Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Pimmelpillen“

sup

Donnerstag, 2. Oktober 2014

Diese Mail ging bei einer Frau ein, deren Namen ich im Zitat gegen „Sabine“ austausche:

Hello bro sabine! Hello brother! how are you? I remembered that you asked me where I buy my medication with 60% discount? there’s a lot of drugs, including for us, mens 🙂 Try it today 🙂 its here. click


Guadalupe Hayden
Sent with Airmail

Das nenne ich eine gelungene Zielgruppenansprache, Spammer! :mrgreen:

Übrigens noch einmal ein herzliches Danke an den Hosting-Provider aus Russland, der nach meiner Abuse-Meldung die betrügerische Pimmelpillen-Apotheke binnen einer halben Stunde vom Netz nahm. Wenn das nur immer so liefe…

Suchbegriff-Referer-Spam

Dienstag, 10. Juni 2014

Ein Thema, dass alle Jahre wiederkommt, ist die Referer-Spam¹, die wegen ihres technischen und zunächst unsichtbaren Charakters oft unterschätzt wird und bei guter Machart als gezielter Angriff auch sehr gefährlich sein kann.

In diesem Fall scheint es jedoch mal wieder so zu sein, dass eine neue Generation von Anwendern von Blogs und CM-Systemen, die Referer-Spam noch nicht (oder nicht mehr) kennt, Plugins verbaut, um jene aktuellen Suchbegriffe irgendwo öffentlich auf der Website anzeigen zu lassen, mit denen sie von Lesern gefunden wurde. Deshalb simuliert diese aktuelle Referer-Spam Links von Suchmaschinen wie Google, Yahoo und Bing. In einer statistischen Auswertung der Serverlogs sieht die Spam unter den Suchbegriffen so aus:

Auswertung meiner Serverlogs über Suchbegriffe, mit massenhaft gefälschten Referern einer betrügerischen Apotheke

Wenn diese gefälschten „Suchbegriffe“ irgendwo im Blog angezeigt werden, dann hat man sein Blog in eine Linkschleuder für betrügerische Pimmelpillen-Apotheker verwandelt – die übrigens ein hübsches, neues Layout für ihre Betrugssite gemacht haben. Auch die Bullshit-Firmierung „Trusted Tablets“ ist – zumindest in meinem täglichen Spameingang – recht frisch. Vermutlich gefällt es den Kriminellen nicht so gut, dass eine einfache Websuche nach ihrer Bullshit-Firmierung sofort den Betrug offenbart, weil das eben mies fürs „Geschäft“ ist. Da unter dem Begriff Tablets eher die Wischopäd-Computerchen gefunden werden, muss ich leider einräumen, dass diese trügerische „Firmierung“ gut gewählt ist, wenn sie auch eine eher triviale Abänderung früherer Namen von Betrugsapotheken ist.

Und weil ein vernünftiger Mensch – oder doch zumindest ein Mensch, der sich der Tatsache bewusst ist, dass für Links auf der eigenen Website gehaftet wird – niemals wollen kann, dass sein Blog zu einer Spamschleuder für derartige völlig unvermisst aus der Gesellschaft entfernbaren Gestalten wird, wird ein vernünftiger Mensch eben niemals für Spammer leicht manipulierbaren Dinge wie Referer oder die letzten Suchbegriffe irgendwo öffentlich anzeigen lassen.

Aber leider: Es kommt alle Jahre wieder.

¹Das englische Wort schreibt sich eigentlich „Referrer“, aber die falsche Schreibweise „Referer“ ist im HTT-Protokoll spezifiziert worden. Ich benutze hier den technischen Ausdruck.

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

When It Comes Healthcare, Nothing Beats a Hometown Advantage

Freitag, 14. März 2014

Die heutige Meisterleistung des kreativen Einsatzes von HTML, um sich mit seinem Angebot der Marke „In meiner Betrugsapotheke kriegt jeder ohne Rezept und billig Pillen für den Pimmel“ an die Spamfilter vorbeizumogeln, sieht im beabsichtigten Layout so aus:

Screenshot des HTML-Layouts der Spam

Wer angesichts dieses etwas sonderbaren Layouts nicht sofort Zuckungen im Löschfinger bekommt, sollte einfach mal Strg+A drücken, um den gesamten Text zu markieren – dabei werden auch die Textfragmente sichtbar, deren Farbe der Hintergrundfarbe so ähnlich ist, dass sie bei normaler Darstellung nicht gesehen werden:

Und so sieht die Spam aus, wenn man den ganzen Text vor Augen hat

Da sollte doch jedem klar werden, was von dieser „kanadischen Apotheke“ in der russischen TLD .ru zu halten ist. 😀

Meine Lust, diesen „Text“ vollständig zu zitieren, ist aus hoffentlich verständlichen Gründen nicht besonders groß. Übrigens: Der Trick hat nicht funktioniert, die Spam wurde sicher als Spam erkannt.

12-Hours Only! Order now!

Mittwoch, 30. Oktober 2013

Wie, nur 12 Stunden? So schnell werden eure kriminellen Dreckssites wieder vom Netz genommen? Gefällt mir!

Dear user nachtwaechter,

Lieber Spammer uspfizersale, ich bin doch gar kein „user“ bei dir, sondern ein Empfänger deiner verrotteten Drecksspam. Und…

It’s lowest prices on the net:
– Super.Cilais – 1.82$
– Pfizer-Vigara – 0.67$
– Top.Propceia – 0.24$
– US-Levtira – 1.66$

…die niedrigen Preise deiner darin so freundlich angebotenen Giftpillen können leider nicht darüber hinwegtäuschen, dass du ein Spammer und Betrüger bist. Zudem lässt die besondere Eingeschränktheit deines pharmazeutischen Interesses keine besonders erfreuliche Meinung von deinen intellektuellen Befähigungen aufkommen. Wenn sich das Blut so lange nur im Schwellkörper ansammelt, jappst der Brägen vergebens nach Luft.

and much more.

In der Mail war offenbar kein Platz mehr, um dein Angebot vollständig zu beschreiben.

Order here http (doppelpunkt) (doppelslash) 060 (punkt) reekdoctor (punkt) ru (slash) (fragezeichen) discount (gleich) xxxxxxxxxx

[Eindeutige ID von mir unkenntlich gemacht – da stand eine zehnstellige sedezimale Zahl anstelle der „x“-Zeichen…]

Moment, wie nennst du dich in deiner Drecksspam? „USPFizerSale“? Und dann bevorzugst du eine Website in der russischen TLD? Das wirkt wieder einmal sehr überzeugend!

Update your amorous software

Freitag, 3. Mai 2013

..Hello___Elias «Can cf adia juk nPha hmn rmacy» onl ryq ine dru bzm gst qpq ore is the leading Can ykr adian dru llk gst umn ore which daily ships hundreds of orders to patients internationally. More and more people start purchasing me fzt dica vwe tions in Can sy ada, since they are much more cheaper than American ones and are of the same quality, and manufactured according to the same strict standards. Purchase with «Can ung adia zz nPha fm rmacy» and your me dt dicat qm ions will come right on time well packed and in perfect condition. Privacy and confidentiality are guar kyn anteed! Start new life with «Can all adia lf nPhar hd macy»! ... www.dxxxxxxxxe.ru

Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen

VjaqrRa

Montag, 25. März 2013

Die tollen Versuche von Spammern, sich Schreibweisen für ein bei manchen Zeitgenossen sehr begehrtes Medikament von Pfizer auszudenken, führen nicht unbedingt zur besseren Lesbarkeit. Dafür helfen sie beim Überfliegen der Betreffzeilen sehr dabei, eine einmal durchgeflutschte Spam sofort zu erkennen und ohne weitere Vergeudung von Lebenszeit zu löschen.

Aber tatsächlich gibt es in der täglichen faden Kost der Pimmelpillen-Spam eine ganz kleine Innovation, die mir durchaus mal die Erwähnung wert ist. Dazu einige aktuelle Beispiele:

Betreff: budy VjaqrRa sSupEer Acctivve – otherwise you‘ll have impootence

Don’t spoil your marriage! Buy Levitra, be the best! Just now best deal ever!
Link here!

Der Link geht im Original auf http (doppelpunkt) (doppelslash) google (punkt) com (slash) translate (fragezeichen) u (gleich) x (punkt) co (slash) xrWY (fragezeichen) (slash) analyse (prozent) 20economically (punkt) htm (ampersand) hl (gleich) en

Betreff: price fluctuation for vviavqra suoper acctive

Strong and beautiful can be so easy! Here you will get best medicine with surprising discounts!
Link here!

Der Link geht im Original auf http (doppelpunkt) (doppelslash) google (punkt) com (slash) translate (fragezeichen) u (gleich) gg (punkt) gg (slash) 4c76 (fragezeichen) (slash) derive (prozent) 20authoritatively (punkt) htm (ampersand) hl (gleich) en

Und noch eine aus der Müllflut:

Betreff: VjaqrRa sxupcer actinve – you should be grateful to its help

Health comes to those who act! Don’t waste your time – visit our pharmacy store! Be healthy!
Link here!

Der Link geht im Original auf http (doppelpunkt) (doppelslash) google (punkt) com (slash) translate (fragezeichen) u (gleich) gg (punkt) gg (slash) 4ae1 (fragezeichen) (slash) contract (prozent) 20assessable (prozent) 20established (punkt) htm (ampersand) hl (gleich) en

Alle diese Links sind indirekt gesetzt. Sie laufen über den Übersetzungsdienst von Google, der in der momentanen Spamflut allerdings regelmäßig einen Fehler anzeigen wird, weil eine bereits englische Seite in englische Sprache „übersetzt“ werden soll. Das ist natürlich sehr dumm und ein weiterer Beleg der Tatsache, dass Spammer zu faul sind, ihre „cleveren“ Hacks mal zu testen, bevor sie diese wie eine stinkende Flut auf das Internet loslassen. Ansonsten ist die Idee, einen Link zu Google zu setzen, schon eine recht gute Idee, denn Google dürfte ein großes Vertrauen besitzen und ein Link auf Google niemals zu einer Erkennung als Spam führen. Vor einigen Jahren haben die Spammer mit einem ähnlichen „Gedanken“ im Kopf Links auf Google-Groups gesetzt und dabei ebenfalls nicht gerade mit einer gut ausgearbeiteten Spam-Kampagne geglänzt.

Offenbar hat Google bereits „mitbekommen“, dass der Übersetzungsdienst auf diese Weise missbraucht wird, so dass es bei meinen Versuchen zur folgenden, etwas irreführend formulierten Fehlermeldung gekommen ist:

Unsere Systeme haben ungewöhnlichen Datenverkehr aus Ihrem Computernetzwerk festgestellt. Bitte versuchen Sie es später erneut. Warum?

Diese Seite wird angezeigt, wenn Google automatisch Anfragen aus Ihrem Computernetzwerk erkennt, die anscheinend gegen die Nutzungsbedingungen verstoßen. Die Sperre läuft ab, sobald diese Anfragen eingestellt werden.

Dieser Datenverkehr wurde möglicherweise von bösartiger Software, einem Browser-Plug-in oder einem Skript gesendet, das automatische Anfragen verschickt. Falls Sie Ihre Netzwerkverbindung mit anderen teilen, bitten Sie Ihren Administrator um Hilfe. Möglicherweise ist ein anderer Computer, der dieselbe IP-Adresse verwendet, für die Anfragen verantwortlich

So ungern ich Google lobe… aber mit so konsequentem Sperren wird dieser frischen kriminellen Pest bereits in ihrer Entstehung die Luft abgedreht. Und das ist gut!

Ein bisschen schade ist es vielleicht für die Pimmelpillen-Apotheker, die es noch nicht einmal geschafft haben, ihre erste Spamwelle fehlerfrei zu versenden. Aber mein Mitleid hält sich da sehr in Grenzen. Am besten, die fressen ihre giftigen Pillen selbst, dann löst sich das Problem sogar noch ein bisschen gründlicher.

Übrigens, du Idiot von Spammer: Schön, dass du nicht mehr den gnadenlos doofen Linktext „Click here“ schreibst, der vermutlich nicht nur bei mir zum sofortigen Aussieben deines Sondermülls führt. Aber der Text „Link here“ ist auch nicht so viel geschickter… :mrgreen:

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.