Schlagwortarchiv „Screenshot“

ACHTUNG! – E-MAIL NUR FÜR !

Freitag, 12. August 2016

Für was? Für die Mülltonne?

Hallo,

Nicht ganz mein Name.

Nicht Verpassen gammelfleisch@tamagothi.de !!

Auch nicht mein Name.

Mit diesem freundlichen Verbrauchtwagenverkäufer vor einem Klapprechner habe ich auch nichts zu tun, ebensowenig mit der würdelos gealterten Opferfrau, die ihm an den Lippen hängt, wenn er seine Lügen erzählt und dazu mit irgendwelchen Zetteln rumwedelt.

Sie sind dabei Sie wurden
persönlich ausgewählt es zu bekommen vor all den
anderen…

Ein „persönlich ausgewählt“ in einer völlig unpersönlich formulierten Mail wirkt fast so überzeugend wie ein Foto im Stile einer Siebziger-Jahre-Reklame.

PLUS Sie
werden eine erhebliche Summe als Willkommen-Geschenk bekommen

Wie? Bargeld? Mit dem ich Lakritz kaufen kann? Oder doch eher so etwas wie die virtuellen Jetons eines Abzockcasinos, die man dafür zusätzlich bekommt, dass man echtes Geld in virtuelle Jetons eintauscht – so dass man gleich bemerkt, wie wenig Wert die auf dem Computer angezeigte Zahl in Wirklichkeit hat.

Aber hey, jemand wird schon anbeißen, wenn so lecker lecker Geld am Angelhaken hängt. Und dann…

Holen Sie es sich sofort
hier unten

http://trend-trader.net/de/?p=[ID entfernt]

…wird klicki klicki ganz unten zugeschnappt… ähm… geklickt.

Es handelt sich um eine HTML-formatierte Spam, und der Link geht nicht etwa auf die URI, die im Text sichtbar ist, sondern in die Domain graccu.com, die schon vor längerer Zeit mit der Anschrift eines Trend-Spammers aus dem brummenden Tirana registriert wurde. Wer sich einmal die Startseite der Website in dieser Domain anschauen möchte, wird allerdings nicht mit Geld willkommen geheißen, sondern…

$ lynx -mime_header http://graccu.com/
HTTP/1.1 301 Moved Permanently
Date: Fri, 12 Aug 2016 07:52:42 GMT
Server: Apache
Location: http://tradingdroid.net/
Content-Length: 232
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://tradingdroid.net/">here</a>.</p>
</body></html>
$ _

…weitergeleitet, um dann zu lesen…

$ lynx -mime_header http://tradingdroid.net/
HTTP/1.1 200 OK
Date: Fri, 12 Aug 2016 07:53:29 GMT
Server: Apache/2.4.23 (Unix) OpenSSL/1.0.1e-fips mod_bwlimited/1.4
Last-Modified: Thu, 11 Aug 2016 12:05:37 GMT
ETag: "6a0fbc-f-539ca9571e640"
Accept-Ranges: bytes
Content-Length: 15
Connection: close
Content-Type: text/html

GET OUT OF HERE
$ _

…dass er sich verpissen soll.

Die Domain tradingdroid (punkt) net ist übrigens in allen Blacklists dieser Welt wegen Spam wohlbekannt:

Deshalb wird sie auch nicht direkt verlinkt, denn sonst käme die Spam ja bei niemanden mehr an. Es ist übrigens auch für Laien sehr einfach, über die SURBL-Website für eine Domain zu prüfen, ob sie in SURBL-Listen enthalten ist. Die einzige „technische“ Herausforderung besteht darin, ein Captcha zu lösen. Wer keine Captchas lösen will oder kann (zum Beispiel werden Blinde mit solchen Scheinsicherungen ausgesperrt), kann immer noch die technische Schnittstelle verwenden und über eine DNS-Abfrage prüfen, ob eine Domain in einer SURBL-Liste enthalten ist:

$ dig tradingdroid.net.multi.surbl.org | sed -e '/^;/d' -e '/^\s*$/d'
tradingdroid.net.multi.surbl.org. 114 IN A	127.0.0.64
$ _

Die 64 steht für die ABUSE-Liste¹ – und die beiden regulären Ausdrücke für sed entfernen eine Menge in diesem Kontext nur störender Zusatzangaben und Kommentare. Ob es für blinde und schwer körperbehinderte Menschen zumutbar ist, eine derartige technische Schnittstelle benutzen zu müssen, um kurz nachzuschauen, ob eine Domain koscher ist? Meiner Meinung nach nicht. Captchas sind immer eine schlechte Idee. Zum Glück ist auf den meisten Mailservern ein Spamfilter installiert, der solche Abfragen automatisch durchführt und Mails mit derartigen Links ausfiltert.

Um zu sehen, was einem in dieser massiv spambeworbenen Domain für tolle Trend-Betrügereien angeboten werden, muss man schon den Link aus der Spam mit allen Parametern verwenden. Wer das mit einer modernen Mailsoftware macht, bekommt vorher noch eine deutliche Warnung zu sehen:

Wie es zu dieser Warnung kommt? Nun, es gibt keinen einzigen legitimen Grund, einen Linktext zu schreiben, der wie eine URI aussieht, aber einen Link in eine völlig andere Domain zu setzen. Nur Kriminelle haben solche Irreführungen nötig. Leider sind es ausgerechnet die unerfahrenen und naiven Internetnutzer, die zwar eine solche Warnung dringend nötig hätten, aber davor zurückscheuen, ihre E-Mail mit einer guten Mailsoftware zu machen. Stattdessen verwenden sie lieber die „bequemen“ Webmailer ihres E-Mail-Providers. Weil sie Angst haben, dass sie mit der „komplizierten“ Einrichtung einer guten Software überfordert wären, obwohl sie im Regelfall wirklich sehr einfach ist. Ich kann nur dazu auffordern, einfach mal den Thunderbird auszuprobieren. Schon nach wenigen Tagen wird man nichts anderes mehr verwenden wollen.

Aber die Menschen, die dieser Aufforderung noch bedürfen, haben sich vermutlich schon beim Anblick meiner „Kommandozeilenakrobatik“ mit Grauen abgewendet. 🙁

Nach derart langer Vorrede mit vielen Abschweifungen jetzt endlich zur Hauptsache: Was will mir der freundliche Spammer hier anbieten? Oh, er hat eine völlig neue Methode, mit der jede amputierte Laborratte vollautomatisch durch Handel mit hochspekulativen Wettzetteln der Marke „Binäre Option“ eine Menge Geld machen kann. Oder, um es mit den Worten der tollen Website zu sagen: „Der Hauptalgorithmus des TREND TRADERS ist auf wiederholenden Mustern basiert, erkannt von unseren Finanzdatenbanken, entwickelt worden!“. Tja, es ist schon ein bisschen schade, wenn man eine Methode hat, um einfach an der Börse Geld zu erzeugen, aber die paar Euro fuffzig für einen richtigen Dolmetscher nicht erübrigen mag.

Die spambeworbene Betrügerseite sieht übrigens so aus:

Sehr überzeugend! Was man nicht braucht, ist Schulbildung. Wer würde da nicht sofort seine BESTE E-MAIL-ADRESSE eingeben?!

Nicht Verpassen
info@plethoraonline.com !!

Apropos E-Mail-Adresse… das ist aber nicht meine. Offenbar ist der geniale Reichwerdexperte mit seiner tollen automatischen Handelssoftware für hochspekulative Wettzettel nicht dazu imstande, ein Spamskript so zu schreiben, dass es fehlerfrei ist. Aber dafür ist ganz sicher die Software fehlerfrei. Muss man nur ganz feste dran glauben. Dann stimmt es auch. 😀

Dies ist kein falscher Ausdruck aber es
steht zu Verfügung nur für die ersten Wenigen.

Es wird an dem nächsten Benutzer
verschenkt wenn Sie es nicht nehmen

Wie, kein falscher Ausdruck. Ich habe doch gar nichts gedruckt. Und dafür, dass das ganze Binäre-Optionen-Zeug so immer so gut und schnell weggeht, bekomme ich aber immer ganz schön viel Spam dafür. (Wer einmal die gesamte, in meinem Spameingang geschehene Geschichte der Binäre-Optionen-Nummer verfolgen möchte, lege sich eine Familienportion Popcorn bereit und klicke mutig auf den Link!) Einmal ganz davon abgesehen, dass es ohne Spam überhaupt nicht wegzugehen scheint. Wer hat denn schon Interesse an Geld?

Wir
sprechen uns bald

Oh, ich würde so gern mal mit dir sprechen, Spammer. Meine Gesprächsführung wäre zwar ein allumfassender Verstoß gegen die Erklärung der Menschenrechte, aber so ein Geschmeiß wie du ist ja auch eher im biologischen Sinn des Wortes ein Mensch, nicht in irgendeinem höheren… 👿

Wolfgang Büttner

Ein Name, so echt wie die lustigen Behauptungen aus der Spam.

¹Es ist in Wirklichkeit noch ein bisschen „schlimmer“. In der Zahl ist bitweise codiert, auf welchen Listen eine Domain erscheint. Diese Schnittstelle ist für Programme gedacht, nicht für die direkte Benutzung durch Menschen. Wer GNU/Linux benutzt und häufiger solche Abfragen machen möchte, wird vielleicht dieses kleine Shellskript mögen.

Beitragsrückerstattung

Montag, 8. August 2016

Eine Konstante im täglichen Spameingang sind angebliche Versicherungsvergleiche. Allerdings sind die recht miesen und einfallslosen Spams in der Regel keines weiteren Kommentares würdig. Auch die heutige Spam – die übrigens binnen weniger Minuten drei Mal auf die gleiche Mailadresse zugestellt wurde, weil die Spammer noch kein Kind gefunden haben, das ihnen mal erklärt, wie man Dubletten aus dem Datenbestand rausbekommt – ist nichts Besonderes, sondern entspricht dem hirnlosen Standard

Guten Tag Elias ,

Immerhin, der Name stimmt mal.

viele Gesellschaften konnten dank Ihrer Gewinne in 2016 für das aktuelle Jahr die Beiträge senken […]

Was für Gesellschaften sind hier gemeint? Karnevalsvereine? Nun, damit hätte ich nichts zu tun.

[…] – die Kunden dieser Anbieter sparen jeden Monat Geld.

Worum immer es auch geht, es geht um Geld! Und weil der Gedanke an Geld so viele Menschen so dumm macht, dass sie dumm genug sind, in eine Spam zu klicken…

Sie auch? Oder hat Ihre Versicherung die Vorteile nicht an Sie weitergegeben?

http://www.clickserver101.science/[ID entfernt]/

…gibt es hier die Gelegenheit, in eine Spam zu klicken.

Prüfen Sie auf unserer Infoseite, wie fair Ihre Versicherung ist – und was Sie bei anderen Anbietern bezahlen würden.

Auf diese nicht direkt verlinkte „Infoseite“ komme ich gleich noch etwas ausführlicher zurück.

Oft kann Ihr monatlicher Beitrag schnell und einfach gesenkt werden.

Und falls es beim ersten Mal noch nicht geklappt hat (übrigens ist bis jetzt aus dem Text völlig unklar geblieben, um welche Art der Versicherung es geht), kommt der „Trick“ gleich noch mal. Es geht um Geld! Deshalb bitte ganz schnell…

Der Vergleich ist unverbindlich und kostenlos, er dauert nur wenige Minuten.

Vergleichen Sie jetzt:

http://www.clickserver101.science/[ID entfernt]/

…klicki klicki in eine Spam machen!

Mit freundlichen Grüßen,

Angelina Frank
Kundenservice

Freundlich wie eine ausgekippte Mülltonne im Wohnzimmer
Dein Versicherungsvergleich-Spammer

http://www.clickserver101.science/abm/[ID entfernt]/

Egal, wo du klickst, Opfer, du funkst über die eindeutige ID an uns zurück, dass die Spam bei dir angekommen ist und von dir beklickt wird. So etwas wissen wir gern. Wir sind schließlich Spammer.

Die vor kurzem neu eingeführte TLD .science hat natürlich keinen Whois-Dienst¹, so dass ich nicht abfragen kann, welche lustigen Daten sich der Spammer beim Registrieren dieser Domain ausgedacht hat. Zurzeit wird der verwendete Server von einem Düsseldorfer Dienstleister gehostet, dem ich von Herzen wünsche, dass er Vorkasse genommen hat.

Natürlich ist der Server eine reine Weiterleitungsschleuder, schnell aufgebaut und schnell wieder weggeschmissen, wenn er in allen Blacklists dieser Welt bekannt und damit für Spammer unbrauchbar geworden ist. Die Weiterleitung funktioniert auch ohne Angabe der ID aus dem Link und führt immerhin einmal direkt zum Ziel.

$ lynx -mime_header http://www.clickserver101.science/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Mon, 08 Aug 2016 13:52:33 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.aktuelle-pkv-tarife.com/
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Die Domain aktuelle (strich) pkv (strich) tarife (punkt) com wurde über einen bei Spammern sehr beliebten Dienstleister aus dem sonnigen Panama anonym registriert:

$ whois aktuelle-pkv-tarife.com | grep '^Registrant'
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 4773CBB0FDA74AB8ABCD72AA9F22675D.PROTECT@WHOISGUARD.COM
$ _

Niemand verstehe mich falsch! Die Verwendung eines Whois-Anonymisierers und die damit verbundene Weigerung, private Daten wie einen Namen, eine Anschrift, eine Telefonnummer und eine Mailadresse für den Zugriff aus der ganzen Welt zu veröffentlichen, kann eine sehr sinnvolle Maßnahme zum Datenschutz sein. Jedem Menschen, der eine Website in einer eigenen Domain betreiben will und der nicht möchte, dass seine persönlichen Daten für jeden kriminellen Missbrauch offenliegen, kann ich die Nutzung derartiger Dienstleister nur wärmstens nahelegen. So etwas ist nicht an sich verdächtig.

Es wird aber sehr verdächtig bei gewerblichen Websites, die sowieso ein Impressum haben müssen. Die Worte „sehr verdächtig“ meinen hier: Es ist immer ein ganz schlechtes Zeichen. Übrigens genau wie Spam. Die ist auch immer ein ganz schlechtes Zeichen. Wer auf seiner gewerblichen Website ein halbwegs ehrliches Geschäft machen will, hat solcherart Mummenschanz nicht nötig.

Wer auf so einer Website dann…

…genügend Daten für einen kriminellen Identitätsmissbrauch eingibt, weil ihm ein Spammer gesagt hat, dass er Geld sparen kann, der lasse alle Hoffnung fahren.

Das Design dieser tollen Betrugsseite ist ja schon etwas älter und der Spammer hat es auch nicht eingesehen, dass man etwas daran ändern sollte. Die Angaben zum Copyright sind in diesem Kontext…

…allerdings ein bisschen realsatirisch und sollten auch weniger gründlichen Lesern klar machen, dass es sich hier um das Machwerk eines Menschen handelt, der sich nicht einmal besonders viel Mühe geben will. Denn wenn der Spammer sich Mühe geben wollte, dann könnte er doch gleich arbeiten gehen. Die dort als stolzer Besitzer des „geistgen Eigentumes“ angegebene Domain tarifvergleich (strich) 2015 (punkt) com existiert inzwischen gar nicht mehr.

Aber dafür, dass diese Seite angeblich seit 2014 existiert…

tarifvergleich-aktuell.com ist ein Angebot von -- Aktuelle PKV-Tarife GmbH -- Rosenstrasse 93 -- 81517 München -- Geschäftsführer: Paul Walter -- Umsatzsteuer-ID: beantragt -- Steuernummer: beantragt -- E-Mail: info@aktuelle-pkv-tarife.com

…zieht sich die Vergabe einer Steuernummer aber ganz schön hin!

Aufmerksame Leser werden sicherlich gemerkt haben, dass hier jetzt schon die zweite Domain steht, die nichts mit der aktuell verwendeten Domain für diesen Beschiss zu tun hat. Denn wenn der Spammer sich Mühe geben würde… ach! Ich wiederhole mich.

Wer die Entwicklung dieser Nummer in den letzten sechseinhalb Jahren verfolgen möchte: Hier auf Unser täglich Spam gibt es ein Schlagwort „Krankenversicherung“ zum bequemen Durchstöbern. Viel Spaß!

¹Ich bin drauf und dran, sämtliche derartigen Top-Level-Domains als sicheres Anzeichen für Spam zu betrachten. Ich sehe sie zurzeit ausschließlich in Spam. Die einzigen, die einen entsprechenden Bedarf an neuen Domains wirklich gehabt zu haben scheinen, waren Kriminelle.

Neues Tan-Verfahren!

Freitag, 22. Juli 2016

Der Absender dieser Spam (die ihren Empfänger übrigens mit Namen anspricht) ist gefälscht. Sie kommt nicht von der ING-DiBA AG, sondern von Kriminellen, die ihre Opfer dazu bringen wollen, Zugangsdaten für ihr Konto herauszurücken. Es ist „gutes altes Phishing“, wie ich es inzwischen eher selten sehe, und das macht es in meinen Augen eher noch etwas gefährlicher. Die HTML-formatierte Spam sieht so aus:

Natürlich geht sie auch an Menschen, die keine Kunden der ING-DiBa sind. Es ist Schrotmunition. Nicht darauf reinfallen! Und wer schon darauf reingefallen ist: Sofort Kontakt mit der Bank aufnehmen, um den Schaden einzugrenzen!

Von: ING-DiBa <info (at) ing (strich) diba (punkt) nl>

Wie schon gesagt: Dieser Absender ist gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Man kann einfach den Absender hineinschreiben, den man haben möchte. Deshalb sollte man niemals eine E-Mail nur wegen ihres Absenders für vertrauenswürdig halten¹.

Sehr geehrter Herr xxxxxxx,

Und jetzt, nachdem die Spammer nach teilweise verheerenden Datenschutzvorfällen zu sehr vielen Mailadressen auch einen Namen haben, ist auch eine persönliche Anrede mit richtigem Vornamen und Nachnamen kein sicheres Zeichen mehr, dass man es nicht mit einer Spam zu tun hat.

Nach dem BSI-Standard 100-1, [Komma zu viel] sind wir dazu verpflichtet [Komma fehlt] alte, unsichere Technologien durch aktuelle Standards zu ersetzen [„Standards“ und „Technologien“ sind zwei semantisch sehr verschiedene Dinge, so dass diese „Verpflichtung“ objektiv sinnlos ist]. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab.

Immerhin, den referenzierten Standard gibt es wirklich. Er hat zwar ein etwas anderes Thema, aber wer kurz beim Bundesamt für Sicherheit in der Informationstechnik nachschaut, was das für ein Standard ist, statt das unverstandene Wort zu überfliegen und sich darüber zu freuen, dass er es nicht verstehen muss, der ist eh viel zu intelligent, um auf so einen plumpen Betrug hereinzufallen.

Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten [sic!] und der Entwertung Ihrer aktuellen iTAN-Liste [sic!]. Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt.

Zur Legitimation

So so, „Entwertung ihrer aktuellen TAN-Liste“… kann man sich gar nicht selbst ausdenken, diesen Bullshit. Ich vermute mal, dass die Opfer Gelegenheit bekamen, die komplette TAN-Liste abzutippen oder ein Foto davon einzusenden – die in der Spam verlinkte Phishing-Seite ist zum Glück bereits verschwunden.

Übrigens: Banken versenden solche Aufforderungen niemals. Warum sollten sie auch. Die brauchen nur in ihrer Datenbank ein paar TANs als ungültig markieren, und schon gehen sie nicht mehr. (Das müssen sie können, weil eine TAN-Liste verloren gehen oder gestohlen werden kann.) Dafür bedarf es keiner weiteren „Entwertung“ und keiner sinnlosen Mail mit „Klick mal, ich bin ein Link aus einer Mail“.

Ach ja, der Link. Er war über bit (punkt) ly gekürzt, um das Linkziel zu verschleiern. Wo der Link hingeht, sieht man übrigens, wenn sich der Mauszeiger über dem Link befindet und man in seiner Mailsoftware in die Statuszeile schaut.

Ein richtiges Unternehmen, das Kontakt zu seinen Kunden pflegt, wird vielleicht auf viele komische Ideen kommen, aber sicherlich niemals auf die Idee, die eigene Website vor den Kunden zu verstecken. Solche Ideen haben nur Spammer. Sie müssen ja an den Spamfiltern vorbeikommen, und deshalb gibt es keine direkten Links, sondern eine Hüpfprozession entlang diverser über HTTP oder Javascript realisierter Weiterleitungen.

Wenn man sich dann anschauen will, wo die Reise hingeht, ist das schon ein bisschen nervig:

$ lynx -mime_header http://bit.ly/2atHQSe | grep '^Location'
Location: http://blg.to/fipSTeN
$ lynx -mime_header http://blg.to/fipSTeN | grep '^Location'
Location: http://theshortme.net/safgewga
$ lynx -mime_header http://theshortme.net/safgewga | grep '^Location'
Location: http://kontoverifikation.net/start/validation
$ _

Die Domain kontoverifikation (punkt) net…

$ whois kontoverifikation.net | grep '^Creation'
Creation Date: 2016-07-15T02:11:26Z
$ _

…wurde ganz frisch vor einer Woche eingerichtet, und zwar nicht von einer Bank, sondern von einer Privatperson mit einer kostenlos und anonym einzurichtenden E-Mail-Adresse bei mail (punkt) ru.

Mit freundlichen Grüße [sic!], Ihr ING-DiBa Team

An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice.

Der Absender dieser Mail ist gefälscht.

Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen [sic!] bezüglich Ihres ING DiBa Kontos.
© 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Übrigens: Es ist gar nicht auszudenken, wie erfolgreich wohl eine neue Phishing-Masche sein könnte, wenn die Spammer sich wenigstens die Mühe geben würden, fehlerfreies Deutsch zu schreiben. Ist doch nicht so schwierig, da jemanden drüberschauen zu lassen, der auch Deutsch kann und ein paar Fehlerchen zu korrigieren, bevor man die Mail abschickt. Aber wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen…

¹Wer vertrauenswürdige E-Mail-Kommunikation wünscht, kommt nicht umhin, sich mit digitaler Signatur zu befassen. Es ist in der Anwendung viel einfacher, als die meisten Menschen sich das vorstellen.

ANTRAG AUF KREDIT

Freitag, 15. Juli 2016

Ohne Worte.

Öffnen Sie mich gammelfleisch@tamagothi.de

Mittwoch, 6. Juli 2016

Dümmster! Betreff! Ever! Wozu sollte der Absender in einem Betreff auch reinschreiben, um was es in seiner Mail geht? Ein kurzer Befehl reicht doch. Nichts unterstreicht die Wichtigkeit einer Sache besser.

Großbritannien ist
da!

Ja, stimmt. Ich habe eben noch mal nachgeschaut. Es ist immer noch da.

Profitieren Sie jetzt auf
das GBP durch die Schweizer Methode.

Ah, du bist ein Währungsanlagespezialexperte, ich verstehe! Und zwar einer von denen, die nicht etwa mit ihren Expertenwissen selbst reich werden, sondern die andere zum spekulieren bringen wollen. Ich verstehe!

Hier: http://ganglink.com/3ADR8

Aber auf der lustigen Website in der Domain autotraderbot (punkt) com, auf der man nach der üblichen Kaskade von Weiterleitungen landet, geht es gar nicht um Währungsspekulation. Da schreibt einer, dass er eigentlich gar keine Kenntnisse hat, vermutlich bereits am Erwerb des Hauptschulabschlusses gescheitert ist und auch nicht rechnen kann. Aber (vermutlich gerade deshalb) glaubt er an Millionenverdienmethoden und hat eine ganz extratolle Reichwerdmethode, die so einfach ist, dass jedes gelehrige Meerschweinchen damit Millionen machen kann: Das computerunterstützte Zocken mit Binären Optionen. Die literarisch ungenießbar erzählte Geschichte erfreut weder durch Glaubwürdigkeit noch durch Originalität.

Was so ein Betrugsblah mit dem britischen Pfund zu tun hat? Ungefähr so viel wie eine Pferdewette mit dem Ausgang der Fußball-Europameisterschaft. Aber wer lesen kann oder ein so wirksames Langzeitgedächtnis hat, dass er sich beim Überfliegen der Betrugswebsite noch an den Text der Spam erinnert, die ihn auf diese Website gebracht hat, ist für den Beschiss dieser Spammer schon viel zu schlau… der merkt bestimmt auch, dass Leute, die eine funktionierende Reichwerdmethode hätten, selbst damit reich würden und es nicht mehr brauchten, massenhaft Postfächer mit Spam zuzuspachteln, um Affiliate-Gelder dafür zu kassieren, dass sie windigen Brokern mit unfassbar dummen Behauptungen neue Kunden zutreiben.

Monika Rehfeldt

Ein Name, so echt wie der gefälschte Absender der Spam. Da stimmt doch bestimmt wenigstens das mit der kinderleicht bedienbaren Reichwerdsoftware, die als Webanwendung läuft!

leben und arbeiten in Vereinigte Staaten

Mittwoch, 22. Juni 2016

Diese Spam ging an eine Honigtopfadresse – und kommt damit vermutlich auf jeder Mailadresse an, die sich irgendwie im Internet einsammeln lässt.

IHR AMERIKANISCHER TRAUM LIEGT IN IHREN HÄNDEN!

So so… aber mehr dazu gleich.

An dieser Stelle möchten wir alle wichtigen Fragen zum GreenCard-Programm beantworten.

Bleibt doch noch etwas offen, so zögern Sie bitte nicht, uns zu kontaktieren.

Und, was hat der Spammer mit seinen spammigen Albträumen hier vergessen? Richtig, er hat vergessen, hier alle Fragen zu irgendeinem Programm zu beantworten, von dem man übrigens nur aus der Spam (und gelegentlich aus Werbebannern auf zwielichtigen Websites) erfährt.

Wir sind sieben Tage die Woche, 365 Tage im Jahr für Sie da, um für

bestmögliche Betreuung im Rahmen der GreenCard-Lotterie zu sorgen.

Aha, eine Lotterie ist das neue „liegt in meinen Händen“. Alles klar. Wer nach solchen Offenbarungen der Dummheit des Spammers noch auf den Betrug reinfällt, könnte wirklich der Betreuung bedürfen, aber besser nicht durch eine Bande von Spammern.

WAS SIE SCHON IMMER RUND UM DIE GREENCARD WISSEN WOLLTEN

Hier klicken.

Das hat noch gefehlt, um den unvorteilhaften Eindruck dieser Spam abzurunden: „Click here“, der dümmste Linktext, den nur Werber, Spammer und sonstige Entseelungsreste verwenden. Jeder, der noch etwas fühlt, würde so ein Stammelgetexte vermeiden. Und damit die Spamfilterung auch wirklich zum Zuge kommt…

If you wish to be unsubscribed from receiving these emails, click here.

…gibt es dieses kleine, aber gar nicht seltene Stückchen spammiger Idiotie noch einmal in Englisch.

report abuse

Du mich auch!

Der Link geht übrigens nach der üblichen Kaskade von Weiterleitungen in die Domain usagc (punkt) org. Dort bekommt man eine hübsche Möglichkeit zum Datenstriptease:

Im „Web of Trust“ hat sich diese betrügerische Website schon einen beachtlichen Ruf erarbeitet: Betrug, Phishing, Spam, Schlechte Erfahrungen und Schadsoftware. Der Kommentar von Kevin.Dingo macht auch klar, worin das „Geschäftsmodell“ dieser asozialen und kriminellen Spammer besteht:

They ask you for £80 up front then chase you in a harassing manner for more money avoid at all costs. if you are considering moving to Canada seek advise from the Canadian embassy in your country AVOID THIS SCAM at all costs

Man bezahlt eine Vorleistung nach der anderen. Für nichts. Natürlich werden die dabei angegebenen Daten in jedem Fall für einen Identitätsmissbrauch verwendet, der einem leicht ein paar Jahre Ärger mit Gerichten, Inkassoklitschen, Polizeien und Staatsanwälten einbringen kann – denn wegen des Verdachts auf gewerbsmäßigen Betrug ermittelt und kassiert wird bei der Person, deren Daten angegeben wurden. Es gibt wahrlich bessere Verwendungen für die beschränkte Lebenszeit… und für das Geld, das man verliert, wenn man darauf reinfällt.

Wer die Absicht hat, in die USA umzuziehen, sollte sich besser an die Botschaft der USA wenden und nicht auf Spammer reinfallen, die bei ihrem Betrug so tun, als würde ein Einwanderungsland wie die USA sich seine Einwanderer nicht aussuchen, sondern sie auslosen.

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! 😉

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht…

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.

Das werden Sie auf jeden Fall genießen

Donnerstag, 16. Juni 2016

Was denn? Kaffee? Nee, das würde mir nicht in einer Spam gesagt, denn in einer Spam wird mir niemals die Wahrheit gesagt.

Hallo!

Das ist schon wieder genau mein Name.

Der Spaß hört bei Jackpot City Casino niemals auf! Zudem erhalten Sie ein 100% Bonus bis zu $/£/€ 400, wenn Sie sich anmelden und Ihre erste Einzahlung tätigen.

Der Spaß im Betrugsstadtcasino hört niemals auf… außer, man ist dort Spieler. Es gibt Bonus, wenn man dort Geld ablegt. In Währungseinheiten. Oder in Credits. Bis zu vierhundert. Ob es sich dabei um US-Dollar, britische Pfund oder Euro handelt, ist völlig egal. So kann man schon vor dem ersten Spiel sehen, dass die auf dem Monitor angezeigte Zahl nichts mit den Banknoten zu tun hat, die man dafür hingelegt hat, dass diese Zahl angezeigt wird und beim Zocken immer kleiner wird.

Spielen Sie Video Slots, Poker, Blackjack, Roulette und viele weitere Spiele. Gewinnen Sie groß bei den tollen regulären Promotionen.

Computergrafik ist ganz was feines. Da kann das Ergebnis einer Datenverarbeitung, die vom Betreiber eines so genannten Casinos für Spieler völlig unentdeckbar manipulierbar ist, wie Spielkarten, Roulettekugeln oder Walzen aussehen. Wer dumm genug ist, lässt sich davon verblenden. Und alle angebotenen Casinospiele wären schon ohne Betrug nachteilhaft für den Spieler. Wer das nicht glaubt, kann sich gern den Palast eines alten Casinos anschauen, etwa in Baden-Baden. Diese ganze Pracht wurde gebaut mit den Verlusten der Spieler. Und sie repräsentiert nur einen kleinen Bruchteil der Verluste der Spieler.

Holen Sie sich Ihren Bonus heute noch! http://djjedi.friko.pl/rwm.htm

Also klicki, klicki zugreifen! Und nicht daran stören, dass die verlinkte Website dafür bekannt ist, schon einmal Schadsoftware verteilt zu haben! Gibt auch Bonus. In auf dem Bildschirm angezeigten Währungseinheiten.

Ich schreibe hier ja manchmal, wenn ich etwas zu einem Link in einer Spam schreibe, dass auf einen Klick eine „übliche Kaskade von Weiterleitungen“ folgt. Die Spammer setzen beinahe niemals direkte Links, sondern versuchen das eigentliche Linkziel so gut wie möglich zu verschleiern, um Spamfiltern die Arbeit schwerer zu machen. Hier ist die Demonstration mit dem heutigen Link, der übrigens relativ schnell zum Punkt kommt – wer eine Allergie gegen Kommandozeilenakrobatik hat, möge sich einfach abwenden:

$ lynx -dump -mime_header http://djjedi.friko.pl/rwm.htm
HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Thu, 16 Jun 2016 09:48:58 GMT
Content-Type: text/html
Connection: close
Last-Modified: Wed, 15 Jun 2016 20:16:19 GMT
Accept-Ranges: bytes
X-Powered-By: ModLayout/5.1

<script>document.location.replace("http://bigclubroyal.com/");</script><!-- FOOTER //]]>'"</script></iframe></noembed></embed></object></noscript>-->
<script type="text/javascript" src="/2deb000b57bfac9d72c14d4ed967b572.js?d=ZGpqZWRpLmZyaWtvLnBs"></script>
$ _

Erstmal gibt es eine in Javascript realisierte Weiterleitung zu bigclubroyal (punkt) com. Das zusätzlich ausgelieferte Stück Javascript mit dem sedezimalen Dateinamen existiert zurzeit übrigens nicht und ist dort wohl nur als Denkmal früherer Verwendungen des gleichen Codes verblieben. Ich vermute, dass es sich hier um eine vorübergehend für eine Handvoll Bitcoin eingeschleuste Schadsoftware gehandelt hat, die dann aber später wieder entfernt wurde. Sonst sehen eventuelle Besucher der Website ja diese hässlichen Warnungen, und das wäre doch schlecht fürs eigene kriminelle Geschäft…

Gut, mal schauen, wie es weitergeht:

$ lynx -dump -mime_header http://bigclubroyal.com/
HTTP/1.1 302 Found
Server: nginx/1.8.1
Date: Thu, 16 Jun 2016 09:54:42 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 6
Connection: close
Set-Cookie: userlike2=%F9%ED9%1D%14%23%21%D6%14%0E%C6%D3.%D5%CFa%D7t%EF%BF%03%A0_G%E5y%DA%D4%CA%F9W%FA%FA%EE%95%DA; expires=Wed, 06-Jul-2016 09:49:21 GMT
Cache-Control: no-store, no-cache,  must-revalidate
Expires: Thu, 16 Jun 2016 12:49:21 +0300
Location: http://bigluckywinners6.com

$ _

Die nächste Weiterleitung gibt es also über HTTP und nicht mehr über Javascript, aber es soll ja auch nicht mehr hinterhältig zusätzliches Javascript mit untergejubelt werden. Es geht zu den sechs großen, glücksbesegneten Gewinnern – vermutlich den Betreibern eines so genannten „Online-Casinos“ mit mafiösem Hintergrund. Oder vielleicht doch eher zu ein paar Affiliate-Lumpenkaufleuten, die ihren Müll ohne Spam nicht loswerden? Mal schauen:

$ lynx -dump -mime_header http://bigluckywinners6.com
HTTP/1.1 301 Moved Permanently
Cache-Control: private
Content-Length: 0
Content-Type: text/html
Location: https://www.jackpotcitycasino.com/?a=1709515357611636
Server: Microsoft-IIS/8.5
Set-Cookie: ASPSESSIONIDQQQSBSQS=AJJKDGAAFINOGEMDGBBIOKDJ; path=/
X-Powered-By: ASP.NET
Date: Thu, 16 Jun 2016 10:10:43 GMT
Connection: close

$ _

Ah, jackpotcitycasino (punkt) com ist das nächste Ziel – und diesmal könnte es das letzte sein, denn es wurde eine Affiliate-ID angehängt. Mal schauen (die folgende Pipe auf sed bricht die Ausgabe nach dem Ende der HTTP-Header ab, weil ich sehr viel HTML erwarte):

$ lynx -dump -mime_header https://www.jackpotcitycasino.com/?a=1709515357611636 | sed '/^\s*$/q'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: /deutschland/
Server: Microsoft-IIS/8.5
X-AspNetMvc-Version: 5.2
X-AspNet-Version: 4.0.30319
Set-Cookie: DetectedDevice=IsMobile=False&IsTablet=False&MatchedDeviceID=1&OperatingSystem=&OperatingSystemVersion=&ReportDeviceID=generic; domain=jackpotcitycasino.com; path=/
Set-Cookie: Visit=BannerTag=52de0c70-250f-4425-8af7-7010b153b6ba&BrandCode=JC&CountryIdByIP=276&CurrencyIdByCultureId=200&CurrencyIdByIpId=200&DeviceTypeId=12&Foo=JC&ForwardedIpAddress=2986582089&IpAddress=2986582089&IsDivAVisible=True&IsTrafficInternal=False&MerchantExclusive=False&Variables=P2E9MTcwOTUxNTM1NzYxMTYzNg==; domain=jackpotcitycasino.com; path=/
Set-Cookie: ASP.NET_SessionId=hvghs2zc041djqkfxs0xzrgk; path=/; HttpOnly
Set-Cookie: FCVR=9d1840bd-1d5f-4538-ba07-995383a63909; expires=Sun, 14-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: testValue=~/views/site/index.cshtml=~/views/site/index2016.cshtml; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: UID=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: testName=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
X-Powered-By: ASP.NET
X-UA-Compatible: IE=edge
Date: Thu, 16 Jun 2016 10:14:27 GMT
Connection: close
Content-Length: 87006

$ _

In der Tat, das ist das Ziel. Und so sieht das „Casino“ aus:

In der Spam gab es zwar noch einen Bonus von bis zu 400 Credits, aber hier gibt es jetzt 1600 Dollar. Dass die auf dem Bildschirm angezeigte Zahl nichts mit richtigem Geld zu tun hat, ist ja schon vorher klar geworden. Wer richtiges Geld gegen eine solche, angezeigte Zahl eintauscht, weil er eine Spam bekommen hat… ach bitte! Zahl dein Lehrgeld lieber an mich als an asoziale und kriminelle Spammer und an „Casinos“, die mit Affiliate-Geldern asoziale und kriminelle Spammer finanzieren, du Naivling! Ich mache da nämlich etwas Anständiges mit, ich kaufe davon Kekse… 😉