Guten Tag Eli ,
Nahe dran. Aber ist trotzdem nicht mein Name.
derzeit suchen wir Mitarbeiter (m/w) für leichte Nebentätigkeiten, bequem von zu Hause aus.
Oh, hat die Kripo euch alle angeheuerten Briefkästen und Geldwäscher weggeschappt?
Wir bieten Ihnen:
– Flexible Arbeitszeiten / freie Zeiteinteilung
– Arbeiten von zu Hause aus
– Mit ca. 5/10 Stunden pro Woche 500-900 Euro möglich
Jeder, der eine Anschrift in der BRD hat und Zahlungen auf sein Konto empfangen kann, kann auch diesen „Nebenjob“ als Muli machen.
Oder soll man wieder mal Roulette spielen?
Kein Verkauf, keine unseriösen Tätigkeiten – informieren Sie sich unverbindlich:
Ist auch voll seriös, kommt ja nur mit einer illegalen und asozialen Spam. Und beliebt ist der „Job“! Ich habe das Angebot viermal in der Spamsenke. Der „Job“ muss ja nur so weggehen!
So so, weiter (strich) 97
– der Spammer macht ja nicht mal im Domainnamen einen Hehl draus, dass es sich um eine reine Wegwerfdomain handelt, die dann auf die Betrugsseite weiterleiten soll.
$ lynx -mime_header http://www.weiter-97.site/ HTTP/1.1 301 Moved Permanently Date: Sat, 16 Apr 2016 11:56:29 GMT Server: Apache/2.2.22 (Debian) X-Powered-By: PHP/5.4.45-0+deb7u2 Location: http://www.richpro.de/partner/partnerdoor.php?partnerid=15&bannerid=29 Connection: close Vary: Accept-Encoding Content-Length: 3 Content-Type: text/html $_
Aha, eine Weiterleitung mit Affiliate-ID. Der Spammer lebt also nicht etwa von den tollen „Jobs“, die er in Spams feilbieten muss, sondern davon, dass er anderen Leuten Opfer zutreibt und dafür ein paar Judasgroschen gibt. Das muss folglich einträglicher als diese „Nebenjobs“ sein, denn sonst würde er gewiss einen dieser „Nebenjobs“ machen.
Und richpro (punkt) de
ist eine Domain, die schon mit ihrem Namen nichts Gutes verheißt. Laut DeNIC gehört sie einer „Richpro Internet GmbH“ aus der BRD. Die Reputation im „Web of Trust“ spricht für sich, und eine kurze Websuche vervollständigt schnell den Eindruck, den ich wegen des in der BRD geltenden, vollumfänglichen Rechtsschutzes für beleidigte Leberwürste nicht noch mit eigenen Worten ergänzen möchte. Von der Reichwerdmethode über die Schlankheitspille bis zum Doktortitel gibt es da augenscheinlich alles – und auch Pr0n wird nicht verschmäht. Immer schön über illegale und asoziale Spam vermarktet, versteht sich. Manchmal finde ich es ein bisschen schade, dass die Meteroiten immer an den falschen Stellen runterfallen.
Was es dort wohl geben wird?
$ lynx -mime_header "http://www.richpro.de/partner/partnerdoor.php?partnerid=15&bannerid=29" HTTP/1.1 301 Moved Permanently Date: Sat, 16 Apr 2016 12:01:57 GMT Server: Apache X-Powered-By: PHP/5.3.29 Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM" Set-Cookie: PSL1391604664=ee5d9a0dc75653f4894898e12ea0cb91; path=/ Set-Cookie: sprache_display=de; expires=Wed, 15-Jun-2016 12:01:57 GMT Set-Cookie: Partner-ID=15; expires=Wed, 15-Jun-2016 12:01:57 GMT Set-Cookie: Banner-ID=29; expires=Wed, 15-Jun-2016 12:01:57 GMT Set-Cookie: Sub-ID=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT Set-Cookie: Timestamp=1460808117; expires=Wed, 15-Jun-2016 12:01:57 GMT Location: http://ban.go2cloud.org/aff_c?offer_id=251&aff_id=5029&aff_sub=Aff15 Vary: User-Agent Content-Length: 0 Connection: close Content-Type: text/html $ _
Richtig, die nächste Weiterleitung. Diesmal werden allerdings ein paar Cookies in den Browser gemacht, damit Opfer wiedererkannt werden können – und die Affiliate-ID wird umgeschrieben. Man könnte angesichts dieser Nutzungsform denken, dass die Website unter der Domain richpro (punkt) de
in erster Linie dazu dient, die richtigen Affiliate-IDs von asozialen und illegalen Spammern zu verschleiern, indem sie einfach umgeschrieben werden.
Und was hat go2cloud (punkt) org
nun anzubieten:
$ lynx -mime_header "http://ban.go2cloud.org/aff_c?offer_id=251&aff_id=5029&aff_sub=Aff15" HTTP/1.1 302 Found Cache-Control: no-cache, no-store, must-revalidate Content-Type: text/html; charset=iso-8859-1 Date: Sat, 16 Apr 2016 12:15:25 GMT Expires: Sat, 26 Jul 1997 05:00:00 GMT Location: http://auto-profit-replicator.xyz/?tp=H420f37s&tparam1=1025c7b48f53eb8e774341db9a5855&subID=5029 P3P: CP="NOI CUR OUR NOR INT" Pragma: no-cache Server: nginx/1.7.9 Set-Cookie: enc_aff_session_251=ENC02104-1025c7b48f53eb8e774341db9a5855-5029-251-0-0-0-0-DE-0-_-4166663135-_-_-_-_-92.77.88.16-20160416081525-_-223C613D710C396431261B2160574F1A1B4E4042540B510F145B19536E507F42440D330E705D7C5D65; expires=Mon, 16 May 2016 12:15:25 GMT; path=/; Set-Cookie: ho_mob=eyJtb2JpbGVfZGV2aWNlX21vZGVsIjoiQnJvd3NlciIsIm1vYmlsZV9kZXZpY2VfYnJhbmQiOiJMeW54IiwibW9iaWxlX2NhcnJpZXIiOiI/IiwidXNlcl9hZ2VudCI6Ikx5bngvMi44LjhwcmUuNCBMaWJ3d3ctRk0vMi4xNCBTU0wtTU0vMS40LjEgR05VVExTLzIuMTIuMjMiLCJhY2NlcHRfbGFuZ3VhZ2UiOiJlbiIsImNvbm5lY3Rpb25fc3BlZWQiOiJ4ZHNsIn0=; expires=Mon, 11 Mar 2019 22:55:25 GMT; path=/; tracking_id: 1025c7b48f53eb8e774341db9a5855 X-Robots-Tag: noindex, nofollow Content-Length: 288 Connection: Close <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The document has moved <a href="http://auto-profit-replicator.xyz/?tp=H420f37s&tparam1=1025c7b48f53eb8e774341db9a5855&subID=5029">here</a>.</p> </body></html> $ _
Richtig! Die nächste Weiterleitung. Nichts mögen Spammer so wenig wie einen direkten Link…
Aber immerhin, jetzt sind wir endlich am Ziel:
Nein, der „Auto Profit Replicator“ ist kein „Replikator“ aus dem Star-Trek-Universum. Es ist eine Website, die keinerlei Text enthält, sondern nur ein eingebettetes Video, in dem eine gesichtslose Stimme 36 Minuten lang recht professionell das Gehirn so weichlabert, dass es ausgelöffelt werden kann. Also im Grund der gleiche Bullshit wie bei dem GeldProgramm™. Nur, dass es diesmal nicht mehr aus dem ZDF bekannt ist, sondern von Yahoo Finanzen – aber die Logos von irgendwelchen Unternehmen mit größerer Seriosität als die eines Spammers kann sich der Spammer ja einfach und bequem aus dem Internet einsammeln.
Und naürlich: Jeder wird reich werden, indem er mit Software Wettzettel auf beliebige Börsenereignisse, so genannte Binäre Optionen, handelt. Jede gut dressierte Laborratte könnte das. Man muss gar nichts dafür können. Der Spammer freilich, er lebt lieber nicht von seiner lang und weilig im Video feilgebotenen Methode, sondern davon, dass er Affiliate-Gelder dafür kriegt, Brokern neue Kunden zuzutreiben.
Und das sagt wohl alles über diese Methode, was gesagt werden muss.
Das bisschen Mühe, für die Anpassung an den deutschsprachigen Markt noch ungebrannter Kinder mal schnell das Dollarzeichen aus dem Logo durch ein hier angemesseneres Währungssymbol zu ersetzen, war dem Spammer bei seiner Nummer zu viel Mühe. Denn wenn er sich Mühe geben würde, könnte er doch gleich arbeiten gehen, und diese ganze Anstrengung…
Mit freundlichen Grüßen,
Matthias Maier
Personalabteilung
Auch bekannt unter den Namen…
Jens Winter
Personalabteilung
…und…
Mario Pohl
Personalabteilung
…und…
Malte Schulte
Personalabteilung
Aber hey, was soll an so einem Kleinkram schon beunruhigen. Es geht ja nur um Geld.