Ohne Worte.
Schlagwortarchiv „Screenshot“
Öffnen Sie mich gammelfleisch@tamagothi.de
Dümmster! Betreff! Ever! Wozu sollte der Absender in einem Betreff auch reinschreiben, um was es in seiner Mail geht? Ein kurzer Befehl reicht doch. Nichts unterstreicht die Wichtigkeit einer Sache besser. 
Großbritannien ist
da!
Ja, stimmt. Ich habe eben noch mal nachgeschaut. Es ist immer noch da.
Profitieren Sie jetzt auf
das GBP durch die Schweizer Methode.
Ah, du bist ein Währungsanlagespezialexperte, ich verstehe! Und zwar einer von denen, die nicht etwa mit ihren Expertenwissen selbst reich werden, sondern die andere zum spekulieren bringen wollen. Ich verstehe!
Aber auf der lustigen Website in der Domain autotraderbot (punkt) com, auf der man nach der üblichen Kaskade von Weiterleitungen landet, geht es gar nicht um Währungsspekulation. Da schreibt einer, dass er eigentlich gar keine Kenntnisse hat, vermutlich bereits am Erwerb des Hauptschulabschlusses gescheitert ist und auch nicht rechnen kann. Aber (vermutlich gerade deshalb) glaubt er an Millionenverdienmethoden und hat eine ganz extratolle Reichwerdmethode, die so einfach ist, dass jedes gelehrige Meerschweinchen damit Millionen machen kann: Das computerunterstützte Zocken mit Binären Optionen. Die literarisch ungenießbar erzählte Geschichte erfreut weder durch Glaubwürdigkeit noch durch Originalität.
Was so ein Betrugsblah mit dem britischen Pfund zu tun hat? Ungefähr so viel wie eine Pferdewette mit dem Ausgang der Fußball-Europameisterschaft. Aber wer lesen kann oder ein so wirksames Langzeitgedächtnis hat, dass er sich beim Überfliegen der Betrugswebsite noch an den Text der Spam erinnert, die ihn auf diese Website gebracht hat, ist für den Beschiss dieser Spammer schon viel zu schlau… der merkt bestimmt auch, dass Leute, die eine funktionierende Reichwerdmethode hätten, selbst damit reich würden und es nicht mehr brauchten, massenhaft Postfächer mit Spam zuzuspachteln, um Affiliate-Gelder dafür zu kassieren, dass sie windigen Brokern mit unfassbar dummen Behauptungen neue Kunden zutreiben.
Monika Rehfeldt
Ein Name, so echt wie der gefälschte Absender der Spam. Da stimmt doch bestimmt wenigstens das mit der kinderleicht bedienbaren Reichwerdsoftware, die als Webanwendung läuft!
leben und arbeiten in Vereinigte Staaten
Diese Spam ging an eine Honigtopfadresse – und kommt damit vermutlich auf jeder Mailadresse an, die sich irgendwie im Internet einsammeln lässt.
IHR AMERIKANISCHER TRAUM LIEGT IN IHREN HÄNDEN!
So so… aber mehr dazu gleich.
An dieser Stelle möchten wir alle wichtigen Fragen zum GreenCard-Programm beantworten.
Bleibt doch noch etwas offen, so zögern Sie bitte nicht, uns zu kontaktieren.
Und, was hat der Spammer mit seinen spammigen Albträumen hier vergessen? Richtig, er hat vergessen, hier alle Fragen zu irgendeinem Programm zu beantworten, von dem man übrigens nur aus der Spam (und gelegentlich aus Werbebannern auf zwielichtigen Websites) erfährt.
Wir sind sieben Tage die Woche, 365 Tage im Jahr für Sie da, um für
bestmögliche Betreuung im Rahmen der GreenCard-Lotterie zu sorgen.
Aha, eine Lotterie ist das neue „liegt in meinen Händen“. Alles klar. Wer nach solchen Offenbarungen der Dummheit des Spammers noch auf den Betrug reinfällt, könnte wirklich der Betreuung bedürfen, aber besser nicht durch eine Bande von Spammern.
WAS SIE SCHON IMMER RUND UM DIE GREENCARD WISSEN WOLLTEN
Das hat noch gefehlt, um den unvorteilhaften Eindruck dieser Spam abzurunden: „Click here“, der dümmste Linktext, den nur Werber, Spammer und sonstige Entseelungsreste verwenden. Jeder, der noch etwas fühlt, würde so ein Stammelgetexte vermeiden. Und damit die Spamfilterung auch wirklich zum Zuge kommt…
If you wish to be unsubscribed from receiving these emails, click here.
…gibt es dieses kleine, aber gar nicht seltene Stückchen spammiger Idiotie noch einmal in Englisch.
Du mich auch!
Der Link geht übrigens nach der üblichen Kaskade von Weiterleitungen in die Domain usagc (punkt) org. Dort bekommt man eine hübsche Möglichkeit zum Datenstriptease:
Im „Web of Trust“ hat sich diese betrügerische Website schon einen beachtlichen Ruf erarbeitet: Betrug, Phishing, Spam, Schlechte Erfahrungen und Schadsoftware. Der Kommentar von Kevin.Dingo macht auch klar, worin das „Geschäftsmodell“ dieser asozialen und kriminellen Spammer besteht:
They ask you for £80 up front then chase you in a harassing manner for more money avoid at all costs. if you are considering moving to Canada seek advise from the Canadian embassy in your country AVOID THIS SCAM at all costs
Man bezahlt eine Vorleistung nach der anderen. Für nichts. Natürlich werden die dabei angegebenen Daten in jedem Fall für einen Identitätsmissbrauch verwendet, der einem leicht ein paar Jahre Ärger mit Gerichten, Inkassoklitschen, Polizeien und Staatsanwälten einbringen kann – denn wegen des Verdachts auf gewerbsmäßigen Betrug ermittelt und kassiert wird bei der Person, deren Daten angegeben wurden. Es gibt wahrlich bessere Verwendungen für die beschränkte Lebenszeit… und für das Geld, das man verliert, wenn man darauf reinfällt.
Wer die Absicht hat, in die USA umzuziehen, sollte sich besser an die Botschaft der USA wenden und nicht auf Spammer reinfallen, die bei ihrem Betrug so tun, als würde ein Einwanderungsland wie die USA sich seine Einwanderer nicht aussuchen, sondern sie auslosen.
Bekanntschaft in deiner Stadt
Ach nö, nicht hier in Hannover! 😉
[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]
Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht…
Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.
$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes
<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html">
</HEAD><BODY></BODY></HTML>
$ _
Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?
$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes
<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW">
</HEAD><BODY></BODY></HTML>
$ _
Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?
$ lynx -mime_header -dump http://triuch.com/QSpLW HTTP/1.1 200 OK Server: nginx Date: Fri, 17 Jun 2016 23:01:04 GMT Content-Type: text/html; charset=utf-8 Content-Length: 5 Connection: close Vary: Accept-Encoding Bots.$ _
Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.
$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW HTTP/1.1 302 Found Server: nginx Date: Fri, 17 Jun 2016 23:06:21 GMT Content-Type: text/html; charset=utf-8 Content-Length: 0 Connection: close Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs Vary: Accept-Encoding $ _
Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.
Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.
$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs' HTTP/1.1 302 Found Content-Type: text/html Date: Fri, 17 Jun 2016 23:10:49 GMT Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2 P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR" Server: nginx/1.8.1 Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com Vary: Accept-Encoding X-Powered-By: HHVM/3.7.0 Content-Length: 0 Connection: Close $ _
Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?
$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2' HTTP/1.1 302 Found Cache-Control: private Content-Type: text/html; charset=utf-8 Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39 Server: Microsoft-IIS/7.5 Date: Fri, 17 Jun 2016 23:12:50 GMT Connection: close Content-Length: 301 <html><head><title>Object moved</title></head><body> <h2>Object moved to <a href="https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2> </body></html> $ _
Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉
$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39' HTTP/1.1 302 Found Cache-Control: private Content-Type: text/html; charset=utf-8 Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889 Server: Microsoft-IIS/7.5 p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT" Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly Date: Fri, 17 Jun 2016 23:15:03 GMT Connection: close Content-Length: 222 <html><head><title>Object moved</title></head><body> <h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889">here</a>.</h2> </body></html> $ _
Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.
Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…
…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.
Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.
Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier
So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀
KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353
Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.
Das werden Sie auf jeden Fall genießen
Was denn? Kaffee? Nee, das würde mir nicht in einer Spam gesagt, denn in einer Spam wird mir niemals die Wahrheit gesagt.
Hallo!
Das ist schon wieder genau mein Name.
Der Spaß hört bei Jackpot City Casino niemals auf! Zudem erhalten Sie ein 100% Bonus bis zu $/£/€ 400, wenn Sie sich anmelden und Ihre erste Einzahlung tätigen.
Der Spaß im Betrugsstadtcasino hört niemals auf… außer, man ist dort Spieler. Es gibt Bonus, wenn man dort Geld ablegt. In Währungseinheiten. Oder in Credits. Bis zu vierhundert. Ob es sich dabei um US-Dollar, britische Pfund oder Euro handelt, ist völlig egal. So kann man schon vor dem ersten Spiel sehen, dass die auf dem Monitor angezeigte Zahl nichts mit den Banknoten zu tun hat, die man dafür hingelegt hat, dass diese Zahl angezeigt wird und beim Zocken immer kleiner wird.
Spielen Sie Video Slots, Poker, Blackjack, Roulette und viele weitere Spiele. Gewinnen Sie groß bei den tollen regulären Promotionen.
Computergrafik ist ganz was feines. Da kann das Ergebnis einer Datenverarbeitung, die vom Betreiber eines so genannten Casinos für Spieler völlig unentdeckbar manipulierbar ist, wie Spielkarten, Roulettekugeln oder Walzen aussehen. Wer dumm genug ist, lässt sich davon verblenden. Und alle angebotenen Casinospiele wären schon ohne Betrug nachteilhaft für den Spieler. Wer das nicht glaubt, kann sich gern den Palast eines alten Casinos anschauen, etwa in Baden-Baden. Diese ganze Pracht wurde gebaut mit den Verlusten der Spieler. Und sie repräsentiert nur einen kleinen Bruchteil der Verluste der Spieler.
Holen Sie sich Ihren Bonus heute noch! http://djjedi.friko.pl/rwm.htm
Also klicki, klicki zugreifen! Und nicht daran stören, dass die verlinkte Website dafür bekannt ist, schon einmal Schadsoftware verteilt zu haben! Gibt auch Bonus. In auf dem Bildschirm angezeigten Währungseinheiten.
Ich schreibe hier ja manchmal, wenn ich etwas zu einem Link in einer Spam schreibe, dass auf einen Klick eine „übliche Kaskade von Weiterleitungen“ folgt. Die Spammer setzen beinahe niemals direkte Links, sondern versuchen das eigentliche Linkziel so gut wie möglich zu verschleiern, um Spamfiltern die Arbeit schwerer zu machen. Hier ist die Demonstration mit dem heutigen Link, der übrigens relativ schnell zum Punkt kommt – wer eine Allergie gegen Kommandozeilenakrobatik hat, möge sich einfach abwenden:
$ lynx -dump -mime_header http://djjedi.friko.pl/rwm.htm
HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Thu, 16 Jun 2016 09:48:58 GMT
Content-Type: text/html
Connection: close
Last-Modified: Wed, 15 Jun 2016 20:16:19 GMT
Accept-Ranges: bytes
X-Powered-By: ModLayout/5.1
<script>document.location.replace("http://bigclubroyal.com/");</script><!-- FOOTER //]]>'"</script></iframe></noembed></embed></object></noscript>-->
<script type="text/javascript" src="/2deb000b57bfac9d72c14d4ed967b572.js?d=ZGpqZWRpLmZyaWtvLnBs"></script>
$ _
Erstmal gibt es eine in Javascript realisierte Weiterleitung zu bigclubroyal (punkt) com. Das zusätzlich ausgelieferte Stück Javascript mit dem sedezimalen Dateinamen existiert zurzeit übrigens nicht und ist dort wohl nur als Denkmal früherer Verwendungen des gleichen Codes verblieben. Ich vermute, dass es sich hier um eine vorübergehend für eine Handvoll Bitcoin eingeschleuste Schadsoftware gehandelt hat, die dann aber später wieder entfernt wurde. Sonst sehen eventuelle Besucher der Website ja diese hässlichen Warnungen, und das wäre doch schlecht fürs eigene kriminelle Geschäft…
Gut, mal schauen, wie es weitergeht:
$ lynx -dump -mime_header http://bigclubroyal.com/ HTTP/1.1 302 Found Server: nginx/1.8.1 Date: Thu, 16 Jun 2016 09:54:42 GMT Content-Type: text/html;charset=UTF-8 Content-Length: 6 Connection: close Set-Cookie: userlike2=%F9%ED9%1D%14%23%21%D6%14%0E%C6%D3.%D5%CFa%D7t%EF%BF%03%A0_G%E5y%DA%D4%CA%F9W%FA%FA%EE%95%DA; expires=Wed, 06-Jul-2016 09:49:21 GMT Cache-Control: no-store, no-cache, must-revalidate Expires: Thu, 16 Jun 2016 12:49:21 +0300 Location: http://bigluckywinners6.com $ _
Die nächste Weiterleitung gibt es also über HTTP und nicht mehr über Javascript, aber es soll ja auch nicht mehr hinterhältig zusätzliches Javascript mit untergejubelt werden. Es geht zu den sechs großen, glücksbesegneten Gewinnern – vermutlich den Betreibern eines so genannten „Online-Casinos“ mit mafiösem Hintergrund. Oder vielleicht doch eher zu ein paar Affiliate-Lumpenkaufleuten, die ihren Müll ohne Spam nicht loswerden? Mal schauen:
$ lynx -dump -mime_header http://bigluckywinners6.com HTTP/1.1 301 Moved Permanently Cache-Control: private Content-Length: 0 Content-Type: text/html Location: https://www.jackpotcitycasino.com/?a=1709515357611636 Server: Microsoft-IIS/8.5 Set-Cookie: ASPSESSIONIDQQQSBSQS=AJJKDGAAFINOGEMDGBBIOKDJ; path=/ X-Powered-By: ASP.NET Date: Thu, 16 Jun 2016 10:10:43 GMT Connection: close $ _
Ah, jackpotcitycasino (punkt) com ist das nächste Ziel – und diesmal könnte es das letzte sein, denn es wurde eine Affiliate-ID angehängt. Mal schauen (die folgende Pipe auf sed bricht die Ausgabe nach dem Ende der HTTP-Header ab, weil ich sehr viel HTML erwarte):
$ lynx -dump -mime_header https://www.jackpotcitycasino.com/?a=1709515357611636 | sed '/^\s*$/q' HTTP/1.1 302 Found Cache-Control: private Content-Type: text/html; charset=utf-8 Location: /deutschland/ Server: Microsoft-IIS/8.5 X-AspNetMvc-Version: 5.2 X-AspNet-Version: 4.0.30319 Set-Cookie: DetectedDevice=IsMobile=False&IsTablet=False&MatchedDeviceID=1&OperatingSystem=&OperatingSystemVersion=&ReportDeviceID=generic; domain=jackpotcitycasino.com; path=/ Set-Cookie: Visit=BannerTag=52de0c70-250f-4425-8af7-7010b153b6ba&BrandCode=JC&CountryIdByIP=276&CurrencyIdByCultureId=200&CurrencyIdByIpId=200&DeviceTypeId=12&Foo=JC&ForwardedIpAddress=2986582089&IpAddress=2986582089&IsDivAVisible=True&IsTrafficInternal=False&MerchantExclusive=False&Variables=P2E9MTcwOTUxNTM1NzYxMTYzNg==; domain=jackpotcitycasino.com; path=/ Set-Cookie: ASP.NET_SessionId=hvghs2zc041djqkfxs0xzrgk; path=/; HttpOnly Set-Cookie: FCVR=9d1840bd-1d5f-4538-ba07-995383a63909; expires=Sun, 14-Jun-2026 10:14:27 GMT; path=/ Set-Cookie: testValue=~/views/site/index.cshtml=~/views/site/index2016.cshtml; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/ Set-Cookie: UID=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/ Set-Cookie: testName=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/ X-Powered-By: ASP.NET X-UA-Compatible: IE=edge Date: Thu, 16 Jun 2016 10:14:27 GMT Connection: close Content-Length: 87006 $ _
In der Tat, das ist das Ziel. Und so sieht das „Casino“ aus:
In der Spam gab es zwar noch einen Bonus von bis zu 400 Credits, aber hier gibt es jetzt 1600 Dollar. Dass die auf dem Bildschirm angezeigte Zahl nichts mit richtigem Geld zu tun hat, ist ja schon vorher klar geworden. Wer richtiges Geld gegen eine solche, angezeigte Zahl eintauscht, weil er eine Spam bekommen hat… ach bitte! Zahl dein Lehrgeld lieber an mich als an asoziale und kriminelle Spammer und an „Casinos“, die mit Affiliate-Geldern asoziale und kriminelle Spammer finanzieren, du Naivling! Ich mache da nämlich etwas Anständiges mit, ich kaufe davon Kekse… 😉
Das Centument!
Klingt ja wie Zement.
Die Spam ist HTML-formatiert (und verwendet unvorteilhafterweise „Courier New“ als Zeichensatz), die Zeilenumbrüche im Zitat sind original.
Diese Software WETTET automatisch an den
Finanzmärkten und produziert das Ergebnis
in 60 Sekunden ..
mit einer Genauigkeit von 95%!
Das klingt ja, als würde eine Setzsoftware beim Roulette automatisch für mich setzen und das sogar fast immer hinbekommen. Das lästige Zocken wird mir erspart. Ich lasse einfach den Computer für mich verlieren.
Es ist eine HTML-formatierte Spam. Der Link geht in Wirklichkeit in die Domain alfamotors (strich) eg (punkt) com und ist natürlich mit einer eindeutigen ID angereichert, die zum Spammer „zurückfunkt“, dass die Spam angekommen ist und beklickt wird. Wer darauf klickt, landet nach der üblichen Kaskade von Weiterleitungen schließlich in einer Website in der Domain centument (punkt) club. Dort können sich jene, die des Lesens nicht mächtig sind, in einem anonym über YouTube gehosteten Video allerlei Lügen anhören. Dieses Video ist bei YouTube nicht öffentlich gelistet, damit es niemand versehentlich finden kann. So wollen die Spammer verhindern, dass ihre dumme Betrugsnummer zu schnell an YouTube gemeldet wird und dass das Video und der ansonsten (in öffentlicher Sicht) völlig inhaltslose Kanal gelöscht wird.
Wer das eben verlinkte Video noch sehen will – es lohnt sich wirklich nicht – muss sich ein wenig beeilen, denn ich konnte gar nicht widerstehen, es bei YouTube zu melden. Ja, Spammer, genau für solche asozialen Halunken wie dich sind die Spammeldefunktionen bei Plattformen wie YouTube da! Wenns dir nicht gefällt, kannst du ja mal lernen, wie man ein selbstgehostetes Video in eine Website einbettet. HTML5 ist gar nicht so schwierig. Ach, das kannst du nicht, weil du dieses Internet nur zum Spammen und Betrügen verwendest? Nun, das habe ich mir gleich gedacht…
Ach ja, die Website – hier mal zur Erheiterung ein Screenshot des neuesten Gestrokels der Binäre-Optionen-Spammer:
Bei Flickr liegt der Screenshot auch in Originalgröße herum, so dass er bequem gelesen werden kann. Wer auf dermaßen hirntote Lektüre mit gutem Recht keine Lust hat, erfreue sich hier nur eines kleinen Leckerlis aus dem für die kalorienredizierte geistige Nahrung vollumfänglich geeigneten Werk eines zu Recht unbekannten Spamkünstlers:
An dieser Überschrift aus der Mitte der Website erfrischt nicht nur die lustige Wendung „bestehende Neukunden“; auch ist es auffällig, dass sich die Spammer sich ausgerechnet bei ihrer eigenen Nonsens-Firmierung „Centument“ verschrieben haben. Es ist aber auch schwierig, so ein Wort eine ganze Website lang immer richtig zu schreiben! Und wenns dann auch noch der Name dessen ist, worum es angeblich geht…
Ach!
Das ist richtig .. AUTOMATISIERTE
60 Sekunden
Wetten die Gewinnraten von 200% erzeugen… einfach
unglaublich!
http://ganglink.com/centument
Verstehe nur eines nicht, Spammer: Warum spammt ihr dann überhaupt noch? Nehmt doch einfach eure Geldverdoppelsoftware und lasst sie laufen, bis ihr in Geld erstickt! Dann braucht ihr auch nicht mehr dieses niederträchtige Affiliate-Geschäft zu machen und Geld dafür kassieren, dass ihr windigen Brokern neue Opfer zutreibt.
Der offizielle Preis beträgt 3.600
USD
Der Sonderpreis beträgt
nun 2.400 USDIhr Preis: VÖLLIG KOSTENLOS
Der Preis einer Geldverdoppelmaschine… da erübrigt sich jeder Kommentar. Hirnrissige Äußerungen widerlegt man manchmal am wirksamsten, indem man sie einfach gewähren lässt.
Ja! Sie hören völlig richtig.
Laden Sie sich die
Software jetzt völlig kostenlos herunter.
Keine Kreditkarten
oder Bank Informationen werden von Ihnen verlangt!
Das ist ja toll! Und wir haben uns alle schon so daran gewöhnt, dass wir bei jedem Download eine Kontonummer angeben müssen…
Übrigens: Von Spammern angebotene Software ist immer ganz was Tolles. Wer sich die zieht, installiert sich auch freiwillig einen Erpressungstrojaner.
Aber er
möchte, dass Sie ehrlich sind und sobald Sie 3600 USD in
den
nächsten 30 Tagen verdient haben die Software auch kaufen.
Das
ist sein Angebot.
Wer ist dieser hier überraschend eingeführte „er“? Und hat „er“ wirklich 3.600 Dollar nötig, wenn er eine Geldverdoppelmaschine neben dem Bett stehen hat, die einfach leise vor sich hinrauscht und in regelmäßigen Abständen sein Geld verdoppelt?
Sie
können nicht verlieren .. Das garantieren wir!
Und wer ist dieses hier überraschend eingeführte „wir“?
Ach, egal! Es garantiert. Mit heiligem Spammerehrenwort! Geschworen beim gefälschten Absender der Spam! Mehr muss man doch nicht wissen…
Laden Sie diesen Moneymaker jetzt herunter und
danken Sie mir später 🙂
Also: Klicken sie jetzt und denken sie später!
Mit freundlichen
Grüßen
Monika Rehfeldt
Mit mechanischen Grüßen
Dein Binäre-Optionen-Spammer
PS: Beeilen Sie sich denn die kostenlose Version
ist nur für eine begrenzte Zeit verfügbar!
Nicht denken, schnell machen!
Ein einsames Mädchen
Och, das arme Spammchen! Hat ins Honigtöpfchen gegriffen. Diese Spam kommt auf jeder Adresse an, die Spammer irgendwann einmal einsammeln oder kaufen konnten.
Die Liebe ist näher als Sie denken.
Mag sein.
Emma
Alter: 28
Ein Name und eine Zahl. Wie hübsch.
„Ich Suche neue Freunde, interessante Menschen, Kommunikation und Dating, im Vorfeld für eine ernsthafte Beziehung. Ich mag aktive und unterhaltsame Freizeit, aber in letzter Zeit, ich will eine romantische Beziehung – Liebe. Schreiben Sie, ich werde froh sein, zu kommunizieren :)“
„Emma“ sucht neue „Freunde“ und kann gar nicht genug davon kriegen. „Sie“ versendet deshalb ganz viele Spams. „Sie“ glaubt, damit interessante und lukrative Opfer zu finden, denen sie möglichst viel Geld aus der Tasche leiern kann – für Gespräche mit Chatbots.
Nach der üblichen Kaskade von Weiterleitungen (natürlich ist an den Link auch eine eindeutige ID angehängt, damit die Spammer wissen, dass die Spam ankommt), landet man schließlich auf einer Website in der Domain fremdgehen69 (punkt) com. Dort begrüßt einem eine tolle Dating-Site…
…auf der es wieder einmal nur Frauen gibt, die mit Augen wie ein offenes Bett in die Kamera gucken. Was diese Frauen wohl getan haben mögen, um sämtliche Männer dort zu vertreiben, überlasse ich der kecken Fantasie der Leser und Leserinnen.
Selbst, wer dort zum ersten Mal landet, hat lt. Anzeige im Titelbereich der Website gleich drei „Sexanfragen“.
Was einem blüht, wenn man auf eine Dating-Website reinfällt, die über illegale und asoziale Spam beworben wird, habe ich vor fünf Jahren schon ausprobiert. Es gibt meiner Meinung nach bessere Verwendungen für Geld und Lebenszeit. Selbst Dating-Sites, die nicht durch Spam beworben werden, sondern auf legale Werbung setzen, fallen immer wieder einmal durch dreiste, fragwürdige und mutmaßlich kriminelle Machenschaften auf.
weitere Profile ansehen
Hey, Spammer, wolltest du darauf vielleicht auch einen Link setzen? Na, vielleicht klappts ja beim nächsten Mal.
Die Sprache des Abmelden-Links passt aber gar nicht gut zur Sprache der Spam. Na ja, vielleicht ist das ja auch bei der nächsten Spam etwas besser.
Fwd: USERNAME AND PASSWORD
Aber die kenne ich doch noch: „admin“ und „123456″. 😀
Hi there,
Genau mein Name!
Thank you for becoming a loyal
member of our trading group
Oh, das ist ja schön, dass ich zum Mitglied von irgendwas geworden bin, weil ich eine Spam empfange. Loyal bin ich auch noch. Nur einen Namen habe ich nicht. Macht aber nichts, dafür hat dieses Irgendwas ein Gift… ähm… ein „Geschenk“ für mich:
We have a very special gift for you:
Ein Download, der in einer Spam empfohlen wird.
Wer sich den saugt, installiert sich auch freiwillig einen Erpressungstrojaner.
Be sure to keep this for yourself,
as it’s priceless, and we don’t want
it in the wrong hands.
Das ist übrigens ein ganz geheimer Geheimdownload. Deswegen erfährt man auch nur in millionenfach versendeter, ganz geheimer Geheimspam davon. Komm, glaub schon dran.
Natürlich ist das eine HTML-Spam, und der Link geht nicht etwa zu einer Website unter der Domain ganglink (punkt) com, wie es der Linktext verheißt, sondern zusammen mit einer eindeutigen ID im URI-Parameter in die Domain everbea (punkt) com. Wer darauf klickt, teilt damit den Spammern mit, dass die Spam angekommen ist und beklickt wurde, und das wird Folgen haben. Solche kleinen Irreführungen sollten einen Empfänger aber nicht daran hindern, der verlinkten Website unter themoneyglitch (punkt) co zu glauben, dass jeder ohne jegliche Kenntnisse ganz viel Geld machen kann, wenn er mit einer über Spam beworbenen Methode mit hochspekulativen Wettzetteln an der Börse zockt. Um die Glaubwürdigkeit dieses märchenhaften Reiseberichtes, aufgeschrieben vom Spammer selbst zu steigern, ist die Domain über eine britische Limited anonym registriert worden. Diese Schweigsamkeit – es geht ja nur um Geld – wird von einem tollen Impressum in der Website gekrönt, das nur aus der Angabe einer Mailadresse besteht.
Ich habe mal einen Screenshot der betrügerischen Website gemacht. Leider geht daraus nur hervor, dass jeder reich wird, während die Lügen von der wundersamen Geldentstehung durch binäre Optionen (das sind ausgesprochen windige Wettzettel auf beliebige Börsenereignisse) in einem Video erzählt werden. Vermutlich gehen die Halunken davon aus, dass ein Großteil ihrer leichtgläubigen Opfer gar nicht lesen kann. Und damit könnten sie recht haben, denn wer des Lesens mächtig ist, würde im Internetzeitalter angesichts solch wundervoller Behauptungen die Websuchmaschine seines Vertrauens mit im Kontext naheliegenden Suchbegriffen benutzen und bekäme schon in den ersten Treffern vollständige Aufklärung über den Schwindel¹.
Zur Erhöhung des Genusses folgt nun ein Zitat aus dem Wiki des Antispam e.V.:
Schlägt man nun den Begriff „Binäre Option“ bei Wikipedia nach, stößt man auf eine Seite mit vielen Fachbegriffen, auf der man unter anderem erfährt, dass die binären Optionen zu den sog. exotischen Derivaten gehören. Wenn schon Banker ein Finanzprodukt als „exotisch“ bezeichnen, sollte man stutzig werden
Die Spammer verdienen ihr Geld völlig unabhängig davon, ob ihre Opfer an der Börse Gewinn machen oder nicht – sie kassieren Affiliate-Geld vom Broker, dem sie mit ihrer Lügenseite ein paar neue Kunden geworben haben. Es ist genau der gleiche Beschiss wie mit den früheren Online-Casinos.
Take care,
Tatiana Peristeri
Du mich auch!
¹Bei einer solchen Suche immer das Wort „Spam“ in die Suchbegriffe aufnehmen! Sonst sieht man nur das Ergebnis spammiger „Suchmaschinenoptimierung“ und kann sich durch die hundert bunten Lügenseiten der SEO-Spammer hangeln, in denen die Lügen der Spam in meist literarisch ungenießbarer Prosa fortgesetzt werden. Die asoziale Spam beschädigt alles im Internet. Wenn sie das nächste Mal jemanden treffen, der ihnen stolz sagt, dass er „SEO“ macht, denken sie einfach daran, dass man (wenn man nicht vorher gewalttätig war und nicht vorbestraft ist) eine Affekttat gewissermaßen „frei“ hat und geben sie ihm unmissverständliches negatives soziales Feedback mit einem stumpfen Gegenstand! Wer Webdienstleistungen macht und auch nur eine Spur Anstand hat, käme niemals auf die dumme Idee, sich in seiner Selbstbeschreibung auf einer Stufe mit Spammern zu stellen und seine Tätigkeit „SEO“ zu nennen, sondern legte großen Wert auf seine Reputation. Denn diese ist bei Menschen mit Anstand Geld wert.