Für mich? Sogar mit Namen?

FedEx No.8777

Nein, sogar noch besser. Mit einer Nummer! Die steht zwar schon im Betreff, aber was solls, so sieht der wenige und dumme Text zumindest nach etwas mehr und dummem Text aus.

We have sent you a message.

Das ist schön für euch. Und, um was ging es in dieser Nachricht? Und auf welchem Kanal habt ihr mir die gesendet? Und wann?

An email containing confidential personal information was sent to you.

Aha, es war eine E-Mail. Da schreibt mir einer eine E-Mail, in der drinsteht, dass er mir eine E-Mail geschrieben hat. Das ist aber ganz sicher ein diplomierter Spezialexperte für Kommunikation!

Have trouble reading this email?
Click here to open this email in your browser.
View messages
Please click unsubscribe if you don’t want to receive these messages from Federal Express in the future.

Alle drei Links führen auf die gleiche URL – und Links, die „Click here“ heißen, kann ich ja sowieso feiern! Dieser Sprachstummel kommt nur in dummer Reklame und krimineller Spam vor, niemals in der Mitteilung eines fühlenden Menschen. Daraus eine Regel zu machen, führt niemals zu einer Fehlerkennung.

Aber selbst ohne dieses todsichere Müllerkennungszeichen ist eine E-Mail ganz sicher E-Müll, wenn drinsteht, dass mir eine sehr wichtige Mitteilung gemacht wird, ich aber in die Mail klicken muss, um sie sehen zu können, weil in der E-Mail kein Platz mehr war. Oder genauer: Sie ist ganz sicher krimineller E-Müll, den man nur mit der Kneifzange anfassen darf.

Dass dieser Link in ein mutmaßlich von Kriminellen gecracktes WordPress-Blog geht, ist natürlich auch alles andere als eine Entwarnung.

Mal schauen, wo der Link hinführt:

$ lynx -mime_header http://smbardoli.org/wp-includes/attitudinaljr.html
HTTP/1.1 200 OK
Date: Sat, 07 Jul 2018 09:38:23 GMT
Content-Type: text/html
Connection: close
Set-Cookie: __cfduid=da1df8ac066fe70cbf597f05d2f03d5891530956302; expires=Sun, 07-Jul-19 09:38:22 GMT; path=/; domain=.smbardoli.org; HttpOnly
Last-Modified: Mon, 02 Jul 2018 17:15:21 GMT
Accept-Ranges: bytes
X-Powered-By: ASP.NET
X-Powered-By-Plesk: PleskWin
Server: cloudflare
CF-RAY: 4369567bf1a92c2a-AMS

<html>
<head>
<title>separating32982 Imprisond - christ bare withdrawn. Cull turbulence next lucie fowls. cat.</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<script type="text/javascript">

function fellowtravellerb(afellowtravellerb,bfellowtravellerb)
{
	cfellowtravellerb = "";

	for (dfellowtravellerb = 0; dfellowtravellerb < bfellowtravellerb.length; dfellowtravellerb++)
	{
		efellowtravellerb = bfellowtravellerb[dfellowtravellerb];
		ffellowtravellerb = efellowtravellerb - afellowtravellerb;
		gfellowtravellerb = String.fromCharCode(ffellowtravellerb);

		cfellowtravellerb = cfellowtravellerb + gfellowtravellerb;
	}

	return cfellowtravellerb;
}

function woes(beginning,woess)
{
	leaps = daisy - bushes;
	trees = concern + wilt;
}

function tiviota(puzzledi)
{
	return 5;
}

function mered()
{
	setTimeout(graspedc(),1036);
}

mered();

function lucky(infants,grottos)
{
	eer = aver - courtesy;
	fill = faculty - godheads;
	fathers = palms - runaway;
	childish = wilt / lithest;
}

function graspedc()
{
	agraspedc = tiviota();
	bgraspedc = [124,110,115,105,116,124,51,121,116,117,51,113,116,104,102,121,110,116,115,51,109,119,106,107,66,44,109,121,121,117,63,52,52,126,116,122,119,120,109,106,102,113,121,109,50,103,116,105,126,51,124,116,119,113,105,52,68,102,66,57,53,54,56,56,59,43,104,66,104,117,104,105,110,106,121,43,120,66,55,61,53,59,55,53,54,61,44,64];

	return fellowtravellerb(agraspedc,bgraspedc);
}

function baby(civil,amazings)
{
	diffuse = sacrifice * gaze;
	convinced = stranger * soothed;
}

</script>
</body>
</html>
$ _

Aha, eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, um die Analyse zu erschweren. Nun gut, dann ersetzen ich doch einfach setTimeout durch document.write und überlasse meinem Webbrowser¹ die „Entzifferung“. 😉

$ curl http://smbardoli.org/wp-includes/attitudinaljr.html | sed -e "s/setTimeout/document.write/" -e "s/,1036//" >blah.html
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1660    0  1660    0     0   1788      0 --:--:-- --:--:-- --:--:--  1788
$ palemoon blah.html &
$ _

Ist doch schön, wenn einem der Computer Arbeit abnimmt, statt einem immer nur Arbeit zu machen… 😉

Jetzt nur noch kurz Javascript erlauben – das Privileg, Code im Webbrowser auszuführen, schalte ich immer mit einem geeigneten Addon aus – und schauen, was da so „aufwändig verschlüsselt“ ausgeführt werden sollte:

window.top.location.href='http://yourshealth-body.world/?a=401336&c=cpcdiet&s=28062018';

Hmm, ich habe es noch nicht gesehen, aber denke angesichts der URL jetzt schon, dass da irgendwelche Giftpillen verkauft werden sollen. Es gibt jetzt aber noch etliche weitere Weiterleitungen, die ich nicht in ihren ermüdenden Details auflisten möchte – unter anderem wird sichergestellt, dass man einen Desktop-Browser benutzt (dass man Javascript gestattet, wird ja schon im ersten Schritt erzwungen). Es gibt Weiterleitungen in Abhängigkeit vom User-Agent im HTTP-Request, so dass auch mit Leichtigkeit spezielle Seiten für die Kombination von Betriebssystemversion und verwendetem Webbrowser ausgeliefert werden können. Das stinkt schon sehr aufdringlich danach, dass einem hier Schadsoftware untergejubelt werden soll, wenn die Möglichkeit dazu besteht, denn umsonst macht sich jemand solche Mühen nicht. Wegen solcher Gefahren klickt man ja auch nicht in eine Spam.

Wenn ich meine Requests als solche von einem unter Linux laufenden Firefox ausgebe, lande ich jedenfalls nach einem etwas längerem Umweg in der Domain successexpert.su, in der mir die folgende impressumslose Pimmelpillen-Apotheke präsentiert wird, die heute leider nichts gegen Erkältungsbeschwerden im Angebot hat:

Eine tolle Spampotheke, die nicht nur die chemischen Keulen zur Versteifung des Pimmels anbietet, sondern auch etwas für Kunden hat, die Angst vor der ganzen Chemie haben:

Ich wills mal so sagen: Schwarzes Bilsenkraut und Gefleckter Schierling sind auch zu hundert Prozent pflanzlich.

Aber wieso ich nach einer Mitteilung von FedEx auf die Idee kommen sollte, mir von einem Giftapotheker irgendwelche Pimmelpillen-Imitate zu kaufen, gehört zu den Geheimnissen aus der bizarren Kopfwelt eines Spammers.

Übrigens: In der Mail war ja nicht der Platz, die angebliche „Mitteilung von FedEx“ unterzubringen. Das lag vermutlich daran, dass der Platz von den folgenden Worten eingenommen wurde, die in der HTML-Darstellung mit einem CSS-Trick unsichtbar gemacht wurden:

prevent activists hobbles degradation beltsville assassinates replay macrophage rounded ablate grandmothers articulatory die befouling mushrooming mine embarrassed mains meditating weighted redirect stupidly destine northfield normalize instrumentally commonly forewarned sensation avoidably spouses adaptor presumptions pus california platforms lizzy suffered christens cackling bloods monopoly kinship smashing resoluteness hilltops

Wer solche abgestandenen Tricks aus dem Spam-Neolithikum gegen die Spamfilter versucht, aber ein „Click here“ im „Nutztext“ seiner Spam nicht vermeiden kann, sollte vielleicht mal in der Metzgerei nachschauen lassen, ob er noch ein Gehirn im Kopfe hat.

¹Ich benutze Pale Moon, weil der Firefox von der Mozilla Foundation in eine Distributionsplattform für Schadsoftware umgebaut wurde und damit nicht mehr benutzbar ist. Zum Glück für uns alle gibt es noch Alternativen.