https://www.apt2b.com/products/sheridan-platform-bed?variant=3D40894676074585

https://www.apt2b.com/pages/apartment-size-furniture

https://manage.kmail-lists.com/subscriptions/subscribe?a=3D9TDU9n&g=3DTnQhit

https://www.apt2b.com/pages/reviews

https://www.apt2b.com/pages/easy-financing

You are receiving this advertisement at your request. This is a recurring mailing. We respect your privacy. Please review our [privacy policy](http://www.apt2b.com/pages/legal-mumbo-jumbo). You can [unsubscribe here](http://apt2b.myklpages.com/p/unsubscribe3? [endlose Parameterliste entfernt]).

Apt2B 5250 Lankershim Boulevard Suite 500 – #1020 North Hollywood, CA 91601

© Apt2B. All Rights Reserved

Ja ja, ihr respektiert meine Privatsphäre, schon klar! Ich würde für solche Sprüche zu gern euer Gebiss mit einem Baseballschläger respektieren. 🤬️

Und wenn man sich die gleiche Mail in HTML-Formatierung anschaut, sieht sie so aus:

Eliasschwerdtfeger, Liefrung des ausgesetzten pakets

click show image

Paketzustellung -- Lieferung des Ausgesetzten Pakets -- Foto eine Pakets mit einem Ausrufezeichen-Symbol im Kreis -- Sie haben (1) Paket zur Lieferung bereit. Verwenden Sie Ihren Code, um ihn zu verfolgen und zu erhalten -- Planen Sie Ihre Lieferung und abonnieren Sie unsere Kalenderbenachrichtigungen, um dies zu vermeiden passiert schon wieder! -- Ihr Tracking-Code: 58381253 -- [Planen Sie Ihre Lieferung] -- hier abbestellen

unsubscribe

Das Bild ist übrigens ein weiteres Mal anonym und kostenlos bei Imgur gehostet worden, was ich in den letzten Monaten immer häufiger in Spams sehe. Offenbar bleiben solche Bilder bei Imgur lang genug stehen, dass das „Geschäft“ der Spammer nicht von Spambekämpfung behindert wird. Vielleicht ist es aber auch einfach eine durch nichts mehr zu bewältigende Flut von Spambildern solcher Halunken.

Was sich die Spammer davon versprechen, gleich zwei verschiedene klare Spamtexte in eine Spam zu schreiben, damit ein Spamfilter gleich zwei spammige Eingaben für seine Spamerkennung bekommt, bleibt leider ein Geheimnis zwischen ihnen und ihrem Hirnmechaniker. So deutlich wie diese Spam ist bei mir schon lange keine Spam mehr als Spam erkannt und automatisch aussortiert worden. 😂️

In diesem Sinne: Bitte so weitermachen, Spammer! 👍️

𝙷𝚎𝚛𝚣𝚕𝚒𝚌𝚑𝚎𝚗 𝙶𝚕𝚞̈𝚌𝚔𝚠𝚞𝚗𝚜𝚌𝚑 Eliasschwerdtfeger

Donnerstag, 6. Juni 2024

Diese Spam ist eigentlich nicht der Rede wert. Es ist die gegenwärtige Pest des Spameingangs, es ist eine Paketspam. Sie steht stellvertretend für viele ähnliche Spams, an denen ein neues Merkmal bei alter Dummheit gemeinsam ist: Der Betreff enthält eine Menge Unicodezeichen, die ähnlich wie die normalen Buchstaben aussehen, aber nach „Textauszeichnung“ wirken, die im Betreff an sich gar nicht möglich ist. Denkende und fühlende Menschen würden so etwas nicht machen. Sie würden für einen Betreff einfach die Buchstabentasten auf ihrer Tastatur tippen, so dass die ganz gewöhnlichen Buchstaben erscheinen, mit denen wir alle schreiben. Das ist viel einfacher, als…

$ xsel -bo | hexdump -C
00000000  f0 9d 99 b7 f0 9d 9a 8e  f0 9d 9a 9b f0 9d 9a a3  |…………….|
00000010  f0 9d 9a 95 f0 9d 9a 92  f0 9d 9a 8c f0 9d 9a 91  |…………….|
00000020  f0 9d 9a 8e f0 9d 9a 97  20 f0 9d 99 b6 f0 9d 9a  |…….. …….|
00000030  95 f0 9d 9a 9e cc 88 f0  9d 9a 8c f0 9d 9a 94 f0  |…………….|
00000040  9d 9a a0 f0 9d 9a 9e f0  9d 9a 97 f0 9d 9a 9c f0  |…………….|
00000050  9d 9a 8c f0 9d 9a 91 20  45 6c 69 61 73 73 63 68  |……. Eliassch|
00000060  77 65 72 64 74 66 65 67  65 72                    |werdtfeger|
0000006a
$ _

…irgendwelche eher abstrusen Zeichen zu codieren, und es geht auch viel schneller von der Hand, selbst noch wenn man auf der Tastatur völlig ungeübt ist. Eine andere Spam gleicher Machart aus dem heutigen Pesteingang begrüßt mich so:

Betreff: 𝑰𝒉𝒓 𝑵𝒂𝒎𝒆 𝒘𝒖𝒓𝒅𝒆 𝒇𝒖̈𝒓 𝒆𝒊𝒏 𝑺𝒂𝒎𝒔𝒖𝒏𝒈 𝑮𝒂𝒍𝒂𝒙𝒚 𝑺𝟐𝟒 𝑲𝒖𝒏𝒅𝒆𝒏𝒈𝒆𝒔𝒄𝒉𝒆𝒏𝒌 𝒂𝒖𝒔𝒈𝒆𝒘𝒂̈𝒉𝒍𝒕

Ich freue mich ja über alles, was das Spamfiltern erleichtert. Vor ein paar Monaten gab es die gleichen angeblichen Pakete mit hochpreisigen und deshalb als Statussymbol geeigneten Unterhaltungsgeräten aus der Smarthölle mit einer Menge lustiger Emoji im Betreff, aber das scheint inzwischen nirgends mehr durch die Spamfilter zu kommen. Die Spammer versprechen sich von dieser Vorgehensweise vermutlich, dass der Betreff im Posteingang auffälliger ist, und sie scheinen zu glauben, dass das einen Empfänger zum Lesen des Mülls motiviert, weil es anders aussieht. Bei einer dummen Zielgruppe – es erfordert schon ein gewisses Maß an Naivität und intellektueller Muskelverkümmerung, um auf eine Paketspam reinzufallen, obwohl auf Paketscheinen keine Mailadresse, sondern eine Lieferanschrift steht, weil Pakete nun einmal nicht per E-Mail ausgeliefert werden – mag das sogar ein bisschen funktionieren. Das zeigt sich ja auch daran, dass sich dieser an der Aufmerksamkeit reißende „Trick“ den schon seit Monaten laufenden Spams mit Emoji im Betreff folgte. Schade, dass es Gehirn nicht im Appstore gibt. 😐️

Die Spam ist ansonsten wie gewohnt. Der Text ist sehr kurz, der größte Teil des Inhaltes steht in einer Grafik. Dass blinde und schwer körperbehinderte Menschen einen solchen Text gar nicht lesen könnten, ist dem DPD aus der Phantasie der Spammer egal, denn Spammer haben ja keine Kunden, sondern Opfer. Das Bild wird einmal mehr anonym und kostenlos bei Imgur gehostet, was man so häufig sieht, dass ich es als Kriterium für die Spamfilterung empfehle. Denn die allermeisten denkenden und fühlenden Menschen würden das nicht so machen und tendenziell eher den Link zu Imgur versenden, wenn sie ein Bild versenden möchten. Weil es einfacher und schneller geht, die Adresse aus der Adressleiste des Browsers zu kopieren, als umständlich in der Mailsoftware ein extern referenziertes Bild im Editor zusammenzuklicken, und weil genau so gut funktioniert.

Der Gesamteindruck dieser Spam ist so dumm wie immer:

iPhone 13 Pro – Ihre Bestellung wurde versandt!

Von Imgur eingebettetes Bild: Benachrichtigung zu Ihrer Paketzustellung Nr. 34632900-371? -- DPD-Logo -- Foto eines Paketboten mit Paket vor einem DPD-Transporter. -- Paketverfolgungsnummer: 58412233520000 [Verfolgen] -- Ihr Paket konnte nicht zugestellt werdden, da bei der Zustellung keine Person zur Unterschrift anwesend war. -- Wir möchten Ihnen mitteilen, dass wir eine Adressbestätigung benötigen, um den Paketversand erneut zu bestätigen -- [Hier überprüfen] -- Wenn Sie diese E-Mails nicht mehr erhalten möchtn, können Sie sich per abmelden hier klicken oder schriftlich an 1070 Mongomery Rd, Altamente Srpings, FL 32714 -- Der Werbetreibende verwaltet Ihr Abonenement nicht. Wenn Sie keine weiteren Mitteilungen erhalten möchten, melden sie sich hier Oder schreiben Sie an: 6101 Long Prairie Rd, Ste 744 #511 Flower Mound, TX 75028

Mit Stable Diffusion erzeugtes Bild eines intellektuell herausgeforderten Menschen vor einem Klapprechner.Da ich kein iPhone bestellt habe und auch keines aus anderen Gründen erwarte, muss es sich wohl um ein Geschenk handeln. Ein völlig grundloses Geschenk natürlich, denn ich nehme an keinen Gewinnspielen teil. Geburtstag habe ich auch nicht, und selbst wenn: Ich feiere diesen Tag nicht, und niemand weiß, wann ich Geburtstag habe. Bis zum Weihnachtsfest ist es auch noch 202 Tage hin. Das „Geschenk“ scheint auch gar nicht für mich zu sein, sondern für meine Mailadresse. Obwohl dieses Bild nicht mit lustigen Nummern geizt, steht nicht einmal mein Name drin. Dafür steht Bullshit drin: Das DPD der Spammer hat das Paket also zugestellt, aber ich oder mein gerichtlich bestellter Vormund konnte nicht unterschreiben, aber gleichzeitig glaubt dieses Spam-DPD nicht, dass die Lieferadresse überhaupt stimmt und deshalb muss ich so blöd werden, dass ich in eine Spam klicke, um diese Adresse zu „bestätigen“. Alle Daten, die man nach so einem Klick eingibt, gehen übrigens direkt an Trickbetrüger, und alles Geld, das man bezahlt, natürlich auch. Wenn man bequem mit der Kreditkarte zahlt, freuen sich die Trickbetrüger besonders doll über den gewährten Vollzugriff auf das Konto eines anderen Menschen. Damit macht das Einkaufen doch gleich viel mehr Spaß, als wenn man selbst dafür bezahlen müsste! Immerhin kann ich mich gleich unter zwei verschiedenen Anschriften mit der Sackpost abmelden. Vielleicht kommt der Brief ja auf einer der beiden Anschriften an. 😅️

Man muss schon mehr als nur ein bisschen „intellektuell herausgefordert“ sein, um so einen Müll nicht sofort zu löschen oder gar darauf reinzufallen und in diesen Müll reinzuklicken.

Natürlich ist der Link nicht direkt gesetzt, wie das jeder denkende und fühlende Mensch machen würde, sondern es gibt nach dem Klick eine lustige Wanderung durch diverse sumpfige Websites – mal über HTTP weitergeleitet, und mal über Javascript:

$ mime-header „http://everensec.com/OxVqg.asp?dQtpJxccWPtzczdQ7cfdcwcKcD8sMlrnxcbbb4V“ | grep -i ^location
Location: https://useablepie.com/0/0/0/236d5fcb8a9ebe7c879af48377f1a4ca/3_1019946_2819832/2773_6863552_4719248_38/696744326_92-210-61-94$
$ lynx -source "https://useablepie.com/0/0/0/236d5fcb8a9ebe7c879af48377f1a4ca/3_1019946_2819832/2773_6863552_4719248_38/696744326_92-210-61-94$" | grep -i location
<script type="text/javascript">window.location.href="https://unaryland.online/dcb943f1175c2045f9587aba4e86e5c8x/35063501/612403/333204/119141211502"</script>
$ mime-header "https://unaryland.online/dcb943f1175c2045f9587aba4e86e5c8x/35063501/612403/333204/119141182102" | grep -i ^location
location: https://coastriver.world/d562c4863d3176ceeca1ce054eeee878
$ lynx -dump https://coastriver.world/d562c4863d3176ceeca1ce054eeee878 | sed -n 30,38p
Verpackungsinformationen:

   Status:       Gestoppt am Vertriebszentrum (ausstehende Zollgebühren)
   Versand per:  Internationaler zurückverfolgbarer Kurier
   Zollgebühren: €1.95
   (BUTTON) Lieferung jetzt planen
     * Wir speichern Ihre bevorzugten Einstellungen…
     * Wir bestätigen Ihre Paketzustellung…
     * Das Paket ist reserviert!
$ surbl coastriver.world
coastriver.world	okay
$ _

Ich kann nicht ausschließen, dass man mit einem Desktopbrowser über einen anderen Weg geleitet wird. Ich kann nicht ausschließen, dass Fehler in gängigen Webbrowsern ausgenutzt werden, um auch noch eine Schadsoftware zu installieren. Die Absender dieser Spams sind Kriminelle.

Erst nach langen Umwegen kommt man ans Ziel. Diese Betrüger haben es nicht so gern, wenn ihre Nummer zu einfach oder gar automatisch analysierbar ist. Und damit haben sie auch durchaus einen gewissen Erfolg, denn die Domain der eigentlichen Betrugsseite – von der ich hier nur ein paar ausgewählte Zeilen Text zitiert habe – steht noch nicht auf den Blacklists. Wer sich auf die „Sicherheit“ von Schlangenöl und/oder Browseraddons zum Schutz vor Schadsoftware, Betrug und Phishing verlässt, ist also verlassen. Wer niemals in eine Mail klickt, ist hingegen sicher. Und zwar vor praktisch allen Betrugsmaschen im Internet und vor dem Hauptvertriebsweg für Schadsoftware. 🖱️🛑️

So einfach geht „Cybersicherheit“. Kostet kein Geld und wirkt. Macht das! Klickt niemals in eine Mail! Sollen diese ganzen Gangster doch verhungern! Ich würde sie jedenfalls nicht vermissen, und es wäre mir eine Freude, wenn ich dieses Blog mal einstellen könnte.

Ach ja, und „Paketbenachrichtigungen“ sollten eher einen Alarm als Vorfreude auslösen. Ich habe jeden Tag ein paar davon. Dabei erwarte und empfange ich gar keine Pakete. Alle Logistiker haben Websites, die man sehr leicht finden kann. Dort kann man seine Sendungen verfolgen, wenn man eine Sendungsnummer hat. Man muss dafür nicht in die Mail klicken, und man sollte dafür niemals in die Mail klicken.

Zu dumm zum Spammen

Dienstag, 14. Mai 2024

⚠️ Gut festhalten, es ruckelt gleich ein bisschen! ⚠️

Wenn man als Spammer zu blöd ist, in seinem schnell hingeskripteten Gestrokel das Encoding für einen Mailheader korrekt anzugeben, dann entsteht halt auch mal so etwas wie das hier:

Von: =?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?VmU=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?cmI=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?cmE=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?dWM=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?aGU=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?ci0=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?RmU=?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?ZQ==?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?ZA==?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?Yg==?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?YQ==?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?Yw==?==?qCxCSR5RquL4S2Oim08s9UzsRoX3mHRemcLHScHQP0lQtRYtv2oFuvV8ATcWHesf?b?aw==?= <Verbraucher-Feedback_pazxnifeqpva@banks.assocmicroscope.com>

Und weil es so schön war, kommt der Müll gleich dreimal in 65 Minuten auf der selben Mailadresse an. Der Spammer ist nämlich auch zu blöd, die Duplikate aus seinem aus vielen Quellen zusammengerafften Adressbestand zu entfernen. Es war leider gerade kein aufgeweckter Achtjähriger in der Nähe, der ihm mal gezeigt hat, was man mit sort und uniq anfangen kann, und um es selbst herauszufinden, hätte er sich ja etwas Mühe geben müssen. Da könnte er doch gleich arbeiten gehen! 🛠️

Ach, um was es geht? Na ja, eine Portion „das Übliche“ bitte. Die gegenwärtige Pest des Posteinganges ist nun einmal die Paketspam, und ich rate dringend davon ab, in solchen angeblichen „Paketbenachrichtigungen“ herumzuklicken:

Betreff: Bestätigen Sie die Lieferadresse Ihres Pakets

Wichtiger Lieferhinweis: (1) Paket wartet auf Sie

Da sollte eigentlich noch ein Bild aus dem Web nachgeladen werden, aber der Spammer ist daran gescheitert. Ein Blick in den Quelltext zeigt, dass seine Dateien auch sehr eigentümliche Dateinamen haben.

<center>
<img src="http://cognaterector.com/TXYHf2dJn1g.cfml?r4RHnhLfDtl8GXLKLMvvwLxmGksfJmwtLVpg7B97D5V64ZY7xGcv41ktVYWSsnZhVnQbZlSkdflDRNMJGVTGwzcNK9FyZC9TgDbXmCzXKs1lGBlykmy3thGslV6w2mQ6fMtCSpnVVQDSm9R8RbsrD6gsqvHh3KrLyn1g3LZDN2cF4dgZQs6SMCtkqNJ0ZN4dXtp1rynvRqCR56rYqmdNyGB4lBRXVrv0lDsWbQH8BLs8Hncb9NY3PK6pmGNqbQDC2XG4JXM18cnSN7TXGrYdW4qLsQ8964wyDj5mm3rJtTl81GWhF9Rh6wVmswNFWXSl5wFNGkvgqMfdcP1vK9lDDT6HJ2b7Pv3txDdjNhNtVytLzv3H7z0cf4ZdqL4x6yYLmbJW6PXHwfVqrfRGRHFF8YRN5zVFvPxpZYxp71fsP4nzcJ51Fp1dzlN1Sw6hS3Tzf7LGNmTXc6V5hnK1PdXX9xnWsJbpdjS4nCfgZCP2CmLjkGPkhGb41kBc1t7ZH1dn8R0ynwnG1zy3b2Hs21qDTM0HWTSvWfmwjJ9nNndLdJ6S5Jvpzx8NTdmVXmjCvJq9Mjzcg44WQhdfrC0yh5QvTGh5h3kCZr1dr3qYKdRKtP2rDwmBPjM1flF8jPHH3DZ7gSL8yMCXBtg6WnQCtDwJCl6t5JtFGbMtGt1Z7TykCggxPV9fXvhLGYC3BczFWyPtBSzJxwclz5shcq7NYCWDDLmF6zlhckL8YzXG6mH9pc7xVvvKhqZqkwvg5FdKQBxHsCmrrQRY05yvV57SbbxkG7QgWNH5S7Z256nxjxDWm5y39vPdpnYtHTC3nYsSxWbC59GBjpd6c58dkKs1nkFwpL2qg45QcPJdDnQB4Z5Jpd1MJbzRGs2CWtq7yZRYBHXM6V06KW2Xr5PNySPZtb9Chf5N9SbPWJlr3sgsS58RdfgxHzsJXcZWQ80xVB7KFVkbcZGqrwlFMtrnxhKsN1kRJhwxzTCw921nDXhqJGZrcbbbcQtpJxbcWGTdczlwgcfcW3cKc9jc8kzT3cbbb5c" width='1' height='1'>
<P style="text-align: center;"><A href="http://cognaterector.com//TXYHf2dJn1g.phtml?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" style="text-decoration: none"><font face="Arial"><br>
<font size="6" color="#0033a0"><span style="text-decoration: underline"><b>Wichtiger Lieferhinweis: (1) Paket wartet auf Sie
</b></font><br><br>
</A></P>
</center>

Aber dass dieser Idiot zu dumm zum Spammen ist, habe ich ja schon im Titel geschrieben. Wer trotzdem unbedingt ein Bild haben möchte, suche sich einfach hier eines aus!

Bitte bestätigen Sie den Lieferstatus des Pakets

Mittwoch, 8. Mai 2024

Aber ich erwarte gar kein Paket. Ich habe auch keines bekommen, und kann keinen Status bestätigen.

Guten Tag, […]

Genau mein Name!

[…] dies ist die Ankündigung des Gewinnerpakets der El Gordo/Euromillions Spanish MegaJackpot-Aktion, die am 11. Oktober 2023 stattfand und zuvor von der Welttourismusorganisation / dem spanischen Ministerium für Tourismus organisiert wurde.

Aber ich habe gar kein Los gekauft. Ich kaufe lieber Nudeln, denn die sind lecker.

Ihre E-Mail wurde mit der Losnummer: (721-524-27756), der Seriennummer: (52136/2013 und der Glücksnummer 66513 bestätigt.

Aber meine Mailadresse hat gar keine Nummer.

Sie sind der Gewinner von € 1.200.000,00 (eine Million zweihunderttausend Euro) in bar, gutgeschrieben unter der Referenznummer [WNT/25456009/EU].

Au mann, so viele Nummern! Und 1,2 Megaøre, weil ich so eine schöne Nummer… nein… Mailadresse habe. Und, wie kommt die Mailadresse jetzt an die Nummer?

Die Gewinner wurden per Computerabstimmung aus 45.000.000 Namen und E-Mail-Adressen aus der ganzen Welt als Teil unseres internationalen Werbeprogramms ausgewählt, das wir einmal im Jahr durchführen.

Ach, über eine Computerabstimmung. Ich wusste gar nicht, dass Computer so demokratisch sein können. 😅️

Scherz beiseite. Ich habe hier jetzt keine große Datenbank mit Mailadressen rumliegen, aber dafür ein Wörterbuch der deutschen Sprache. Die Wörter darin, es handelt sich…

$ cd /usr/share/dict
$ wc -l ngerman
356010 ngerman
$ _

…immerhin um 356.010 Einträge, sollen hier mal als Platzhalter für die Mailadressen herhalten. Da ziehe ich jetzt mal zwölf Gewinner zufällig raus. Das geht ganz einfach:

$ shuf –random-source=/dev/random -n 12 ngerman | pr -t -4
gereimten	  stiftendes	    Selbermachen      aussagefähigsten
Erdgasreserven	  praxisbezogenem   demoralisiere     rezensiere
einweichend	  Kinderei	    geselltem	      bescheuerten
$ _

Das hat übrigens – einschließlich des Anordnens in vier Spalten – insgesamt eine hundertstel Sekunde „Ziehungszeit“ gedauert. Aber ich habe hier ja auch keinen so schnellen Arbeitsrechner rumstehen. 😉️

Mit Stable Diffusion generiertes BildWas sollen da Nummern? Dieses /dev/random liefert übrigens keine Pseudozufallszahlen, sondern „richtig zufällige“ Zufallszahlen aus der Entropie, die vom Linuxkernel aus diversen „rauschigen“ Quellen – Gerätetreiber, Netzwerkverkehr, Tastendrücke, Mausbewegungen und vieles mehr – eingesammelt wird. Der Nachteil dabei ist, dass das insgesamt auch mal ein bisschen langsam ist, wenn die angesammelte Entropie leer ist und der Kernel gewissermaßen auf neue Entropie warten muss¹, aber das spielt bei der Ermittlung von zwölf Zeilen Text aus einer großen Datei keine Rolle. Das Verfahren ist nicht nur kryptografisch sicher, sondern dürfte genau so gut wie ein mechanisches Ziehungsgerät sein. Wenn man die Computer schon abstimmen lässt. 😁️

Bitte kontaktieren Sie Mall Martinez Drake Esq, den internationalen Vertreter von AXA SEGUROS MADRID, Telefonnummer: 34 662 425 ■■■.
Private E-Mail-Adresse: m■■■■■■e@gmail.com

Bitte auf gar keinen Fall an die Absenderadresse antworten. Stattdessen in unverschlüsselter Mail an eine kostenlos und anonym eingerichtete Mailadresse beim dicksten Freund des Spammers und Betrügers, bei Googles GMail, antworten. Oder gleich anrufen. Am Telefon sind die Vorschussbetrüger ganz besonders geübt. Da quasseln sie das Gehirn so lange weich, bis sie es auslöffeln können. Deshalb telefoniert man sowieso bald sehr viel. Dabei werden einem immer die 1,2 Megaøre vor Augen gemalt, dass man auch dabeibleibt, wenn man eine Vorleistung nach der anderen bezahlt: Hier mal eine Gebühr für den Notar, dort mal für eine Erklärung zum Geldwäschegesetz, dann auch noch eine Gebühr für den Treuhänder, hier ein bisschen blechen, dort ein bisschen blechen. Der Fantasie der Betrüger sind dabei kaum Grenzen gesetzt. Bis nichts mehr aus einem rauszuholen ist, man auch sein Konto nicht mehr überziehen kann und auch nichts mehr von Freunden und Verwandten geliehen bekommt. Dann bricht der Kontakt plötzlich ab.

Eine alte Karikatur, die den auf einem Esel reitenden Tod zeigt, der dem Esel mit einer Angelleine eine Karotte vor Augen hält, damit er weiter geht. Der Esel rennt gierig auf den Abgrund zu.
Bild: Wikimedia Commons, Lizenz: Public Domain

So schade, dass diese „Lotterien“ aus der Spam niemals preiswerte, bequeme und schnelle SEPA-Überweisungen machen oder einen ebenfalls preiswerten und bequemen Scheck ausstellen, den sie in einem versicherten Brief versenden. Ist ja auch viel preiswerter als ein Paket mit handlichen Banknoten. Vermutlich hat diese „Lotterie“ gar kein Bankkonto. 😂️

Ich bin erstaunt, dass der Vorschussbetrug immer noch läuft, und noch ein bisschen erstaunter, dass er immer noch so primitiv vorgetragen wird. Das ist so ziemlich die älteste Betrugsmasche des Internetzeitalters. Alle Vorleistungen, die man über anonymisierende Verfahren bezahlt, werden von den Betrügern von Autos, Koks und Nutten ausgegeben.

Für weitere Informationen: http://loteria.rtve.es

Oh, gucke mal: Es gibt sogar Lotterien auf dieser Welt. Allerdings muss man bei denen auch immer ein Los kaufen, wenn man was gewinnen will.

Der Antrag muss bis zum 22 Mai 2024 eingereicht werden, sonst wird er storniert. Darüber hinaus gehen 5 % Ihres Gewinns an die Sicherheitsfirma AXA SEGUROS S.A. Dieser Betrag wird von Ihnen bei Erhalt Ihres Gewinns bezahlt.

Fünf Prozent? Da hättet ihr das Geld aber lieber zur Bank bringen sollen. Deren Kontogebühren sind zwar auch ein ziemlicher Wucher, aber nicht so eine Halsabschneiderei wie diese „Sicherheitsfirma“. 60.000 Øre sind doch ganz schön teuer.

Mit freundlichen Grüßen
Rubio Rocio Sanchez/Sekretärin

Unter Verachtung deiner Intelligenz
Dein Trickbetrüger aus der Spam

¹Wenn dieses längere Blockieren des Stroms von Zufallsbytes einmal völlig unerwünscht ist und es nicht so sehr auf „harte Zufälligkeit“ ankommt, kann man auch /dev/urandom verwenden. Für die meisten Anwendungen ist das völlig ausreichend.

📦Wir haben eine wichtige Nachricht für Sie!👇🏻___ID:12546

Montag, 6. Mai 2024

Ach, schon wieder?

⇗⇗ Klicken Sie unten, um das Bild anzuzeigen ⇖⇖

Sofort öffnen!

Sofort öffnen!

exprss

Aber der Pfeil zeigt doch gar nicht nach unten, der zeigt nach oben. Das ist aber auch immer verwirrend, wenn man so viele Richtungen zur Auswahl hat. Mehr als eine, das ist ja fast schon überabzählbar. 😁️

Na, vielleicht klappt es ja beim nächsten Mal besser.

Ihre Paketzustellung wurde unterbrochen und befindet sich nun im Zoll.

Dienstag, 30. April 2024

Aber ich erwarte gar kein Paket. Wer schreibt mir denn da?

Von: DPD <dps@skillgarden.net>

Ach, diese Klitsche namens DPD, die gar keine eigene Domain für ihre Mailadressen hat, so dass sie ihre geschäftliche Mail mit einer komischen anderen Domain machen muss. Das ist aber schlecht für die Markenpflege. 😆️

Natürlich würde DPD seine eigene Domain für Mail nutzen. Diese Mail kommt nicht von DPD. Sie ist Spam. Die Paketspam ist schon seit vielen Monaten eine Dauerpest im Spameingang. Diese hier ist nichts Besonderes. Ich habe sie heute ausgewählt, damit nicht der Eindruck entsteht, es gäbe keine Paketspam mehr.

Ich verzichte in meinem Zitat auf die ganzen aus dem Web nachgeladenen Grafiken, die man mit einer halbwegs sicher und privatsphärenschützend konfigurierten Mailsoftware – ich empfehle den leider ziemlich moppeligen Mozilla Thunderbird, da ist ab Werk alles richtig – sowieso gar nicht erst zu Gesicht bekommt. Ansonsten würde man ein paar Grafiken sehen, die von googleusercontent (punkt) com geladen werden, damit die Spam „nach DPD aussieht“. Auf Google können sich Spammer und Betrüger nun einmal verlassen. Und darauf, dass sich viele Menschen immer noch sehr leicht von einem einfach nachzumachenden Design täuschen lassen, leider auch.

dpd

Natürlich würde DPD sein eigenes Logo nicht mit einem Umweg über Google verwenden. Aber das hier ist ja Spam, nicht DPD. Spam, die ihre Empfänger mit optischer Gestaltung beeindrucken und irreführen soll. Damit sie reinklicken.

Guten Tag,

So genau wurde ich schon lange nicht mehr mit meinen Namen angesprochen! Vermutlich stand da nur meine Mailadresse aus dem Paketschein, nicht mein Name. 😄️

Ihre Paketzustellung wurde unterbrochen und befindet sich nun im Zoll.

Das ist ja schön, dass nur die Paketzustellung unterbrochen im Zoll rumliegt. Und ich habe schon befürchtet, es gäbe ein Problem mit dem Paket.

Hach ja, Sprache ist schwierig.

Versender & Paketnummer:
Amazon Deutschland
01906028731628

Mit Verlaub, aber die „Paketnummer“ klingt, als wäre sie eine Telefonnummer. Da kriegt man ja Lust, anzurufen. 📞️

Mit Stable Diffusion generiertes BildÜbrigens: Wenn ich nicht gemerkt hätte, dass es eine Spam ist, dann wüsste ich es spätestens jetzt. Ich erwarte kein Paket von Amazon. Ich kaufe nichts über Amazon. Es handelt sich um eines dieser Unternehmen, die ich boykottiere, weil ich die Machenschaften dort nicht auch noch vergolden will, wenn ich sie schon nicht unterbinden oder wenigstens ein bisschen behindern kann. Dass das dort gepflegte Maß an Mitarbeiter- und Händlerausbeutung überhaupt legal ist, halte ich für ein Armutszeugnis der Zivilisation. Von der langfristigen Überwachung der Kunden durch Datensammelei und automatische Datenauswertung – von mir gern „liebevoll“ als Stasiakte des Kapitalismus bezeichnet – brauche ich da hoffentlich gar nicht erst anzufangen. Für alle, die sich davor noch nicht genug ekeln und die zur Rechtfertigung ihrer Gleichgültigkeit fest daran glauben, dass sie ja gar nichts zu verbergen hätten, gibt es schon schöne Gruselgeschichten aus der Wirklichkeit. Ich kann zwar nichts an diesen unerfreulichen Zuständen ändern, aber ich muss sie ja nicht auch noch fördern.

Paket live verfolgen

Der Link für die Paketverfolgung ist nicht direkt gesetzt und führt nicht zu DPD. Er geht über t (punkt) co den URL-Kürzer von 𝕏, früher einmal unter der Firmierung „Twitter“ bekannt. Seit der tote blaue Vogel von einem Geldsack namens Elon Musk aufgekauft wurde, ist „Twitter“ kaputt und bestenfalls noch in dem Sinne interessant, in dem ein Verkehrsunfall interessant ist. Es gibt dort scheinbar auch keine Spambekämpfung mehr. Deshalb ist dieser URL-Kürzer bei Spammern so beliebt geworden.

$ lynx -source -mime_header https://t.co/jv8uAdB6XP | grep -i ^location | sed 1q
location: https://tracking-dpd.info/
$ surbl tracking-dpd.info
tracking-dpd.info	okay
$ mime-header https://tracking-dpd.info/ | grep -i ^location
Location: app/page/index.php?id=1b4bff70eec7a56a0892a99d82013efa
$ lynx -dump https://tracking-dpd.info/app/page/index.php?id=1b4bff70eec7a56a0892a99d82013efa
   THE REQUEST WAS DENIED: MAKE SURE YOU ARE NOT CONNECTED TO A PRIVATE
   NETWORK.
$ _

Tja, dann eben nicht! 🥳️

Wer sich eben darüber gewundert hat, dass ich in meine Kommadozeilenakrobatik erst die Weiterleitung recht umständlich mit Lynx und dann im nächsten Schritt mit einem meiner Skripten ermittelt habe: Mein Skript tut so, als sei es ein unter Microsoft Windows laufender Internet Explorer 10, und den mag der tote blaue Vogel nicht. Spammer mit Schadsoftware mögen den hingegen sehr wohl. Ich muss da wohl mal etwas weniger veraltetes eintragen oder – noch besser – eine Option nachrüsten, welcher Browser simuliert werden soll. Das ist eigentlich banaler Kram. Aber heute ist mir viel zu schönes Wetter dafür.

Mal schauen, wie es in einem „richtigen Browser“ aussieht (ich habe eine virtuelle Maschine für so etwas, mit meinem Arbeitsbetrübssystem würde ich das nicht machen – und ich benutze nicht einmal Microsoft Windows):

404 -- Désolé, la page que vous recherchez existe pas -- [Acceuil]

Oh, es gibt unterschiedliche Seiten in Abhängigkeit vom verwendeten Webbrowser? Bis hin zu verschiedenen Sprachen? Das ist ja lustig. Kriegt man da etwa nur etwas angezeigt, wenn man ein geeignetes Opferbetrübssystem zusammen mit dem geeigneten Opferbrowser hat und einem eine Schadsoftware untergeschoben wird? Und ansonsten gibt es lustige Quatschfehlermeldungen, damit man keinen Verdacht schöpft? Wer ein geeignetes Opferbetrübssystem und einen geeigneten Opferbrowser hat, kann das gern mal ausprobieren. Es reicht, einfach in Spams zu klicken. Wer ein zum Denken geeignetes Gehirn hat, wird sich allerdings davor hüten, in Spams zu klicken. Äußerste Vorsicht im Umgang mit E-Mail ist die wichtigste Maßnahme, um seinen Computer und alles, was daranhängt, vor Kriminellen zu schützen.

Und nein, ich habe nicht Französisch als bevorzugte Sprache für Dokumente im Browser eingestellt, sondern Englisch. Je ne connais pas du tout le français.

Sie können Ihr Paket nicht entgegennehmen?

Klimaneutraler Pakettransport: Seit 2012 senkt DPD CO2-Emissionen und investiert in Klimaschutzprojekte.

Ihr könnt mir mal klimaneutral den Buckel runterrutschen!

Das Impressum haben die Spammer vermutlich aus einer echten DPD-Mail herauskopiert:

DPD Deutschland GmbH, Wailandtstraße 1, 63741 Aschaffenburg
Sitz der Gesellschaft: Aschaffenburg | Registergericht: Amtsgericht Aschaffenburg, HRB 8887

Geschäftsführung: Björn Scheel (CEO),
Anke Förster, Dirk Müller, Günter Pfaff, Andreas Thams
Vorsitzender des Aufsichtsrates: Justin Pegg

DPD gewöhnt wohl seine Kunden daran, dass man auf eine Mail von DPD nicht antworten kann – darüber freuen sich auch die Spammer, auf deren Spams man niemals antworten kann:

Auf diese E-Mail können Sie leider nicht antworten. In unserem Support-Bereich finden Sie rund um die Uhr Antworten auf die häufigsten Fragen. Wir haben Ihre personenbezogenen Daten (Name, Adresse, E-Mail Adresse) vom Versender einer an Sie adressierten Lieferung erhalten. Diese E-Mail dient lediglich zu Ihrer Information. Wir verwenden Ihre E-Mail Adresse ausschließlich, um Ihr Paket anzukündigen. Sie wird nicht für werbliche Zwecke genutzt, es sei denn, es liegt uns Ihre Einwilligung dazu vor. Die Datenschutzhinweise und Ihre Datenschutzrechte finden Sie unter dpd.de/datenschutz.

Besonders schön finde ich in dieser Spam, dass von meinen personenbezogenen Daten gefaselt wird, die in meiner Lieferanschrift enthalten sind, insbesondere der Name. Das tut so gut, nachdem man mit „Guten Tag“ angesprochen wurde. 😅️

Sie möchten unsere Paketankündigung abbestellen? Klicken Sie hier.
dpdgroup dpd.de

Hach, und „Click here“ gibt es auch noch, ein Sprachstummel, der niemals in den lesenswerten Mitteilungen denkender und fühlender Menschen vorkommt, sondern immer nur in dummer Reklame und krimineller Spam. So etwas macht das automatische Sortieren des Posteinganges noch etwas einfacher.

DPD hat mit dieser Spam natürlich nichts zu tun. Und das mit dem Paket stimmt auch nicht. Ich hätte gern erzählt, was diese Bande vorhat – es kann Phishing, Betrug, Schadsoftware, Sonstwas oder eine beliebige Kombination davon sein – aber die haben mich leider nicht durchgelassen. Diese Spammer müssen sich auch immer mehr Mühe geben, und das machen die doch so ungern. 😉️

Entf! 🗑️

Wir konnten Sie nicht erreichen, bitte bestätigen Sie die Informationen

Montag, 15. April 2024

Wer seid „ihr“ überhaupt?

Von: Kunden-ID478848-1514_sjcwjpnzam­@hughes.callmecallyou.com

Kenne ich nicht, aber wer solche lustigen Mailadressen mit „ruf mich, ruf dich“ und völlig bedeutungsfreien ID-Nummern hat, ist ganz sicher ein besonders hochqualitativer Qualitätsspammer.

In diesem Fall erreicht mich der Qualitätsspammer mit seiner Mail, in der er mir schreibt, dass er mich nicht erreichen kann. Nicht, dass dieser Qualitätspfosten mich morgen noch anruft – und wenn ich dann „Hallo“ sage, sagt er einfach nur „Schade, dass sie nicht da sind“. Liest der eigentlich seinen Müll selbst? Denkt der überhaupt darüber nach? Kann der das überhaupt?

Aber die Spam ist dafür erfreulich kurz:

Wir konnten Sie nicht erreichen, bitte bestätigen Sie die Informationen

Und da steht gar nichts Neues drin. Einfach nur der offensichtliche Bullshit aus dem Betreff noch einmal wiederholt. Obwohl der schon im Betreff nichts darüber gesagt hat, um was zum hackenden Henker es hier überhaupt geht, damit die Spam auch ja nicht vom Spamfilter aussortiert wird. Aber diesmal ist eine falsche Codierung angegeben worden, und deshalb ist der Umlaut zerschossen. Die meisten Spammer scheitern hier ja eher im Betreff, weil es ein bisschen hirnt, für eine Headerzeile noch ein Encoding anzugeben. Nachdem man einen Header wie…

Content-Type: text/html; charset="ISO-8859-1"

…in seiner Mail hat, kann man in der eigentlichen Nachricht nichts mehr falsch machen. Sie muss nur wirklich in der angegebenen Zeichenkodierung vorliegen, sonst wird alles, was nicht in sieben Bit passt, falsch interpretiert.

Umlaute zum Beispiel.

In ISO-8859-1 ist ein „ü“ mit dem Byte – wer das Wort „Byte“ im Lande des informationstechnischen Analphabetismus noch nie gehört hat, denke sich einfach stattdessen „Zahl“ und merke sich, dass diese Zahl nur von 0 bis 255 gehen darf, um in acht Bit zu passen¹ – 252 kodiert. Ärgerlicherweise hat der Spammer seinen Text aber in UTF-8 reinkopiert, was übrigens in nahezu allen heute benutzten Betrübssystemen die Standardkodierung ist. Und da wird das „ü“ zwar auch (erfreulich abwärtskompatibel) mit dem Byte 252 kodiert, aber da in UTF-8 Unicode vollständig abgedeckt werden soll, muss ein viel größerer Wertebereich ermöglicht werden. Da kommt man mit 256 möglichen Werten nicht aus. Zahlen über 127 werden deshalb in mehreren aufeinanderfolgenden Bytes kodiert, und die führenden Bits in den Bytes werden dabei zu einer Markierung, dass hier eine größere Zahl codiert ist, deren Darstellung in mehrere aufeinanderfolgenden Bytes zerlegt wurde. Aus dem „ü“ mit dem Codepunkt 252 werden in UTF-8 die beiden Bytes 195 und 188. Diese sind in ISO-8859-1 jedoch zwei Zeichen, die dann anstelle des gewünschten Umlautes treten und in einem Text sehr falsch aussehen. 🔍️

Solche Fehler sieht man öfter mal in Spam, und man sieht sie nur in Spam. In Mitteilungen denkender und fühlender Menschen kommen solche Fehler nicht vor. Normal kommunizierende Menschen benutzen nämlich einfach eine gute Mailsoftware, die es richtig macht, ohne dass man darauf auch nur einen Gedanken verschwenden müsste. Der Spammer hingegen benutzt ein Spamskript, und er mag sich auch nicht allzuviel Mühe damit geben (wenn er sich Mühe geben wollte, könnte er ja gleich arbeiten gehen), und deshalb versteht er sein irgendwo im Internet mitgenommenes Spamskript nicht. Hätte er die Ausgabe der Headerzeile mit der Zeichenkodierung angepasst, so dass da…

Content-Type: text/html; charset="UTF-8"

…stünde, wäre der Umlaut korrekt dargestellt worden. Aber wie schon gesagt: Dafür hätte der Spammer sich ja Mühe geben müssen. Und dann könnte er doch gleich arbeiten gehen. 🛠️

Die Spam ist im HTML-Format. Da hätte unser Spammer übrigens auch den Umlaut „ü“ mit der HTML-Entität &uuml; schreiben können. Das funktioniert völlig unabhängig von der benutzten Zeichenkodierung. Das ist zwar einfach, aber würde noch mehr Mühe machen.

Ich hätte ja lieber etwas Inhaltliches über die Spam geschrieben, aber wo kein Inhalt ist, sondern nur so ein völlig kryptisch formulierter Grund, dass man jetzt in eine Spam klicken soll…

Oh! Ich sehe gerade im Quelltext, dass da noch ein anonym und kostenlos bei Imgur gehostetes Bild nachgeladen werden soll. Das Bild sieht auch aus, und zwar so:

Lieferung ihres Pakets -- Sie haben (1) Paket, das auf die Zustellung wartet. Verwenden Sie Ihren Code, um es zu verfolgen und zu erhalten. -- Planen Sie Ihre Lieferung und abonnieren Sie unsere Push-Benachrichtigungen, um zu verhindern, dass so etwas noch einmal passiert -- Ihr Tracking-Code -- [Barcode] -- 623 942 1841 -- [Planen Sie Ihre Lieferung] -- Wir hoffen, dass Sie das Erhalten dieser Nachricht genießen. Wenn Sie jedoch zukünftig keine E-Mails mehr erhalten möchten, können Sie sich hier abmelden.

Die Paketspam, die chinesische Wasserfolter des Posteinganges. Ich hoffe mal, dass da niemand mehr drauf reinfällt.

¹Es ist in Wirklichkeit alles noch ein bisschen komplizierter, vor allem, wenn die Zahlen auch ein Vorzeichen haben. Aber ich will hier keine Einführung in die praktische Informatik geben. Vermutlich habe ich mit meinen runtergekürzten Erläuterungen schon mehr als die Hälfte der Leser in die Flucht geschlagen. Wer daran interessiert ist, wie Zahlen und Zeichenketten im Computer dargestellt werden, findet im Internet mit Leichtigkeit hervorragende Vorlesungsreihen sehr guter Didaktiker an unseren Fachhochschulen… ähm, die heißen jetzt ja „Hochschulen für angewandte Wissenschaft“. Ein paar Mathekenntnisse sind dabei hilfreich, aber man kommt eigentlich mit Schulwissen aus, ergänzt um das an der Schule leider nicht so gut vermittelte Wissen, was ein Stellenwertsystem ist.

Verfolgen Sie Ihr Paket jetzt

Dienstag, 9. April 2024

Oh, endlich haben die Paketspammer mal ihre Paketspam umformuliert, und die lustigen Zahlen aus dem Betreff sind auch verschwunden:

Von: Sofort öffnen! <titanspin@calldiscountservices.com>

Sofort öffnen!

Verfolgen Sie Ihr Paket jetzt

Na, das mache ich doch sofort! 😂️

Wenn ich so dumm wäre, eine Mailsoftware zu verwenden, die Bilder aus dem Web nachlädt, dann würde ich auch noch ein Bild darunter sehen:

Text in der nachgeladenen Grafik: LIEFERUNG -- LIEFERUNG DES AUSGESETZTEN PAKETS -- Sie haben (1) Paket, das auf die Lieferung wartret. Verwenden Sie Ihren Code, um ihn zu verfolgen und zu erhalten -- Planen Sie Ihre Lieferung und abonnieren Sie unsere Kalenderbeachrichtigungen, um dies zu vermeinen passiert schon wieder! -- [Planen Sie Ihre Lieferung] -- Wir wünschen Ihnen viel Freude beim Empfang dieser Nachricht. Wenn Sie jedoch keine zukünftigen E-Mails erhalten möchten. Bitte abmelden heir.

Och, das arme ausgesetzte Paket! 🐕️

Vielleicht sollte diese Betrügerbande mal ihrem Deutschexperten kündigen und jemanden einstellen, der auch Deutsch spricht. Fehler der Marke…

[…] um dies zu vermeiden passiert schon wieder!

…lassen die slawische Muttersprache des Autors doch recht deutlich durchblicken.

Übrigens ist der Link, den diese Betrügerbande gesetzt hat, auch nicht so gut gelungen. Ich bin es ja durchaus gewohnt, dass es im Härtefall mal zu sechs bis acht Weiterleitungen kommt, bis man endlich am Ziel ist, denn Spammer setzen ja keine direkten Links, wie es jeder denkende und fühlende Mensch tun würde, weil es viel einfacher ist und weil es keinen Grund gibt, der dagegen spricht. Wenn ich hier mit meinem normalen Skriptenapparat nachschauen will, wohin die Reise geht…

$ location-cascade "http://mobile.darryring.com/2877158zQ7355516ER543692941WZ14100Jt1iEr198009Op" | sed 10q
     1	https://www.trivecommerce.com/9P6PK4J/25RCFDXG/?sub1=2877158&sub2=23b-2877158-7355516-198009-14100-543692941
     2	http://t3.freeecommercetrials.com/aff_c?offer_id=729&aff_id=1730&aff_sub=de-glswin&aff_click_id=35d27de54f2c4d5ab56e6ed85f6eccb7&aff_sub2=5379
     3	http://lufe.mailconversiongenius.com/fclktt/de-gls-win-bp/index.php?aff_id=push_aff_id&aff_sub2=5379&aff_sub3=&aff_sub4=&aff_sub5=&affiliate_id=1730&c=%7C729&cc=de&clickid=w54ooseppo86uaf03mtrl610&cpc=0.0&id=w54ooseppo86uaf03mtrl610&k=de-glswin&keyword=de-glswin&lpc=1712658065155&lptoken=1782120865cb986f652a&modifier=&offer_id=729&privacy=1&region=Mecklenburg-Vorpommern&s=1730&source=&src=&tracker=surfadvance.com&vid=%7Bvid%7D&view=%7Bskipped2%7D&oho=t3.freeecommercetrials.com&ptf=26934eb377001f66e37289a5c93fe284
     4	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php#/lona/xihiro/le/rula/kabewati/index.php?rpclk=5q9hRSi6sqytWCO05pbNLft3rGtw3c4%2FBquRk%2BG8WXWDzAei87GOzSu9lg6QpLBNY4Rgg21H%2F9aZKCL8KwpOJOQ8NwgAW7IzMOHYS5zAnRODxVwdDOEmyw27ToamsST%2F2TZjiB6R8Bc02n%2FVuB9HUg7RVw2mlDsNUswkCnM%2BMs0sQPxbCQy67ZdtfEdTiMiXDf2Nb%2BE7Zv%2F2t73yZIAXKfbtEtPp06i8AW%2BGW%2FAduazukVPMWB3TXCo4RKQ2hmXSP%2BmjxGFkY1v%2BnPVahee%2F6FIQk5xTjJFeia7xBS6rRHA1CGL8RC8%2BrCEM3FdXpo%2Fp%2FfMh4tsUXu9kIOhP4fsQ8XfY4RUVt%2FqcFPy6%2BJR%2BQhWjqO1IQHXCCjAPp4DPteVKcp73%2FEDMx78IeDvwVdsYOar2JXhF%2BgLiQ4AhK8PxeEbWT5JeJzfVBw9ACPhP0×9wZNpnhJZVLpQ7a3yb223Cs6Bm3nrrlgTFXX8VAIYaBWIXGFDVRRpn6HBKl8viDdJcnDUvC%2BgtzXT9PbxxvnT5VN8cDkiELkFD3yt50Y0y9QBDpkj%2BcJQAQGYQaC%2B20gnwqp7M9d5IGPMulcAdmJo1%2Fq%2FhbFyoF2HvwERdJS8DSVOXlPlj897EY6ici3HQcV%2F6ECKUhHscWERzNk6rA3h%2BaQOI41JNcBHFhmZ8RUFad1tbD3VlfGKqG%2BotPCrltku0v5MzVEblBfBEpDy%2FOkJGI3GVsK%2BGG1%2B0rAMTNIjYTPwufBNcjOGy%2By3vkiEC7pxKcV%2BY34IZfcuHRo1h4Q2jcdKW4rYOIlt1BdnGhYNfDCJjHQkg1OSwRF3Jl4ufTXsep5y6SVKZMK7UlGE%3D%3A%3A7bee38f1cfc7713d3fa8cc34d63a8427&p=b4awi2adRiRELLOAP4YtTvsXzgTfQl0tEd1z%3A%3Ade43400636e0528f89b92050d235cab0
     5	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php?diwoko=numeboluyasugirige
     6	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php?diwoko=numeboluyasugirige?wukedero=libicimosiyetoba
     7	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php?diwoko=numeboluyasugirige?wukedero=libicimosiyetoba?bobijotu=juhovuhojakexuha
     8	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php?diwoko=numeboluyasugirige?wukedero=libicimosiyetoba?bobijotu=juhovuhojakexuha?yobuzi=vipekikujibuli
     9	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php?diwoko=numeboluyasugirige?wukedero=libicimosiyetoba?bobijotu=juhovuhojakexuha?yobuzi=vipekikujibuli?widofabe=vevubofalinubehiji
    10	https://lufe.mailconversiongenius.com/lona/xihiro/le/rula/kabewati/index.php?diwoko=numeboluyasugirige?wukedero=libicimosiyetoba?bobijotu=juhovuhojakexuha?yobuzi=vipekikujibuli?widofabe=vevubofalinubehiji?caxugume=suneremutubefunerifa
$ _

…dann geht die Reise in eine Endlosschleife, bei der immer mehr kryptische Parameter an den URI gehängt werden. Ich habe es hier für die Demonstration nach zehn Schritten abgebrochen. Bei meiner oberflächlichen Untersuchung hatte ich ein bisschen mehr Geduld, aber es ging auch nach über hundert Weiterleitungen nur im Kreis, und zwar mit immer mehr idiotischen Parametern. Mit einem „richtigen Browser“, also mit einer überkomplexen Software, die Angreifern auch vielerlei Angriffsflächen bietet, bekommt man hingegen schnell die Möglichkeit angeboten, Verbrechern persönliche Daten zu geben. Davon rate ich dringend ab. Wer sich mit solchen eigens dafür programmierten, recht aufwändigen Tricksereien einer Analyse durch Weiterleitung in Endlosschleifen entziehen will, hat ganz sicher etwas zu verbergen. Ich wäre nicht überrascht, wenn hier auch Schadsoftware verteilt wird. Wer einmal einen Eindruck davon bekommen möchte, was diese spezielle Bande alles macht: Ich habe letztes Jahr im Dezember einen kleinen Einblick bekommen und ein paar Beispiele gezeigt. Das Bild kam mir dann auch sofort sehr bekannt vor. Und der inhaltlich gar nicht passende Namensteil „titanspin“ der Absenderadresse auch. Die lassen nichts aus. Hauptsache, es ist kriminell, nicht anstrengend und die können damit ein bisschen Geld verdienen.