Schlagwortarchiv „Screenshot“

Per Autopilot 488€ am Tag verdienen- Testen Sie es

Montag, 12. September 2016

„Sehr geehrter Interessent,

Bin ich nicht.

anbei erhalten Sie die gewünschten Informationen.
Sie können mit dieser neuartigen Technologie
JEDEN TAG ein paar Hundert Euro oder mehr verdienen.
Es sind KEINERLEI Erfahrungen notwendig.

Aha, eine tolle Geldmachtechnologie, mit der sich jede frisch amputierte Laborratte täglich ein paar grüne Lappen der Europäischen Zentralbank ausdrucken kann. Seltsam, dass so etwas nur mit illegaler und asozialer Spam weggeht…

Das ganze vom Computer aus und völlig automatisch.
Zu schön um wahr zu sein? Wir zeigen es Ihnen!
Wie das funktioniert ist in dem Video auf unserer Webseite gezeigt

>>>>>BITTE HIER KLICKEN UM ZUR WEBSEITE ZU KOMMEN<<<<<

Endlich ein „Click here“.

Der Link führt nach den üblichen Weiterleitungen in die Website in der Domain plusdirekt (punkt) com, wo man einmal mehr mit dem Binäre-Optionen-Schwindel „unterhalten“ wird. Für Genießer: Hier ist der Screenshot.

Alle Informationen sind selbstverständlich kostenfrei und unverbindlich.

Oh, das ist ja mal etwas ganz neues: Ich muss kein Geld bezahlen, wenn ich eine offene Website betrachte. So etwas habe ich ja noch nie erlebt!

Vielen Dank für Ihre Zeit und einen schönen Tag

Vielen Dank, dass du mir ein bisschen von meiner begrenzten Lebenszeit mit deiner Spam geraubt hast!

Ihr Samuel Goldstein
Werbepartner

Das nächste Mal nennst du dich aber bitte Platinklumpen, das klingt noch wertvoller. 😀

Info: Wir lehnen ungewüschte Emailwerbung ausdrücklich ab!
Klicken Sie hier um sich SOFORT abzumelden:

Unsubscribe me from this list

Klar, ein Spammer, der die Spam ablehnt, die er mir selbst ins Postfach geköttelt hat. Das klingt ja so überzeugend…

Compliments

Samstag, 3. September 2016

Von: gammelfleisch@tamagothi.de
An: gammelfleisch@tamagothi.de

Nicht, dass noch ein Empfänger übersieht, dass der Absender dieser Spam gefälscht ist!

Hello!

Genau mein Name!

We are looking for employees working remotely.

Du suchst also neue Hilfsgeldwäscher, Konten und Briefkästen. Wer diese „Jobs“ macht, ist dir völlig egal, deshalb suchst du mit Spam.

My name is Cherie, I am the personnel manager of a large International company.

Du hast dir einen Namen ausgedacht und einen tollen Job bei einem riesigen Unternehmen, für das dir leider kein Name eingefallen ist. Dieses Unternehmen…

Most of the work you can do from home, that is, at a distance.
Salary is $2500-$5000.

…hat tolle „Jobs“ im Angebot, die es nur über illegale und asoziale Spam loswird, obwohl sie gutbezahlt sind und man nichts dafür können muss.

If you are interested in this offer, please visit Our Site

Der Link geht in eine Domain, die…

$ surbl traveltoolpro.com
traveltoolpro.com	LISTED: ABUSE 
$ _

…schon für massenhafte Verwendung in Spam auf die Blacklist gekommen ist. Das Skript, mit dem ich schnell eine SURBL-Abfrage mache, gibt es übrigens hier. Ich finde es bequemer, an der Kommandozeile eine Abfrage zu machen, als auf einer Website ein Captcha zu lösen.

Best regards!

Du mich auch!

Bleibt nur noch eine Frage für die Neugierigen: Wohin wird man geführt, wenn man auf den Link in der Spam klickt, und welchen Weg nimmt man durchs Internet. Nun, hier eine ganz kleine Untersuchung an der Kommandozeile:

$ loc() { lynx -mime_header "$1" | sed '/^\s*$/q' | grep -i "location"; }
$ _

Ja, ich werde das etwas öfter tippen, deshalb mache ich lieber eine Funktion dafür. Das macht es übrigens auch einfacher, die folgende (übrigens nicht einmal vollständig durchwanderte) Weiterleitungskette nachzuvollziehen:

$ loc http://traveltoolpro.com/libraries/rokcommon/RokCommon/I18N/Platform/bi.php
Location: http://silvervphop.com/?a=400642&c=rom
$ loc "http://silvervphop.com/?a=400642&c=rom"
Location: http://worlduufording.com/?a=400642&c=rom
$ loc "http://worlduufording.com/?a=400642&c=rom"
Location: http://320-iq.worlduufording.com/de/hfkt/inteligen/
$ loc http://320-iq.worlduufording.com/de/hfkt/inteligen/
Location: http://worlduufording.com/de/mfto/forskolin/
$ loc http://worlduufording.com/de/mfto/forskolin/
Location: http://worlduufording.com/de/inbg/forskolin/
$ loc http://worlduufording.com/de/inbg/forskolin/
Location: http://worlduufording.com/de/xsvl/forskolin-trial/
$ loc http://worlduufording.com/de/xsvl/forskolin-trial/
Location: http://worlduufording.com/de/wgbg/forskolin-trial/
$ loc http://worlduufording.com/de/wgbg/forskolin-trial/ 
Location: http://worlduufording.com/de/ulaw/forskolin/
$ loc http://worlduufording.com/de/ulaw/forskolin/
Location: http://worlduufording.com/de/rczi/forskolin/
$ loc http://worlduufording.com/de/rczi/forskolin/ 
Location: http://worlduufording.com/de/kwyt/forskolin-trial/
$ loc http://worlduufording.com/de/kwyt/forskolin-trial/
Location: http://worlduufording.com/de/muax/forskolin/
$ loc http://worlduufording.com/de/muax/forskolin/
Location: http://worlduufording.com/de/spsw/forskolin/
$ loc http://worlduufording.com/de/spsw/forskolin/
Location: http://worlduufording.com/de/orum/forskolin/
$ _

😯

Ich erspare dem gequälten Leser den Rest der Weiterleitungskette dieses Links aus der Spam. Wie sehr das spammende Pack es nötig hat, sich hinter sinnlosen Weiterleitungen zu verschanzen, ist hoffentlich auch bei dieser unvollständigen Einsicht deutlich genug geworden. Am Ende landet man in der Domain head (strich) binary (punkt) com, die auch schon…

$ surbl head-binary.com
head-binary.com	LISTED: ABUSE
$ _

…in Blacklists auftaucht, weil sie massenhaft in Spams verwendet wurde. Dieser gesamte Mummenschanz mit den Weiterleitungen hat also nicht viel genützt. Die scheinbare „Zielseite“ ist dann noch einmal eine in Javascript realisierte Weiterleitung auf eine Website in der Domain profitformula1 (punkt) com, die erwartungsgemäß…

$ surbl profitformula1.com
profitformula1.com	LISTED: ABUSE
$ _

…ach, ihr wisst schon.

Und, was haben diese extraseriösen Spezialexperten nun für einen „Job“ anzubieten?

Um das nach dieser endlosen Kaskade von Weiterleitungen und Javascript-Weichen zu erfahren, muss man einfach nur noch einmal auf ein Klickeknöpfchen klicken, nachdem einem gar nichts von Arbeit, aber dafür von zwölftausend Dollar im Monat ohne Kreditkarte und ohne Ausgeben von Kleingeld vorgeschwindelt wurde. Wer dann auf dieses Knöpfchen klickt – es könnte ja ein leckerer Keks erscheinen, wenn man darauf klickt, also klickt man mal darauf – sieht nicht etwa eine Stellenanzeige und auch keine Beschreibung, wie man denn jetzt mühelos, kenntnislos und ohne jegliche Investition reich werden kann, sondern einfach nur eine Aufforderung…

Screenshot der Aufforderung, einen Namen und eine E-Mail-Adresse einzugeben

…dem Spammer seinen Namen zusammen mit seiner E-Mail-Adresse zu geben, um endlich zu erfahren, um was zum heftig hackenden Henker es hier überhaupt geht. Das macht man doch gern, der schreibt ja auch immer so nette Spam, dieser Spammer. Und hat so ein schönes Foto von einem Balkonplatz und wolkenlosem Himmel, hoch erhaben über den Mühen dieser Welt, ein spammiger Fiebertraum des Reichtums. Wer würde dem nicht auch noch seinen richtigen Namen sagen, damit er noch ein bisschen besser spammen kann? Wer hat keine Lust, sich von dem noch ein paar tolle Lügen durchzulesen? Doch nur ein Mensch mit einem Gehirn.

Aber an Menschen mit einem Gehirn richtet sich dieser Spammer nicht. Die löschen ja auch schon die dümmlich formulierte Spam, statt darin rumzuklicken…

Alles uber Sex mit meine Frau

Freitag, 26. August 2016

Bin ich daran interessiert? 😀

Ein gelungener Start

Das ist jetzt aber nicht mein Name.

Ich bin ein gesunder Mann, 24 Jahre alt, und hatte bisher eigentlich noch keine sexuellen Probleme. Jedenfalls hatte ich nach vielen Jahren harter Arbeit endlich meine Traumfrau erobert – ich war schon in der Schule auf sie scharf gewesen. Leider war aber der Leistungsdruck zu groß für mich geworden und ich hätte es einfach nicht so hinbekommen wie ich gewollt oder früher gekonnt hätte.

Macht aber nichts, der unbekannte Autor dieser Spam hat auch keinen Namen. Dafür glaubt er, dass Orgasmus vom Verb „orgasmüssen“ komme und ist dem durch diesen Glauben entstehendem Leistungsdruck nicht gewachsen. Diese unvorteilhafte und latent neurotische Einstellung, die mutmaßlich auch auf weitere Lebensbereiche beim namenlosen Autor ausstrahlt, hat leider nicht zu ähnlich verkrampften Haltungen beim Bestreben geführt, sich einigermaßen friedlich und im sozial akzeptierten Rahmen aufzuführen, und so haben wir einen weiteren Text zum Verkauf von angeblichen Pimmelpillen.

Ein Freund hat mir Viagra empfohlen, ich habe 50 mg ausprobiert (eine halbe 100-mg-Tablette), und es war einfach Klasse. Ich habe etwas Druck in meinem Gesicht gespürt, aber das war reine Nebensache, nachdem ich viermal in einer Nacht zum Höhepunkt gekommen bin. Sie hatte ihren allerersten Orgasmus durch Penetration! Nachdem ich auch die andere Hälfte benutzt habe, sind meine Ängste weg, und ich bin wieder ich. Viagra hat mir gezeigt: „Junge, Du kannst das!“ Genau das habe ich gebraucht.

Wirklich schade, dass es keine Tabletten gibt, die den Anstand so aufpumpen, wie Sildenafil den Schwellkörper aufpumpt. Sonst würden wir vielleicht diesen Text lesen können: „Ein Freund hat mir Habital empfohlen, ich habe 50 mg ausprobiert (eine halbe Tablette), und es war einfach klasse. Ich habe eine leichte Rötung in meinem Gesicht gespürt, weil ich mich dafür schämte, was ich für ein asoziales Arschloch geworden war. Aber das war eine Nebensache, nachdem ich an einem Tag vier Menschen begegnet bin, die ich nicht auf der Stelle mit irgendeinem gefährlichen Betrug abgezockt habe. Einer von ihnen hat mich zum allerersten Mal seit Jahren wieder wie einen richtigen Menschen behandelt. Nachdem ich auch die andere Hälfte der Tablette genommen habe, sind meine Ängste weg, und ich bin wieder ich. Habital hat mir gezeigt: ‚Junge, du kannst das!‘ Genau das habe ich gebraucht“.

Aber nein, wir würden den Text doch nicht lesen können, denn der Spammer würde ja gar nicht spammen, solange er seine Tabletten nimmt. 😀

Nur für Leser meines Blogs!

Ich lese nicht deinen Blog, ich lese deine Spam.

Über diese Webseite Apotekem können Sie Viagra ohne Rezept vom Hausarzt bestellen. Super schneller Lieferung. Sehr bequem!

Oha! Jetzt ist dem Spammer das gute und fehlerfreie Deutsch ausgegangen, was belegt, dass er seine tolle Geschichte von irgendwo abgeschrieben hat. Vermutlich von einem anderen Spammer, der etwas besser Deutsch konnte.

Sildenafil ist in Deutschland übrigens aus gutem Grund ein rezeptpflichtiges Arzneimittel. Es handelt sich nicht um einen wirkungslosen Lutschbonbon, sondern um eine Substanz mit durchschlagender Wirkung, aber auch mit der Möglichkeit erheblicher und gefährlicher unerwünschter Nebenwirkungen. Wer ein sildenafilhaltiges Medikament „ohne Rezept“ verkauft, ist kein Apotheker, sondern ein Verbrecher. Man kann natürlich daran glauben, dass man vom Betreiber einer lustigen, impressumslosen Website trotzdem ein richtiges Medikament mit richtigem Wirkstoff für sein Geld geliefert bekommt. Das ist aber nicht besonders schlau…

Die Chance Deines Lebens!

Montag, 22. August 2016

Oh schön, auf eine Schrottmailadresse. Eine bessere Chance wird nicht mehr kommen!

Hallo gammelfleisch@tamagothi.de,

Fast mein Name. 😀

Warte nicht darauf im Lotto zu Gewinnen oder bei Günther Jauch’s „
Wer wird Millionär“ €32.000 zu mit nach [sic!] Hause zu nehmen.
Nimm Dein Glück selber in die Hand und verdiene soviel Geld wie Die möchtest.

Nun, zumindest wenn ich „mein Glück selbst in die Hand nehme“, dann bin ich mit meinem Finger ganz woanders als auf der Klicki-klicki-Maus:

Due [sic!] weisst nicht wie? Ganz einfach:

Klicke auf den Link: http://neo2.co/de/[ID entfernt]

Was soll ich denn sonst mit dem Link machen außer zu klicken? Essen kann man ihn ja nicht.

Spammer, die sich andere Formulierungen für „Click here“ ausdenken, denen dabei aber nichts anderes als „Click here“ mit anderen Worten einfällt, klingen immer wieder ein bisschen deppert.

Folge den Anweisungen
Ohne finanziellen Einsatz
Ganz ohne Risiko
Einfach und Unverbindlich

Wer allen Ernstes glaubt, dass eine risikolose Reichwerdmethode ausgerechnet mit einer asozialen und illegalen Spam kommt, glaubt vermutlich auch, dass Geld aus der Steckdose kommen könnte – es gibt ja so eine „überzeugende“ Website, die das behauptet. Diese hat zwar eine sehr bescheidene Reputation im Web of Trust, aber die Zielgruppe (naive und völlig kenntnislose Menschen) weiß davon ja nichts. Die weiß ja nicht einmal…

Worauf wartest Du also noch?

http://neo2.co/de/[ID entfernt]

…dass man mit diesem Rollbalken zurückscrollen kann, um wieder an den Link zu kommen, wenn man schon weitergelesen hat und deshalb darauf wartet, dass der Link nochmal kommt. Und deshalb gibts den tollen Link eben gleich noch einmal. Wer als erwachsener Mensch die kleinkindhafte Erzählweise der Teletubbies mit ihren vielen „Nochmal, nochmal“ benötigt, ist genau richtig als Opfer für diesen Beschiss. Jeder andere Mensch würde sich sicherlich fragen, warum der Reichwerdexperte nicht einfach mit seiner eigenen Reichwerdmethode reich wird, statt zu spammen – und wüsste nach nur wenigen Sekunden Gehirnbenutzung, dass das nicht daran liegen wird, dass die Methode funktioniert.

Viel Erfolg!

Freundliche Grüße
Matthias Witt

Teletubbie winke winke! Und Entf! 😀

ACHTUNG! – E-MAIL NUR FÜR !

Freitag, 12. August 2016

Für was? Für die Mülltonne?

Hallo,

Nicht ganz mein Name.

Nicht Verpassen gammelfleisch@tamagothi.de !!

Auch nicht mein Name.

Mit diesem freundlichen Verbrauchtwagenverkäufer vor einem Klapprechner habe ich auch nichts zu tun, ebensowenig mit der würdelos gealterten Opferfrau, die ihm an den Lippen hängt, wenn er seine Lügen erzählt und dazu mit irgendwelchen Zetteln rumwedelt.

Sie sind dabei Sie wurden
persönlich ausgewählt es zu bekommen vor all den
anderen…

Ein „persönlich ausgewählt“ in einer völlig unpersönlich formulierten Mail wirkt fast so überzeugend wie ein Foto im Stile einer Siebziger-Jahre-Reklame.

PLUS Sie
werden eine erhebliche Summe als Willkommen-Geschenk bekommen

Wie? Bargeld? Mit dem ich Lakritz kaufen kann? Oder doch eher so etwas wie die virtuellen Jetons eines Abzockcasinos, die man dafür zusätzlich bekommt, dass man echtes Geld in virtuelle Jetons eintauscht – so dass man gleich bemerkt, wie wenig Wert die auf dem Computer angezeigte Zahl in Wirklichkeit hat.

Aber hey, jemand wird schon anbeißen, wenn so lecker lecker Geld am Angelhaken hängt. Und dann…

Holen Sie es sich sofort
hier unten

http://trend-trader.net/de/?p=[ID entfernt]

…wird klicki klicki ganz unten zugeschnappt… ähm… geklickt.

Es handelt sich um eine HTML-formatierte Spam, und der Link geht nicht etwa auf die URI, die im Text sichtbar ist, sondern in die Domain graccu.com, die schon vor längerer Zeit mit der Anschrift eines Trend-Spammers aus dem brummenden Tirana registriert wurde. Wer sich einmal die Startseite der Website in dieser Domain anschauen möchte, wird allerdings nicht mit Geld willkommen geheißen, sondern…

$ lynx -mime_header http://graccu.com/
HTTP/1.1 301 Moved Permanently
Date: Fri, 12 Aug 2016 07:52:42 GMT
Server: Apache
Location: http://tradingdroid.net/
Content-Length: 232
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://tradingdroid.net/">here</a>.</p>
</body></html>
$ _

…weitergeleitet, um dann zu lesen…

$ lynx -mime_header http://tradingdroid.net/
HTTP/1.1 200 OK
Date: Fri, 12 Aug 2016 07:53:29 GMT
Server: Apache/2.4.23 (Unix) OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Last-Modified: Thu, 11 Aug 2016 12:05:37 GMT
ETag: "6a0fbc-f-539ca9571e640"
Accept-Ranges: bytes
Content-Length: 15
Connection: close
Content-Type: text/html

GET OUT OF HERE
$ _

…dass er sich verpissen soll.

Die Domain tradingdroid (punkt) net ist übrigens in allen Blacklists dieser Welt wegen Spam wohlbekannt:

Deshalb wird sie auch nicht direkt verlinkt, denn sonst käme die Spam ja bei niemanden mehr an. Es ist übrigens auch für Laien sehr einfach, über die SURBL-Website für eine Domain zu prüfen, ob sie in SURBL-Listen enthalten ist. Die einzige „technische“ Herausforderung besteht darin, ein Captcha zu lösen. Wer keine Captchas lösen will oder kann (zum Beispiel werden Blinde mit solchen Scheinsicherungen ausgesperrt), kann immer noch die technische Schnittstelle verwenden und über eine DNS-Abfrage prüfen, ob eine Domain in einer SURBL-Liste enthalten ist:

$ dig tradingdroid.net.multi.surbl.org | sed -e '/^;/d' -e '/^\s*$/d'
tradingdroid.net.multi.surbl.org. 114 IN A	127.0.0.64
$ _

Die 64 steht für die ABUSE-Liste¹ – und die beiden regulären Ausdrücke für sed entfernen eine Menge in diesem Kontext nur störender Zusatzangaben und Kommentare. Ob es für blinde und schwer körperbehinderte Menschen zumutbar ist, eine derartige technische Schnittstelle benutzen zu müssen, um kurz nachzuschauen, ob eine Domain koscher ist? Meiner Meinung nach nicht. Captchas sind immer eine schlechte Idee. Zum Glück ist auf den meisten Mailservern ein Spamfilter installiert, der solche Abfragen automatisch durchführt und Mails mit derartigen Links ausfiltert.

Um zu sehen, was einem in dieser massiv spambeworbenen Domain für tolle Trend-Betrügereien angeboten werden, muss man schon den Link aus der Spam mit allen Parametern verwenden. Wer das mit einer modernen Mailsoftware macht, bekommt vorher noch eine deutliche Warnung zu sehen:

Wie es zu dieser Warnung kommt? Nun, es gibt keinen einzigen legitimen Grund, einen Linktext zu schreiben, der wie eine URI aussieht, aber einen Link in eine völlig andere Domain zu setzen. Nur Kriminelle haben solche Irreführungen nötig. Leider sind es ausgerechnet die unerfahrenen und naiven Internetnutzer, die zwar eine solche Warnung dringend nötig hätten, aber davor zurückscheuen, ihre E-Mail mit einer guten Mailsoftware zu machen. Stattdessen verwenden sie lieber die „bequemen“ Webmailer ihres E-Mail-Providers. Weil sie Angst haben, dass sie mit der „komplizierten“ Einrichtung einer guten Software überfordert wären, obwohl sie im Regelfall wirklich sehr einfach ist. Ich kann nur dazu auffordern, einfach mal den Thunderbird auszuprobieren. Schon nach wenigen Tagen wird man nichts anderes mehr verwenden wollen.

Aber die Menschen, die dieser Aufforderung noch bedürfen, haben sich vermutlich schon beim Anblick meiner „Kommandozeilenakrobatik“ mit Grauen abgewendet. 🙁

Nach derart langer Vorrede mit vielen Abschweifungen jetzt endlich zur Hauptsache: Was will mir der freundliche Spammer hier anbieten? Oh, er hat eine völlig neue Methode, mit der jede amputierte Laborratte vollautomatisch durch Handel mit hochspekulativen Wettzetteln der Marke „Binäre Option“ eine Menge Geld machen kann. Oder, um es mit den Worten der tollen Website zu sagen: „Der Hauptalgorithmus des TREND TRADERS ist auf wiederholenden Mustern basiert, erkannt von unseren Finanzdatenbanken, entwickelt worden!“. Tja, es ist schon ein bisschen schade, wenn man eine Methode hat, um einfach an der Börse Geld zu erzeugen, aber die paar Euro fuffzig für einen richtigen Dolmetscher nicht erübrigen mag.

Die spambeworbene Betrügerseite sieht übrigens so aus:

Sehr überzeugend! Was man nicht braucht, ist Schulbildung. Wer würde da nicht sofort seine BESTE E-MAIL-ADRESSE eingeben?!

Nicht Verpassen
info@plethoraonline.com !!

Apropos E-Mail-Adresse… das ist aber nicht meine. Offenbar ist der geniale Reichwerdexperte mit seiner tollen automatischen Handelssoftware für hochspekulative Wettzettel nicht dazu imstande, ein Spamskript so zu schreiben, dass es fehlerfrei ist. Aber dafür ist ganz sicher die Software fehlerfrei. Muss man nur ganz feste dran glauben. Dann stimmt es auch. 😀

Dies ist kein falscher Ausdruck aber es
steht zu Verfügung nur für die ersten Wenigen.

Es wird an dem nächsten Benutzer
verschenkt wenn Sie es nicht nehmen

Wie, kein falscher Ausdruck. Ich habe doch gar nichts gedruckt. Und dafür, dass das ganze Binäre-Optionen-Zeug so immer so gut und schnell weggeht, bekomme ich aber immer ganz schön viel Spam dafür. (Wer einmal die gesamte, in meinem Spameingang geschehene Geschichte der Binäre-Optionen-Nummer verfolgen möchte, lege sich eine Familienportion Popcorn bereit und klicke mutig auf den Link!) Einmal ganz davon abgesehen, dass es ohne Spam überhaupt nicht wegzugehen scheint. Wer hat denn schon Interesse an Geld?

Wir
sprechen uns bald

Oh, ich würde so gern mal mit dir sprechen, Spammer. Meine Gesprächsführung wäre zwar ein allumfassender Verstoß gegen die Erklärung der Menschenrechte, aber so ein Geschmeiß wie du ist ja auch eher im biologischen Sinn des Wortes ein Mensch, nicht in irgendeinem höheren… 👿

Wolfgang Büttner

Ein Name, so echt wie die lustigen Behauptungen aus der Spam.

¹Es ist in Wirklichkeit noch ein bisschen „schlimmer“. In der Zahl ist bitweise codiert, auf welchen Listen eine Domain erscheint. Diese Schnittstelle ist für Programme gedacht, nicht für die direkte Benutzung durch Menschen. Wer GNU/Linux benutzt und häufiger solche Abfragen machen möchte, wird vielleicht dieses kleine Shellskript mögen.

Beitragsrückerstattung

Montag, 8. August 2016

Eine Konstante im täglichen Spameingang sind angebliche Versicherungsvergleiche. Allerdings sind die recht miesen und einfallslosen Spams in der Regel keines weiteren Kommentares würdig. Auch die heutige Spam – die übrigens binnen weniger Minuten drei Mal auf die gleiche Mailadresse zugestellt wurde, weil die Spammer noch kein Kind gefunden haben, das ihnen mal erklärt, wie man Dubletten aus dem Datenbestand rausbekommt – ist nichts Besonderes, sondern entspricht dem hirnlosen Standard

Guten Tag Elias ,

Immerhin, der Name stimmt mal.

viele Gesellschaften konnten dank Ihrer Gewinne in 2016 für das aktuelle Jahr die Beiträge senken […]

Was für Gesellschaften sind hier gemeint? Karnevalsvereine? Nun, damit hätte ich nichts zu tun.

[…] – die Kunden dieser Anbieter sparen jeden Monat Geld.

Worum immer es auch geht, es geht um Geld! Und weil der Gedanke an Geld so viele Menschen so dumm macht, dass sie dumm genug sind, in eine Spam zu klicken…

Sie auch? Oder hat Ihre Versicherung die Vorteile nicht an Sie weitergegeben?

http://www.clickserver101.science/[ID entfernt]/

…gibt es hier die Gelegenheit, in eine Spam zu klicken.

Prüfen Sie auf unserer Infoseite, wie fair Ihre Versicherung ist – und was Sie bei anderen Anbietern bezahlen würden.

Auf diese nicht direkt verlinkte „Infoseite“ komme ich gleich noch etwas ausführlicher zurück.

Oft kann Ihr monatlicher Beitrag schnell und einfach gesenkt werden.

Und falls es beim ersten Mal noch nicht geklappt hat (übrigens ist bis jetzt aus dem Text völlig unklar geblieben, um welche Art der Versicherung es geht), kommt der „Trick“ gleich noch mal. Es geht um Geld! Deshalb bitte ganz schnell…

Der Vergleich ist unverbindlich und kostenlos, er dauert nur wenige Minuten.

Vergleichen Sie jetzt:

http://www.clickserver101.science/[ID entfernt]/

…klicki klicki in eine Spam machen!

Mit freundlichen Grüßen,

Angelina Frank
Kundenservice

Freundlich wie eine ausgekippte Mülltonne im Wohnzimmer
Dein Versicherungsvergleich-Spammer

http://www.clickserver101.science/abm/[ID entfernt]/

Egal, wo du klickst, Opfer, du funkst über die eindeutige ID an uns zurück, dass die Spam bei dir angekommen ist und von dir beklickt wird. So etwas wissen wir gern. Wir sind schließlich Spammer.

Die vor kurzem neu eingeführte TLD .science hat natürlich keinen Whois-Dienst¹, so dass ich nicht abfragen kann, welche lustigen Daten sich der Spammer beim Registrieren dieser Domain ausgedacht hat. Zurzeit wird der verwendete Server von einem Düsseldorfer Dienstleister gehostet, dem ich von Herzen wünsche, dass er Vorkasse genommen hat.

Natürlich ist der Server eine reine Weiterleitungsschleuder, schnell aufgebaut und schnell wieder weggeschmissen, wenn er in allen Blacklists dieser Welt bekannt und damit für Spammer unbrauchbar geworden ist. Die Weiterleitung funktioniert auch ohne Angabe der ID aus dem Link und führt immerhin einmal direkt zum Ziel.

$ lynx -mime_header http://www.clickserver101.science/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Mon, 08 Aug 2016 13:52:33 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.aktuelle-pkv-tarife.com/
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Die Domain aktuelle (strich) pkv (strich) tarife (punkt) com wurde über einen bei Spammern sehr beliebten Dienstleister aus dem sonnigen Panama anonym registriert:

$ whois aktuelle-pkv-tarife.com | grep '^Registrant'
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 4773CBB0FDA74AB8ABCD72AA9F22675D.PROTECT@WHOISGUARD.COM
$ _

Niemand verstehe mich falsch! Die Verwendung eines Whois-Anonymisierers und die damit verbundene Weigerung, private Daten wie einen Namen, eine Anschrift, eine Telefonnummer und eine Mailadresse für den Zugriff aus der ganzen Welt zu veröffentlichen, kann eine sehr sinnvolle Maßnahme zum Datenschutz sein. Jedem Menschen, der eine Website in einer eigenen Domain betreiben will und der nicht möchte, dass seine persönlichen Daten für jeden kriminellen Missbrauch offenliegen, kann ich die Nutzung derartiger Dienstleister nur wärmstens nahelegen. So etwas ist nicht an sich verdächtig.

Es wird aber sehr verdächtig bei gewerblichen Websites, die sowieso ein Impressum haben müssen. Die Worte „sehr verdächtig“ meinen hier: Es ist immer ein ganz schlechtes Zeichen. Übrigens genau wie Spam. Die ist auch immer ein ganz schlechtes Zeichen. Wer auf seiner gewerblichen Website ein halbwegs ehrliches Geschäft machen will, hat solcherart Mummenschanz nicht nötig.

Wer auf so einer Website dann…

…genügend Daten für einen kriminellen Identitätsmissbrauch eingibt, weil ihm ein Spammer gesagt hat, dass er Geld sparen kann, der lasse alle Hoffnung fahren.

Das Design dieser tollen Betrugsseite ist ja schon etwas älter und der Spammer hat es auch nicht eingesehen, dass man etwas daran ändern sollte. Die Angaben zum Copyright sind in diesem Kontext…

…allerdings ein bisschen realsatirisch und sollten auch weniger gründlichen Lesern klar machen, dass es sich hier um das Machwerk eines Menschen handelt, der sich nicht einmal besonders viel Mühe geben will. Denn wenn der Spammer sich Mühe geben wollte, dann könnte er doch gleich arbeiten gehen. Die dort als stolzer Besitzer des „geistgen Eigentumes“ angegebene Domain tarifvergleich (strich) 2015 (punkt) com existiert inzwischen gar nicht mehr.

Aber dafür, dass diese Seite angeblich seit 2014 existiert…

tarifvergleich-aktuell.com ist ein Angebot von -- Aktuelle PKV-Tarife GmbH -- Rosenstrasse 93 -- 81517 München -- Geschäftsführer: Paul Walter -- Umsatzsteuer-ID: beantragt -- Steuernummer: beantragt -- E-Mail: info@aktuelle-pkv-tarife.com

…zieht sich die Vergabe einer Steuernummer aber ganz schön hin!

Aufmerksame Leser werden sicherlich gemerkt haben, dass hier jetzt schon die zweite Domain steht, die nichts mit der aktuell verwendeten Domain für diesen Beschiss zu tun hat. Denn wenn der Spammer sich Mühe geben würde… ach! Ich wiederhole mich.

Wer die Entwicklung dieser Nummer in den letzten sechseinhalb Jahren verfolgen möchte: Hier auf Unser täglich Spam gibt es ein Schlagwort „Krankenversicherung“ zum bequemen Durchstöbern. Viel Spaß!

¹Ich bin drauf und dran, sämtliche derartigen Top-Level-Domains als sicheres Anzeichen für Spam zu betrachten. Ich sehe sie zurzeit ausschließlich in Spam. Die einzigen, die einen entsprechenden Bedarf an neuen Domains wirklich gehabt zu haben scheinen, waren Kriminelle.

Neues Tan-Verfahren!

Freitag, 22. Juli 2016

Der Absender dieser Spam (die ihren Empfänger übrigens mit Namen anspricht) ist gefälscht. Sie kommt nicht von der ING-DiBA AG, sondern von Kriminellen, die ihre Opfer dazu bringen wollen, Zugangsdaten für ihr Konto herauszurücken. Es ist „gutes altes Phishing“, wie ich es inzwischen eher selten sehe, und das macht es in meinen Augen eher noch etwas gefährlicher. Die HTML-formatierte Spam sieht so aus:

Natürlich geht sie auch an Menschen, die keine Kunden der ING-DiBa sind. Es ist Schrotmunition. Nicht darauf reinfallen! Und wer schon darauf reingefallen ist: Sofort Kontakt mit der Bank aufnehmen, um den Schaden einzugrenzen!

Von: ING-DiBa <info (at) ing (strich) diba (punkt) nl>

Wie schon gesagt: Dieser Absender ist gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Man kann einfach den Absender hineinschreiben, den man haben möchte. Deshalb sollte man niemals eine E-Mail nur wegen ihres Absenders für vertrauenswürdig halten¹.

Sehr geehrter Herr xxxxxxx,

Und jetzt, nachdem die Spammer nach teilweise verheerenden Datenschutzvorfällen zu sehr vielen Mailadressen auch einen Namen haben, ist auch eine persönliche Anrede mit richtigem Vornamen und Nachnamen kein sicheres Zeichen mehr, dass man es nicht mit einer Spam zu tun hat.

Nach dem BSI-Standard 100-1, [Komma zu viel] sind wir dazu verpflichtet [Komma fehlt] alte, unsichere Technologien durch aktuelle Standards zu ersetzen [„Standards“ und „Technologien“ sind zwei semantisch sehr verschiedene Dinge, so dass diese „Verpflichtung“ objektiv sinnlos ist]. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab.

Immerhin, den referenzierten Standard gibt es wirklich. Er hat zwar ein etwas anderes Thema, aber wer kurz beim Bundesamt für Sicherheit in der Informationstechnik nachschaut, was das für ein Standard ist, statt das unverstandene Wort zu überfliegen und sich darüber zu freuen, dass er es nicht verstehen muss, der ist eh viel zu intelligent, um auf so einen plumpen Betrug hereinzufallen.

Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten [sic!] und der Entwertung Ihrer aktuellen iTAN-Liste [sic!]. Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt.

Zur Legitimation

So so, „Entwertung ihrer aktuellen TAN-Liste“… kann man sich gar nicht selbst ausdenken, diesen Bullshit. Ich vermute mal, dass die Opfer Gelegenheit bekamen, die komplette TAN-Liste abzutippen oder ein Foto davon einzusenden – die in der Spam verlinkte Phishing-Seite ist zum Glück bereits verschwunden.

Übrigens: Banken versenden solche Aufforderungen niemals. Warum sollten sie auch. Die brauchen nur in ihrer Datenbank ein paar TANs als ungültig markieren, und schon gehen sie nicht mehr. (Das müssen sie können, weil eine TAN-Liste verloren gehen oder gestohlen werden kann.) Dafür bedarf es keiner weiteren „Entwertung“ und keiner sinnlosen Mail mit „Klick mal, ich bin ein Link aus einer Mail“.

Ach ja, der Link. Er war über bit (punkt) ly gekürzt, um das Linkziel zu verschleiern. Wo der Link hingeht, sieht man übrigens, wenn sich der Mauszeiger über dem Link befindet und man in seiner Mailsoftware in die Statuszeile schaut.

Ein richtiges Unternehmen, das Kontakt zu seinen Kunden pflegt, wird vielleicht auf viele komische Ideen kommen, aber sicherlich niemals auf die Idee, die eigene Website vor den Kunden zu verstecken. Solche Ideen haben nur Spammer. Sie müssen ja an den Spamfiltern vorbeikommen, und deshalb gibt es keine direkten Links, sondern eine Hüpfprozession entlang diverser über HTTP oder Javascript realisierter Weiterleitungen.

Wenn man sich dann anschauen will, wo die Reise hingeht, ist das schon ein bisschen nervig:

$ lynx -mime_header http://bit.ly/2atHQSe | grep '^Location'
Location: http://blg.to/fipSTeN
$ lynx -mime_header http://blg.to/fipSTeN | grep '^Location'
Location: http://theshortme.net/safgewga
$ lynx -mime_header http://theshortme.net/safgewga | grep '^Location'
Location: http://kontoverifikation.net/start/validation
$ _

Die Domain kontoverifikation (punkt) net…

$ whois kontoverifikation.net | grep '^Creation'
Creation Date: 2016-07-15T02:11:26Z
$ _

…wurde ganz frisch vor einer Woche eingerichtet, und zwar nicht von einer Bank, sondern von einer Privatperson mit einer kostenlos und anonym einzurichtenden E-Mail-Adresse bei mail (punkt) ru.

Mit freundlichen Grüße [sic!], Ihr ING-DiBa Team

An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice.

Der Absender dieser Mail ist gefälscht.

Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen [sic!] bezüglich Ihres ING DiBa Kontos.
© 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Übrigens: Es ist gar nicht auszudenken, wie erfolgreich wohl eine neue Phishing-Masche sein könnte, wenn die Spammer sich wenigstens die Mühe geben würden, fehlerfreies Deutsch zu schreiben. Ist doch nicht so schwierig, da jemanden drüberschauen zu lassen, der auch Deutsch kann und ein paar Fehlerchen zu korrigieren, bevor man die Mail abschickt. Aber wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen…

¹Wer vertrauenswürdige E-Mail-Kommunikation wünscht, kommt nicht umhin, sich mit digitaler Signatur zu befassen. Es ist in der Anwendung viel einfacher, als die meisten Menschen sich das vorstellen.