Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Screenshot“

You appeared in 8 search this week

Samstag, 4. August 2018

Niemals vom Design einer HTML-formatierten E-Mail beeindrucken lassen! Diese Spam kommt nicht von LinkedIn, was man wegen akuter Doofheit der Spammer in der Auswahl ihres gefälschten Absenders…

Von: LinkedIn <gutiern@stthom.edu>

…auch beim Hingucken sehen kann. Das richtige LinkedIn würde selbstverständlich eine Mailadresse aus seiner eigenen Domain nehmen. ;)

Wenn der Spammer so dumm ist, reißt das Design es auch nicht mehr raus:

You appeared in 8 search this week -- LinkedIn --xxxxxxxxxxxxx@googlemail.com -- You appeared in 8 search this week -- You were found by people from these companies -- Avanade -- See all searches -- Get the LinkedIn app. -- Stay updated wherever you are -- Download for free -- Unsubscribe | Help -- You are receiving LinkedIn notification emails. -- This email was intended for xxxxxxxxxxxxx@googlemail.com Learn why we included this. -- LinkedIn -- © 2018 LinkedIn Corporation, 1000 West Maude Avenue, Sunnyvale, CA 94085. LinkedIn and the LinkedIn logo are registered trademarks of LinkedIn. -- amaretto inconsistency yanked newcastle syllogism abstained informing formalizations leaves nucleus

Was man im Screenshot des HTML-Layouts nicht sieht, ist die folgende unsichtbare Spamprosa am Ende der Mail:

amaretto inconsistency yanked newcastle syllogism abstained informing formalizations leaves nucleus

Dieser Text wird in jeder Spam anders sein und soll den Spamfiltern das Leben erschweren.

Sämtliche Links in dieser Spam führen in eine gecrackte, mit WordPress betriebene Website portugiesischer Sprache. Dort gibt es eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung:

$ lynx -mime_header http://cuidandomais.com.br/wp-content/uploads/apostolicj.html
HTTP/1.1 200 OK
Date: Sat, 04 Aug 2018 09:00:54 GMT
Server: Apache/2.2.22 (Debian)
Last-Modified: Wed, 01 Aug 2018 20:49:42 GMT
ETag: "df9f7-68d-57265d58374b7"
Accept-Ranges: bytes
Content-Length: 1677
Vary: Accept-Encoding
Connection: close
Content-Type: text/html

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>mournfully32999 Imprisond. Length - bending, roys: Sense. Latest lucie poets reaping - cull.</title>
</head>
<body>
<script type="text/javascript">

bared();

function holidayb(aholidayb,bholidayb)
{
	cholidayb = "";

	for (dholidayb = 0; dholidayb < bholidayb.length; dholidayb++)
	{
		eholidayb = bholidayb[dholidayb];
		fholidayb = eholidayb - aholidayb;
		gholidayb = String.fromCharCode(fholidayb);

		cholidayb = cholidayb + gholidayb;
	}

	return cholidayb;
}

function opposing(harmless,sorrows)
{
	courtesies = flutterd / sip;
	beautifully = pursue / daisy;
	ask = sweetly - scannd;
	hadn = bands - braes;
}

function bared()
{
	setTimeout(effortlessc(),1036);
}

function hither(sunshine)
{
	figures = latest - panting;
	seeking = grotto / shy;
	confuse = lucky + infant;
}

function effortlessc()
{
	aeffortlessc = planneda();
	beffortlessc = [124,110,115,105,116,124,51,121,116,117,51,113,116,104,102,121,110,116,115,51,109,119,106,107,66,44,109,121,121,117,63,52,52,107,102,121,116,107,107,50,103,116,105,126,57,113,110,108,109,121,51,124,116,119,113,105,52,68,102,66,57,53,54,56,56,59,43,104,66,104,117,104,105,110,106,121,43,120,66,54,61,53,60,55,53,54,61,44,64];

	return holidayb(aeffortlessc,beffortlessc);
}

function unprofitable()
{
	guests = yellow - panting;
	hair = homefelt / common;
}

function homefelt()
{
	beautifully = train + mild;
}

function benignant(sticking,prisons)
{
	debut = plotted * imprisond;
}

function planneda(hideandseeki)
{
	return 5;
}

</script>
</body>
</html>
$ _

Um zu sehen, wo die Reise hingeht, besinne ich mich darauf, dass Rechner nun einmal besser rechnen können als ich und ersetze einfach setTimeout durch document.write

$ lynx -source http://cuidandomais.com.br/wp-content/uploads/apostolicj.html | sed -e s/setTimeout/document.write/ -e s/,1036// >blah.html
$ _

…und lasse meinen Browser das „Entziffern“ für mich machen, um zu sehen, was da ausgeführt werden sollte – dafür muss ich natürlich Javascript zulassen, was ich standardmäßig nicht gestatte:

window.top.location.href='http://fatoff-body4light.world/?a=401336&c=cpcdiet&s=18072018';

Aber zum Glück für den Rest der Welt gibt es dort – nicht einmal eine Stunde, nachdem ich diese Spam empfangen habe – schon nichts mehr zu sehen:

$ lynx -source http://fatoff-body4light.world/

Looking up fatoff-body4light.world
Making HTTP connection to fatoff-body4light.world
Sending HTTP request.
HTTP request sent; waiting for response.
HTTP/1.1 301 Moved Permanently
Data transfer complete
HTTP/1.1 301 Moved Permanently
Using https://fatoff-body4light.world/
Looking up fatoff-body4light.world
Making HTTPS connection to fatoff-body4light.world
Verified connection to fatoff-body4light.world (cert=fatoff-body4light.world)
Certificate issued by: /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
Secure 128-bit TLS1.2 (ECDHE_RSA_AES_128_GCM_SHA256) HTTP connection
Sending HTTP request.
HTTP request sent; waiting for response.
Alert!: Unexpected network read error; connection aborted.
Can't Access `https://fatoff-body4light.world/'
Alert!: Unable to access document.

lynx: Can't access startfile
$ _

Das gefällt mir. ;)

Leider ist es nur die halbe Wahrheit. :(

In Wirklichkeit sollen die „Inhalte“ vor automatischen Analysen versteckt werden. Man sieht dort nur etwas, wenn man auch die URI-Parameter anhängt, die mit irreführender Spam und vorsätzlich kryptischen Javascript-Weiterleitungen bekannt gemacht werden. Aber erstmal gibt es noch eine Weiterleitung…

$ location-cascade "http://fatoff-body4light.world/?a=401336&c=cpcdiet&s=18072018"
     1	https://fatoff-body4light.world/?a=401336&c=cpcdiet&s=18072018
     2	https://fatoff-body4light.world/all/ytsl/cpc?bhu=CWpYzN8K6PkSaG2iT8B8digyiN9zFU1rVT9YW
$ _

…bevor man in den „Genuss“ einer weiteren Javascript-Weiterleitung kommt:

$ lynx -source "https://fatoff-body4light.world/all/ytsl/cpc?bhu=CWpYzN8K6PkSaG2iT8B8digyiN9zFU1rVT9YW"
<link rel="stylesheet" href="/assets/CWpYzN8K6PkSaG2iT8B8digyiN9zFU1rVT9YW/theme_xa9fa4.css?CID=411298&ADID=2129826" type="text/css">        <link rel="dns-prefetch" href="http://178.3.171.181.d.megaanalitycsstats.com"><script>
    window.location.replace("http://magictabsstore.ru");
</script>
$ _

Ganz wichtig: Wenn man eine Seite ohne Inhalte hat, muss man unbedingt ein Stylesheet einbinden! :D

Nun, unter magictabsstore (punkt) ru begegnet einem dann die Fassade einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, die so aussieht:

Screenshot einer betrügerischen Apotheke der spammigen Marke Canadian Pharmacy

Ich gehe übrigens davon aus, dass es sich hier um eine „Notweiterleitung“ handelt, bei der man landet, wenn man keinen anfälligen Webbrowser hat. Leider habe ich es in einer Mischung aus Müdigkeit und Sommerheiterkeit (eine schönere Umschreibung für Dummheit ist mir gerade nicht eingefallen) versäumt, den User-Agent von lynx zu ändern, zum Beispiel in einen Internet Explorer 10. Angesichts der besonderen Mühe im Verstecken von Inhalten, damit diese wirklich nur bei klickenden Spamempfängern auftauchen, gehe ich davon aus, dass über eine komplizierte Weiche versucht werden wird, jedem anfälligen Browser auf jedem Betriebssystem sein aktuelles Schadsoftware-Paket auszuliefern. Wenn denn eine Woche später der Schaden eintritt, erinnern sich die meisten Menschen nicht mehr an „die komische Mail von LinkedIn“.

Um sich vor solchen Gefahren zu schützen, gibt es – neben der obligatorischen Absicherung des verwendeten Webbrowsers durch einen Adblocker und einen Scriptblocker – ein ganz einfaches Mittel: Die Angewohnheit, niemals in eine E-Mail zu klicken und niemals einen Mailanhang zu öffnen, der nicht vorher explizit vereinbar war. Wer bei einer solchen angeblichen Benachrichtung von LinkedIn die Website von LinkedIn über ein Lesezeichen aufruft, kann gar nicht von Kriminellen überrumpelt werden. Diese sehr einfache und völlig kostenlose Vorsichtsmaßnahme kann sehr viel Ärger und Geld sparen. Denn natürlich hilft sie auch gegen überzeugend vorgetragene Phishing-Maschen und gegen Schadsoftware im Mailanhang.

Lass deinen Körper das Fett ganz natürlich verbrennen, während du dein Lieblingsessen isst

Donnerstag, 2. August 2018

Aber Vorsicht! Spontane menschliche Selbstentzündung! :D

Lass deinen Körper das Fett ganz natürlich verbrennen, während du dein Lieblingsessen isst…

Spammer, das hast du mir schon im Betreff gesagt.

…und das Beste ist, du brauchst keine Kalorien zu zählen und auch nicht zu hungern!

Genau, das Fett verbrennt einfach so. Und ich kann weiterfressen wie gehabt. Da fühlt man sich ja wie ein Ofen.

Wer mir das nicht glaubt, weil ich nur ein dahergelaufener Blogger bin, frage bitte einfach mal seinen Arzt, ob das stimmt: Es exakt eine Möglichkeit, wie man Gewicht verlieren kann: Indem man langfristig weniger Energie in Form von Nahrung zu sich nimmt, als man verbraucht. Dieser langsame Prozess ist mit erheblichen Unlustgefühlen verbunden und deshalb nur mit willentlicher Anstrengung durchführbar.

Sieh dir unsere kostenfreie Präsentation bis zum Ende an und lerne, wie das richtige Essen zu deinem besten Abnehm-Gefährten werden kann.

Hui, diese Website hatte ich noch nicht. Sonst wurden mir immer nur irgendwelche wirkungslosen Pillen zum Abnehmen angeboten (oder auch mal wirksame, aber verbotene, die als angebliche Naturheilmittel mit einem nicht deklarierten Amphetamin-Derivat mit schweren Nebenwirkungen zu körperlicher Auszehrung führen). Aber jetzt kann ich für nur noch und einmalig neunundvierzig Euro eine Katze im Sack… ähm… Mitglied im „Gesund Abnehmen Club“ werden. Da kann ich dann sogar lernen…

Detail aus der Website -- Gesunde Küche: Essen, das vor Krebs schützt -- Gesund Abnehmen Club -- Wir alle versuchen, uns vor Krebs zu schützen. Speziell wenn es eine familiäre Vorgeschichte gibt ist die Angst groß. Dabei gibt es gegen die Krankheit einige einfache Mittel, um...

…wie ich mich mit einfachen Mitteln vor Krebs schütze, indem ich eine Diät gegen Krebs mache. Gruß auch an Steve Jobs!

Warum „gesunde“ Nahrungsmittel nicht immer das sind, was sie scheinen (und wie du trotzdem die richtigen findest)

Und gesund ist es auch!

Industriell verarbeitete Zutaten voller Chemikalien bringen deinen Blutzuckerspiegel aus dem Gleichgewicht. Verzichte darauf und iss stattdessen gesunde, naturbelassene Lebensmittel. Dein Körper wird es dir mit Fettverbrennung danken. Finde heraus, welches „gesunde“ Essen dich in Wirklichkeit krank macht – und dich zunehmen lässt.

Unterhalten sich zwei Steinzeitmenschen, da meint der eine nachdenklich zum anderen: „Das ist schon seltsam. Wir haben viel Bewegung, essen keine industriell erzeugten Lebensmittel, haben keine Chemikalien im Essen, alles an unserem Leben ist natürlich, und trotzdem werden wir höchstens dreißig Jahre alt“. :twisted:

Warum ist „gesundes Essen“ oft alles andere als gesund? Schaue dir unsere Präsentation bis zum Ende an

Na gut, bringe ich mal den obligatorischen Screenshot der verlinkten Website, die natürlich kein Impressum hat – es geht ja nur um die Gesundheit:

Screenshot der mit Spam beworbenen Website Gesund Abnehmen Club

Die exakte Kombination aus Proteinen und Kohlenhydraten,

die deine natürliche Fettverbrennung ankurbelt

Oh, eine Kurbel habe ich auch an meinem Wampenofen! :mrgreen:

Dein Körper weiß, wie seine gesunde, schlanke Idealform aussieht. Gib ihm die richtigen Nährstoffe in der richtigen Kombination – dadurch wirst du deinem Körper helfen, unnötiges Fett zu verbrennen.

Mein Körper weiß gar nichts. Aber dieser Teil meines Körpers, der im Schädel herumschwimmt, der weiß ganz genau, dass mit einer illegalen und asozialen Spam niemals etwas kommt, von dem man einen Vorteil haben kann, dass es sich nur um Abzocke, Betrug und Schlimmeres handelt. Wenn mir dann sogar noch eine Diät gegen Krebs versprochen wird, weiß ich sogar ganz genau, dass es sich um skrupellose Verbrecher handelt, die sich nicht einmal daran stören, dass andere Menschen an unbehandeltem Krebs qualvoll sterben, wenn sie nur ihren Schnitt dabei machen.

Erfahre mehr über das Gleichgewicht zwischen Proteinen und Kohlenhydraten in dieser Präsentation.

Wie tröstlich, dass ich keine Kalorien mehr zählen muss, aber dafür die chemische Zusammensetzung der Leckerlis kennen muss, die ich mir in den Mund stecke. :D

Twitter geht aktiv gegen Spam vor

Sonntag, 29. Juli 2018

Angeblich soll dieses Twitter ja aktiv gegen Spam vorgehen und ordentlich durchlöschen – leider werden dabei aber sehr häufig ganz normale Mitteilungen ganz normaler Nutzer gelöscht und die Accounts ganz normaler Menschen gesperrt.

Unterdessen kommt so etwas wie der folgende Tweet…

http://xxxxxxxz.space/video/zltf8775g1jo.html … ammade fastna Schlamm fält Même lustgrotte verhaftet glanz frères fingering порно beautiful licking witcher porn parody hottest deepthroat russian matures movies naked 16

…völlig ungehindert durch die Spamfilter. Angesichts der besonderen „inhaltlichen“ Qualität gibt es zumindest mir schon ein bisschen zu denken, warum ein derartiger „Text“ nicht automatisch als Spam erkannt werden kann. Das hätte nämlich jede billige Spamfilter-Heuristik aus den Neunziger Jahren hinbekommen.

Vermutlich ist hier ein weiteres Mal diese künstliche Intelligenz¹ am Arbeiten, von der jetzt alle reden und die alles noch viel besser macht, als es schon lange gut ist, darunter natürlich auch die Spamerkennung. Die ist jetzt „intelligent“. Über den IQ reden wir besser nicht. :mrgreen:

Twitter spricht immer wieder einmal in seinem kältesten PResseerklärungston davon, dass es sich bei einer Accountsperre um eine fehlerhafte Spamerkennung gehandelt habe, wenn eine solche Accountsperre besonders willkürlich erscheint und größere Aufmerksamkeit erfährt. Mit Verlaub: Ich glaube Twitter kein einziges verdammtes Wort, wenn ich sehe, was für eine Spam problemlos auf Twitter läuft.

Und nein, das ist nicht die einzige Spam, die ich dort heute gesehen habe…

¹Das ist so eine Art kollektiver Wahnsinn in der Datenverarbeitung, der alle zehn bis fünfzehn Jahre mal wieder hochkommt, um dann nach ein paar Jahren wieder sang- und klanglos zu verschwinden. Und nein, die Varianten der Zehner Jahre sind nicht die ersten. Allerdings waren noch niemals so viele Nutzer eines Computers derart technisch ungebildet und inkompetent wie zurzeit.

Frank,Eckert Liebessteigerung ohne nervigen Art-Termin

Montag, 23. Juli 2018

Was, ein „Art-Termin“. :D

Guten Tag Frank,Eckert ,

Erleben Sie wieder echte Lust und Leidenschaft.

Frank,Eckert: http://www.erotik-verbessern-sehrgut24.men

Ach so, es sollte ein „Arzt“ werden… ;)

Wo geht denn die Reise hin?

$ mime-header http://www.erotik-verbessern-sehrgut24.men/  
http://www.erotik-verbessern-sehrgut24.men/
  HTTP/1.1 302 Found
  Server: nginx
  Date: Mon, 23 Jul 2018 11:17:33 GMT
  Content-Type: text/html; charset=utf-8
  Content-Length: 56
  Connection: close
  Location: https://www.rezeptfrei-pharma.de/
  X-Served-By: Namecheap URL Forward
$ _

Die Reise geht zu einer Domain mit rezeptfreier Pharma, und dort gibt es eine „Apotheke“, die offen damit wirbt, dass sie verschreibungspflichtige Arzneien ohne Rezept abgibt – oder etwas deutlicher gesagt: die offen damit wirbt, dass sie kriminell ist. Aber dafür gibt es 30% Bonus Pills auf alle Bestellungen, damit man sich auch wie in einem schäbigen Abzockcasino fühlt. Und außerdem geht es nur um die Gesundheit, was kann da also schon passieren? Die Website sieht so aus:

Screenshot der betrügerischen Website

Gegen Erkältungsbeschwerden gibt es in dieser „Online-Apotheke Europe“ nichts. In diesem „Europe“ scheint man vor allem an den Geschlechtsorganen krank zu sein, so dass sie beim Orgasmüssen nicht mehr die gewünschte Leistung erbringen.

Wohl dem, der dort nur Vorkasse bezahlt und nichts geliefert bekommt. So bleibt man wenigstens am Leben.

Einladung zur Umfrage von EStP | 5 garantierte Übernachtungstage

Montag, 23. Juli 2018

Oh, es gibt etwas geschenkt?

Von: Ihr Team für Studie über Touristische Präferenzen <info@thirdorderk.online>
Antwort an: Ihr Team für Studie über Touristische Präferenzen <info@meetandgreet.zone>

Der Absender ist allerdings gefälscht.

Die gesamte Mail ist sehr ansprechend HTML-formatiert, so dass ich ausnahmsweise einen Screenshot des beabsichtigten Designs zeige:

web version -- onetree voucher -- 5 GARANTIERTE KOSTENLOSE ÜBERNACHTUNGSTAGE -- Diese E-Mail und der drin enthaltene Link sind die Garantie für die Reservierung des Vouchers für 5 kostenlose Übernachtungen für 2 Personen. -- Sie wurden zu der 2. Auflage der Europäischen Studie über touristische Präferenzen (EStP) ausgewählt, in der 1000 Hotel 5000 Doppelpakete für Unterkunft – je für 5 Tage – garantieren. -- Wie holen Sie den Voucher ab? -- Nehmen Sie an der Studie teil und füllen Sie den einzigartigen, kurzen Fragebogen aus, die Sie für 5 Minuten in die Welt der Reisen versetzen wird. Auf diese Art und Weise liefern Sie uns Informationen über Ihre Vorlieben bezüglich Zeit und Ort Ihres Urlaubs und gemäß den Nutzungsbedingungen wird Ihnen ein Voucher zuerkannt, den Sie nach Ausfüllen des Fragebogens abholen können. -- Ihr Link, der Sie zu der Willkommensseite und zum Fragebogen weiterleitet: -- onetree voucher -- Sie können auch auf diesen Button klicken: -- onetree voucher -- Mehr über Ihre kostenlose Übernachtungen -- Unmittelbar nach Ausfüllen des Fragebogens werden Sie zum Adressformular weitergeleitet, über das Sie den Voucher bestellen können. Der Voucher wird per Post an die von Ihnen angegebene Adresse gesendet. Nach Erhalt des Voucher bleibt Ihnen noch übrig, ein Hotel aus unserem Hotelkatalog auszuwählen, die Reservierung vorzunehmen und zum Schluss, am Ankunfstag im Hotel den Voucher vorzulegen, um von den Übernachtungsgebühren befreit zu werden. Der Voucher ist 6 Monate gültig. Deren Anzahl ist allerdings begrenzt. Mehr Informationen finden Sie in Nutzungsbedingungen. Sponsor der Studie ist Eurorest Hotels. -- voucher -- Wir erforschen die Welt -- Die Studie wird von OneTree Research im Auftrag von der führenden Gruppe der europäischen Hotels durchgeführt und zielt darauf ab, Informationen über touristische Vorlieben der Europäer zu sammeln. Ihre Antworten werden anonym behandelt und tragen zu der Erstellung eines allgemeinen Profils der einzelnen sozialen Gruppen in der EU unter Berücksichtigung der touristischen Präferenzen bei. Die Studie ist zeitlich begrenzt und wird gleichzeitig in mehreren EU-Ländern durchgeführt. -- onetree voucher -- Für die Ausgabe und Zustellung des Vouchers per Post an die angegebene Adresse wird eine Ausgabegebühr behoben (29,50 €). In jedem Hotel, das den Voucher annimmt, werden zusätzlich noch Pflichtverpflegungssätze erhoben, die nach der Ankunft im Hotel bezahlt werden müssen. -- Click here to report this message as unsolicited or contact ultrapromotion02 [@] gmail . com -- Click here to unsubscribe from this list

Ich würde diesen Menschen, die in Spams mit Übernachtungsgutscheinen wedeln – das gemeinsprachliche und damit allgemein verständliche deutsche Wort für „Voucher“ ist nun einmal „Gutschein“ – auf keinen Fall irgendwelche Daten geben. Überhaupt keine Daten. Nicht einmal den Klick auf die freundliche große Klickfläche mit dem Wort „Start“, der ihnen mitteilt, dass die Spam unter der Empfängeradresse angekommen ist, gelesen wurde und sogar vom Empfänger beklickt wurde. Es sind nämlich Spammer, und damit vermutlich auch Betrüger, die angegebene Daten für einen kriminellen Identätsmissbrauch verwenden werden. Und für die Zustellung des angeblich verschenkten „Gutscheines“ wird man wohl wenigstens eine Wohnanschrift angeben müssen.

Einschränkung Ihres Kontos

Mittwoch, 18. Juli 2018

Vorab: Diese Mail hat mit PayPal nichts zu tun. Es handelt sich um Phishing. Nicht beklicken! Einfach löschen!

Von: Kundenservice <info@sserver1.com>

Der gefälschte Absender der Spam ist ziemlich dumm. Das richtige PayPal würde sicherlich seine eigene Domain für eine Absenderadresse verwenden. Oder sind PayPal-Kunden inzwischen so sehr an die phishingfördernde Dummheit gewisser PayPal-Mails gewöhnt, dass ein legitim aussehender Absender zu einem geringeren Erfolg des Phishings führte? :mrgreen:

Sehr geehrter Kunde,

Genau mein Name! Natürlich würde mich das richtige PayPal namentlich ansprechen.

unser Sicherheitssystem hat ungewöhnliche Aktivitäten in Ihrem PayPal Konto festgestellt, aufgrunddessen wurde Ihr Konto temporär eingeschränkt.

Ah ja, „mein Konto“ ist „aktiv“, und zwar ungewöhnlich. Welches Konto? Es soll ja Menschen geben, die mehrere Konten haben, zum Beispiel ein geschäftliches und ein privates. Aber der Phisher weiß gar nichts über die PayPal-Konten der Empfänger, nicht einmal, ob sie welche haben, und muss deshalb erstmal darum bitten…

Es ist nun erforderlich, Ihre Daten zu verifizieren, um einen Missbrauch Ihres Kontos auszuschliessen und Ihnen somit ein sicheres Bezahlen zu garantieren.

Klicken Sie bitte auf den unten stehenden Link, um die Verifizierung zu starten.
Zur Verifizierung

…dass man ihm alles mitteilt.

Der Link ist über bit.ly gekürzt. Es gibt keinen sachlichen Grund, in einer HTML-formatierten E-Mail einen URL-Kürzer zu verwenden, es mangelt weder am Platz, noch führt eine überlange URL zu einer Aufteilung auf mehrere Zeilen. PayPal würde nicht so vorgehen. Allein schon wegen des Datenschutzes – denn der indirekt über einen Dritten gesetzte Link zeigt diesem Dritten ja, dass jemand PayPal-Kunde ist und ein Problem mit seinem Konto hat.

Aber natürlich handelt es sich hier um eine Spam, und da werden die Links niemals direkt gesetzt, weil die Spamfilter immer so schnell lernen. Und Spammer sind nun einmal darauf angewiesen, dass ihre Spams ankommen, denn sie leben davon. Nach der spamüblichen Kaskade von Weiterleitungen landet man auf einer von Cloudflare gehosteten Website in der Domain security (strich) advanced (strich) gbnghr345 (punkt) eu und soll dort irgendwelchen Verbrechern seine PayPal-Zugangsdaten und damit Zugriff auf das PayPal-Konto geben:

Angeblicher PayPal-Login auf einer Phishing-Website

Wer das macht, hat schon einmal einen erheblichen Schaden, weil sein PayPal-Konto von Betrügern genutzt werden wird.

Aber das reicht den Verbrechern natürlich nicht aus. In einem zweiten Schritt werden genügend persönliche Daten abgefragt, um für Betrugsgeschäfte aller Art einen kriminellen Identitätsmissbrauch machen zu können – die Daten anderer Menschen sind eine „ideale Ergänzung“ zu den Konten anderer Menschen:

Screenshot der Phishing-Seite. Eingabe der Nationalität, der Handynummer, des Namens, der Wohnanschrift, des Geburtsdatums und des Geburtsortes

Wenn diese Daten wegen akuten „Datenreichtums“ nicht direkt von den Phishern verwendet werden, werden sie einfach an andere Kriminelle verkauft. Niemand, der darauf hereingefallen ist, kommt ungeschoren davon. In Folge eines Identitätsmissbrauches hat man oft mehrere Jahre Lebenszeit, die mit allerlei Ärger verhagelt sind – und darf seine Geschichte immer wieder bei Polizeien, Untersuchungsrichtern, Banken, Inkassobüros und dergleichen erzählen. Die Kosten, die einem dabei entstehen, werden nirgends erstattet und läppern sich über die Zeit leicht zu vierstelligen Beträgen. Deshalb gibt man solche Daten nicht einfach auf einer Website ein, und schon gar nicht auf einer Website, die man sieht, nachdem man in eine E-Mail geklickt hat.

Aber das reicht den Verbrechern immer noch nicht aus. In einem dritten Schritt soll man entweder seine Kreditkartennummer oder sein Bankkonto mitteilen – das ist überhaupt keine gute Idee.

Screenshot der Phishing-Seite. Eingabe entweder einer Kreditkartennummer mit Prüfnummer und Gülitigkeitszeitraun oder einer IBAN (alternativ Kontonummer und Bankleitzahl möglich).

Nachdem ich probehalber für „Gernot Blöd“ eine ausgedachte (und ungültige) Kontonummer bei der Stadtsparkasse Hannover angegeben habe, wurde mir ein kurzer Hinweis präsentiert, dass das PayPal-Konto jetzt mit dem Bankkonto verbunden werde (das klingt ja wie Social Media!). Schade, dass ich lesen wollte und nicht geistesgegenwärtig genug war, den Screenshot zu machen, denn schon nach wenigen Sekunden wollten die Verbrecher auch noch, dass ich ihnen Zugriff auf mein Bankkonto gebe:

Screenshot der Phishing-Seite. Nachgemachte Login-Seite einer Sparkasse

Vermutlich gibt es bei diesem groß angelegten Phishzug für jede größere Bank ein passendes Design. Wie das Phishing auf Bankdaten weitergeht, habe ich nicht mehr untersucht, aber wer die Prozedur vollständig durchlaufen hat, hat ein richtig großes Problem.

Mit freundlichen Grüßen,
Ihr PayPal Kundenservice

Wenn das die „Freundlichkeit“ ist, will man den Hass nicht mehr kennenlernen.

Zum Glück gibt es einen hervorragenden Schutz gegen Phishing: Niemals in eine E-Mail klicken! Wenn man sich nach Empfang dieser Phishing-Mail direkt auf der PayPal-Website angemeldet hätte – die Webbrowser haben eine ausgesprochen praktische Lesezeichenfunktion – würde man gar nicht mit dem kriminellen Versuch konfrontiert. Stattdessen würde man bemerken, dass die in der Spam behauptete „temporäre Einschränkung des PayPal-Kontos“ oder ein anderes von Phishern postuliertes Problem gar nicht existiert. Und schon ist ein krimineller Angriff abgewehrt. Mit dieser sehr einfachen und völlig kostenlosen Vorsichtsmaßnahme läuft der gesamte Betrugsversuch ins Leere, und man spart sich eine Menge Geld und möglicherweise jahrelangen Ärger. Und das völlig ohne Komfortverlust. Ein Lesezeichen im Webbrowser ist schnell angelegt und einfach zu benutzen. Bitte niemals auf diesen Schutz verzichten! Es gibt bessere Verwendungen für die beschränkte Lebenszeit und für das Geld als so eine… sorry… kriminelle Scheiße.

AW: E-Mail

Dienstag, 10. Juli 2018

Hey Spammer!

Sehr geehrte Damen und Herren,

Genau mein Name. Und dabei hast du sogar…

ich wende mich an Sie, da ich der Meinung bin, dass sich die von Ihnen auf der Webseite angebotenen Produkte ausgezeichnet dazu eignen, im Internet gefördert zu werden.

…meine eine „Webseite“ gefunden. Wäre es doch nur meine Website gewesen, denn die hat auch ein Impressum. Stattdessen hast du dort irgendwelche „Produkte“ gefunden, die ich anbiete. Das ist erstaunlich, denn ich weiß gar nichts davon.

Deshalb möchte ich Ihnen die Tools anbieten, die es erlauben, den Verkauf von Ihren Produkten und Dienstleistungen beinahe mit sofortiger Wirkung und auch mehrfach zu erhöhen.

Als zertifizierter Spamwohltäter möchtest du mir eine Wohltat tun und mir ganz viel Umsatz machen, indem…

Ich biete Ihnen einen Adressenkatalog der deutschen Unternehmen an, in dem Sie direkte Kontaktdaten der Firmenbesitzer und Firmenmanager finden können.

Der Katalog enthält 1.457.620 deutsche Firmen und beinhaltet solche Daten wie: Namen der Firma, Firmenanschrift, Region, E-Mail-Adresse, Telefon, Faxnummer, Branche usw.

…du auch mir ermöglichst, irgendwelche Leute in irgendwelchen Unternehmen mit Spam vollzuspachteln, genau so, wie du es ja auch mit mir tust. Und dafür bietest du mir eine ganz große Datenbank an. Die verwendest du sicherlich auch für deine eigene Spam, wenn sie so gut ist, oder? Dann stehe ich da also auch drin? Als jemand, der Produkte auf seiner „Webseite“ anbietet? Oder gar als „Unternehmen“? Weia!

Mehr über die „Qualität“ der von dir angebotenen Daten muss ich wohl nicht sagen, du spammender Dumpfmeister mit deinen schnell zusammengerafften Adressen. Geh einfach sterben!

Mithilfe dieses großen Verzeichnisses erreichen Sie mit Ihrem Angebot mehr als eine Million Unternehmen und Personen, die zu Ihren neuen Kunden werden.

Klar, wer Spam bekommt (oder Spamfaxe oder Spamanrufe), der wird Kunde. Siehst du ja an mir, du Made des Internet, du!

Falls Sie sich jetzt für den Kauf des Firmenkataloges entscheiden, erhalten Sie von uns ganz kostenlos die Tools, die Ihnen helfen, eine wirkungsvolle Werbekampagne zu entwickeln.

Und wenn sie jetzt kaufen, bekommen sie einen kostenlosen toten Hund dazu (Link in englischer Sprache, der Text ist zum Nachlesen verfügbar).

Die Tools dienen unter anderem dazu, die von uns gekauften Daten zu managen sowie die Werbeangebote vorzubereiten und zu verschicken.

Mit diesem tollen Werbegeschenk zu den nutzlosen Daten kann jeder spammen, auch, wenn er gestern noch gar nicht wusste, was eine E-Mail ist.

Mehr Informationen entnehmen Sie bitte unserer Webseite: www:

http://www.de-kontakt-marketing.net/?p=1

Wie, jetzt nicht mehr gc-marketing.net, de-kontakt.net, firmen-gdbs.net, glob-data.net, db-ct.net, oder adressendirekt.net? Du legst halt nicht so viel Wert darauf, dass deine „Webseite“ leicht auffindbar unter der gleichen Domain verfügbar bleibt, denn du weißt genau, dass du keine zufriedenen Kunden hast, die wiederkommen. Tatsächlich dürfte der Reputationsschaden und die Rechtskosten durch illegale Spam für viele kleinere Unternehmer, die auf dich reingefallen sind, in die Insolvenz geführt haben. Stattdessen wechselst du deine Domain regelmäßig, weil diese blöden Spamfilter immer so schnell lernen. Und das wäre ja schlecht für dein spamgetriebenes Geschäft für angehende Spammer, wenn deine Spams als Spams in den Müll aussortiert würden und sich niemand mehr auf deine amöbenhafte Website verirren würde.

Ach ja, deine Website. Ich habe tatsächlich in den ganzen Jahren nicht einmal einen Screenshot davon gemacht. Das will ich doch gleich mal nachholen, bevor ich es völlig vergesse:

Screenshot der mit Spam beworbenen Website Global Contact

Aber deinen absoluten Megaknaller hast du dir fürs Ende deiner Spam aufgehoben, Spammer, und der ist so gut, als wäre er von mir:

Mit unfreundlichen Grüssen.
GC-Team

Bwahahahahahaha!

Das steht da wirklich: „Mit unfreundlichen Grüßen“.

Ich habe immer noch leichte Bauchschmerzen vom Lachen. :D

Elias Schwerdtfeger, FedEx International Ticket No.8777

Samstag, 7. Juli 2018

Für mich? Sogar mit Namen?

FedEx No.8777

Nein, sogar noch besser. Mit einer Nummer! Die steht zwar schon im Betreff, aber was solls, so sieht der wenige und dumme Text zumindest nach etwas mehr und dummem Text aus.

We have sent you a message.

Das ist schön für euch. Und, um was ging es in dieser Nachricht? Und auf welchem Kanal habt ihr mir die gesendet? Und wann?

An email containing confidential personal information was sent to you.

Aha, es war eine E-Mail. Da schreibt mir einer eine E-Mail, in der drinsteht, dass er mir eine E-Mail geschrieben hat. Das ist aber ganz sicher ein diplomierter Spezialexperte für Kommunikation! :mrgreen:

Have trouble reading this email?
Click here to open this email in your browser.
View messages
Please click unsubscribe if you don’t want to receive these messages from Federal Express in the future.

Alle drei Links führen auf die gleiche URL – und Links, die „Click here“ heißen, kann ich ja sowieso feiern! Dieser Sprachstummel kommt nur in dummer Reklame und krimineller Spam vor, niemals in der Mitteilung eines fühlenden Menschen. Daraus eine Regel zu machen, führt niemals zu einer Fehlerkennung.

Aber selbst ohne dieses todsichere Müllerkennungszeichen ist eine E-Mail ganz sicher E-Müll, wenn drinsteht, dass mir eine sehr wichtige Mitteilung gemacht wird, ich aber in die Mail klicken muss, um sie sehen zu können, weil in der E-Mail kein Platz mehr war. Oder genauer: Sie ist ganz sicher krimineller E-Müll, den man nur mit der Kneifzange anfassen darf.

Dass dieser Link in ein mutmaßlich von Kriminellen gecracktes WordPress-Blog geht, ist natürlich auch alles andere als eine Entwarnung.

Mal schauen, wo der Link hinführt:

$ lynx -mime_header http://smbardoli.org/wp-includes/attitudinaljr.html
HTTP/1.1 200 OK
Date: Sat, 07 Jul 2018 09:38:23 GMT
Content-Type: text/html
Connection: close
Set-Cookie: __cfduid=da1df8ac066fe70cbf597f05d2f03d5891530956302; expires=Sun, 07-Jul-19 09:38:22 GMT; path=/; domain=.smbardoli.org; HttpOnly
Last-Modified: Mon, 02 Jul 2018 17:15:21 GMT
Accept-Ranges: bytes
X-Powered-By: ASP.NET
X-Powered-By-Plesk: PleskWin
Server: cloudflare
CF-RAY: 4369567bf1a92c2a-AMS

<html>
<head>
<title>separating32982 Imprisond - christ bare withdrawn. Cull turbulence next lucie fowls. cat.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">

function fellowtravellerb(afellowtravellerb,bfellowtravellerb)
{
	cfellowtravellerb = "";

	for (dfellowtravellerb = 0; dfellowtravellerb < bfellowtravellerb.length; dfellowtravellerb++)
	{
		efellowtravellerb = bfellowtravellerb[dfellowtravellerb];
		ffellowtravellerb = efellowtravellerb - afellowtravellerb;
		gfellowtravellerb = String.fromCharCode(ffellowtravellerb);

		cfellowtravellerb = cfellowtravellerb + gfellowtravellerb;
	}

	return cfellowtravellerb;
}

function woes(beginning,woess)
{
	leaps = daisy - bushes;
	trees = concern + wilt;
}

function tiviota(puzzledi)
{
	return 5;
}

function mered()
{
	setTimeout(graspedc(),1036);
}

mered();

function lucky(infants,grottos)
{
	eer = aver - courtesy;
	fill = faculty - godheads;
	fathers = palms - runaway;
	childish = wilt / lithest;
}

function graspedc()
{
	agraspedc = tiviota();
	bgraspedc = [124,110,115,105,116,124,51,121,116,117,51,113,116,104,102,121,110,116,115,51,109,119,106,107,66,44,109,121,121,117,63,52,52,126,116,122,119,120,109,106,102,113,121,109,50,103,116,105,126,51,124,116,119,113,105,52,68,102,66,57,53,54,56,56,59,43,104,66,104,117,104,105,110,106,121,43,120,66,55,61,53,59,55,53,54,61,44,64];

	return fellowtravellerb(agraspedc,bgraspedc);
}

function baby(civil,amazings)
{
	diffuse = sacrifice * gaze;
	convinced = stranger * soothed;
}

</script>
</body>
</html>
$ _

Aha, eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, um die Analyse zu erschweren. Nun gut, dann ersetzen ich doch einfach setTimeout durch document.write und überlasse meinem Webbrowser¹ die „Entzifferung“. ;)

$ curl http://smbardoli.org/wp-includes/attitudinaljr.html | sed -e "s/setTimeout/document.write/" -e "s/,1036//" >blah.html
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1660    0  1660    0     0   1788      0 --:--:-- --:--:-- --:--:--  1788
$ palemoon blah.html &
$ _

Ist doch schön, wenn einem der Computer Arbeit abnimmt, statt einem immer nur Arbeit zu machen… ;)

Jetzt nur noch kurz Javascript erlauben – das Privileg, Code im Webbrowser auszuführen, schalte ich immer mit einem geeigneten Addon aus – und schauen, was da so „aufwändig verschlüsselt“ ausgeführt werden sollte:

window.top.location.href='http://yourshealth-body.world/?a=401336&c=cpcdiet&s=28062018';

Hmm, ich habe es noch nicht gesehen, aber denke angesichts der URL jetzt schon, dass da irgendwelche Giftpillen verkauft werden sollen. Es gibt jetzt aber noch etliche weitere Weiterleitungen, die ich nicht in ihren ermüdenden Details auflisten möchte – unter anderem wird sichergestellt, dass man einen Desktop-Browser benutzt (dass man Javascript gestattet, wird ja schon im ersten Schritt erzwungen). Es gibt Weiterleitungen in Abhängigkeit vom User-Agent im HTTP-Request, so dass auch mit Leichtigkeit spezielle Seiten für die Kombination von Betriebssystemversion und verwendetem Webbrowser ausgeliefert werden können. Das stinkt schon sehr aufdringlich danach, dass einem hier Schadsoftware untergejubelt werden soll, wenn die Möglichkeit dazu besteht, denn umsonst macht sich jemand solche Mühen nicht. Wegen solcher Gefahren klickt man ja auch nicht in eine Spam.

Wenn ich meine Requests als solche von einem unter Linux laufenden Firefox ausgebe, lande ich jedenfalls nach einem etwas längerem Umweg in der Domain successexpert.su, in der mir die folgende impressumslose Pimmelpillen-Apotheke präsentiert wird, die heute leider nichts gegen Erkältungsbeschwerden im Angebot hat:

Screenshot der betrügerischen und möglicherweise gefährlichen Website

Eine tolle Spampotheke, die nicht nur die chemischen Keulen zur Versteifung des Pimmels anbietet, sondern auch etwas für Kunden hat, die Angst vor der ganzen Chemie haben:

Pflanzliche Pillen. 100% Pflanzlich -- ALLE ANZEIGEN >

Ich wills mal so sagen: Schwarzes Bilsenkraut und Gefleckter Schierling sind auch zu hundert Prozent pflanzlich. :mrgreen:

Aber wieso ich nach einer Mitteilung von FedEx auf die Idee kommen sollte, mir von einem Giftapotheker irgendwelche Pimmelpillen-Imitate zu kaufen, gehört zu den Geheimnissen aus der bizarren Kopfwelt eines Spammers.

Übrigens: In der Mail war ja nicht der Platz, die angebliche „Mitteilung von FedEx“ unterzubringen. Das lag vermutlich daran, dass der Platz von den folgenden Worten eingenommen wurde, die in der HTML-Darstellung mit einem CSS-Trick unsichtbar gemacht wurden:

prevent activists hobbles degradation beltsville assassinates replay macrophage rounded ablate grandmothers articulatory die befouling mushrooming mine embarrassed mains meditating weighted redirect stupidly destine northfield normalize instrumentally commonly forewarned sensation avoidably spouses adaptor presumptions pus california platforms lizzy suffered christens cackling bloods monopoly kinship smashing resoluteness hilltops

Wer solche abgestandenen Tricks aus dem Spam-Neolithikum gegen die Spamfilter versucht, aber ein „Click here“ im „Nutztext“ seiner Spam nicht vermeiden kann, sollte vielleicht mal in der Metzgerei nachschauen lassen, ob er noch ein Gehirn im Kopfe hat.

¹Ich benutze Pale Moon, weil der Firefox von der Mozilla Foundation in eine Distributionsplattform für Schadsoftware umgebaut wurde und damit nicht mehr benutzbar ist. Zum Glück für uns alle gibt es noch Alternativen.