Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Spamflut“

BIST DU FACEBOOKSUCHTIG???

Donnerstag, 8. Dezember 2011

Diese Plage läuft zurzeit über Twitter ab, natürlich mit viel mehr Accounts als nur diesen einen:

BIST DU FACEBOOKSUCHTIG??? Aktivieren Sie dieses lustige Video, Sie werden wie

Wie man sieht, ist die Spam nicht besonders einfallsreich. Die Opfer dieser Spammasche werden wohl aus der allgemeinen Timeline herausgepickt, mit einer @-Anfrage angesprochen und bekommen alle das gleiche Textbröckchen vorgeworfen, natürlich auch mit dem immer wieder gleichen Link, den ich hier unkenntlich gemacht habe, um niemanden zu gefährlichen Experimenten zu verführen. Die gewählte Form ist dafür gemacht, Menschen abzuholen, die auch auf Facebook aktiv sind.

Der Link geht zu einem bei blogspot (punkt) com liegenden Blog, das mit einem Riesenberg CSS „liebevoll“ die Erscheinung einer Facebook-Timeline nachempfindet und ganz nebenbei die typischen Steuerelemente der dort gehosteten Blogs versteckt hat, damit auch nicht jedem mäßig erfahrenen Netznutzer auf dem ersten Blick auffällt, was das für ein Schwindel ist. Das Ergebnis ist durchaus gelungen und sieht so aus (zum Vergrößern auf das folgende Bild klicken):

Screenshot des betrügerischen, durch Spam beworbenen Blogs

Dass jemand, der so gezielt einen falschen Eindruck erweckt, nichts Gutes im Schilde führt, brauche ich hoffentlich nicht weiter zu erwähnen.

Der Quelltext ist sehr verbastelt. Ich kann ihn nicht in fünf Minuten durchanalysieren. Er enthält eine Menge Techniken, die ich nach einem ersten Überfliegen nur halb verstehe, und meine Motivation zum gründlichen Verstehen ist gerade nicht so hoch, dass ich mir alles anschauen mag.

Was ich mir allerdings angeschaut habe¹, ist zum Beispiel dieses scheinbare eingebettete YouTube-Video, und das ist etwas völlig anderes als ein gewöhnliches YouTube-Video. Es ist ein IFRAME, der mit ein paar darin angeordneten Grafiken optisch wie ein YouTube-Player gestaltet wurde und in dessen Inneren eine in der Domain allinfree (punkt) net gehostete Seite dargestellt wird – es ist also im Gegensatz zum erweckten Eindruck nicht ein normal eingebettetes, bei YouTube verfügbares Video.

Auf diesem so hinterhältig als YouTube getarnten Bereich wird ein kleiner JavaScript-Fetzen ausgeführt, der überprüft, welcher Browser gerade für die Ansicht verwendet wird. Wenn es sich dabei um Chrome oder Firefox handelt, fordert das Skript im angeblichen YouTube-Player dazu auf, eine Extension namens „YouTube Premium“ zu installieren, der Code für diese Extension wird allerdings ebenfalls aus der Domain allinfree (punkt) net installiert, also von einer Seite, die unter der Kontrolle der Spammer steht.

Wenn auf solche Weise Code unter Vorspiegelung falscher Tatsachen zur angeblich erforderlichen Installation angeboten wird, sollte allein wegen der gewählten Methodik Alarmstufe Rot herrschen. Ich bin mir vollkommen sicher, dass es sich bei dieser angeblichen Extension um Schadsoftware handelt. Ich bin allerdings im Moment nicht gewillt, mir auch noch anzuschauen, welche unerwünschten „Funktionen“ diese Schadsoftware implementiert – es kann jede Aktion sein, die sich innerhalb eines Browsers ausführen lässt, vom Spammen über das Abgreifen von Passwörtern bis hin zum manipulierten Online-Banking. Natürlich kann eine solche Schadsoftware auch auf Facebook, Twitter und YouTube zugreifen und die angebliche Video-Seite dort im Namen des Opfers spammend weiterempfehlen, wenn man sich nicht abgemeldet hat und die Cookies noch im Browser gespeichert sind. Eine erwünschte Funktion wird es auf keinen Fall sein, und übrigens lässt sich YouTube und auch ein gewöhnliches, in andere Seiten eingebettetes YouTube-Video ganz hervorragend ohne diese angebliche Extension nutzen, wie jeder mit Leichtigkeit ausprobieren kann.

Für andere Browser gibt es eine Weiterleitung auf ein Dokument, das den Code zum Einbetten eines YouTube-Videos enthält, so dass Nutzern der Browser Konqueror, Internet Explorer, Opera, Galeon oder Safari gar nichts besonderes an dieser Schadsoftware-Schleuder der Spammer auffällt – außer vielleicht, dass das hier von Spammern missbrauchte Video ein bisschen… na ja… nicht so toll ist, wie es die gefälschten, im Facebook-Stil aufgelisteten Kommentare versprochen haben. Das finde jedenfalls ich… 😉

Der relativ hohe Aufwand und die beachtliche kriminelle Energie in dieser Masche lassen mich annehmen, dass bei jenen, die darauf reinfallen, ein relativ großer Schaden entstehen wird. Da die Nummer „frisch“ ist, ist auch davon auszugehen, dass die meisten Virenscanner die Schadsoftware noch nicht erkennen. Wer schon darauf hereingefallen ist, hat ein ernsthaftes Problem. Es ist erforderlich, etwas dagegen zu tun.

Wegen der sehr perfiden Vorgehensweise und der momentanen Massivität, mit der diese Masche auf Twitter (und vermutlich auch bei vergleichbaren Web-2.0-Sites) durchgezogen wird, kann ich nur eine deutliche Warnung aussprechen: Nicht auf jeden Link klicken, der einem mit einer „persönlichen“ Nachricht zugesteckt wird. Dies gilt in besonderer Weise, wenn der Link von einem bislang völlig Unbekannten kommt oder der begleitende Text dermaßen dümmlich um Aufmerksamkeit buhlt. Wenn dann ein Blick in die Twitter-Timeline dieses völlig Unbekannten zeigt, dass dauernd gleichlautende Links an alle möglichen Leute gesteckt werden, ist die Sache klar: Es handelt sich um einen Spammer, der gemeldet werden sollte, damit der Schaden für andere Menschen begrenzt wird. Das bisschen Vorsicht vor einem schnellen, unüberlegten Klick kann eine Menge späteren Ärger ersparen.

Wer glaubt oder nur befürchtet, dass er schon auf diese besondere Masche reingefallen ist, sollte unbedingt handeln. Alle Erweiterungen sollten im betroffenen Browser – in diesem Fall sind nur Firefox, Chrome und Chromium betroffen – sofort entfernt werden (die Schadsoftware kann unter völlig anderem Namen auftreten), das Verzeichnis mit den Extensions im Dateisystem gelöscht werden und dann können die wirklich benötigten Extensions neu installiert werden. Nicht einmal bei dieser etwas ruppigen Vorgehensweise kann ich zusichern, dass die Schadsoftware zuverlässig entfernt wurde (HTML 5 kennt viele Wege, Daten lokal zu speichern); ich kann auch nicht auszuschließen, dass ein weiterer, von mir beim schnellen Überfliegen nicht bemerkter Schadcode dieser Spammer noch einen anderen Schaden angerichtet hat. Wie ich oben bereits gesagt habe: Es ist ein ernstes Problem.

Dieses Problem wäre übrigens vermieden worden, wenn das Firefox-Plugin NoScript installiert und aktiviert gewesen wäre. Dieses verbietet die Ausführung von JavaScript in unbekannten Seiten und verlangt vor der Ausführung eine explizite Freischaltung. Doch selbst dieser Schutz ist wertlos, wenn man das Skripting leichtfertig aktiviert, weil man ein als lustig angepriesenes Video schauen will. Kein Plugin kann den Verstand ersetzen, und der Verstand sollte einem im Zeitalter einer mit hoher krimineller Energie und beachtlicher technischer Fertigkeit vorgehenden Internet-Mafia sagen, dass man gar nicht vorsichtig genug sein kann. Ein angeblich „lustiges Video“ aus einer derart obskuren und trüben Quelle sollte niemals zum Grund werden, die Vorsicht für etwas befriedigte Neugier zu opfern. Nur in einer solchen Haltung helfen Plugins als zusätzliche Unterstützung beim Streben nach einer sicheren Internetnutzung.

Beinahe jeder Hack eines privat genutzen Rechners lässt sich vermeiden – und das übrigens fast immer – wenn man die Spam als Spam erkennt (das erfordert manchmal etwas Nachdenken und Überprüfung, also Mühe) und niemals in einer Spam herumklickt (das erfordert nur einen gesunden Menschenverstand, ist also kaum der Rede wert).

¹Bevor mich jemand falsch versteht: So etwas schaut man sich nur auf einem besonders gesicherten System an. Ein installierter Virenscanner und eine laufende „personal firewall“ reichen nicht aus, um das System zu sichern. Wer nicht weiß, wie man sich ein besonders gesichertes System einrichtet, sollte niemals auf die Idee kommen, in einer offensichtlichen Spam herumzuklicken.

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.

Es ist wahr! Diese Programme geht wirklich!

Montag, 3. Januar 2011

Echt jetzt?!

Ja, jetzt sparen Sie aber richtig, wenn Sie Software abkaufen und SALE-2011 einfuehren! Die Preise werden automatisch um 40% gesenkt!

Wo soll ich euch das denn einführen? Rektal oder oral?

Diese Auswahl, diese Preise… einfach eine Sensation! Unsere Software hat echt was zu bieten! Kommen Sie zu uns, Sie werden eindeutig zufrieden!

Klar doch, die Software eines Spammers, der seine Drecksmails über ein Botnetz aus feindselig übernommenen Privatrechnern versendet, die hat „was zu bieten“. Und wie! Als ob nicht völlig umsonst (und genau so „legal“) an nicht-lizenzierte Software-Kopien käme?!

http://redir.ec/nkiz

Immer schön die eigene (und mehrfach täglich wechselnde) Internet-Adresse hinter irgendeinem Kürzungsdienst verschleiern, damit auch noch der Dümmste merkt, dass es euch – im Gegensatz zu jedem anderen Händler – nicht um Kundenbindung geht. Wozu auch. Euer Geschäftsmodell lautet: Einmal betrügen und vom Gewinn ein gutes Leben machen, denn die Mutter der Deppen ist immer schwanger.

Übrigens scheinen diese Gangster ihre „Raubkopien“ gar nicht gut loszuwerden, denn diese Spamwelle ergießt sich mal wieder wie ein Sturzbach direkt in den Spamfilter. Hier ein weiteres Beispiel:

Betreff: Legale Software 40% Billiger als Ueberall

Klar, das müsst ihr gleich betonen, dass euer Angebot „legal“ ist. So wie der Lügner, der unentwegt versichert, dass er nicht lügt.

Diese Angebot dauert nicht lange, reagieren sie schnell! Software bestellen und die Haelfte bezahlen! SALE-2011 eingeben.

Erst ist es im Betreff vierzig Prozent billiger, und dann bezahlt man nur die Hälfte. Könnt ihr wenigstens in einem derartigen Kurztext mal mit den Zahlen konsistent bleiben?

Ach, dafür müsstet ihr euer eigenes Geschmiere sprachlich verstehen? Gut, ich sehs ja ein…

Ihre Kreditkarte freut sich ueber dieses erwerb! Wenig Geld bezahlen, dafuer aber leistungsstarke Software im vollen Umfang erwerben. Sensationell!

Und wie sich die Kreditkarte erst „freuen“ wird, wenn man ihre Nummer an Verbrecher wie euch weitergegeben hat!

http://redir.ec/5qrv

Ja immer schön schnell die Adressen eurer verbrecherischen Dreckssites wechseln, denn die Spamfilter lernen schnell. Und dann die Spam so flutmäßig rausspülen, dass auch der Naivste skeptisch wird, wenn er zwei Handvoll eurer Schrottmails auf einem Haufen sieht. So schafft man es, mit hohem Aufwand im miesen, kriminellen Betrugsgeschäft zu scheitern.

Was mit Tieren und so…

Mittwoch, 15. Dezember 2010

Sehr spezielle „Interessen“ hatte dieser Kommentarspammer, dessen hingestrokeltes Spamskript so besessen von diesen Interessen war, dass es binnen acht Stunden knapp hundert „Kommentare“ dieser Machart bei mir absetzen wollte:

Eine eindeutige Nachricht, die ich nicht noch einmal in Worten wiedergebe

Dass dieses bescheuerte Skript es noch nicht einmal bemerkt, dass diese Kommentare gar nicht erscheinen und einfach mechanisch immer wieder die gleichen tollen Links auf eine Unmenge gehackter Foren setzt, seis drum! Dass dieser tolle Anbieter keinen anderen Verbreitungsweg für seine „Inhalte“ als das Hacken von Foren kennt, sagt ja auch schon vieles. Was man sich einfängt, wenn man darauf reinfällt, ist das computertechnische Äquivalent zur Lues.

Wer pr0n sucht, gehe doch bitte direkt zu YouPorn¹ und lasse sich nicht von solchen spammenden, asozialen Halunken locken – bei denen ist der pr0n nur der Köder, der halt, wie jeder Angler weiß, den Fischen schmecken muss. Denn die Fische, die beißen nun einmal nicht nach dem Haken.

Übrigens landen pro Stunde immer noch sechs bis zehn derartige Spamkommentare bei mir im Spamfilter.

¹Wegen der Regelungen zum Jugendschutz in der BRD kann ich an dieser Stelle keinen direkten Link auf YouPorn setzen und auch nicht die Adresse andeuten, aber glaubt mir, die Site ist nicht schwierig zu finden.

Hundreds of profiles of Russian hotties.

Mittwoch, 17. Februar 2010

Ah, mal wieder eine, deren Betreff mit einem Punkt endet – das Skript mit diesem Problem ist also immer noch im Umlauf…

Na, was solls. Es gibt ja hunderte von Profilen von geilen russischen Ludern. Schade nur, dass in der Mail dann nicht mehr von hunderten die Rede ist, sondern…

I am your Russian pussy – you remember my nickname? Participate here

…nur noch von einer. Und die will auch noch, dass ich mich an ihren Nick erinnere! Als ob es der notgeilen Zielgruppe hier auf so etwas wie einen Namen ankäme… :mrgreen:

Übrigens ist das mal wieder ein alter Bekannter. Verwendet wird diesmal die Internet-Adresse live (strich) sober (punkt) info, und es wird wieder einmal der GET-Parameter idAff=136 angegeben, mutmaßlich, um über eine Affiliate-Programm ordentlich Klickercents zu kriegen, wenn einer so dumm ist, auf diese recht blöde Spam anzubeißen. Dieser idAff=136 – da ich seinen Namen nicht kenne, benamse ich ihm mal einfach nach seiner ID für das Affiliate-Programm – kommt mit den unterschiedlichsten angeblichen Angeboten, aber es ist wohl davon auszugehen, dass es sich dabei immer nur um den Wurm handelt, der die Fischlein zum Beißen bringen soll – so ein Wurm muss ja den Fischlein schmecken. Wie alle Spams dieses hirnweichen Bastards kam auch diese Mail von der dynamischen IP-Adresse eines mutmaßlich kriminell übernommenen Heimrechners in einem Botnetz der Spam-Mafia, in diesem Fall war es die IP 201.255.60.239. Schade, dass so viele Menschen Windows verwenden und damit für den zivilisierten Rest der Welt das Internet durch die Spampest unbrauchbar machen.

Ein Klick in eine Spam lohnt sich nie, und bei dieser besonderen Spam bekommt man vermutlich nicht einmal so etwas ähnliches wie das, was angepriesen wurde. Aber es scheint noch genug Idioten zu geben, die auf alles nur irgend Klickbare klicken, und deshalb läuft diese dumme Nummer weiter und weiter und weiter. Allein heute trafen von dieser Machart auf einer meiner Mailadressen 27 Spams ein.

[Wirklich keine Lust, das jetzt auszuprobieren]

AdministrationsassistentInnen Position – Deutschland

Montag, 8. Februar 2010

Wichtiger Hinweis vorweg: Eine möglicherweise wirklich existierende Firma namens „ELS“ hat mit diesem kriminellen Anwerbeversuch nichts zu tun.

Wow, dieses Mal haben die sich ja eine richtig lange Berufsbezeichnung für den Job als Hilfsgeldwäscher und Hilfshehler ausgedacht – aber diese Spam gibt es auch flutmäßig mit jeder Menge anderer Betreffzeilen. Dafür hatten die Verbrecher offenbar ein paar kleinere Probleme mit diesem technischen Kleinkram wie Zeichencodierung und haben in einer reinen Textmail HTML-Entitäten verwendet…

Guten Tag,

Einen schönen guten Tag an den namenlosen Empfänger, dem hier ein richtig toller „Job“ angeboten werden soll.

ELS, amerikanisches Unternehmen im Bereich luxuriöser Güter, sucht AdministrationsassistentInnen / VerkäuferInnen in Deutschland, der/die von zuhause aus arbeiten, unser Verkaufsteam verstärken und unsere Dienstleistungen aufwerten, welche für Privatpersonen, Unternehmen und Organisationen weltweit bestimmt sind.

ELS ist ein amerikanisches Unternehmen ohne Anschrift und ohne Homepage, das mit gefälschter Absenderadresse mailt, um auf diese Weise ein paar Dumme zu suchen. Wer diese Dummen sind und wie sie qualifiziert sind, ist den Absendern dieser Spam genau so scheißegal wie die Frage, ob es sich um Männlein oder Weiblein handelt. Hauptsache, diese Leute holen mit ihrer Anschrift, ihrem Telefonanschluss und ihrem Bankkonto dem tollen amerikanischen Unternehmen für nicht näher bezeichnete Luxusgüter die heißen Kohlen aus dem Feuer und senden dabei empfangene Waren und Gelder zu den Kriminellen weiter, während sie selbst nach kurzer Zeit polizeilich als Betrüger oder Geldwäscher ermittelt werden und die Staatsanwaltschaft kennenlernen. Angesichts eines solchen „Jobs“ wird kein Richter davon ausgehen können, dass da jemand „in gutem Glauben“ gehandelt habe, so dass neben dem zu leistenden Schadenersatz auch eine empfindliche Strafe fällig wird.

Diese Stelle ist zuständig für das Management von täglichen, wöchentlichen und monatlichen Aufgaben und speziellen Projekten, die der Unterstützung der Verkaufsaktivitäten in Deutschland dienen.

ELS hat sich zwar einen tollen Namen für diesen Job ausgedacht, wird aber nicht besonders konkret, wenn es darum geht, die damit verbundenen Aufgaben zu beschreiben. Immerhin reicht es…

Die Hauptaufgaben sind
– Unterstützung der Verkaufsabteilung in Form spezieller Projekte, Dateneingabe und andere Aufgaben wie zugewiesen
– Pflege der Tabellen für die Überwachung von Einkäufen und Zahlungen
– Allgemeine administrative Unterstützung inklusive Entwurf von Korrespondenzen, Abwicklung von Bestellungen, Erstellen von Ausgabenberichten etc.
Tägliche Email-Korrespondenz

…um zu sehen, dass da Leute gesucht werden, die unter ihrem eigenen Namen und mit ihrer eigenen Mailadresse „Geschäfte“ für diese tolle Firma ohne Anschrift, Website oder korrekt angegebene Absenderadresse für ihre Mails machen sollen.

Arbeitszeiten: es ist möglich eine Teil- oder Vollzeitstelle anzunehmen. Ihr Zeitplan kann flexibel sein. Für die Teilzeitstelle ist es notwendig im Durchschnitt 3 Stunden täglich von Montag bis Freitag zu arbeiten.

Lohn: Basislohn für Teilzeitarbeit ist 1800,00 Euro monatlich plus 5% Kommission für jede erfolgreich beendete Transaktion mit dem Kunden.

Für diese „Arbeit“ gibt es unerhört viel Geld. Fünfzehn Wochenstunden bringen dreieinhalb lila Lappen im Monat, und obenauf gibt es noch 5 Prozent. Dennoch handelt es sich um eine Art von Job, die man besser mit millionenfacher illegaler Spam anpreist, damit überhaupt jemand so blöd ist, darauf hereinzufallen – und trotz der vielen Millionen Arbeitslosen wird eine Zusammenarbeit mit den Arbeitsagenturen so gescheut, wie der Teufel das Weihwasser scheuen soll.

Arbeitsplatz: von zuhause aus. Alle Kommunikation wird online durchgeführt. In der Schulungs- / Arbeitsperiode ist es möglich telefonische Unterstützung zu bekommen.

Forderungen: man muss einen Computer mit Internetzugang besitzen, in Excel arbeiten können, Basiswissen in Englisch und gute Motivation haben.

Trotz dieser tollen Bezahlung handelt es sich um eine Tätigkeit, für die so ziemlich jeder Empfänger dieser Schrottmail die Voraussetzungen erfüllt. Wie jemand ohne internetfähigen Computer diese Drecksmail empfangen soll, bleibt das Geheimnis der Spammer.

Kosten und Zahlungen: es entstehen zu keiner Zeit Kosten für unsere Mitarbeiter. Alle Zahlungen, die mit dieser Beschäftigung verbunden sind, werden von der Firma übernommen.

Weitere Einstellungsprozedur: bitte senden Sie Ihren Lebenslauf an die:
Christine.Woods (at) els-hr.com

Bitte auf keinen Fall die Mail beantworten, indem man auf „Antworten“ in der Mailsoftware klickt. Die Absenderadresse ist nämlich gefälscht, und obwohl man bei dieser tollen Firma auf Mitarbeiterakquise über millionenfache, unerwünschte E-Mail setzt, hat dort niemand so viel technisches Verständnis, dass er diesen Trick mit der Angabe Reply-To im Header der Mail hinbekommt – wozu eigentlich jeder auf dem Pisspott sitzende, vierjährige Nachwuchshacker imstande sein sollte. Aber es wäre ja auch jedes technisch begabte Kind zu der Einsicht fähig gewesen, dass HTML-Entitäten in einer reinen Textmail nichts zu suchen haben. Diese Verbrecher hingegen, die verstehen nicht, was sie hier tun.

In Ihrem E-Mail geben Sie bitte Bescheid, ob Sie sich für eine Teil- oder Vollzeitarbeit interessieren. Nachdem wir alle Bewerbungen gesichtet haben, werden wir nur den erfolgreichen Bewerbern antworten. Wir werden den erfolgreichen Bewerbern eine Stelle in unsere Firma für eine Probezeit von einem Monat anbieten. Während dieser Zeit werden Sie geschult und online unterstützt, gleichzeitig arbeiten Sie schon und werden auch bezahlt. Am Ende der Probezeit kann der Berater eine feste Anstellung, eine Fortsetzung der Probezeit oder Kündigung empfehlen. Nach der Probezeit wird Ihr Grundlohn erhöht.

Vom ersten Tag an werden die Leute, die auf diesen Bullshit anspringen, nützliche Deppen für die Verbrecher sein, die hier Hilfshehler, Hilfsbetrüger und Hilfsgeldwäscher suchen. Nährere Informationen zu dieser Art von „Jobangebot“ sollte jede Dienststelle der Polizei geben können – aber wer seine fünf Sinne beisammen hat, braucht nach dem oberflächlichen Lesen solcher „Angebote“ keinen weiteren Hinweis mehr, um den kriminellen Charakter zu erkennen.

Bitte senden Sie etwaige Fragen und Ihren Lebenslauf an die: Christine.Woods (at) els-hr.com

Nicht vergessen: „Antworten“ in der Mailsoftware geht nicht, weil die Absenderadresse gefälscht ist und die Spammer überdem unfähige technische Stümper sind.

Danke,
ELS-Team

Diese Spam wurde automatisch erstellt und ist ohne Unterschrift gültig. Dafür kam sie auch ohne persönliche Anrede.

Ich weiß nicht, ob es eine wirklich existierende Firma namens ELS gibt – es erscheint mir recht wahrscheinlich – und ich schreibe diesen Beitrag gerade offline, aber eine wirklich existierende Firma namens ELS hat mit dieser Spam organisierter Krimineller (Internetbetrug) nichts zu tun. Solche Nebeneffekte wie die Beschädigung des Rufs einer Firma sind den Spammer allerdings regelmäßig völlig egal, worin sich deutlich der asoziale Zug der Spamkriminalität zeigt. Und wie morgen früh bei einer wirklich existierenden Firma namens ELS die Telefone klingeln und was man sich dort von empörten Empfängern dieses primiven, kriminellen Anwerbeversuches anhören muss, das möchte ich gar nicht kennenlernen. Es wäre nebenbei nicht das erste Mal, dass eine derartige Spam großen wirtschaftlichen Schaden anrichtet.

Re:

Samstag, 6. Februar 2010

Tja, wozu denn einen Betreff schreiben, wenn eine einfache Kennung als Antwort auch reicht. Nur, wer selbst nie einen Betreff zu seinen Mails angibt, wird das für eine Antwort halten können…

Die neuesten Texte der Pimmelpillen-Spammer sind wenig einfallsreich, aber natürlich versucht man, diese Schwäche durch massenhafte Post auszugleichen:

Guten Abend, heutig beabsichtigen wir fur Sie ein wenig ganz besonders bereitzustellen.
Mit unserem Produkt beschaffen Sie erneut reichlich Spass am Poppen
http://flechaslrw29e.spaces.live.com

Natürlich hat man keine Hemmungen, live.com einfach als Hoster für die Betrugsversuche zu nutzen.

Und natürlich spammt man nicht nur abends…

Guten Morgen, zurzeit mogen wir ihrer Person etwas ganz ungewohnliches zu empfehlen.
Mit unserem Vorschlag beschaffen Sie wieder viel Spass an der Liebe
http://ransburgcjqx49gnsy.spaces.live.com

…und versucht auch zur „Abwechslung“ ein bisschen, mit einer anderen Grußformel den süddeutschen Kulturraum zu bedienen…

Servus, heutzutage planen wir ihrer Person etwas ganz besonderes anzubieten.
Mit unserem Vorschlag kriegen Sie nochmals zahlreich Spass im Bett
http://wampler07elry5c.spaces.live.com

…und probiert auch mal ein paar Bajurismen…

Gruess Gott, heute mogen wir ihrer Person ein wenig ganz ausgefallenes zu empfehlen.
Mit diesem Progukt beschaffen Sie wiederholt eine Menge Erlebniss mit Frauen
http://rabidouxsz6cksz.spaces.live.com

…ohne dabei die Küstenregionen zu vergessen:

Moin, heutzutage bezwecken wir fur sie manches ganz aussergewohnliches anzureichen.
Mit Dieser Ware erreichen Sie wiederholt sehr viel Spass mit Sex
http://kilkerflrw39.spaces.live.com

Für eine flotte Übersetzung des gnadenlos doofen Textes in das Niederdeutsche hat es allerdings mal wieder nicht gereicht. Auch ist es den Pimmelpillen-Spammern in dieser neuen Welle ihrer Betrugsversuche nicht gelungen, mit ihrem hingerotzten Skript die verschiedenen Textbausteine so zusammenzufügen, dass sie nicht auf dem ersten Blick wie Textbausteine aussehen, die von einem dummen Skript zusammengesetzt wurden. Aber dafür sagen sich diese Spammer offenbar, dass wohl wenigstens ein überzeugender Text dabei sein wird, wenn der Empfänger vierzig von diesen Drecksmails am Tag bekommt.

Wenn live.com nicht bald die Probleme mit der beliebigen Missbrauchbarkeit durch Spammer in den Griff bekommt, wird die bloße Existenz einer solchen Adresse in einer bei mir einkommenden Mail in den nächsten Tagen dazu führen, dass ich die Mail unbesehen und automatisch in den virtuellen Orkus schiebe – und ich bin gewiss nicht der Einzige, der angesichts dieser Spamflut zu derart drastischen Maßnahmen greifen wird. Wenn Microsoft mit seinen spaces.live.com ein Bestandteil des Internet bleiben möchte, denn ist jetzt höchste Zeit zum Handeln.

Gott im Bett

Freitag, 29. Januar 2010

Diese vom Konzept her recht alte Masche der Betrugsapotheker kommt im Moment recht massiv mit gegenüber den alten Wellen kaum veränderten Texten und verschiedenen Betreffzeilen. „Gott im Bett“ habe ich nur deshalb als Überschrift gewählt, weil es der vermutlich dümmste Betreff des heutigen Tages war, daneben gibt es auch so etwas wie:

  • Ero-Power ohne Grenzen
  • Laenger und haerter im Bett
  • Kraft-Boom fuer Mann
  • Erotik-Power ohne Grenzen
  • Sex ohne Grenzen
  • Rezeptfreie Pillen!
  • Damit bleibt er laenger hart!
  • Besserer Sex ist alles
  • Mann lebt nur 1x – probiers aus!
  • Steigern Sie ihre Liebes-Kraft
  • Potenzhilfe unter 1 Euro
  • Energy fur ihren Penis, kaufen und 85% sparen

Dies ist nur eine Auswahl der letzten 24 Stunden. Die Spammer stören sich auch nicht weiter daran, wenn sie immer wieder die gleiche Mailadresse im viertelstündigen Takt zuballern. Weh dem, der mehrere Mailadressen hat!

Faszinierenderweise kommen die Spams oft von den gleichen IP-Adressen kriminell übernommener Privatrechner, die mir im Moment auch jede Menge „Jobangebote“ als „Testkäufer“ oder Hilfsgeldwäscher machen; und auch das Wörterbuch, mit dem die „Namen“ der Absender gebastelt werden, weist gewisse Überschneidungen auf. Hier wird also die gleiche Infrastruktur und das gleiche Skript verwendet.

Der Text entspricht den Erwartung für diesen Betrug mit den Pimmelpillen, der Text ist immer identisch und die Preise für die angeblichen Pillen ändern sich gelegentlich ein bisschen, bleiben aber in der Größenordnung recht konstant:

Mit unseren Produkten habe sie nie wieder Probleme im Bett und haben endlich Spass am Sexleben. Wir haben genau das Richtige fur sie!

Das Geld kommt und geht – unvergessliches Bett-Erlebnis bleibt!
Bestellen Sie noch heute und vergessen Sie Ihre Enttauschungen, anhaltende Versagensangste und peinliche Situationen!

Wir bieten die besten Preise fur das Original!

Original blaue Potenzhilfe 0,87 Euro
Original blaue Potenzhilfe Pro. 1,21 Euro
Hunderte weitere Produkte zu besten Preisen

Einfache und sichere Zahlung
Jetzt NEU: Diskreter Versand 100% ohne Zoll-Probleme!

http://joyfulfriend.com

Prof. Dr. Aelfreda blau

Auch wird an Stelle von „blaue Potenzhilfe“ manchmal ein anderes Wörtchen verwendet, um den Eindruck zu erwecken, hier könne Viagra gekauft werden:

  • blaue Kapsel
  • blaue Pille
  • Vi.
  • blaue Hilfe
  • blaue Tablette

Das „Pro.“ wird manchmal als „Professional“ ausgeschrieben. Alle Beispiele sind aus den letzten 24 Stunden.

Natürlich werden mit jeder Mail andere Wegwerfdomains verwendet, damit der Strunz eine Chance hat, durch die Spamfilter zu kommen. Allein an dieser Kleinigkeit sieht man, dass es den Verbrechern nicht darauf ankommt, nur eine illegale Apotheke mit der dazu erforderlichen Kundenbindung aufzubauen, es geht ihnen ausschließlich um den schnellen Betrug. Bei einem derart monotonen Text ist es zum Glück selbst für einen dummen Filter nicht schwierig, die Spam als das zu identifizieren, was sie ist – und die Verwendung dynamische IP-Adressen aus einem Botnetz tut ein übriges. Das wissen ganz offenbar auch die Spammer, und deshalb wird diese Drecksmail zurzeit geradezu in das Internet geflutet.

Dass man(n) von diesen Verbrechern nichts für sein Geld bekommt, brauche ich hoffentlich nicht explizit zu erwähnen. Das ist die Wirklichkeit hinter dem Wort „diskreter Versand“, das in jeder dieser kriminellen Drecksmails drinsteht: Wenn nichts versendet wird, denn ist das eben sehr „diskret“.

Löschen und vergessen! Und am besten niemals irgendetwas kaufen wollen, weil man einen Tipp mit einer illegalen und kriminellen Spam bekommen hat – mit diesem Pack, dass sich hinter gehackten Rechnern, gefälschten Mailadressen und Wegwerfdomains im Internet versteckt, kann niemand ins Geschäft kommen. Man kann von ihnen nur betrogen werden.

Medikamente gegen erektile Dysfunktion gibt es beim Apotheker, Rezepte stellt der Arzt aus.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.