Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Screenshot“

Lead Generation

Mittwoch, 5. August 2015

Diese textlich ziemlich dämliche Spam sei in ihrer ganzen HTML-Herrlichkeit als Screenshot wiedergegeben:

Screenshot der HTML-formatierten Spam mit dem obskur bleibenden Text: Sie zahlen nur, wenn wir Interessierte Käufer finden (Leads) -- Überspringen Sie den Teil der Überzeugung des Verkaufsprozesses; gehen Sie direkt zu den Verhandlungen über den richtigen Preis. Wir stellen sicher, dass Ihr Angebot die erste Wahl auf dem Markt ist. Diejenigen die am Kauf interessiert sind, werden direkt mit Ihnen in Verbindung gebracht. Alles, was Sie tun müssen, ist den Deal abzuschließen! Klicken Sie hier, um ein Angebot für Lead-Generierung zu erhalten.

Am gelungensten finde ich übrigens das Bild mit den Fragezeichen im Footer. Es gibt geradezu perfekt wieder, was ich mir auch gedacht habe. Auch dieser Spammer hat den Teil der Überzeugung übersprungen… :mrgreen:

Endlich Rezeptfrei: 10 KG in 30 Tagen abnehmen

Dienstag, 4. August 2015

Hach, endlich wieder Spam¹! 😀

Guten Tag n ,

Gute Nacht!

möchten Sie abnehmen ohne Sport zu machen und ohne zu hungern?

Warum sollte ich das wollen? Weil ich immer so schöne, photoshop-gebaute Reklamebilder von Menschen sehe, die halbverhungert aussehen? Da wäre ich aber ganz schön blöd, wenn ich mich so leicht von einem menschenfeindlichen Pack wie den Werbeheins beeinflussen ließe.

Ja, das ist jetzt möglich.

Testen Sie Deutschlands erfolgreichstes Diätmittel.

Ohne Nebenwirkungen – schneller Erfolg!

Ein Mittel ohne Nebenwirkungen hat im Allgemeinen auch keine Wirkung. Selbst Placebos, die außer dem Glauben bei der Einnahme keinerlei wirksame Substanz enthalten, haben Nebenwirkungen.

Aber hat denn wirklich jemand geglaubt, in einer illegalen und asozialen Spam würde auch nur ein wahres Wort stehen?

http://www.wundermittel-zum-abnehmen.com/[ID entfernt]

Die tolle Wundermittel-Domain wurde gestern erst registriert, und zwar von einem Zeitgenossen, der seine bei der Registrierung angegebenen Daten lieber über einen Whois-Anonymisierer aus dem sonnigen Panama verbergen lässt. Das macht aber nichts, denn dort gibt es gar keine Website, sondern nur…

Screenshot eines Terminals mit der Ausgabe von lynx -dump -mime_header, die den reinen Weiterleitungscharakter der Domain belegt

…eine Weiterleitung in die weniger gelungen benannte Domain www (punkt) abnehmen (strich) wundermittel (punkt) com, die ebenfalls gestern anonym registriert wurde. Da gibt es dann aber auch keine „richtige“ Website, sondern…

Screenshot eines Terminals mit der Ausgabe von lynx -dump -mime_header, das den Quelltext offenbart

…einfach nur ein HTML-Frameset mit einem einzigen Frame, so dass eine weitere fragwürdige Website aufgerufen werden kann und dabei für den Betrachter unsichtbar eine Affiliate-ID übergeben werden kann. Denn davon lebt dieser widerliche Spammer: Von Affiliate-Judasgroschen und dem gestörten Selbstbild bei vielen Empfängern. Dass er mit seinen Tun dazu beiträgt, andere Menschen – vor allem junge, psychisch noch nicht gefestigte und von Selbstzweifeln zerfressene Frauen – in die Psychiatrie, die Drogenkarriere oder gar in den Selbstmord zu treiben, ist ihm egal, solange die Kasse stimmt.

Im Durchschnitt können Sie bis zu 10 KG in nur 4 Wochen verlieren.

Seltsam. Auf der lustigen Website zum mutmaßlichen Betrugsprodukt sind es bis zu 15 kg in nur vier Wochen. Na ja, da steht ja auch „bis zu“, da könnten also sogar „bis zu dreihundert kg“ zugesagt werden, und das wäre sogar erfüllt, wenn man zunähme, also minus fünf Kilo „verlöre“. Ja, ich schreibe verwirrend und des Konjunktivs seltener Klang machts nicht klarer, deshalb noch einmal ganz kurz: Eine Zusage „bis zu“ ist keine Zusage. Eine Zusage mit „mindestens“ ist eine Zusage. Und wenn es jetzt jemand immer noch nicht versteht, hier meine „Zusage“: Wer mir für dieses Blog jetzt mindestens fünf Euro spendet, wird im nächsten Monat bis zu 15 Kilo abnehmen. Ohne zu hungern und ohne Sport zu treiben. Echt jetzt! Garantiert! 😈

Das verkaufte Zeug ist hier übrigens ein alter Bekannter. Es wird immer noch vor allem über illegale und asoziale Spam vermarktet. Was das bedeutet, kann sich jeder mit einem nicht abgemagerten Gehirn selbst ausrechnen. Hinweis für Hirnverhungerte: Es bedeutet nicht, dass es ein gutes und wirksames, preiswert erhältliches Mittel ist. Von Experimenten rate ich dringend ab, und für einen Identitätsmissbrauch hinreichende Daten sollte kein Mensch auf irgendeiner Website angeben, von der er nur über Spam erfährt.

Für Ihre offenen Fragen rufen Sie uns einfach an!

Zu schade, dass dieser Spammer seine Telefonnummer nicht angibt.

Mit freundlichen Grüssen,
Ihre Online Apotheke

Eine Apotheke mit äußerst einseitigem Angebot: Bauchweg-Quacksalberei.

¹Für alle, die es nicht gemerkt haben: Der Server ist umgezogen. Und dabei habe ich gleich noch die Hürden für meine werten Mitmenschen von Spammern etwas höher gesetzt, weil die Fluten so groß geworden sind.

Wichtig: Datenspeicherung

Donnerstag, 16. Juli 2015

Diese E-Mail mit dem gefälschten Absender service (at) paypal (punkt) com kommt natürlich nicht von PayPal, sondern von Kriminellen – und darin ist eine sehr originelle Phishing-Masche, von der ich erwarte, sie in den nächsten Tagen noch häufiger zu sehen:

Screenshot der Phishing-Spam -- PayPal -- E-Mail Adresse (unkenntlich gemacht), Datum 15. Juli 2015 -- Wichtiger Hinweis zur Datenspeicherung -- Guten Tag (Name unkenntlich gemacht), Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln. Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren! -- Zur Bestätigung

Die schwarzen Balken sind von mir. Die Spam kommt mit namentlicher Ansprache.

Natürlich ist die in der BRD eventuell demnächst geltende Vorratsdatenspeicherung völlig irrelevant für ein Unternehmen wie PayPal, das seinen Sitz in Luxemburg hat. Aber auch, wenn PayPal in der BRD ansässig wäre: Die Vorratsdatenspeicherung ist in diesem Zusammenhang eine idiotische Begründung für eine Dateneingabe. PayPal speichert sowieso die Kundendaten und die Geschäftsvorfälle, das ist auch erforderlich, um die Dienstleistung PayPals anbieten zu können, während das neue Menschenüberwachungsgesetz der Bundesrepublik Deutschland Anbieter von Kommunikationsdienstleistungen zu einer anlasslosen, vollständigen und betrieblich sinnlosen Überwachung ihrer Kunden verpflichtet.

Darüber hinaus sollte sich jeder PayPal-Kunde im Klaren sein, dass PayPal nach eigenen Angaben derartige E-Mails niemals an seine Kunden versendet:

Wir fordern Sie nie auf, persönliche Daten direkt auf einer Website einzugeben. Wenn wir Ihre Hilfe benötigen, fragen wir Sie immer über eine Nachricht in Ihrem PayPal-Konto

Mit diesem Wissen ist es eine Kleinigkeit, jede Phishing-Spam für PayPal-Kunden zu erkennen und direkt ins Tönnchen zu befördern. Auch, wenn sie originell formuliert ist, in überzeugendem Design kommt und eine namentliche Ansprache hat.

Die Regel lautet: Es kommt angeblich von „PayPal“, fordert mich auf, Daten herzugeben (zu „bestätigen“, zu „verifizieren“, „abzugleichen“ und vieler Unfug mehr) und enthält etwas zum Draufklicken, wo ich das tun soll? Das bedeutet, dass es sich um Phishing handelt.

Diese Spam ist ein Zustecksel meines Lesers E.T.

Gute Neuigkeiten von Christian

Samstag, 11. Juli 2015

Hallo,

Ich heiße aber „Hi“!

heute ist Ihr Glückstag! Ihr guter Freund Christian hat Sie eingeladen, ebenfalls bei uns im Ruby Palace Casino zu spielen. Er hat bereits mehr als 350 Euro beim Video Poker gewonnen.

Wow, habe ich heute ein Glück. Ich kriege Spam von Affiliate-Spammern, die Geld dafür kassieren, dass sie andere Leute in irgendwelche Abzock-Casinos im Internet treiben. Und diese Leute sagen auch noch was von „guter Freund“. Ich habe so ein Glück, ich könnte morden vor Glück!

Und er ist nicht der Einzige – dank Auszahlungsquoten, die 97% regelmäßig überschreiten, gibt es bei uns täglich große Gewinne. Und Sie könnten als Nächstes dabei sein. Falls Video Poker nicht so Ihr Ding ist… keine Sorge. Bei uns gibt es eine große Auswahl an Spielen, von klassischen Tischspielen wie Craps und Blackjack bis hin zu hochmodernen Spielautomaten wie Thunderstruck II und The Dark Knight™.

Und das ist ein ganz tolles Abzock-Casino. Da gibts ganz viele auf dem Bildschirm dargestellte „Spiele“, die mit viel Grafik so tun, als seien sie etwas anderes als die Anzeige eines Rechenvorgangs. Aber obwohl da Walzen, Würfel, Karten und Kugeln gezeigt werden, handelt es sich immer um ein vom Betreiber beliebig und unentdeckbar manipulierbares Ereignis. Und damit man diesem Betreiber vertraut, gibt es eine Flut von illegaler und asozialer Spam, die echt freundlich formuliert ist. Was wird es wohl bedeuten, dass diese Casino-Betreiber aus irgendeinem Grund der Meinung sind, dass sich ohne illegale und asoziale Spam niemand für ihre Abzock-Casinos interessiert? Ach! Vermutlich liegt das einfach daran, dass das so tolle Läden sind…

Jeder Freund von Christian ist ein Freund von uns und so geben wir Ihnen einen besonderen 200% Bonus auf Ihre erste Einzahlung, der Ihr Guthaben verdreifacht. Ein einzigartiges Angebot, dass garantiert von niemand anders übertroffen wird.

Und ein einzigartiges Angebot gibt es. Ich kann denen einen großen grünen 100-Euro-Schein geben, und die zeigen mir in einem Computerprogramm dann 300 Euro an. Das ist doch ein toller Tausch, da fühlste dich wie Hans im Glück! Wer könnte dazu „nein“ sagen?! :mrgreen:

Worauf warten Sie noch? Tragen Sie sich wie Christian auf der Liste der Gewinner ein. http://gsn-bau.de/yxvejfvh.htm

Um den Eindruck von Seriosität zu erhöhen, wird nicht etwa eine eigene Domain in der Spam verbrannt, sondern einfach eine Website von anderen Leuten – in diesem Fall die Bremer Gesellschaft für Gesamtkonzeptionen in Sanierung und Neubau¹ – mit einem Crack übernommen, und da wird dann die Weiterleitung draufgespielt. Und die ist nicht etwa so implementiert, wie das ein normaler Mensch machen würde, der seinen Code vielleicht auch mal pflegen und verstehen muss, sondern ein gutes Beispiel für Javascript-Missbrauch, damits auch bei automatischen Scans nicht so auffällt, was das für ein Rotz ist:

Screenshot des JavaScript-Codes, den ich mit Lynx in meinem Terminal abgerufen habe

So codet niemand, der kein Verbrecher ist.

Diese vorsätzlich kryptische Javascript-Code ist eine Weiterleitung in die Domain rubywebroyal (punkt) com, wo man das übliche potemkinsche „Casino“ von Affiliate-Spammern sehen kann:

Screenshot der betrügerischen Website

Das unterscheidet sich nicht von der Betrugssite, die im April des letzten Jahres unter einer anderen Domain vorlag. Damals war es aber „mein guter Freund Markus“, der mir ein „Casino“ empfohlen hat, von dem man nur aus der Spam erfährt – und das schon damals lieber seine Links über kriminell gecrackte Websites anderer Leute gesetzt hat.

Alles Gute!

Ihr könnt mich auch mal!

¹Der Mailserver der Sitebetreiber weigert sich, eine Mail von mir anzunehmen, und damit tuts mir auch nur noch halb so leid, wenn mit diesem Posting ein bisschen Reputation beschädigt wird. An sich ist mir Kommunikation lieber…

Targobank – Datenabgleich

Samstag, 4. Juli 2015

Aber ich bin da doch gar nicht Kunde. 😉

Absender: Targobank <direkt (at) targobank (punkt) de>

Dieser Absender ist gefälscht. (Jeder Absender in einer Spam ist gefälscht.) Diese E-Mail kommt nicht von der Targobank.

Screenshot der Darstellung der HTML-formatierten Spam in der Mailsoftware

Hui, Design!

Ich halte diese Phishing-Spam für gefährlich, weil sie überdurchschnittlich gut gemacht ist. Wer Kunde bei der Targobank ist und darauf reingefallen ist, sollte sich sofort mit der Bank in Verbindung setzen, um den Schaden zu minimieren.

Sehr geehrte Damen und Herren,

Genau mein Name! :mrgreen:

Eine richtige Bank würde ihre Kunden natürlich mit Namen ansprechen, und weil gar nicht so wenige Kunden mehrere Konten haben, würde sie auch noch erwähnen, auf welches Konto sich die Mail bezieht.

Ein Spammer kann im Allgemeinen – wenn er nicht aus einem Hack oder anderen Quellen eine Zuordnung von Mailadressen zu Bankdaten hat – nicht wissen, welche Kontonummer seine Empfänger haben. Ein vorsichtiger Umgang mit Bankdaten und die Verwendung einer eigenen E-Mail-Adresse ausschließlich für die Kommunikation mit der Bank sind ein wichtiger und sehr wirksamer Schutz gegen Phishing.

unser System hat festgestellt das Ihr Telefon-Banking PIN aus Sicherheitsgründen geändert werden muss.

Da bin ich aber froh, dass „euer System“ nicht festgestellt hat, dass ich ohne Grund 20.000 Øre berappen muss! :mrgreen:

Bitte nutzen das unten angefügte Formular um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

Das „unten angefügte Formular“ ist eine an die Spam angehängte HTML-Datei, die im Browser so aussehen würde¹:

Screenshot der Darstellung des Anhangs der Targobank-Phishing-Mail in einem Webbrowser

Das Wichtigste daran ist, wo die eingegebenen Daten hingehen. Diese Frage beantwortet sich leicht durch einen Blick in den Quelltext der HTML-Datei:

<form [...] method="POST" action="http://a.dbbanking.ru/de/targo/login/targo.php"  >

Die Daten gehen also nicht zum Server der Targobank, sondern zum Server unter der von Kriminellen kontrollierten, russischen Domain a (punkt) dbbanking (punkt) ru. Das ist auch der Grund, weshalb man der „Targobank“ so viele Dinge sagen soll, die die richtige Targobank längst kennt, wenn man dort Kunde ist, zum Beispiel die eigene Kontonummer. Allein die hier angegebenen Daten reichen für die Übernahme des Kontos durch die Kriminellen, und ich bin mir sicher, dass nach dem Absenden noch weitere Daten für eine angebliche „Sicherheitsprüfung“ abgefragt werden – sehr beliebt sind wegen ihrer „vielseitigen kriminellen Verwendbarkeit“ Kreditkartendaten.

(Hinweis: Andernfalls belasten wir Ihr Konto mit 18,99€ und fordern die Änderung schriftlich über den Postweg bei Ihnen an.)

Damit ein Mensch auch so wirklich doof wird, darauf reinzufallen, wird er mit technokratischen Entgelt-Forderungen gefügig gemacht – so frei nach dem Motto: „Wir haben ein Sicherheitsproblem, zahlen sie bitte grundlos zwanzig Euro. Die Gebührentabelle, nach der wir dieses Geld erheben, haben wir uns einfach aus dem Hintern gezogen“.

Es handelt sich übrigens um langsame Verbrecher:

Ihren Telefon-Banking PIN können sie hier, oder wie folgt ändern:

1. Öffnen Sie die Datei im Anhang Ihrer Email und wählen Sie „öffnen mit“ aus.
2. Füllen Sie alle vorgesehenden Felder aus und klicken dann auf „Daten absenden“..
3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen.

Die brauchen fast eine Woche, bis sie alles aus dem Konto rausgeholt haben, was sie rausholen wollen.

Für weitere Fragen ist unser Online Support unter: direkt (strich) pin (at) targobank (punkt) de 24Std. für Sie erreichbar.

Was, die sind nur 24 Stunden erreichbar? Und wenn die Frage einen Tag später kommt, hat man eben Pech gehabt? Tja, so etwas kommt raus, wenn die Phisher in Sprachen schreiben, deren Subtilitäten sie nicht verstehen. Ein Autor, der Deutsch kann, hätte „rund um die Uhr“ geschrieben und nicht das irreführende Ergebnis aus einer Computerübersetzung verwendet.

Es ist wieder einmal wie so oft bei den Phishing-Spams: Wenn der eigentliche Phishing-Kram formuliert ist, werden die Spammer oft ein wenig nachlässig und ihnen passieren kleine und zuweilen auch große und sehr peinliche Fehler. Wer sich nicht in Panik versetzen lässt (Sicherheitsmaßnahme der Bank, das wird teuer, wenn ich nicht reagiere) und gründlich liest, wird beinahe jede Phishing-Spam an solchen Details erkennen.

Targobank AG & Co. KG
Kasernenstr. 10
40213 Düsseldorf

Ihre Targobank

Wer es jetzt immer noch nicht bemerkt hat: Die Targobank hat mit dieser Spam nichts zu tun. Es ist eine Mail von Verbrechern, die ihre kriminellen Geschäfte mit fremden Konten machen wollen und die das Geld anderer Leute bei Koks und Nutten verprassen wollen.

Beratungstermin kostenlos unter:
info (at) targobank (punkt) de

Copyright © 2013 TARGOBANK

Oh, eine Mail von 2013 diente den Spammern als Vorlage… 😉

¹Ich rate strikt davon ab, Anhänge aus Spams zu öffnen, wenn man nicht weiß, wie man ein gut gesichertes System herstellt. Ein Virenscanner und eine „personal firewall“ machen kein gut gesichertes System. Das bisschen befriedigte Neugierde ist den möglichen Ärger niemals wert.

Diese Spam ist ein Zustecksel meines Lesers M.S.

Kleidertausch – kein Geld für neue Kleider?

Sonntag, 28. Juni 2015

Oh, mal eine neue Masche der Verbrecher. Wollen die jetzt beim Geschäft mit Gebrauchtkleidung mitmachen, das sich bislang die Altkleider-Wohltätigkeitssimulierer unterm Nagel gerissen haben? Das lohnt sich doch gar nicht. Auf keinen Fall sollte man diesem Pack irgendwelche Daten geben, die sich für einen Identitätsmissbrauch verwenden lassen, nur, weil sie in einer Spam eine nützlich klingende Dienstleistung versprechen. Also auch keine Lieferanschrift.

Hallo Eli !

Ja, genau der Name geht gerade zusammen mit meiner Mailadresse rum und bekommt regelmäßig Spam von Datingbetrügern, Schnäppchenbrüllern und angeblichen Versicherungsvergleichern. Gut, dass deshalb für mich sofort klar ist, dass es sich hier ebenfalls um eine Spam ausgesprochen fragwürdiger Gestalten handelt.

Kennst Du schon Deutschlands No.1 Fashion Swap Shop?
Über 100.000 Mitglieder ?swappen? hier bereits ihre neuwertige Kleidung!

Nein, ich pflege es nicht, Läden zu kennen, deren Betreiber aus einem für mich unbekannten Grund zu der Auffassung gekommen sind, dass ihre Läden ohne asoziale und illegale Spam nicht betreibbar sind. Und wenn ich diese Läden dann über so eine Drecksspam kennenlerne, dann hat eine einzige Spam gereicht, um mir einen dauerhaften Eindruck von so einem Laden zu verschaffen; einen Eindruck, den dieser Laden mit Pimmelpillen-Apothekern, Abzock-Casinos und Reichwerdexperten teilt.

http://www.kleider-tauschring.biz/[ID entfernt]/

Moment mal… *tacker tacker tacker*

$ whois kleider-tauschring.biz | grep -y "registration date"
Domain Registration Date:                    Sat Jun 27 22:40:06 GMT 2015

Oh, die Domain ist erst gestern registriert worden, und doch ist schon von „Deutschlands Nummer Eins“ und „Hunderttausend zufriedenen Mitgliedern“ die Rede. Ach ja, es handelt sich ja auch um den Text aus einer asozialen und illegalen Spam, wer würde da schon etwas Wahres erwarten. :mrgreen:

Einfach deine ungeliebte Kleidung kostenlos an Zamaro.de einschicken ? jedes Teil bewerten wir mit Punkten.

Ich kann mir nichts dümmeres vorstellen, als irgendwelche immer noch handelbaren und verkäuflichen Dinge bei einem halbseidenen Spamkaufmann gegen Punkte einzutauschen. Glasperlen hätten ja wenigstens noch materiellen Gegenwert. :mrgreen:

Und dass der Spammer etwas von zamaro (punkt) de behauptet, aber allerhand andere Domains benutzt, sagt hoffentlich auch genug. Was immer dieses zamaro (punkt) de macht, das hat alles nichts mit dieser Spam zu tun. ❗

Für Deine erhaltenen Punkte kannst Du Dir gleichwertige Artikel aus dem Shop aussuchen, die von den anderen 100.000 Mitgliedern bereits eingesendet wurden. Das Tolle daran: Bezahlen brauchst Du nur die geringen Versand- und Pack- gebühren, wenn Du Artikel bestellst.

Ich nehme an, das ist alles genau so wahr, wie die 100.000 Mitglieder, die sich seit gestern auf der Website in einer frisch angemeldeten Domain registriert haben. Und übrigens:

Melde Dich jetzt über diesen Newsletter an und erhalte 180 Punkte geschenkt, die Du direkt risikofrei ausgeben kannst!

Einen „Newsletter“ bestellt man bewusst und absichtlich, weil man glaubt, etwas davon zu haben. Eine Spam bekommt man von kriminellen Zeitgenossen in das Postfach gemacht, ob man will oder nicht. Und nichts, was ein Spammer anbietet, verdient das Wort „risikofrei“ auch nur in einem skurillen Sinn.

http://www.kleider-tauschring.biz/[ID entfernt]

Na gut, mal anschauen…

$ lynx -dump -mime_header http://www.kleider-tauschring.biz/
HTTP/1.1 301 Moved Permanently
Date: Sun, 28 Jun 2015 10:48:12 GMT
Server: Apache/2.2.22 (Debian)
Location: http://www.klamotten-tauschen.com/
Connection: close
Vary: Accept-Encoding
Content-Length: 3
Content-Type: text/html

Aha, einfach nur eine Weiterleitung in die Domain www (punkt) klamotten (strich) tauschen (punkt) com. Man beachte: Ohne Affiliate-Code oder irgendetwas, was darauf hindeutet, dass diese Weiterleitung von einem Affiliate-Partner gemacht wurde, der Geld für das Anwerben von Leuten bekommt! Es sieht also so aus, als wäre der Betreiber von klamotten (strich) tauschen (punkt) com selbst für diese indirekte Verlinkung über eine Wegwerfdomain zuständig, die mit illegalen und asozialen Spamaktionen verbrannt werden kann. Morgen oder übermorgen, wenn kleider (strich) tauschring (punkt) biz auf jeder Blacklist dieser Welt steht, wird einfach eine neue Domain für die gleiche Nummer genommen, damit die asoziale und illegale Spam wieder ankommt.

Und was ist jetzt mit dieser anderen Domain. Könnte die Website dort wenigstens 100.000 registrierte Nutzer haben? Mal nachschauen… oha, die Domain wurde anonym über einen Whois-Anonymisierer aus dem sonnigen Panama registriert (was für Privatleute zum Spamschutz durchaus sinnvoll sein kann, bei gewerblichen Auftritten jedoch alle Alarmglocken klingeln lassen sollte). Und besonders alt…

$ whois klamotten-tauschen.com | grep -y "creation date"
   Creation Date: 11-jun-2015
Creation Date: 2015-06-11T18:21:00.00Z

…ist diese Domain auch nicht. Es gibt sie erst seit siebzehn Tagen. Das will nicht gut zu den Behauptungen aus der Spam passen.

Die Website sieht übrigens so aus:

Screenshot der betrügerischen Website

Offenbarend ist hier auch das kleine „Siegelchen“ unter der Anmeldeklicke, das SSL-Verschlüsselung verspricht, während es sich um gewöhnliches HTTP handelt, das offen wie eine Postkarte durch das Internet transportiert wird.

Viel Spass wünscht Dir dein
Kleidertausch-Ring

Um das, was man dort erleben kann, als „Spaß“ zu betrachten, muss man vermutlich einen sehr verschrobenen Charakter haben…

Detail der betrügerischen Website: Es kann nur das Geschlecht 'weiblich' angegeben werden, eine andere Möglichkeit besteht nicht.

…oder eine Frau sein. 😈

Dieser über Spam vorangetragene Beschiss richtet sich nämlich ausschließlich an Frauen.

Good day Elias Schwerdtfeger NowYou Can Get Med

Freitag, 26. Juni 2015

Wie, jetzt erst?! 😀

Nun gut, greife ich mal eine x-beliebige 08/15-Spam raus, wie sie so allgegenwärtig ist, dass sie sich kaum noch jemand anschaut.

Have a nice day Elias Schwerdtfeger
Here You Can Order Exclusive Pills 🙂
http (doppelpunkt) (doppelslash) tulaykumasci (punkt) com (slash) wp (strich) content (slash) themes (slash) breeze (slash) stuck (punkt) php

Hey, Spammer!

Ist ja toll, dass du meine Mailadresse mit meinem Namen zusammengekriegt hast. Und noch begrüßenswerter finde ichs, dass dir gar nichts gefährliches einfällt, um dieses Wissen für deine kriminellen Machenschaften zu benutzen – denn auch die niedrigsten Preise für irgendwelche Pimmelpillen brächten mich niemals auf die Idee, bei einem gemeingefährlichen Giftmischer von Spam-Apotheker zu kaufen. Allein die Tatsache, dass jemand Medikamente verkauft und zur Auffassung kommt, diese gingen nur mit illegaler und asozialer Spam weg… nee, friss deine Giftpillen einfach selbst!

Ebenfalls lustig ist die angegebene URL. Diese geht direkt in das Theme-Verzeichnis einer WordPress-Installation und legt auf diese Weise Zeugnis davon ab, dass du…

  1. …entweder anderen Leuten WordPress-Themes mit fernsteuerbarem Trojaner-Code zum Download und zur Installation anbietest, oder…
  2. …dass du anfällige WordPress-Installationen crackst, um solchen Trojaner-Code reinzumachen.

In beiden Fällen ist vollkommen klar, dass man von dir nicht einmal ein harmloses Angebot annehmen sollte, weil du ein Verbrecher bist.

Dieser Eindruck wird dann davon verstärkt, was unter dem von dir angegebenen Link zu finden ist. Natürlich liegt dort keine Apotheke, sondern nur ein Weiterleiter, den du brauchst, weil deine richtigen Betrugsdomains sonst binnen einer halben Stunde auf jeder Blacklist dieser Welt stünden. Und dein in JavaScript realisierter Weiterleiter zieht es vor, etwas kryptisch zu sein:

Screenshot eines Terminal-Fenster mit der Ausgabe von lynx -dump -mime_header von der angegebenen URL, die eine in JavaScript programmierte Entschlüsselung verschlüsselten JavaScript-Codes zeigt; der entschlüsselte Code wird dann nach 1,3 Sekunden ausgeführt. Ansonsten gibt es, von einem idiotisch-dadaistischen Titel einmal abgesehen, keine weiteren Inhalte.

Spammer, es besteht kein technischer Grund, da nicht direkt

window.top.location.href = 'http://genericherbpurchase.ru';

reinzuschreiben. Das kommt nämlich bei der „Entschlüsselung“ heraus¹. Der einzige Grund, weshalb du das so verschlüsselst, liegt in der Erschwerung automatischer Scans. Und dir soll ich Pillen abkaufen?

Screenshot der betrügerischen Website. Eine Pimmelpillen-Apotheke der Marke 'Canadian Pharmacy' mit hochnotpeinlichen Amerika-Getümel in deutscher Sprache

Weil du so ein „kanadischer Apotheker“ bist? Dessen Website in der TLD für Russland liegt? Und der mir am 26. Juni erzählt, dass heute der 4. Juli sei, ganz so, als ob der 4. Juli für mich irgendeine Bedeutung habe? (Oder haben die USA inzwischen ein Sternchen mehr auf ihrer Flagge, und ich habs noch nicht mitbekommen? Wäre gar nicht so schlecht, dann hätte die BRD endlich mal eine Verfassung und die Menschen in der BRD Rechte…)

Ach komm, Spammer! Da hättest du dir die „deutsche Übersetzung“ deiner Giftapotheke auch gleich sparen können.

Dein dich „genießender“
Nachtwächter

¹Um das zu „entschlüsseln“, habe ich einfach den Code editiert und anstelle von setTimeout eine Ausgabeanweisung verwendet. Bei solchen Versuchen ist immer Vorsicht geboten, vor allem, wenn man nicht leicht verstehen kann, was im betrachteten Code geschieht oder wenn man nicht genau weiß, was man tut. Es ist Code von Kriminellen, mit dem herumgespielt wird! In diesem Fall war es trivialer und verständlicher Code…

Angebot für kostenlosen Linktausch

Mittwoch, 24. Juni 2015

Was hatten wir denn richtig lange nicht mehr? Richtig, Post von „Eric Lehrer“. Der hat jetzt fast ein ganzes Jahr lang nichts mehr von sich und seinem Linktausch-Bullshit hören lassen, damit er auch ja nicht so aufdringlich wirke, wie er ist – und ein neuer Text ist ihm in dieser ganzen Zeit auch nicht eingefallen. Nein, ganz im Gegenteil, er findet es sogar zu viel der Mühe, seine kleinen Fehler zu korrigieren. Denn wenn er sich Mühe gäbe, brauchte er ja nicht zu spammen…

Hallo,

Ich möchte mich gerne vorstellen: mein Name ist Eric Lehrer, Da ich sehr viele hochqualitative seiten [sic!] betreibe, möchte ich einen kostenlosen Linktausch mit spam.tamagothi.de oder anderen Seite, die Sie besitzen, vorschlagen.

Sie werden sicher gerne hören, dass ich viele Ideen für einen Linktausch habe [wenn man sonst schon keine Ideen hat], welcher sicherlich zu unserem Vorteil sein und unsere Rankings bei Google vorteilhaft beeinflussen wird.

Bitte lassen Sie mich wissen, ob Sie an weiteren Details interessiert sind oder andere Kommentare dazu haben.

Ich freue mich, von Ihnen zu hören!

Eric Lehrer
http://www.deutschseo.com/

Statt eines in früheren Jahren schon mehrfach gegebenen länglichen Kommentares zu „inhaltlichen“ Aspekten dieser Spam gibts heute einfach nur einen Screenshot der Website dieser grandiosen „SEO-Agentur“, die mich eben gerade doch sehr zum Lachen gereizt hat (zum Vergrößern klicken):

Screenshot der Website der angeblichen SEO-Agentur 'DeutschSEO'.

Immerhin gibts dort unter einem heißluftverheißenden Titelbildchen nicht nur allerlei bunten Bullshit, den ich gar nicht will und für den der minderbegabte Autor gleich drei Synonyme für „kostenlos“ aus seinem nicht besonders guten Wörterbuch raussuchen musste, weil seine SEO-Spezialexpertenkompetenz wohl nicht hinreichte, um das von irgendwo mitgenommene Design mit den vier Spalten anzupassen, sondern auch…

Detail aus der Website -- Was wir ihnen geben können: Höheres Ranking, SEO Konzepte, sofortigen Verkehr, Höheren Seitenrang, Link Lösungen, Qualitative Webseiten, aufsteigen in Sozialen Netzwerken

…sofortigen Verkehr. Ob der wohl befriedigend sein wird? :mrgreen: