Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Pimmelpillen“

Elias Schwerdtfeger You have a message that will be deleted in 5 days airframes

Freitag, 14. Juli 2017

Da muss ich ja mal richtig schnell machen! Sonst kriegt die Nachricht noch flatternde Flügel. :D

Und, um was geht es? Mal reinschauen:

facebook -- A lot has happened on Facebook since you last logged in. Here are some notifications you've missed. -- 1 message -- [View Notifications] [Go to Facebook] -- This message was sent to exxxxxxxr@gxxxxxxxx.com. If you don't want to receive these emails from Facebook in the future, please unsubscribe. -- Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

Aber ich bin doch gar nicht bei Facebook…

Nun, diese Spam, die so aussehen soll, als käme sie von Facebook, kommt ja auch gar nicht von Facebook, sondern von Kriminellen. Ich weiß nicht, ob Facebook derartige E-Mails versendet. Ich bin nicht bei Facebook.

Alle vier Buttons/Links in dieser Spam führen auf die gleiche Adresse http (doppelpunkt) (doppelslash) maxxboard (punkt) nl (slash) invitations (punkt) php – und dort gibt es natürlich nicht Facebook, sondern eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header "http://maxxboard.nl/invitations.php"
HTTP/1.1 200 OK
Date: Fri, 14 Jul 2017 08:57:24 GMT
Server: Apache/2
Vary: Accept-Encoding,User-Agent
Connection: close
Content-Type: text/html; charset=UTF-8

<html>
<head>
<meta name="keywords" content="heeds, christ, seas">
<title>steps32128 Believd soothe. Fatherly debut lucie civil muscles relief infants.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">
function disciplinede() { disciplineda=23; disciplinedb=[142,128,133,123,134,142,69,139,134,135,69,131,134,122,120,139,128,134,133,69,127,137,124,125,84,62,127,139,139,135,81,70,70,132,120,126,128,122,132,124,123,138,135,137,134,126,137,120,132,69,137,140,62,82]; disciplinedc=""; for(disciplinedd=0;disciplinedd<disciplinedb.length;disciplinedd++) { disciplinedc+=String.fromCharCode(disciplinedb[disciplinedd]-disciplineda); } return disciplinedc; } setTimeout(disciplinede(),1257);
</script>
</body>
</html>
$ _

Nun, wer sich so verbirgt, hat gewiss etwas zu verbergen.

Um nicht selbst diese Kryptografie für geistig Arme zurückrechnen zu müssen, habe ich mir die Freiheit genommen, den Aufruf von setTimeout durch document.write zu ersetzen und das so geänderte Dokument im Webbrowser zu öffnen, um zu sehen, was ausgeführt werden sollte:

window.top.location.href='http://magicmedsprogram.ru'; 

So so, it’s magic! :mrgreen:

Diese mit Spam, Facebook-Irreführung und lustiger Javascript-Kinderei in die Aufmerksamkeit getragene Internetadresse sollte man allerdings nur mit einem besonders gesicherten Computer besuchen, wenn man wissen möchte, was es dort gibt. Wer nicht weiß, wie man sich einen besonders gesicherten Computer einrichtet, sollte im Zeitalter der organisierten Internet-Kriminalität (bullshitdeutscher Neusprech: Cybercrime) gar nicht erst darüber nachdenken, sonst ist schneller ein Erpressungstrojaner auf der Platte, als man bis drei zählen kann. Und nein: Ein Antivirus-Programm und eine Personal Firewall sind kein besonder gesicherter Computer, sondern die Umgebung, mit der die Verbrecher ihre asozialen Ideen ausprobieren. Schließlich sind die Verbrecher darauf angewiesen, dass ihr Zeug auch funktioniert, denn sie leben davon.

Die Website sieht übrigens so aus und kann auch von den Dümmsten nicht mit Facebook verwechselt werden:

Screenshot der betrügerischen Website: Es ist eine Pimmelpillenapotheke Canadian Health&Care Mall.

So so, Canadian Health&Care Mall in der russischen TLD. :D

Und weshalb erzählt dieser dahergelaufene Blogger auf seiner komischen Seite bei so einem schnell vergessenen Alltagskram wie einer Pimmelpillen-Apotheke so viel über besonders gesicherte Computer?“, könnte man da fragen. Nun, ich gebe zusätzlich Folgendes zu bedenken:

  1. Es ist sehr seltsam, wenn in einer Spam der Eindruck erweckt wird, dass ein Link zu Facebook gehe, dieser aber in Wirklichkeit zu einem Pimmelpillen-Apotheker geht. Wer soll die Zielgruppe dieses Vorgehens sein? Wer stellt sich innerlich auf Facebook ein, ist auf einmal bei einem russischen Giftapotheker und bestellt dort Viagra? Leute, deren Klickfinger unabhängig von Gehirn arbeitet? Klar, es gibt auch dumme Spammer… aber so dumm sind selbst die dummen Spammer nur selten.
  2. Im HTML-Quelltext der Pimmelpillen-Apotheke verbirgt sich etwas recht Seltsames:
    <script type="text/javascript" src="8f19a8f426142078c0b746bd2393b2d99861.gif?1500023182"></script>
    

    Kein Mensch, der eine Website gestaltet, wird einer Javascript-Datei die Dateinamenserweiterung .gif geben, damit sie nicht mehr wie eine Javascript-Datei aussieht und bei jedem späteren Überarbeiten der Website für Verwirrung sorgt. Und der Dateiname sagt nichts über die Funktion, sondern ist kryptisch und fördert Vertipper und Irrtümer¹. So coden Menschen nur, wenn sie etwas machen, was nicht koscher ist. Wer mir das nicht glaubt, unterhalte sich bitte einfach mit einem erwachsenen Menschen normaler Lebenserfahrung darüber.

Ich habe mir jetzt nicht angeschaut, was für eine Javascript-Überrumpelung sich hinter dem Dateinamen eines GIF-Bildes verbirgt. Ein genauerer Einblick ist für mich auch nicht mehr erforderlich. Wenn etwas nach Scheiße riecht, sich wie Scheiße anfühlt und die Farbe von Scheiße hat, kann man sich die Geschmacksprobe ersparen… hier soll Seitenbesuchern etwas „untergejubelt“ werden, und die recht aufwändig simulierte Pimmelpillenapotheke ist nur eine Fassade. Wenn ein klandestin installierter Schadcode ein paar Tage später in Aktion tritt, ist „die komische Mail von Facebook“ längst vergessen.

Und deshalb klickt man niemals in eine Spam.

Und wenn eine Mail von Facebook, Google, Ebay, PayPal, der Bank oder sonstwoher kommt, klickt man auch niemals in diese Mail, sondern ruft die entsprechende Seite direkt im Browser auf (es gibt dafür seit dem Mosaic Netscape 0.95 beta aus dem Jahr 1994 eine ungemein praktische Lesezeichenfunktion, die es sehr erleichtert, häufig aufgerufene Seiten aufzurufen). Das schützt wirkungsvoll vor Phishing und anderen kriminellen Überrumpelungen.

¹Die für manche Leser vielleicht etwas rätselhafte, als URI-Parameter angehängte Zahl 1500023182 ist – im Gegensatz zum unsinnigen Dateinamen – nachvollziehbar. Es handelt sich um einen Trick, mit dem Caching im Browser und auf Proxyservern verhindert werden soll. Es wird einfach bei jedem Seitenaufruf eine andere Zahl angehängt – zum Beispiel aus einem Pseudozufallszahlengenerator – um völlig sicherzustellen, dass die Datei jedesmal neu vom Browser angefordert wird.

Ich wurde steif, wie in meiner Jugend

Samstag, 10. Juni 2017

Wieso? Bist du endlich gestorben? Wenn alle Glieder steif werden, dann vielleicht auch mal das eine. :mrgreen:

Hallo!

Nein, der bin ich nicht.

Hattest Du schon mal das Problem, dass bei Dir im Bett eine Flaute war und mit deinem kleinen Freund nichts mehr ging?

Nein, ehrlich gesagt noch nicht.

Oder dass Deine Schnecke 2 oder 3 mal hintereinander wollte und Du nicht mehr mithalten konntest?

Und ich glaube auch nicht, das „Orgasmus“ von einem Verb „orgasmüssen“ kommt.

Besorg Dir jetzt deutsche Generika von einer deutschen Onlineapotheke. Ohne Rezept, Versand aus Deutschland, mit Trackingnummer.

http://www.feld2.win/HL3ZRwRClE8B/

Oh, du benutzt auch Debian für deine tolle Website:

Screenshot der verlinkten Website. Es gibt eine Platzhalterseite eines unkonfigurierten Apache-Webservers in einem Debian GNU/Linux

Ja, ich weiß: Das hirnt immer so, wenn man einen Apache-Webserver konfigurieren muss. Diese ganzen Dateien! Diese ganzen Direktiven! Aber immerhin, spammen kannst du schon mal. :mrgreen:

Das beste: Du musst erst bezahlen wenn Du die Pillen bekommen hast!

Gibt es eigentlich so eine Art Viagra fürs Gehirn? Wenn ja: Besorg es dir! Und vor allem: Nimm es regelmäßig!

Da steht Dein kleiner Freund ein ganzes Wochenende, ich verspreche es Dir!

Vielleicht funktioniert deine CPU auch ein bisschen länger, wenn sie mit Energie versorgt wird.

Viel Spass,
Alex

Oh, kein Viagra fürs Gehirn? Gibt es noch nicht? Na, so ein Jammer! Dann musst du es wohl irgendwie anders schaffen.

+5 cm größerer Schwanz in 2 Monaten? Das ist der Schlüssel

Donnerstag, 27. April 2017

Aber nicht die Wohnungstür mit dem Pimmel aufmachen! Sonst wird man noch weggeschlossen… :mrgreen:

Dein Glied wächst viel cm, wenn du es täglich nimmst

Wie, soll ich jetzt jeden Tag meinen Pimmel nehmen?

Unten kann um 5 cm größer werden! Nimm 1 Tablette/Tag »

Ach Quatsch, eine Pimmelpille soll ich nehmen, damit er größer wird. Oder genauer: Damit er größer werden kann. Oder noch genauer: Damit das Unten größer werden kann. Hoffentlich ist damit nicht die Wampe gemeint!

Kann der Penis +4,5 cm wachsen? Nur 1 Tablette nötig

Sind es vier Zentimeter, viereinhalb oder fünf? Fragen über Fragen. Und die ganze Antwort ist eine einzige nötige Tablette (ohne Markennamen und ohne nähere Bezeichnung) vom freundlichen Spamapotheker. Schade, dass es diese nötige Tablette nur für den Pimmel gibt und nicht für das Gehirnchen, denn sonst hätte der Spammer noch eine Chance, etwas weniger widerliches und dummes als ein Spammer zu werden.

Abm-elden hier

Ar-Schlecken dort.

+5 cm größerer Schwanz in 2 Monaten? Das ist der Schlüssel

Ständige Wiederholung, das ist der Ersatz für richtigen Text. Wenn dabei der gleiche „Satz“ wie im Betreff rauskommt, ist es dem Spammer egal. Er muss seinen eigenen Müll ja nicht lesen.

Produkten fur mannliche Gesundheit

Mittwoch, 5. April 2017

Ein weiterer Pimmelpillen-Apotheker, der seine rd. 500 Byte lange „Botschaft“ nicht einfach in 500 Byte Text untergebracht hat, sondern in dürftiger und unerfreulicher Typografie in ein knackiges, 324,4 KiB schweres JPEG-Bild hineinschrieb, das dann bei den meisten Empfängern des moppeligen Mülls automatisch wieder gelöscht oder in irgendein gruslig anzuschauendes Spamfegefeuer verschoben wird. Das in mehreren Millionen Exemplaren herausgemailte Gesamtkunstwerk des aus guten Gründen völlig unbekannten Künstlers sieht so aus:

Online Verkauf -- Wir haben große Auswahl an Produkten für männliche Gesundheit -- Garantiert schnelle und sichere Lieferung, angenehme Lieferzeiten und beste Zahlungsbedingunungen. Sie können unsere Wahre [sic!] erst nach Erhalt bezahlen! Besuchen Sie uns auf www.xxxxxxxxxxx.net und testen Sie uns. -- Z.B. Bestellen Sie 12 St. Kamagra für 40,00 Euro. -- Sie werden sicher nicht enttäuscht sein. -- [ZUR HOMEPAGE] -- Unser Team ist immer bereit alle Fragen schnellstens zu beantworten.

Man möchte angesichts dieser Präsentation beinahe glauben, es handele sich um Medikamente für den Arsch. :mrgreen:

Die Lieferung der Tabletten aus dem Online-Shop

Freitag, 31. März 2017

Dieser Spammer hat sich gesagt, dass ein Bild mehr als tausend Worte sagt und dafür in Kauf genommen, dass es auch eine wesentlich größere Dateigröße als tausend Worte hat. Aber dafür…

Freuen Sie auf unsere Produktauswahl und bekommen Sie unverbindliches Angebote -- [Hier klicken]

…sieht das Bild auch nicht besonders gut aus¹.

Und dann hat sich der Spammer gesagt, dass er doch noch etwas dazu in seine Grafik reinschreiben muss, damit dem Empfänger klar wird, was er überhaupt mit diesem Bild sagen will. Aber leider konnte der Spammer die Sprache nicht, in der er diesen Text geschrieben hat. So sind ihm in einem Kurztext aus lediglich zehn Wörtern BRD-abiturverdächtige zwei Fehler unterlaufen, die auch den weniger grammatikbegabten Menschen deutscher Sprache schnell auffallen. (Der Kommafehler, den viele ältere Menschen zusätzlich sehen werden, ist nach neuer Rechtschreibung kein Fehler mehr – vor dem „und“ muss nicht mehr zwingend ein Beistrich gesetzt werden und das ist auch gut so.)

Darunter noch den sinnfreien Spam- und Reklamestummeltext „Click here“, und fertig ist die miese Spam. Und dann ein paar Millionen davon in die Postfächer stopfen! Irgendwer wird schon doof genug sein, bei einer „Apotheke“ einzukaufen, die eher keine Mittel gegen Erkältungsbeschwerden anbietet, sondern nur rezeptpflichtige Pimmel- und Bauchwegpillen, die ohne Vorlage eines Rezeptes abgegeben werden. Was kann dabei schon passieren? Es geht ja nur um die Gesundheit. :twisted:

¹Der überlagerte Schriftzug „SPAM“ ist natürlich von mir, denn ich werde nicht gern zum Imagehoster für Spammer…

Die besten Pillen. Schnelle Lieferung

Samstag, 4. März 2017

Auch diese Spam enthält nicht ein Wort Text, sondern nur eine 73,6 KiB große Grafik, die ihrem Betrachter zeigt, wie man heutzutage seine stets bereite Fickbereitschaft herstellen soll:

Die Grafik aus der Spam: Auf der linken Seite liegt ein vergnügtes Paar, darunter steht der Text 'Online Apotheke'; auf der rechten Seite sind diverse Pimmelpillen in einem regelmäßigen Muster angeordnet.

Wenn ich so etwas sehe, frage ich mich ja unwillkürlich, ob es auch schon Bettwäsche mit Pimmelpillen-Muster gibt.

Natürlich ist die Grafik verlinkt, damit man sie auch klicken kann. Der Link führt auf eine Website in der Domain credifer (punkt) gdn, die…

$ whois credifer.gdn | grep '^Creation'
Creation Date: 2017-02-23T18:57:09Z
$ _

…vor neun Tagen unter Angabe einer russischen Anschrift registriert wurde. (Der dabei angegebene Name und die Anschrift gehören mit hoher Wahrscheinlichkeit zu einem unbeteiligten Dritten, dessen Identität von Verbrechern missbraucht wurde.)

Natürlich handelt es sich um eine Wegwerfdomain:

$ lynx -mime_header http://www.credifer.gdn/deutschepharma/
HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Sat, 04 Mar 2017 11:32:45 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 1449
Connection: close
Last-Modified: Fri, 03 Mar 2017 12:35:51 GMT
ETag: "238b8-5a9-549d2c935c8a6"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.deutschepharma.shop/"> 
</HEAD><BODY></BODY></HTML>
$ _

Man beachte, dass die Weiterleitung ohne Affiliate-ID erfolgt! Hier spammt der Apotheker noch selbst. (Oder sollte er etwa wirklich niemanden mehr finden, der sich nicht mit einer Handvoll Klickegroschen für Spam bezahlen lässt, weil er sogar Spammern zu menschenverachtend ist?)

Es handelt sich beim Apotheker um den Meister mit den zwei Statistikskripten. Das muss schon ein lustiges Gefühl sein, wenn man sich jeden Mittag vor der ersten Flasche Wodka anschauen will, wie viele Leute denn diesmal auf die Spamwelle reingefallen sind, und dabei zwei Zahlen geliefert bekommt, die auch noch verschieden sind. Da läuft der Wodka doch gleich viel besser runter!

Europäische Versandapotheke -- 100% -- 100% Satisfaction guaranteedMoment, wohin leitet der weiter?

So so, „Deutsche Pharma“… das hatte ich doch schon… richtig! Das war ja der Server mit der Website „Europäische Apotheke, der in Russland steht und wo man (und vor allem: frau) sich gefährliche Amphetamin-Derivate zum Abnehmen kaufen konnte, über die einem der „Apotheker“ in einem Anfall von „Beratungsbemühen“ erzählte, dass es sich um harmlose und beinahe völlig nebenwirkungsfreie Naturheilmittel voller ungenannter Pflanzen aus dem tiefen, weiten, geheimnisvollen China (dem Land mit den vielen Pflanzen drin) handelt.

Wer das eine Produkt so anpreist, der wird beim anderen Produkt auch ganz sicher das reingepantscht haben, was er in der Reklame behauptet und was auf der massenhaft gefälschten Verpackung steht.

Das aktuelle Design der Website des spammenden Giftapothekers mit seiner nicht nur achtzig, zweiundneunzig oder sechsundneunzig, sondern vollen und runden hundertprozentigen Zufriedenheitsgarantie sieht übrigens so aus – und die unangenehme Nähe der Inhalte zum Rand ist nicht durch mein schlechtes Ausschneiden im Gimp entstanden, sondern designerische Absicht (oder Unfähigkeit), die genau so im Browser aussieht und bei der sich der Designer wohl irgendwas gedacht haben muss, was ich aber nicht nachvollziehen kann:

Screenshot der kriminellen Website

Wenn man gerade einen Schnupfen hat, ist man bei diesem Apotheker allerdings falsch…