Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Screenshot“

Ihre Meinung zählt: Wir haben eine kleine Überraschung für Sie

Dienstag, 26. November 2024

Auch diese Mail ist nicht…

Von: Mein ADAC <contact@sparkonto.org>

…vom ADAC, was man hier schon an der Absenderadresse sieht, die mehr nach Phishing als nach irgendetwas anderem aussieht. Sie hat auch niemals einen Server des ADAC auch nur aus der Ferne gesehen, sondern stammt aus der Cloud von Google, dem dicksten Kumpel und Komplizen der Internetkriminellen.

ADAC Logo

Exklusives Angebot – Bis zu 75% Rabatt!

Jetzt Ihre Gesundheitslösung sichern!

Rabattcode: MEDICARE75

Angebot ansehen

Keine weiteren Nachrichten? Abmelden.

Oh, der ADAC macht jetzt in Gesundheit? Ich dachte immer, der macht in Autofahren. 😅️

Die Links sind natürlich nicht direkt gesetzt, so wie das im Mitteilungen von denkenden und fühlenden Menschen üblich ist. Stattdessen geht es über einen Linkkürzer zu einer weiteren Cloudplattform:

$ location-cascade https://shorturl.at/fgs2G
     1	https://www.shorturl.at/fgs2G
     2	http://217.61.245.179/iptv.php
$ country 217.61.245.179
217.61.245.179 is from Sweden (SE) 
$ whois 217.61.245.179 | grep -i ^desc
descr:          ELASTX Cloud Platform
descr:          Elastx AB
$ _

Dort gibt es dann nochmal eine weitere Weiterleitung auf eine Website, die so aussieht:

Angebliche ADAC-Website aus der Spam: Bisher verteilte Angebot von über €4.000.000! -- Umfrage über ADAC -- November 26, 2024 -- Sehr geehrter ADAC-Kunde! -- Wir möchten Ihnen die einmalige Gelegenheit bieten, eine brandneue Notfallset fürs Auto! zu erhalten Um Anspruch zu erheben, nehmen Sie einfach an dieser kurzen Umfrage zu Ihren Erfahrungen mit ADAC teil. -- Achtung! Diese Umfrageangebot läuft heute ab, November 26, 2024. -- [Umfrage starten]

Ah, ein „Notfallset für Auto“ (vom Autor dieser lustigen Website mit Ausrufezeichen geschrieben) ist jetzt also eine Gesundheitslösung. Da kann ich nur empfehlen: Kauft euch Defibrilatoren, es ist gut für eure Gesundheit! 😂️

Ohne weitere Worte. Nicht darauf reinfallen! Das ist weder eine Umfrage (die vorgeblichen Fragen sind auch hochnotlächerlich und für Marktforschungszwecke fast so wertvoll wie ein kleines Steak), noch ist es der ADAC. Alle Daten, die man eingibt, gehen direkt an spammende Kriminelle. Oder, um es mit einem dummen Wort aus Politik und Journalismus zu sagen: An Cyberkriminelle. Geld, das man bezahlt, geht ebenfalls an Kriminelle. Irgendwelchen tollen versprochenen „Geschenke“ gibt es nicht. Sie existieren noch nicht einmal. Bitte nicht darauf reinfallen!

Aber die meisten Mitglieder eines Vereins werden doch hoffentlich wissen, dass ein Verein keine Kunden hat, sondern Mitglieder. Oder sie werden eine der vielen weiteren Schwächen in diesem Text bemerken. Oder? Oder? 😐️

windows 7 activator free download

Mittwoch, 6. November 2024

Diesen wunderhübschen „Namen“ hat er wohl von seiner Mutter bekommen, der Spammer, da kann man nichts dagegen machen. Diesen keywordreichen „Namen“ muss er dann auch gleich mal mit einem Link auf Github verlinken, damit der „Name“ nicht umsonst so voller Keywords ist. Seine IP-Adresse ist aus Russland, da könnte man schon mehr gegen tun (es gibt ja VPNs), und sein Spamskript hat ein kleines Fehlerchen. Es ist eben so ein richtiger Qualitätsspammer. Aber dass das Spamskript nicht so gut funktioniert, nimmt der Spammer gern in Kauf, hauptsache, er muss nicht selbst arbeiten und morgens um 7:26 Uhr solche Kommentare für Unser täglich Spam von Hand schreiben, statt einfach seinen Rausch von gestern auszuschlafen:

Hurrah, that’s what I was seeking for, what a stuff! existing here at this weblog, thanks admin of this web site.

Kein so toller Kommentar, sondern eher eine Ausrede für den Link auf Github. Er kann ja nicht einfach „Blah“ schreiben. Sonst wird der „Kommentar“ noch gelöscht. Lob scheint oft stehenzubleiben, so oft wie ich jeden Tag von Kommentarspammern gelobt werde.

Gut, eigentlich ist Github eher fürs verteilte Entwickeln und Versionieren von Software da, aber da kann man ja auch Texte hinlegen, die man in Markdown auszeichnet, und da kann man dann den nächsten Link reinpacken. Das sieht dann so aus:

Screenshot Github: KmsPico — Windows and Office activation for students -- KmsPico is a unique program created specifically for students from Brazil and India, which provides the possibility of temporary or permanent activation of various versions of Windows and Microsoft Office. With its help, you can use all the functions of the operating system and office applications as if they were activated with an official license key. -- DOWNLOAD KMSPICO STABLE

Um die Schadsoftware… ähm… den „Aktivator“ nicht weiter zu verbreiten, kann ich hier leider nicht einmal eine Archivversion verlinken. Die Spam habe ich schon bei Github gemeldet. Wer dort auf den Downloadlink klickte, käme nach einigen Weiterleitungen zu einem weiteren Downloadlink, der endlich das Herunterladen eines ZIP-Archives ermöglichte.

Das gibt heute mal wieder einen lustigen Spaziergang durch schlüpfrige Gefilde.

Aus den Biotopen des Internetsumpfes

Mal schauen, was im Archiv steckt – ich kürze in meiner Mitschrift ein paar Zeilen raus, die sonst nur den Text aufblähen würden¹:

$ 7z l 4c1vdr0_km05___a_1_n_02024p.zip 
[…]
Scanning the drive for archives:
1 file, 49807074 bytes (48 MiB)

Listing archive: 4c1vdr0_km05___a_1_n_02024p.zip
[…]
   Date      Time    Attr         Size   Compressed  Name
——————- —– ———— ————  ————————
2024-08-15 03:59:40 ….A            0            0  password = 2024
2024-09-13 11:58:57 ….A     49806734     49806734  𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
——————- —– ———— ————  ————————
2024-09-13 11:58:57           49806734     49806734  2 files
$ mkdir virus
$ 7z -bb0 -ovirus x 4c1vdr0_km05___a_1_n_02024p.zip 
[…]
$ cd virus
$ ls -l
insgesamt 48640
-rw-rw-r– 1 elias elias 49806734 Sep 13 12:58  𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
-rw-rw-r– 1 elias elias        0 Aug 15 04:59 'password = 2024'
$ _

Oh, wie lustig: Sinnlose Unicodezeichen in einem Dateinamen, einfach nur, damit er irgendwie wichtig aussieht. Mehr muss man eigentlich nicht sehen, um ganz schnell wegzulaufen. Aber die Zielgruppe hält so etwas vermutlich eher für ein Qualitätsmerkmal. Die denkt sich so etwas wie „Oh, sogar der Dateiname enthält fette und kursive Buchstaben, ich wusste bis eben gar nicht, dass das geht. Das müssen ganz professionelle Profis mit speziellen Spezialkenntnissen gemacht haben, es handelt sich also nicht um Dreck, sondern um etwas richtig Leckeres und Gutes“. 👑️

Nun, das ist nicht der Fall. Und zwar niemals. Jeder denkende und fühlende Mensch würde es vermeiden, Probleme zu provozieren. Es gibt Schriftarten, die keine vollständige Unicodeabdeckung haben, und es gibt Anwender, die solche Schriftarten als Standard einstellen, weil sie ihnen gefallen oder weil diese als gut lesbar empfinden; zudem gibt es Dateisysteme, die ebenfalls völlig unerwartete Probleme bei Verwendung obskurer Sonderzeichen bereiten können. Und Betrübssysteme. Es ist noch gar nicht so lange her, dass man einen Absturz von Apples iOS mit einer Zeichenkombination provozieren konnte, die man zum Beispiel in einer Mail, einer Message oder einen Dateinamen aufnimmt. Warum sollte man so ein Risiko in Kauf nehmen, wenn man keinen Vorteil von der größeren Zeichenauswahl hat? Solche „Tricks“ auf dem Niveau eines verspielten Elfjährigen sind ein klares Warnzeichen. 💩️⚠️

Apropos „Tricks auf dem Niveau eines verspielten Elfjährigen“: Es ist natürlich für den Zweck eines Passwortes vollkommen sinnlos, ein Passwort zu vergeben, wenn man es gleich dazuschreibt. (Was leider nicht bedeutet, dass ich nicht schon hunderte von Post-it-Zetteln an Bildschirmen gesehen hätte, auf denen Passwörter notiert wurden, weil Menschen oft nicht verstehen, was der Sinn eines Passwortes ist und warum Computersicherheit durch Passwörter nur funktioniert, wenn man das Passwort auch geheimhält und immer nur dort verwendet, wo man sich damit authentifiziert. Betriebliche Passwortrichtlinen der absurden Art – so etwas wie „das Passwort muss jede Woche gewechselt werden und einen Buchstaben, eine Ziffer, ein Sonderzeichen, ein Emoji und eine ägyptische Hieroglyphe enthalten, darf aber kein Datum sein und auch nicht teilweise in einem Wörterbuch erscheinen“ – sorgen dann dafür, dass die meisten Menschen völlig überfordert sind, und das alles für einen Gewinn an „Sicherheit“ durch die erzwungenen Passwortwechsel, der gegen null tendiert.) Es würde ja auch niemand seine Haustür abschließen, um dann den Haustürschlüssel offen sichtbar an die Tür zu hängen und auch noch dranzuschreiben, dass man damit jetzt wirklich die Tür aufschließen kann. Am besten auf einem benutzerfreundlich in Blickhöhe an die Haustür geklebten Post-it-Zettel. Da könnte man sich das Abschließen auch einfach sparen. Ein unnötiger Arbeitsschritt weniger. 🗝️

Das RAR-Archiv, das in einem ZIP-Archiv verpackt wurde, wurde nur aus einem Grund passwortgeschützt: Um eine automatische Analyse durch Antivirusprogramme zu verhindern. Deshalb sage ich ja mit großer Bestimmtheit, dass es sich hier um Schadsoftware handelt. In jedem anderen Kontext wäre so eine Vorgehensweise völlig sinnlos und dumm.

Achtung, ich kürze wieder ein bisschen¹.

$ 7z -bb0 -p2024 x *.rar
[...]
Scanning the drive for archives:
1 file, 49806734 bytes (48 MiB)

Extracting archive: 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
[...]
ERROR: Unsupported Method : 𝙆𝙈𝙎𝙋𝙞𝙘𝙤/read.txt
ERROR: Unsupported Method : 𝙆𝙈𝙎𝙋𝙞𝙘𝙤/𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe
                                                                    
Sub items Errors: 2
Archives with Errors: 1
Sub items Errors: 2
$ _

Oh, mein 7zip für die Kommandozeile hat Probleme? Vermutlich mit den obskuren, aber eigentlich zulässigen Namen für Datei und Verzeichnis? Das habe ich ja schon lange nicht mehr erlebt. (Da seht ihr noch einen Grund, warum man Spielereien mit sinnlosen Unicodezeichen im Dateinamen besser unterlässt, wenn man darauf angewiesen ist, dass es auch funktioniert. Und nein, ich habe jetzt keine Lust, ein Ticket für diesen 7zip-Fehler aufzumachen. Dafür müsste ich nämlich erstmal herausbekommen, wie man den Fehler provoziert und selbst ein entsprechendes Archiv bauen, denn dieses Archiv voller Gift und informationstechnischem Sondermüll werde ich ganz sicher nicht irgendwo hinlegen, wo es jemand auch nur versehentlich aufmachen und die Inhalte beklicken könnte. Aber vielleicht hat ja jemand anders Lust. Ich bin nur müde.)

Na gut, dann eben etwas älteres, gereifteres, robusteres! Ein Hauch von alten Zeiten weht mir in die Nüstern, wenn ich so etwas tippe – und er riecht gar nicht so schlecht:

$ unrar -p2024 e *.rar
UNRAR 6.11 beta 1 freeware      Copyright (c) 1993-2022 Alexander Roshal

Extracting from 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar

Extracting  read.txt                                                  OK 
Extracting  𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe                                               OK 
All OK
$ ls -l
insgesamt 206596
-rw-rw-r– 1 elias elias 161739843 Aug 26 19:27 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe
-rw-rw-r– 1 elias elias  49806734 Sep 13 12:58 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
-rw-rw-r– 1 elias elias         0 Aug 15 04:59 password = 2024
-rw-rw-r– 1 elias elias       677 Sep 13 12:55 read.txt
$ file *.exe
𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe: PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive
$ _

Oho, ein Archiv, in dem ein passwortgeschütztes Archiv liegt, in dem wiederum ein Archiv liegt, das sich unter Microsoft Windows beim Doppelklick selbst entpackt. Da hat jemand aber Lust, es richtig kompliziert zu machen. Ich will jetzt gar nicht weiter mit meinen länglichen Kommandozeilenmitschriften langweilen und fasse mal zusammen: Das Archiv enthält 215 Dateien aller Art, zum Beispiel DLLs, Javaarchive, ausführbare Dateien für Microsoft Windows, Schriftarten, Bilder. Alles von einem Spammer mit seiner Spam verbreitet. Ungefähr die Hälfte der gegenwärtig gebräuchlichen Antivirusprogramme erkennt den Müll schon als gefährlich oder als Schadsoftware, und ungefähr die andere Hälfte noch nicht, so dass der gläubige Nutzer öfter mal ungewarnt ins Verderben rennt. Schade für die, die sich auf ihr Schlangenöl verlassen, denn sie sind öfter mal verlassen. So ein Antivirusprogramm liegt mit seinen Signaturen immer einige Stunden oder gar Tage hinter der kriminellen Wirklichkeit zurück.

Verlasst euch lieber aufs Gehirnchen! 🧠️

Der Zweck dieser Spam war es natürlich nicht, dass Leser von Unser täglich Spam direkt auf den Link klicken sollen, um sich die Pest auf den Computer zu holen. Die Keywords im „Namen“ des Spammers machen klar, dass es in Wirklichkeit darum geht, die Suchmaschinen und insbesondere Google zu manipulieren, damit Leute nicht mehr finden, was sie suchen, sondern das, was Kriminelle und SEO-Spammer sie finden lassen wollen. Zum Beispiel, wenn sie Google oder ein angelerntes neuronales Netzwerk (wie gut Suchen mit so genannter „künstlicher Intelligenz“ manipulierbar sind, werden wir in den nächsten drei, vier Jahren noch viel häufiger erfahren, als uns lieb ist – die Leute, die es versuchen werden, weil sie davon nun einmal leben, können sehr „kreativ“ sein und die angelernten neuronalen Netze können nicht so leicht daran angepasst werden, weil niemand versteht, warum sie funktionieren) danach fragen, wo und wie sie denn jetzt ihr Windows 7 mit einem kostenlosen Download aktivieren können. Oder ihr Microsoft Office.

Die armen Schüler, die angeblich immer noch Windows 7 benutzen müssen und sich deshalb so einen Müll mit einer Spam andrehen lassen, tun mir ein bisschen leid. Vielleicht sollten sie einfach ein freies Betrübssystem nutzen… 😅️

Ach! Entf! 🗑️

¹Für die meisten Leser wird so eine Kommandozeile eh nur unverständlich und ein bisschen kryptisch sein. Leider. Aber ich kann so in nachvollziehbarer Weise zeigen, was des Pudels Kern ist.

Sichern Sie sich 100€ für Ihre nächste Bahnreise!

Samstag, 26. Oktober 2024

Nein, diese Mail kommt nicht von der Deutschen Bahn. Sie wurde über eine IP-Adresse aus der Türkei versendet. Auf meiner Mailadresse ist sie dreimal angekommen. Der Spammer ist nicht dazu imstande, aus seinen zusammengeramschten Daten die Dubletten zu entfernen, was jeder aufgeweckte Zwölfjährige mit Computererfahrung hinbekommen würde. Es ist ja kein so seltenes Problem, und es gibt gleich mehrere Möglichkeiten. Ich bevorzuge sort und uniq an der Kommandozeile, obwohl es für die nachgewachsene Generation aufdringlich nach den Siebziger Jahren schmeckt, aber ich habe auch schon mit Editoren gearbeitet, die so etwas klickiklicki konnten.

Der Absender…

Von: Deutsche Bahn Gutschein <deinbahnangebot@europe.com>

…ist nicht die Deutsche Bahn AG, denn diese würde wohl ihre eigene Domain verwenden, in der auch ihre Website läuft. Weia, erzählen die mir viel Zeug auf ihrer Website! Und bunt. Und mit Bildern. Der für vermutlich über fünfzig Prozent der Leser wichtigste Link „Zur Reiseauskunft auf bahn.de“ ist ganz nach unten in die Fußzeile der Seite gerutscht und damit beinahe unsichtbar, direkt neben den Dingen, die kein normaler Websitebesucher liest: Datenschutzverletzungserklärung, Impressum, AGB. Aber warum sollte die Deutsche Bahn AG, die höchst bundesbananig „privatisierte“ Aktiengesellschaft in einhundert Prozent Besitz der Bundesrepublik Deutschland, auch im Internet freundlicher mit ihren „Beförderungsfällen“ – das Wort „Kunde“ wäre angesichts der Behandlung durch die DB und ihre oft patzigen und inkompetenten Mitarbeiter ein Hohn¹ – umgehen als in der deprimierenden Wirklichkeit.

Der Text in dieser Spam ist kurz:

100€ BahnGutschein – Der perfekte Spar-Deal für Ihre nächste Reise

So so, „BahnGutschein“ mit BinnenMajuskel. Gibt es so etwas wirklich bei der Deutschen Bahn? Kann schon sein, bei denen gibts ja auch ein „GepäckCenter“, weil das nicht so international verständlich wie „Luggage Center“ ist und trotzdem viel besser und moderner als das klare Wort „Schließfächer“ klingt. Da weiß ich gar nicht mehr, ob ich beim „McClean“, wie die Deutsche Bahn die Toiletten ohne jede weitere Kennzeichung ihres Zwecks zu nennen pflegt, kacken oder kotzen gehen soll. 😁️

Oh, es ist mir unmöglich geworden, im Kontext der Deutschen Bahn nicht sehr spöttisch und ätzend zu werden. Gut, zur Spam.

An sich sollte dort für Menschen, die keine vernünftige Mailsoftware benutzen und so etwas deshalb aus dem Web nachladen, noch ein Bild sichtbar werden, aber ärgerlicherweise kann ich das hier nicht präsentieren…

$ curl -s "https://firebasestorage.googleapis.com/v0/b/project-2-fede5.appspot.com/o/25_10_24/1/1.png?alt=media&atoken=37ecc988-9c6d-44a7-8582-c883c84fe9e1"
{
  "error": {
    "code": 400,
    "message": "Invalid HTTP method/URL pair."
  }
}
$ _

…weil die Spammer es verpatzt haben. Von anderen Scheinumfragen und Gewinnspielen her weiß ich aber recht genau, wie es aussehen wird: Ein Foto eines Zuges, ein Logo der Deutschen Bahn, ganz tolle Anpreisung, hundert Prozent gratis. Der Link geht dann nach einer Weiterleitung über die Googlecloud in eine Domain, die nicht zur Deutschen Bahn gehört und…

$ surbl dbck.top-umfragen.de
dbck.top-umfragen.de	okay
$ host dbck.top-umfragen.de
dbck.top-umfragen.de has address 188.95.252.24
$ country 188.95.252.24
188.95.252.24 is from Spain (ES)
$ _

…noch nicht auf den einschlägigen Blacklists steht. Wer sich darauf verlässt, dass irgendwelches Schlangenöl im Webbrowser vor fiesen, kriminellen Websites schützt, ist einmal mehr verlassen, denn die Blacklists liegen immer einige Stunden hinter der kriminellen Wirklichkeit zurück. Der Webserver steht in Spanien und präsentiert die folgende, für die Datensammelei mit angeblichen Umfragen ziemlich typische Seite:

100% Gratis -- Geschenkgutschein -- 100,00 EUR -- Noch 12 Gutscheine übrig -- Nehmen Sie an unserer Umfrage teil und sichern Sie sich im Anschluss einer unserer 100€ Bahngutscheine. -- Samstag, 26.10.2024 -- Sind Sie bereit? -- Anfangen

Oh, habe ich eben „hundert Prozent gratis“ getippt. 😁️

Wenn man die Seite ein bisschen offen lässt, sorgt recht primitiver Javascriptcode dafür, dass die Anzahl der verbleibenden Gutscheine in unregelmäßigen Abständen immer kleiner wird. Aus 16 „übrigen“ Gutscheinen wird im Verlaufe von zwei Minuten nur noch einer. Dort bleibt die Zählung dann stehen, aber das wird die „Zielgruppe“ dieser Spammer nicht bemerken. Die sieht das, glaubt, dass ihre hundert Euro Flügel bekommen, macht dann ganz schnell und denkt nicht lange lästig nach. Wenn man die F5-Taste drückt oder im Browser auf das entsprechende Piktogramm zum Neuladen der dargestellten Seite klickt oder tappt (neudeutsch: Reload), fängt der Zähler wieder bei 16 an. Um zu erkennen, dass es sich hier um eine Lüge handelt, muss man also nur klicken können. 🖱️

Ich kann generell nur davor warnen, in eine E-Mail zu klicken oder sich solche Websites in einem normalen Webbrowser anzuschauen. Es ist Spam. Es sind Kriminelle. Dass diese Leute bösartig sind, bemerkt man schon an ihrer gleichermaßen hinterhältigen wie irreführenden Spam und an der irreführenden Webseite. Das sind keine harmlosen Spielkinder. Wenn die es irgendwie können und es sich lohnt, drücken die einem auch die neueste Kollektion von Schadsoftware auf den Rechner, und danach ist das Konto leer und die Kripo steht vor der Tür. Ich habe für so etwas eine virtuelle Maschine, deren sauberen Ausgangsstatus ich hinterher bequem wiederherstellen kann. Und ich benutze noch nicht einmal Microsoft Windows, das unangefochtene Lieblingsbetrübssystem der Internetkriminellen. Und noch etwas: Nicht einmal das alles ist völlig sicher. Es gibt keine hundertprozentige Sicherheit. Aber ich habe es hier „nur“ mit einfachen, schäbigen Verbrechern zu tun, nicht mit Gegnern, die einen hohen Aufwand treiben würden…

Für den Rest fasse ich mich kurz.

  1. Die banalen und sprachlich merkwürdig formulierten Fragen – Beispiel: „Wie häufig fahren Sie mit den Produkten der Deutschen Bahn“ – sind für Marktforschungszwecke irrelevant. Die Deutsche Bahn kennt ihre eigenen Fahrkartenverkäufe genau. Es ist eine Aktiengesellschaft. Die haben eine Buchführung, die weit über das Journal eines kleinen Kaufmannes hinausgeht.
  2. Am Ende gibt man bei solchen Scheinumfragen immer seinen Namen, seine Mailadresse, seine Telefonnummer, seine Anschrift und sein Geburtsdatum an, um seinen „Preis“ bekommen zu können. Diese Daten sind völlig für einen kriminellen Identitätsmissbrauch hinreichend und können zur Grundlage weiterer, personalisiert vorgetragener Betrugsversuche werden. Als vor einigen Wochen zum Beispiel mal personalisierte Phishingbriefe statt der üblichen Mailspam ankamen, waren vermutlich etliche Empfänger ein bisschen unvorsichtig und hatten hinterher ihren Schaden. Datenschutz ist Menschenschutz. Dass man sich nach einem Klick in eine E-Mail nicht wegen irgendwelcher leerer Versprechungen gegenüber irgendwelchen Unbekannten über ein technisches, anonymisierendes Medium datennackig macht, ist elementarer Selbstschutz im Internet. Wer das nicht versteht, sollte sich wirklich schnell ein anderes Hobby suchen. Bevor es richtig teuer und schädlich wird.
  3. Die eingesammelten Daten werden entweder von den Spammern selbst genutzt oder in den dunklen Ecken des Internet für eine Handvoll Bitcoin an andere Interessierte verkauft.
  4. Die angeblichen Preise oder Gutscheine gibt es nicht. Man bekommt nur Schaden, sonst nichts.

Diese ganzen Gewinnspiele und Umfragen aus der Spam sind Lüge. Es ist immer die gleiche Nummer. Bitte nicht darauf reinfallen!

¹Ergänzender Hinweis, leicht offtopic: Ich bin jahrzehntelang sehr viel und gern mit Zügen gefahren, weil es die bequemste und entspannendste Form des Reisens ist: Bequem hinsetzen, zurücklehnen und recht flott ankommen, während Deutschland an mir vorbeiscrollt. Ich habe es zwar nie nachgerechnet, aber dafür über die Jahre vermutlich viele zehntausend Deutsche Mark ausgegeben und weiß daher ziemlich genau, wovon ich rede. Dass ich Mitarbeitern der Deutschen Bahn das Tarifsystem der Deutschen Bahn mit seiner absolut irrationalen, vorsätzlich unlogischen und unheilbar gehirnzerfressenen Struktur nebst Ausnahme- und Sonderapparaten sowie zeitlich begrenzten Werbeaktionen immer wieder einmal teilweise erklären musste, weil sie sich selbst nicht damit auskannten, gehört zu meinen häufigeren Erfahrungen. Und das, obwohl es ihr einziger Job gewesen wäre: Das Produkt kennen, das man den Leuten verkauft. Statt nachzuschlagen oder mal auf ihre lustige Tastatur vor der Nase rumzutippen, werden sie patzig, arrogant, unhöflich und in einem Fall wurde es sogar mal beleidigend. Dabei war es völlig egal, ob ich in Hamburg, Bremen, Hannover, Köln, Essen, Frankfurt, Würzburg, Freiburg – sehr hübsch da, aber schade, dass die kein Deutsch sprechen können… – oder München war. Es änderte nur die mundartliche Einfärbung der gleichen Patzigkeit, Inkompentenz und Kundenverachtung. (Vom fraktal dysfunktionalen BRD-Reichshauptslum Berlin erwarte ich gar nichts anderes mehr als Kälte, Zerfall, Versagen und Rotzigkeit. Es würde mich im Alltag fürchterlich nerven, in so einer kaputten Stadt zu leben, in der gar nichts mehr funktioniert. Ich bin froh, dass ich da niemals mehr hin muss. Die vielen Leute, die es da toll finden und die mir das immer wieder gern mitgeteilt haben und mitteilen, werde ich deshalb auch nicht weiter in ihrem psychischen Schönsuff stören.) Apropos Kundenverachtung: Die Fahrkartenverkaufsautomaten kennt ihr, oder? Ich hätte mich für so eine Benutzerschnittstelle geschämt, wenn ich dafür verantwortlich gewesen wäre. Seit ich einen Lebensstandard habe, in dem ich mir das Bahnfahren nicht mehr leisten kann, könnte es sich theoretisch gebessert haben, aber in den vielen Jahren, in denen ich regelmäßig bahngefahren bin, wurde es im Laufe der Zeit nicht besser, sondern immer schlimmer. Jemanden vom Bahnhof abzuholen heißt mittlerweile für mich, dass ich eine zusätzliche Stunde für die normal gewordenen Verspätungen einplanen muss. Zum Ausgleich wurde inzwischen auch noch die Zuverlässigkeit abgeschafft, vermutlich, weil ausfallende Züge wenigstens nicht verspätet sind… und ja, ich kenne auch Zugfahren in Schweden, Dänemark, Italien, Schweiz, den Niederlanden und Frankreich. Nirgends war es jemals so mies wie hier. Und: Nirgends war es so teuer wie hier. Für die frühere DDR mit ihrer Deutschen Reichsbahn nebst ihrem teilweise museumsreifen Fuhrpark habe ich allerdings immer etwas Nachsicht und Respekt gehabt, weil es mir gar nicht so einfach vorkam, mit so einem Schrotthaufen noch einen brauchbaren und zuverlässigen Eisenbahnverkehr zu organisieren, und selbst dort waren die meist völlig unmotivierten Mitarbeiter deutlich besser. Na ja, und die Preise dafür waren halt nicht kostendeckend, sondern sozialistisch und die Münzen aus Aluminium.

Als ob sie im Freien schlafen!

Dienstag, 22. Oktober 2024

Wenn man die Website eines bestimmten (hier wegen der dreisten und offen leserverachtenden Unverschämtheit bewusst nicht verlinkten) österreichischen Presseproduktes öffnet – zum Beispiel, um einen Artikel zu lesen, auf den man in seiner Morgenlektüre hingewiesen wurde – wird man mit dem folgenden Gängellayer aus der contentindustriellen Hirnhölle konfrontiert (für eine Ansicht in Originalgröße auf das Bild klicken):

Screenshot: P. -- Jetzt Option wählen und weiterlesen -- Linke Seite: *Bestes Angebot -- Kostenlos registrieren -- 1 Woche unbegrenzt alle Artikel lesen -- Tageszeitung als digitale Ausgabe  -- endet automatisch -- keine Zahlungsdaten notwendig -- Weiterlesen (Link) -- Rechte Seite: Tagespass -- alle Artikel freigeschaltet -- Zugriff endet nach 24 Stunden -- Tageszeitung als digitale Ausgabe -- 4,99€ für 24 Stunden (Link) -- Sie haben bereits ein Abo? Jetzt anmelden (Link) -- (In das Bild montierte Anmerkung: Screenshot vom 20. Oktober 2024.)

Ich bedauere ja oft, dass dieses viel beklagte „Pressesterben“ viel zu langsam geht.

(Mit Stable Diffusion generiertes Bild.) Glauben diese Gruselclowns… oh, sorry, ich meine natürlich die Gestalter dieser Gängelung… allen Ernstes daran, dass es auf dieser Welt Menschen gibt, denen es fünf ganze Euro wert ist, auf einer einzelnen von mehreren Milliarden Websites über einen Zeitraum von 24 Stunden lesen zu dürfen? Auf einer noch nicht einmal besonderen und inhaltlich exklusiven Website, sondern in einem contentindustriellen Journalismusprodukt, dessen einziger Zweck und Geschäftsmodell ein Dasein als Köder für den Angelhaken des Werbers ist? Weil ein Werber nun einmal einen Köder für seine perfiden und manipulativen Lügenfallen braucht? Weil der nackte Haken den meisten Fischlein mit Kaufkraft nun einmal nicht schmeckt? Für diesen Zweck ist contentindustrieller Journalismus so ideal, dass er praktisch keine anderen Geschäftsmodelle mehr hat.

Fünf Euro für 24 Stunden Lesen bezahlen, obwohl die Website mindestens zu achtzig Prozent (typisch sind weit über 90 %) aus Inhalten besteht, die es aus diversen Quellen völlig kostenlos gäbe, weil sie in der freien, nach eigenen Angaben „unabhängigen“ und allersorgfältigst recherchierenden Presse immer alle die gleichen Agenturen und frei gelieferten PRessemeldungsticker abschreiben? Fünf Euro für eine „Zeitung“ auf dem Bildschirm, mit der man nach dem Lesen nicht einmal mehr den Vogelkäfig auslegen könnte? Ein Preis, der schon für eine auf Papier gedruckte Tageszeitung schlechterdings absurd wäre? Und das Beste daran: Wenn man so dumm wäre und dafür bezahlte, erhielte man Zugriff auf Informationen, die man in über das Stammtischgebrabbel hinausgehenden Diskussionen, Analysen und Arbeiten gar nicht als Quelle verwenden könnte, da man sie niemals belegen kann. Ein Link auf einen Artikel hinter so einer absurden Gängelmauer ist wie ein Wegweiser in das Nichts und für alle Menschen sinnlos. Steht da ja sogar: Der (weggelassener Artikel von mir hinzugefügt) „Zugriff endet nach 24 Stunden“. Die schreiben ganz offen hin, wie wertlos das ist, was man für den Preis von drei Kilogramm leckerer und satter Nudeln „erwerben“ kann. Und sie schreiben damit offen hin, dass sie noch nicht einmal als zitierfähige Quelle geeignet sein wollen.

Wenn die wirklich glauben, dass dafür jemand fünf Euro latzt, dann haben die einen Dachschaden, der so groß ist, dass sie schon seit langem im Freien schlafen. Ich würde allen für diese Entscheidung verantwortlichen Menschen nach dieser bemerkenswerten Offenbarung ihres gedanklichen Apparates dringend empfehlen, bei eventuellen Gesprächen mit psychiatrischen Gutachtern sehr vorsichtig zu sein. Ich habe Menschen kennengelernt, die schon nach viel geringeren Realitätsverlusten für den Rest ihres Lebens einen Vormund an der Backe hatten.

Ach nein, das sind in Wirklichkeit ganz ausgebuffte Geister? Die wissen genau, dass niemand fünf Øre dafür hinlegt, dass er einen Tag lang eine Website lesen kann? Die wollen mit dieser Gängelung einfach nur die „freiwillige Zustimmung“ in allerlei unerwünschte Datenverarbeitung erzwingen? Weil sie davon ausgehen, dass ihre Leser so dumm sind, dass sie das…

  1. …trotz seiner Offensichtlichkeit nicht durchschauen; oder…
  2. …es zwar durchschauen, aber so wenig Selbstachtung haben, dass sie trotz dieser offenen Intelligenz- und Leserverachtung mit einem lesegierigen und dummen Klick allerlei Zumutungen der Überwachung, des Trackings, der Verdatung zustimmen und weiterlesen?

Die wollen also Dummköpfe als Leser, und damit das auch klappt, beleidigen sie gleich am Eingang keck und offen die Intelligenz jedes Menschen, wohlwissend, dass die gewünschten Dummköpfe das gar nicht bemerken können. Früher, als sie noch kein halbes Fischblatt war, hat die Frankfurter Allgemeine Zeitung mit dem claim „Dahinter steckt immer ein kluger Kopf“ geworben, was natürlich beabsichtigterweise dazu führte, dass sich so mancher Dummkopf hinter einer FAZ versteckte, um klüger auszusehen. Hier aber ist die öffentlich werbende Selbstdarstellung genau anders herum: „Wir haben nur Dummköpfe als Leser, komm schon, sei auch dumm“.

Nun dann, vor meinem Arsch ist auch kein Gitter! 👅️

Habe ich schon angemerkt, dass mir dieses viel beklagte „Pressesterben“ viel zu langsam geht? Ja? Dann ist ja gut. Dass diese Masche von ihrer irreführenden Machart her gar nicht so sehr anders als diverse (ebenfalls auf dumme und naive Menschen zielende) Betrugsmaschen aus der Spam sind, ist natürlich kein Zufall. Es ist das Ergebnis der selben Denkweisen von Menschen, die an das Geld anderer Menschen kommen wollen, ohne ihnen dafür etwas Wertentsprechendes geben zu wollen und ohne allzuviel Arbeit damit zu haben. Contentindustrieller Journalismus passt sich in seinen Methoden den Spams von Trickbetrügern an. Oder, wie ich zu sagen pflege: Da wächst zusammen, was zusammen gehört.

Dem aus Österreich kommenden contentindustriellen journalistischen Produkt, dass es hier einfach mal mit Leser- und Intelligenzverachtung versucht, wünsche ich noch viel Spaß bei der kommenden innigen Beziehung mit dem Insolvenzverwalter.

(Mit Stable Diffusion generiertes Bild.) Und nein, das ist dann kein Schicksal, es ist Konsequenz des eigenen Tuns und Seins. Es ist auf ganzer Linie verdient. Der intellektuelle Bankrott kam schon lange vor der wirtschaftlichen Insolvenz; das geistige Absterben war schon weitgehend durchschritten, als endlich auch der wirtschaftliche Tod eintrat. Wer allen Ernstes zur Rechtfertigung sagt, dass wir solche Machenschaften „für die Demokratie“ brauchen, der sagt damit übrigens auch: Wir brauchen Betrug und Überrumpelung für die Demokratie. Da darf man sich aber nicht wundern, wenn andere, Geübtere, das mit dem Betrug und der Überrumpelung viel besser hinbekommen (man nennt diese Maschen in politischen Kontexten „Populismus“, damit die Parallele zum Betrug nicht so auffällt), ja, wenn sie es so gut hinbekommen, dass inzwischen ernsthaft darüber gesprochen wird, wie man diese „Demokratie“ vor den lästigen Wählern schützen kann.

Die contentindustrielle Presse schützt nicht die „Demokratie“, sondern die gewerbsmäßig vorgetragene, manipulative Lüge der Reklame. Dafür lässt sie sich bezahlen. Für nichts anderes. Kein Wunder, dass man bei solchem Umgang innerlich verrottet und anfängt, die Menschen und ihre Intelligenz als Feind zu betrachten. Und: Kein Wunder, dass denkende und fühlende Menschen davor fliehen.

Telefonnummer aktualisieren – Rf:95538

Samstag, 21. September 2024

Was, ich kriege eine neue Telefonnummer? Von wen denn?

Von: ІNG <j1beaf8itdvs6lz@itcelaya.edu.mx>
An: undisclosed-recipients:;

Von jemanden mit dem Namen „ING“ – vermutlich war die Mutter geizig und wollte sich das „o“ für einen „Ingo“ einfach sparen – und mit einer ganz krummen Mailadresse, die ich noch nie gesehen habe. Aber dafür schreibt er gleich ganz viele Leute auf einmal an. Und alle haben sie Rf. 95538.

Die Mail wurde übrigens über eine US-amerikanischen IP-Adresse aus einem IP-Bereich von Google (jetzt als „Alphabet“ firmierend, der Name ändert sich, sonst ändert sich nix) versendet. Auf die sinnlose Abuse-Mail an Google verzichte ich. Es ist ein schöner Tag und ich mag heute keine Portion Kafka. 😉️

Ach ja, diese Mail wird klar als Spam erkannt. Mein rspamd hat ihr recht solide 17,43 Punkte gegeben, und bei mir gehts schon für fünf Punkte ins Tönnchen. Gut, es ist weit weg von den Rekorden um die 40 Punkte, die ich manchmal sehe, aber die Spamerkennung dürfte sicher genug sein. Deshalb wird auf diesen Phishingversuch kaum jemand reinfallen.

Wer in den Quelltext schaut, wird feststellen…

Screenshot eines Base64-codierten Teils einer E-Mail in einem Editor -- Unter dem Header scheinbar uninterpretierbarer Zeichensalat

…dass der Quelltext nicht direkt lesbar ist. Er wurde in Base64 codiert, was man eigentlich nur bei Binärdateien macht. Dabei werden jeweils sechs Bit auf ein darstellbares Zeichen in 7-Bit-ASCII abgebildet. Wenn man so etwas hört, wird hoffentlich klar, wie alt E-Mail schon ist. Es handelt sich bei dieser Codierung nicht um eine Verschlüsselung, denn sie kann problemlos umgekehrt werden. Deshalb markiere und kopiere ich diesen ganzen Text und greife zu den Hilfsmitteln, die mir mein freundliches und stets dienstbares Betriebssystem zur Verfügung stellt (nicht vor der Kommandozeile erschrecken, und ja, unixoide Betriebssysteme sehen immer etwas erschröcklich aus, wenn man nicht daran gewöhnt ist):

$ xsel -bo | base64 -d | tee mailtext.html | sed 10q
<html>
	<head>
		<title></title>
	</head>
	<body>
		<p>
			&nbsp;</p>
		<table class="rio_container" id="rio_container" style="font-family: inherit; font-size: 12px; font-weight: inherit; font-feature-settings: 'liga' 0; line-height: normal; border-collapse: collapse; font-style: inherit; background: #ffffff; width: 525px; margin: 0px auto; padding: 0px; outline: 0px; vertical-align: baseline; display: block;">
			<tbody style="margin: 0px; padding: 0px; border: 0px; outline: 0px; font-weight: inherit; font-style: inherit; font-family: inherit; vertical-align: baseline; display: block;">
				<tr style="margin: 0px; padding: 0px; border: 0px; outline: 0px; font-weight: inherit; font-style: inherit; font-family: inherit; vertical-align: baseline; display: block;">
$ file mailtext.html
mailtext.html: HTML document, ASCII text, with very long lines (13297), with CRLF line terminators
$ wc mailtext.html 
   19   296 16384 mailtext.html
$ echo 16384 / 1024 | bc -l
16.00000000000000000000
$ _

Hui, das sind genau 16 KiB HTML für diese Mail, deren Text (mit Leerzeichen und Steuerzeichen wie Zeilenumbrüchen) 1.916 Byte lang ist. Spam ist nur selten effizient und ressourcenschonend. Das hat sie mit einer anderen, sehr ähnlichen, aber leider legalen Erscheinung gemeinsam: der Reklame. Davon, dass der Spammer auch versucht hat, ein Logo der ING-DiBa über eine Data-URL einzubetten, so dass er die Base64-Codierung in dieser URL noch einmal Base64-codiert hat, fange ich jetzt gar nicht erst an, und erst recht zeige ich nicht, welche Akrobatik ich dafür an der Kommandozeile hatte (es sah nicht so unähnlich aus). Immerhin, der Absender ist dabei ein bisschen mit seinem Werkzeugkasten durcheinander gekommen und sein Logo war zerschossen. In meinem Zitat der Spam nehme ich mal ein Logo aus einer früheren Phishingspam für Kunden der ING-DiBa, damit es ungefähr so aussieht, wie der Spammer es gern gehabt hätte, aber wegen seiner technischen Unfähigkeit nicht hinbekommen hat. Vielleicht klappt es ja beim nächsten Mal ein bisschen besser:

Logo ING DiBa
Geschatzter Kunde,

Um die Sicherheit Ihres Kontos weiterhin zu gewährleisten, bitten wir Sie, Ihre Telefonnummer zu aktualisieren. Eine aktuelle Telefonnummer hilft uns, Sie bei wichtigen Kontoaktivitäten oder im Falle von Sicherheitsfragen schnell zu erreichen..

Bitte nehmen Sie sich einen Moment Zeit, um Ihre Telefonnummer zu überprüfen und zu aktualisieren. Dieser einfache Schritt trägt wesentlich zur Sicherheit Ihres Kontos bei.

Telefonnummer aktualisieren

Vielen Dank für Ihre schnelle Bearbeitung. Ihre Aufmerksamkeit hilft uns, Ihr Konto sicher und geschützt zu halten.

Mit freundlichen Grüßen,

Ihre ІNG-DіВа.

Datenschutzrichtlinien | AGB | Kontakt

Ja, der Spammer hat die letzten drei Links einfach weggelassen. Sein Text war ja schon fertig, seine Gedanken waren im Puff und der Wodka war lecker.

Natürlich führt der Link nicht zur ING-DiBa, sondern nach ein bisschen Weitergeleite – es ist ja Spam, da werden niemals direkte Links gesetzt, so wie das jeder denkende und fühlende Mensch machen würde, weil es einfacher und direkter ist – zu einer obskuren Webseite…

$ location-cascade https://boca.hozzt.com/~p4tcom/soon
     1	https://boca.hozzt.com/~p4tcom/soon/
     2	https://p4t.com.tr/-
     3	https://p4t.com.tr/-/
     4	de/mkfile.php?p=login
$ lynx -dump https://p4t.com.tr/-/de/mkfile.php?p=login | sed 14q
   [logo.png]

   5L63oa4gc-ci3bn8

   2A42n25ma6ec0l5cd46e68n5 2ma5i23tf 7Z62ue8g6eab0n26gd7sd7d18afetc6e5an1
   4Z7eu50g47a1bn85gddseen74udcmd2m8ee4fr9
   ____________________ 8L18ea3tecz9dt99ea f1fe03 dSd4t31efal90lcbe22n3
   cIedh3dr6cebcr6 dI2fN80G3 4I55B16A0cN5 /
   4D4beb9p92o34t42n7fu9fm15m27e25rf
   4Ia7nd8t1ce4bra7n6ae06t71b7baban00k62icdn2fg5 4P30I03N8
   ____________________ 2Bbci85t9bt0ae2 bb1aefda80c68h7at78e00n3 9S9ei1fe3
   1de2i99ef 3G39rf5o6ß- 8u6bnecd4
   8Kb7l6de31i6dn2bs64cd5hb0rf6eb9i37b95u0fn3fg08.1
   (BUTTON) Anmelden
$ _

…die von blinden und schwer körperbehinderten Menschen gar nicht genutzt werden könnte, weil sie neben dem Anmeldeformular nur Zeichensalat enthält. Aber keine Sorge, das stört den Spammer nicht weiter. In einem richtigen Webbrowser – ich mache so etwas aus Sicherheitsgründen in einer virtuellen Maschine – sieht die Webseite so aus:

Screenshot der Phishingseite im Browser

Alle Daten, die man dort eingibt, gehen direkt zu Trickbetrügern. Auf einer Telefonnummer, die man im nächsten Schritt angibt, wird man einen Anruf eines angeblichen Bankmitarbeiters erhalten, der „die Konfiguration abschließt“ oder einen ähnlichen Bullshit behauptet. Er bringt dann das Opfer dazu, eine betrügerische Transaktion zu bestätigen. Danach ist das Konto leergeräumt und bis an die Grenze überzogen, und das Opfer hat erstmal den Schaden.

Zum Glück für uns alle gibt es ein ganz einfaches und hundertprozentig wirksames Mittel gegen Phishing, einer der häufigsten Trickbetrugsformen im Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, kann einem kein Krimineller so einen giftigen Link unterschieben. Stattdessen so etwas wie die Homepage der Bank immer über ein Browserlesezeichen aufrufen. Wenn man nach dem „Genuss“ einer derartigen Mail die Website der ING-DiBa über ein Browserlesezeichen aufruft, sich dort ganz normal anmeldet und im Folgenden feststellt, dass die in der Mail behaupteten Probleme gar nicht existieren (sonst bekäme man ja nach der Anmeldung einen Hinweis auf der Website angezeigt), kann man die Mail einfach löschen und sich angenehmeren Dingen zuwenden. So wehrt man einen dieser gefürchteten „Cyberangriffe“ ab. So einfach geht das. Macht das! 🛡️

Und vor allem: Erzählt auch anderen Menschen, wie man das macht! Schließlich wird jeder Mensch mit ein paar zehntausend Euro etwas besseres anzufangen wissen, als solchen Kriminellen den verfeinerten Lebensstil zu finanzieren. Sollen die Phisher doch verhungern!

Aus den Biotopen des Internetsumpfes

Aber diese Spam geht noch weiter, denn dem Spammer ist da wohl so ein kleiner Unfall mit der Zwischenablage passiert:

Klarna.

Dein sechsstelliger Code

Hallo! Dein sechsstelliger Code ist:

075386

Nutze diesen Code um die Verifizierung in der App oder auf der Webseite abzuschließen.

Gib diesen bitte nicht weiter. Mitarbeiter von Klarna werden dich niemals bitten, diesen Code per Telefon oder SMS zu bestätigen.

Dieser Code ist nun für 10 Minuten gültig.

Support

Bei Fragen hierzu kontaktiere uns gerne unter

Kundenservice

Du möchtest mehr über uns erfahren?

Besuche unsere Webseite unter https://www.klarna.com/de/

Klarna.

Klarna Bank AB (publ)
Handelsregister: SE556737-0431
USt-IdNr: SE556737043101
Vorstandsvorsitzender: Sebastian Siemiatkowski

Postanschrift Deutschland
Postfach 900162
90492 Nürnberg

Hauptsitz
Sveavägen 46
111 34 Stockholm
Schweden

klarna.com

Erfahre hier, wie du Betrugsversuche erkennen kannst. Du befürchtest, Opfer eines Betrugs geworden zu sein? Melde es umgehend unserem Kundenservice oder leite verdächtige E-Mails an phishing@klarna.com weiter.

Vermutlich hat der Phisher gerade die nächste Kampagne gegen Kunden der Klarna Bank (Firmierung mit Deppen Leer Zeichen) vorbereitet, als Ausgangsmaterial eine Originalmail der Klarna Bank (Firmierung mit Deppen Leer Zeichen) genommen und sich ein bisschen verheddert, weil er gleichzeitig noch seine ING-DiBa-Spam gemacht hat. Man macht aber auch immer komische Fehler, wenn man überarbeitet, unkonzentriert und betrunken ist! Aber vermutlich ist es dem Phisher egal, denn die sehr naiven Menschen, die er ums bitter verdiente Geld betrügen will, lesen gar nicht richtig, sondern klicken einfach drauflos. Und dann haben sie den Schaden.

So ein eindeutiges Anzeichen für einen Betrugsversuch hat man nur selten in der Spam.

Ihr Konto wurde vorübergehend gesperrt.

Dienstag, 17. September 2024

Abt.: Die Nuller Jahre möchten ihre schlechten Phishingspams zurückhaben

Oh, schön. Mit Punkt am Ende des Betreffs. Das habe ich lange nicht mehr gesehen. Menschen setzen da beinahe nie einen Punkt (andere Satzzeichen schon), aber Spammer, die ihr Skript nicht richtig verstehen, setzen da öfter mal einen Punkt. Nicht, weil sie das so wollen, sondern, weil sie ihr Skript nicht verstehen. Und auch den Rest habe ich lange nicht mehr gesehen, denn es ist ein altmodisches, unpersönlich vorgetragenes Phishing.

Von: Advanzia Bank <thevenue@oliverock.co.za>
An: undisclosed-recipients:;

Diese Spam geht an ganz viele Empfänger gleichzeitig. Sie ist so „persönlich“ wie ein Werbeprospekt, der in den Briefkasten geworfen wird.

Logo der Advanzia Bank

Ich habe kein Konto bei dieser Bank, und diese Bank hat keine Mailadresse von mir. Dieser Müll kommt bei allen Menschen an. Es ist Spam. Schrotmunition. Wird schon bei einigen treffen, wo es passt. Spam kostet den Spammer ja nichts.

Gentile cliente

Genau mein Name!

Sehr geehrter Kunde,

Ah, im zweiten Versuch klappt es gleich viel besser mit meinem Namen. 😁️

Es tut uns leid, Ihnen mitteilen zu müssen, dass Ihr Konto aus Sicherheitsgründen vorübergehend gesperrt wurde. Wir müssen Ihre Telefonnummer und Ihre E-Mail- Adresse in unserem Service bestätigen.

Eine richtige Bank wüsste nicht nur den Namen ihres Kunden und spräche ihn persönlich an, sondern sie würde auch die Kontonummer angeben, wenn ein Konto des Kunden betroffen ist. Erstaunlich viele Menschen unterhalten mehrere Konten, zum Beispiel, um ihren persönlichen Geldkram sauber vom Geldkram aus selbstständiger Tätigkeit zu trennen. Diese Leute vom Finanzamt können immer ganz schön garstig werden, wenn da etwas nicht so durchschaubar ist.

Aber diese Spezialbank aus dem Spameingang weiß ja nicht einmal, wie ihr angeblicher Kunde heißt.

Um Ihre Telefonnummer und Ihre E-Mail zu bestätigen, klicken Sie auf den folgenden Link:
Aktualisieren

Wer da klickt, lasse alle Hoffnung fahren! Der Link führt in eine Domain, die in Serbien gehostet wird, und der dort laufende Webserver…

$ host zaduzbinajankovicandjelkovic.rs
zaduzbinajankovicandjelkovic.rs has address 185.119.89.170
zaduzbinajankovicandjelkovic.rs mail is handled by 10 mf.unlimited.rs.
$ country 185.119.89.170
185.119.89.170 is from Serbia (RS) 
$ surbl zaduzbinajankovicandjelkovic.rs
zaduzbinajankovicandjelkovic.rs	okay
$ mime-header http://zaduzbinajankovicandjelkovic.rs/sarl/
HTTP/1.0 302 Found
Connection: close
x-powered-by: PHP/8.0.30
set-cookie: PHPSESSID=8th4gi0tjr1t2b734c7enm9f0i; path=/
expires: Thu, 19 Nov 1981 08:52:00 GMT
cache-control: no-cache, no-store, must-revalidate, max-age=0
pragma: no-cache
content-type: text/html; charset=UTF-8
location: https://google.com
content-length: 0
date: Tue, 17 Sep 2024 08:20:32 GMT
server: LiteSpeed
$ _

…schaut auch nach, ob ein „richtiger Webbrowser“ etwas von ihm haben möchte, oder ob es sich um kleine, schnell hingefummelte Skriptchen handelt, mit denen jemand wie ich ankommt, bevor er die Websites von Kriminellen auf seinen Browser und seinen persönlich genutzten Computer loslässt. Wer analyisieren will, ist diesen Phishern zu neugierig und wird einfach zu Google weitergeleitet. Interessanterweise wird ein Internet Explorer 10 – diesen gebe ich in meinem lange nicht mehr angefassten Skript mime-header als anfragenden Browser an – inzwischen sogar von Kriminellen als veraltet und verdächtig angesehen. Nun gut, dann muss ich das wohl mal wieder anpassen, dann kommt halt demnächst ein Chrome vorbei, der traurige Quasistandard im heutigen Web, weil es nichts anderes mehr zu geben scheint… da helfen auch die vielen lustigen Browsernamen nicht, hinter denen sich immer ein Chrome mit anderer Benutzerschnittstelle verbirgt. 😉️

Natürlich hat niemand solche Tricksereien am Webserver nötig, wenn er keine bösen Absichten hat. Insbesondere hat eine Bank solche Tricksereien nicht nötig. Wenn sie es dennoch macht – warum sollte sie? – würde ich dringend empfehlen, sich eine andere Bank zu suchen, weil das einfach verdächtig aussieht.

Ich habe es mal in einer virtuellen Maschine ausprobiert: Wenn man mit einem „richtigen Browser“, in diesem Fall mit einem Chromium, vorbeischaut, gibt es keine Weiterleitung zu Google, sondern diese reizende Phishingseite:

Screenshot der Phishing-Seite

So so, „Phishing E-Mails im Umlauf“. Auf einer klaren Phishingseite. Mit Deppen Leer Zeichen. Fühlt euch gewarnt und sicher! 😸️

Natürlich gehen alle Daten, die man hier angibt, nicht an die Bank, sondern an eine Betrügerbande. Das Konto wird leergeräumt, mit der Kreditkarte werden betrügerische Geschäfte gemacht, eventuell wird das Konto noch zur Verschleierung von kriminellen Geldflüssen genutzt. Wer darauf reinfällt, ist schlagartig pleite, wird zum Ziel von Ermittlungen und darf in den nächsten zwei Jahren immer wieder Polizeibeamten, Untersuchungsrichtern und Inkassobüros seine Geschichte erzählen. Als ob der finanzielle Verlust nicht schlimm genug wäre! ☹️

Zum Glück für uns alle gibt es ein einfaches und wirksames Mittel gegen Phishing, einer der häufigsten Betrugsformen im gegenwärtigen Internet: Niemals in eine E-Mail klicken! Wenn man nicht in eine Mail klickt, haben Kriminelle keine so einfache Möglichkeit, einem einen giftigen Link unterzuschieben. Stattdessen für häufig besuchte Websites Lesezeichen im Browser anlegen und diese Websites nur noch über diese Lesezeichen aufrufen. Wenn so eine Spam ankommt, und man ist sich nicht sicher, ob die nicht vielleicht doch echt sein könnte – Phishing gibt es auch mit persönlicher Ansprache und manchmal sogar mit Angabe der Kontonummer, nicht jeder ist angesichts des aktuellen Industriestandards des Datenschutzes so datensparsam wie ich – dann klickt man nicht in die Spam, sondern wechselt einfach zum Browser, ruft die Website über das Lesezeichen im Browser auf und meldet sich dort ganz normal an. Wenn sich dabei zeigt, dass das in der Spam behauptete Problem, etwa eine Kontosperrung, gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und kann die Spam löschen. So einfach geht das. Macht das! 🛡️

Das bisschen Vorsicht spart schnell einen fünfstelligen Geldbetrag, mit dem vermutlich jeder Mensch etwas besseres anzufangen weiß, als Kriminellen ihren verfeinerten Lebensstil zu finanzieren. Einmal ganz davon abgesehen, dass sich niemand seine begrenzte Lebenszeit mit dem ganzen Ärger versauen will, wenn seine Identität missbraucht wird.

Für weitere Informationen kontaktieren Sie uns immer unter folgenden Nummern: Kontakt Technische Beratung zum Online-Service meine.karte 49 (0)345 – 21973■■■ (Aus allen Netzen) Mo.-Sa., 8-19 Uhr Fragen zur gebührenfreien Mastercard Gold 0800 880 1■■■ (gebührenfrei aus dem deutschen Festnetz) 24 Stunden erreichbar 49 (0)345-21973■■■ (Aus dem Ausland oder Mobilfunk) 24 Stunden erreichbar

Ich habe die Nummern mal unbenutzbar gemacht.

Viele Grüße
dein KONTO-Service-Team

Hier spammt das Serviceteam noch selbst!

Diese E-Mail wurde von einer Adresse versendet, die ausschließlich für Benachrichtigungen genutzt wird und keine E-Mails empfangen kann.

Diese Mail ist eine Spam.

Bitte nutze die im Footer genannten.
konto (GmbH & Co KG), Werner-Str. 1-7, 22179 Hamburg AG Hamburg, HRA 62024, Persönlich haftend:
Verwaltungsgesellschaft advanziambH, Hamburg, AG Hamburg, HRB 13762 vertreten durch: Alexander Birken (Vorsitzender)

Mit Stable Diffusion generiertes BildOh, ich sehe schon wieder den Standardeffekt aus solcher Spam, der inzwischen selten geworden ist. Der eigentliche Text war fertig, der Spammer freute sich, dass er seine fünf Arbeitsminuten absolviert hatte und musste da nur noch den Standardkram drunterschreiben, damit die Spam auch „echt“ aussieht. Halt so etwas wie ein Mailimpressum, wie es in geschäftlicher Mail in der Bundesrepublik Deutschland angegeben werden muss. Die Aufmerksamkeit des Spammers war aber längst schon wieder im Puff, der Mund nuckelte schon gierig an der leckeren Wodkaflasche, und dann schlichen sich zum Ende der Spam viele kleine Fehlerchen ein. Zum Beispiel die Konto (GmbH & Co. KG). Weil der Spammer sich sagt: „Das liest doch eh keiner, da brauche ich mich nicht anzustrengen. Da klappe ich irgendeinen Rotz rein. Meine Opfer schauen da ganz bestimmt nicht hin, die interessieren sich ja nicht einmal dafür, wo mein Link hinführt“.

Aber immerhin bemerkt man so, dass der Text nicht aus einem angelernten neuronalen Netzwerk stammt.

Entf! 🗑️

Ihr exklusives ADAC-Notfallset wartet auf Sie!

Sonntag, 15. September 2024

Natürlich kommt diese Mail…

Von: ADAC <adac.kundenservice@gmx.co.uk>

…nicht vom ADAC, was man ja schon an der Absenderadresse sehen kann. Deshalb kommt sie ja auch bei Menschen wie mir an, die weder jemals in ihrem Leben Auto gefahren sind, noch darauf Lust haben oder hatten, und die erst recht nicht Mitglied des ADAC sind. Es ist eine Spam. Der Vereinsname ADAC wird hier nur von Kriminellen missbraucht und damit in den Schmutz gezogen.

Sicher unterwegs – Ihr kostenloses Notfall-Kit von ADAC wartet auf Sie!

Wer auf dem Link klickt, landet auf einer Website, die so tut, als wäre sie der ADAC:

Sehr geehrter ADAC-Kunde, -- Wir möchten Ihnen die einmalige Gelegenheit bieten, eine brandneue Notfallset fürs Auto! zu erhalten Um Anspruch zu erheben, nehmen Sie einfach an dieser kurzen Umfrage zu Ihren Erfahrungen mit ADAC teil. -- Achtung! Dieses Umfrageangebot läuft heute ab, September 15, 2024. -- [UMFRAGE STARTEN]

Damit man nicht so lange darüber nachdenkt, tickt unten eine Uhr 6 Minuten und dreißig Sekunden herunter. Wenn diese Zeit abgelaufen ist, geht es allerdings von vorne los, denn es wäre ja für die betrügerischen Websitebetreiber schade, wenn jemand von ihrem Betrug ausgeschlossen würde, nur weil er ein bisschen langsam ist.

Natürlich hat der ADAC keine Kunden, ebensowenig, wie ein Kleingarten- oder Schützenverein Kunden hätte. Es handelt sich um einen Verein. Und das sollte eigentlich auch jedes Mitglied dieses Vereines wissen und mit lauten Lachgeräuschen das Browserfenster zumachen… wenn hoffentlich nicht schon die Spam unbesehen gelöscht wurde. Denn natürlich hängt an dem Link eine eindeutige ID, und wer darauf klickt, teilt den Spammern mit, dass die Spam auf der Mailadresse angekommen ist, gelesen wurde und beklickt wurde. Das hat Folgen. Bis zu dreißig am Tag, und eine ist dümmer als die andere.

Wie immer in der Gewinnspiel- und Umfragespam geht es darum, Daten einzusammeln. Alle Daten, die man auf der angeblichen Website des ADAC eingibt, gehen direkt an Betrüger. Danach hat man ein Problem, egal, ob die Daten in den dunklen Ecken des Internet unter Kriminellen gehandelt werden, ob sie direkt für einen Identitätsmissbrauch verwendet werden oder ob man hinterher einen Anruf bekommt, dass man als „Gewinner“ doch nur noch die Kreditkartendaten angeben soll, um die Versandkosten zu zahlen. Oder auch einfach alle drei „Nutzungsformen“ auf einmal. Als ob es dem richtigen ADAC gegenüber nicht ausgereicht hätte, eine Mitgliedsnummer anzugeben… 💡️

Ach ja, den Preis… oder, um es mit der relativ schlecht übersetzen Website zu sagen: die „Belohnung“ in Form eines Notfallsets… gibt es nicht.

pepe88

Mittwoch, 28. August 2024

So nennt sich die Gestalt mit ihrem schlechten und fehlerhaft programmierten Spamskript und ihrer IP-Adresse aus Malaysia, die im Moment akuten Kommentardurchfall hat und hier auf Unser täglich Spam immer wieder versucht, Kommentare zu veröffentlichen. Was für Kommentare? Tolle Kommentare. Ich gebe hier mal eine ganz kleine Auswahl (es sind zurzeit hunderte binnen eines Tages):

  • Name: pepe88
    Mailadresse: r.nagel5241@company.de
    Homepage: https://www.pepe88d.site/

    Mit dem Bauchgefühl entscheiden pepe88 Aufgrund von Intuition entscheiden

    Manchmal führt das „Bauchgefühl“ allerdings auch dazu, dass man sich das Frühstück noch einmal durch den Kopf gehen lässt. 🤮️

  • Name: pepe88
    Mailadresse: m.feldmann5914@company.de
    Homepage: https://www.pepe88d.site/

    Das Kind beim Schopfe packen pepe88 Eine Gelegenheit ergreifen oder entschlossen handeln

    Oder auch mal das Kind entschlossen ergreifen und die Gelegenheit beim Schopfe packen… 😄️

  • Name: PEPE88
    Mailadresse: t.fischer7604@company.de
    Homepage: https://www.pepe88d.site/

    Sich den Kopf zerbrechen pepe88 Sich den Kopf zerbrechen oder sehr intensiv nachdenken.

    Zum Glück für Spammer und Betrüger gibt es genug bruchsichere Köpfe, die einfach ohne dieses anstrengende Denkmodul weiterlaufen.

  • Name: Pepe88
    Mailadresse: r.meyer6024@company.de
    Homepage: https://www.pepe88d.site/

    Wie aus der Pistole geschossen pepe88 Schnell oder abrupt antworten.

    Ein Knall sagt mehr als tausend Worte.

  • Name: PEPE88
    Mailadresse: r.bergmann9702@company.de
    Homepage: https://www.pepe88d.site/

    Einen Strich durch die Rechnung machen pepe88 Jemandes Pläne verderben oder eine Idee ruinieren.

    Manche machen sich aber auch selbst den Strich durch die Rechnung. Spammer zum Beispiel, die schlechte und fehlerhafte Spamskripten verwenden.

  • Name: pEpE88
    Mailadresse: m.hoffmann7598@company.de
    Homepage: https://www.pepe88d.site/

    Sich in der eigenen Suppe ausruhen pepe88 Sich entspannen oder mit der eigenen Situation zufrieden sein.

    Beim „Ausruhen in der eigenen Suppe“ ist es übrigens sehr hilfreich, wenn man das Suppenhuhn ist. 😅️

  • Name: pepe88
    Mailadresse: e.fischer8601@company.de
    Homepage: https://www.pepe88d.site/

    Auf Wolke sieben pepe88 Beschreibt jemanden, der extrem glücklich oder in einem Zustand der Glückseligkeit ist.

    „Auf dem Boden der Tatsachen zurück“ beschreibt, was danach kommt.

  • Name: PEPE88
    Mailadresse: r.hofmann9017@company.de
    Homepage: https://www.pepe88d.site/

    Über den Tisch ziehen pepe88 Jemanden betrügen oder täuschen, besonders finanziell.

    Na, endlich mal etwas, womit sich der Spammer auch auskennt. 👍️

  • Name: pepe88
    Mailadresse: e.schneider8431@company.de
    Homepage: https://www.pepe88d.site/

    Sich in den eigenen vier Wänden einrichten pepe88 Sich bequem zu Hause einrichten.

    Gefängniszellen haben ja auch vier Wände, aber das droht diesem Spammer wohl eher nicht.

Die Machart der Spams dieses Kalenderspruchphilosophen und Redensarterklärers aus dem Glibbersieb des Spamfilters dürfte klar genug sein. Der Name ist immer „Pepe88″ in irgendeiner Kombination aus Minuskeln und Majuskeln, die Mailadresse ist immer ein Buchstabe punkt ein Name gefolgt von einer vierstelligen Zahl @company.de, die Homepage ist immer gleich und der Kommentar ist maximal nichtssagend.

Die Domain der verlinkten Website…

$ surbl pepe88d.site
pepe88d.site	okay
$ lynx -dump https://pepe88d.site/
   REFRESH(390 sec): [1]https://pepe88d.site/

   Enable JavaScript and cookies to continue

Verweise

   1. https://pepe88d.site/
$ _

…steht zurzeit noch nicht auf den einschlägigen Blacklists. Sie verweigert ohne Javascript die Darstellung. Da weder die Kommentare noch die verwendete Domain – mit 88, was im deutschen Sprachraum durchaus zu Irritationen führen kann – einen Aufschluss darüber geben, was dieser freundliche Spammer uns allen mit seine wild laufenden Skript andrehen möchte, habe ich mal eine virtuelle Maschine gestartet und einen Screenshot gemacht (einige Farben sind schwer lesbar, weil ich noch einen Proxyserver dazwischen habe, der auch Inhalte filtert, und hier fand jemand Javascript offenbar besser als CSS):

Screenshot der massenhaft in Kommentarspam verlinkten Website: Ein indonesisches Betrugs- und Abzockcasino

Aha, ein Abzock- und Betrugscasino. Da kann ich nur im besten Stil der Spams sagen: Die Mutter der Dummen ist immer schwanger klickmich Die Dummheit stirbt niemals aus, und es wird immer jemanden geben, der dumm ist und den man um sein bisschen Geld betrügen kann. 🤰️

Dem Spammer, der weiterhin mit seinem schlechten Spamskript gegen den Spamfilter rennt wie ein frisch geköpftes Huhn ins Nichts, bevor es in der Suppe landet, wünsche ich auch weiterhin alles Gute auf seinem Lebensweg. Schade, dass es mit dem Hirn wohl nichts mehr wird.