Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Pimmelpillen“

Hilfe bei ED

Samstag, 8. November 2014

Sehr geehrte Damen und Herren,

Vor allem die Damen…

Wir möchten Ihnen die Möglichkeit geben, generische Medikamente (Potenzmittel) zu besten Bedingungen zu bestellen.

…haben immer ein besonders großes Interesse an Pillen für den Pimmel.

Im Unterschied zu vielen anderen Anbietern
– Versand erfolgt aus Deutschland per Einschreiben, die Lieferkosten sind inbegriffen.
– Bezahlen, können Sie, erst nach Erhalt.
Kaufen Sie ohne Risiko.

Im Unterschied zu einer richtigen Apotheke können sie froh sein, wenn sie von uns nur ein Placebo bekommen und deshalb nach der Einnahme wenigstens am Leben bleiben.

Die Lieferzeiten betragen 2-3 WT für Deutschland und 4-5 WT für die Schweiz und Österreich.

Wenn wir schon nicht in unsere Spam eine Liste sämtlicher Namen von Pimmelpillen reinschreiben, dann schreiben wir doch wenigstens etwas über die Lieferzeiten. Sonst bleibt die Spam noch im Filter hängen. Leider…

Z.B Bei der Bestellung bis zum 12.11, bieten wir Ihnen Viagra Generika (50 Pillen) für den Preis von 75,00 Euro an.

…sind wir zu doof, das durchzuhalten. Macht aber nichts, denn Spamfilter, bei denen die Abk. „ED“ durchkommt, sind eh nicht so toll. Was der Unterschied zwischen Tabletten (industriell gefertigte Arzneidosen zum Einnehmen) und Pillen (vom Apotheker handgemachte Arzneidosen zum Einnehmen) ist, brauchen wir nicht zu wissen, denn wir sind keine Apotheker, sondern Verbrecher.

Testen Sie und vergleichen Sie uns mit der anderen Anbietern!

Vergleichen sie uns mit den anderen Spammern! Genau wie diese…

mit freundlichen Grüßen
Ihr Service Team

…haben wir auch eine extratolle Firmierung. :mrgreen:

Zur Homepage >>>

Wer da klickt, lasse alle Hoffnung fahren! Der Link geht in die hübsch anonym betreibbare Domain www (punkt) viktorias (punkt) in (punkt) ua, aber dort gibt es – wie üblich – nur eine Weiterleitung auf die eigentliche Betrugsapotheke in der Domain www (punkt) pillsstar (punkt) net mit der typischen Website einer „Apotheke“…

Screenshot der betrügerischen Apotheke

…deren Kunden offenbar lieber in eine andere Apotheke gehen, wenn sie mal Kopfschmerzen haben. :mrgreen:

Das Impressum besteht übrigens aus der Mailadresse info (at) pillsstar (punkt) net. Das macht aber gar nichts, denn die Domain wird ebenfalls anonym über einen Whois-Anonymisierer aus dem hübschen Kiew betrieben. Wer braucht da schon eine Anschrift? Es geht doch nur um die Gesundheit…

Die geniale HTML-Mail des Tages…

Donnerstag, 16. Oktober 2014

Eine HTML-formatierte Spam, die nur einen kontrastarmen, gelben Linktext 'Pill Shop' auf weißem Hintergrund enthält

Ohne Worte.

Lustig ists übrigens auch, was mir die so verlinkte Seite einer Betrugsapotheke (die hauptsächlich angebliche Pillen für die Härtung des Schwellkörpers anbietet) mitzuteilen hat:

Canadian Pharmacy -- Entschuldigen, wir können ihre Anfrage nicht bearbeiten, weil Ihr JavaScript abgeschaltet ist! KLICKEN SIE HIER wenn Cookies und JavaScript aktiviert werden!

Entschuldigen, aber ihr habt doch meine Anfrage bearbeitet. Nur, um mir eine Meldung anzuzeigen, dass ich sinnvolle Sicherheitseinstellungen¹ im Browser lockern soll. Einen Teufel werde ich tun!

¹Übrigens, die ganzen kommerziellen Websites, die ohne technischen und/oder sachlichen Grund immer mehr JavaScript verbasteln und die immer häufiger ohne freigeschaltetes JavaScript nicht mehr zu benutzen sind, fördern die organisierte Kriminalität im Internet.

Viiggaaraa = 45% Diiscountt!

Sonntag, 12. Oktober 2014

Oh, den Viggaraa-Bullshit von neulich gibts jetzt auch als HTML-formatierte Spam:

Screenshot der Spam einer Pimmelpillenapotheke mit dem Versuch, ein ansprechendes HTML-Layout zu machen, was in einem gewissen Kontrast zu systematischen Falschschreibung jedes Wortes steht, das für einen Spamfilter zum Kriterium werden könnte

Ob das wohl mehr Erfolg bringen wird? Die erste Welle war wohl nicht so gut, denn sonst hätten die Pimmelpillen-Betrüger ihre Drecksmail gar nicht mehr angefasst. Sonst könnten die ja gleich arbeiten gehen…

Kleiner Tipp für zukünftige Strokelversuche, werter Spammer, der du immerhin das mit dem Schatten gemeistert hast: Lies doch mal in deiner CSS-Dokumentation nach, wozu dieses padding gut sein könnte! Ach, du kannst nicht lesen? Tja, genau so sieht deine Spam auch aus. :mrgreen:

Vigarraa – 68% Disscouunt!

Montag, 6. Oktober 2014

Wie jetzt, ihr könnt nicht einmal schreiben, wie das „Medikament“ heißt, das ihr anzubieten vorgebt, aber ach egal! Rabatt! Rabatt! Das ist das Wichtigste!

Von: Buuyy Viigaarraa <hygrmqbjt (at) tmal (punkt) net>
An: ttfpqskgrk <gammelfleisch (at) tamagothi (punkt) de>

Auch der von euch ausgesuchte Empfängername ist grandios, von eurem Namen ganz zu schweigen. Man könnte fast denken, ihr wolltet mit so „kreativen“ Schreibungen am Spamfilter vorbeikommen. Das ist euch leider nicht gelungen.

OOnline Durrgshop

Beest cost in thee world

ibyhjbsbtbad

So so, die besten Kosten der Welt und krrnxtglq.

Buy now

0,91$ Viggaraa
1,56$ Ciilaiis
2,12$ Leevtira
0,76$ Pink Feemaalee Viggaarra
2,01$ Viiggaraa Sooft Tabs

View all

Eure „Apotheke“ hat aber ein recht einseitiges Angebot, nichts für Leute mit Schnupfen, Kopfschmerzen oder bakteriellen Infektionen. Dafür sind die angebotenen „Arzneien“ auch noch alle miteinander falsch geschrieben. Dass ihr glaubt, ein Alltagswort wie „female“ käme nicht mehr durch Spamfilter, na ja, ihr scheint ja auch zu glauben, dass eure Drecksspam überhaupt durchkommt.

Und warum sollte ich jetzt bei euch kaufen? Oh schön, eine Antwort:

Whhy?

  • Toop quality
  • 100% Sattiisfacttion Guuranttee
  • Cheapest cost iin the universe!
  • FDA recoommendeed prooducts
  • Offiiciial diistributoors
  • Discreet package
  • Insuurancee deeliveryy
  • Woorldwidee trackablee shippiing
  • Giifts and bonusees
  • All type of prooducts iin onee placee
  • 1-3 daays fast shippiing for Ameeriican clients ~NEEWW!

qnpgojtkbmxddugrilrnulazvqhbafxcexxvmwurhie
tgqwbjdfcevrlonpkpyryqu
terirmdfycrfyeoyw
tcxiuevtrybypxaapcvrlxfocso
vtfndyuerooxttcacbmkywcdrjujq
osrqqvfrhhymkhjnvelbdjzztjq
yenajdihcj

Wer wäre da nicht restlos überzeugt?! :mrgreen:

sup

Donnerstag, 2. Oktober 2014

Diese Mail ging bei einer Frau ein, deren Namen ich im Zitat gegen „Sabine“ austausche:

Hello bro sabine! Hello brother! how are you? I remembered that you asked me where I buy my medication with 60% discount? there’s a lot of drugs, including for us, mens 🙂 Try it today 🙂 its here. click


Guadalupe Hayden
Sent with Airmail

Das nenne ich eine gelungene Zielgruppenansprache, Spammer! :mrgreen:

Übrigens noch einmal ein herzliches Danke an den Hosting-Provider aus Russland, der nach meiner Abuse-Meldung die betrügerische Pimmelpillen-Apotheke binnen einer halben Stunde vom Netz nahm. Wenn das nur immer so liefe…

Suchbegriff-Referer-Spam

Dienstag, 10. Juni 2014

Ein Thema, dass alle Jahre wiederkommt, ist die Referer-Spam¹, die wegen ihres technischen und zunächst unsichtbaren Charakters oft unterschätzt wird und bei guter Machart als gezielter Angriff auch sehr gefährlich sein kann.

In diesem Fall scheint es jedoch mal wieder so zu sein, dass eine neue Generation von Anwendern von Blogs und CM-Systemen, die Referer-Spam noch nicht (oder nicht mehr) kennt, Plugins verbaut, um jene aktuellen Suchbegriffe irgendwo öffentlich auf der Website anzeigen zu lassen, mit denen sie von Lesern gefunden wurde. Deshalb simuliert diese aktuelle Referer-Spam Links von Suchmaschinen wie Google, Yahoo und Bing. In einer statistischen Auswertung der Serverlogs sieht die Spam unter den Suchbegriffen so aus:

Auswertung meiner Serverlogs über Suchbegriffe, mit massenhaft gefälschten Referern einer betrügerischen Apotheke

Wenn diese gefälschten „Suchbegriffe“ irgendwo im Blog angezeigt werden, dann hat man sein Blog in eine Linkschleuder für betrügerische Pimmelpillen-Apotheker verwandelt – die übrigens ein hübsches, neues Layout für ihre Betrugssite gemacht haben. Auch die Bullshit-Firmierung „Trusted Tablets“ ist – zumindest in meinem täglichen Spameingang – recht frisch. Vermutlich gefällt es den Kriminellen nicht so gut, dass eine einfache Websuche nach ihrer Bullshit-Firmierung sofort den Betrug offenbart, weil das eben mies fürs „Geschäft“ ist. Da unter dem Begriff Tablets eher die Wischopäd-Computerchen gefunden werden, muss ich leider einräumen, dass diese trügerische „Firmierung“ gut gewählt ist, wenn sie auch eine eher triviale Abänderung früherer Namen von Betrugsapotheken ist.

Und weil ein vernünftiger Mensch – oder doch zumindest ein Mensch, der sich der Tatsache bewusst ist, dass für Links auf der eigenen Website gehaftet wird – niemals wollen kann, dass sein Blog zu einer Spamschleuder für derartige völlig unvermisst aus der Gesellschaft entfernbaren Gestalten wird, wird ein vernünftiger Mensch eben niemals für Spammer leicht manipulierbaren Dinge wie Referer oder die letzten Suchbegriffe irgendwo öffentlich anzeigen lassen.

Aber leider: Es kommt alle Jahre wieder.

¹Das englische Wort schreibt sich eigentlich „Referrer“, aber die falsche Schreibweise „Referer“ ist im HTT-Protokoll spezifiziert worden. Ich benutze hier den technischen Ausdruck.

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

When It Comes Healthcare, Nothing Beats a Hometown Advantage

Freitag, 14. März 2014

Die heutige Meisterleistung des kreativen Einsatzes von HTML, um sich mit seinem Angebot der Marke „In meiner Betrugsapotheke kriegt jeder ohne Rezept und billig Pillen für den Pimmel“ an die Spamfilter vorbeizumogeln, sieht im beabsichtigten Layout so aus:

Screenshot des HTML-Layouts der Spam

Wer angesichts dieses etwas sonderbaren Layouts nicht sofort Zuckungen im Löschfinger bekommt, sollte einfach mal Strg+A drücken, um den gesamten Text zu markieren – dabei werden auch die Textfragmente sichtbar, deren Farbe der Hintergrundfarbe so ähnlich ist, dass sie bei normaler Darstellung nicht gesehen werden:

Und so sieht die Spam aus, wenn man den ganzen Text vor Augen hat

Da sollte doch jedem klar werden, was von dieser „kanadischen Apotheke“ in der russischen TLD .ru zu halten ist. 😀

Meine Lust, diesen „Text“ vollständig zu zitieren, ist aus hoffentlich verständlichen Gründen nicht besonders groß. Übrigens: Der Trick hat nicht funktioniert, die Spam wurde sicher als Spam erkannt.