Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Unicode“

ᴠᴇʀꜱᴜᴄʜᴇɴ ꜱɪᴇ ʜᴇᴜᴛᴇ, ɪʜʀ ʟᴇʙᴇɴ ᴢᴜ ᴠᴇʀÄɴᴅᴇʀɴ

Montag, 20. September 2021

Abt.: Was ich in den letzten Wochen gar nicht vermisste

Hey, Spammer, willst du mit deinem Unicode-Gedöns am Spamfilter vorbeikommen? Ich habe da eine schlechte Nachricht für dich: Ich habe deinen kriminellen Kommunikationsversuch eben aus der Güllegrube des Mailservers gezogen, wo sich immer die ganze Spam sammelt. Und darüber brauchst du dich gar nicht zu wundern, denn wenn du so ein tolles HTML in deine Spam machst…

Screenshot des Thunderbird, der den sehr kaputt aussehenden Quelltext dieser Spam anzeigt

…ist es zwar erstaunlich, dass das noch irgendwie darstellbar ist, aber nicht erstaunlich, dass es automatisch in den Müll sortiert wird. 🗑️

Schon schade, wenn man mit seiner illegalen und asozialen Spam etwas anzubieten hat, was bei allen Mailempfängern ungefähr so beliebt wie Herpes ist und deshalb zu solchen Tricksereien greifen muss! Verkauf doch lieber Cannabis, Spammer! Das ist auch illegal, aber das wollen die Leute wenigstens. 🥦️

Was du anzubieten hast, Spammer? Na, einmal das übliche:

In die Spam eingebettetes Bild von Eric Schmidt, Obermotz von Google

ᴍɪᴛ ɴᴜʀ ᴡᴇɴɪɢᴇɴ ᴍɪɴᴜᴛᴇɴ „ᴀʀʙᴇɪᴛ“ ᴘʀᴏ ᴛᴀɢ ɢᴇʟᴅ ᴀᴜꜰ ɪʜʀᴇᴍ ʟᴀᴘᴛᴏᴘ ᴢᴜ ᴠᴇʀᴅɪᴇɴᴇɴ. ꜱᴄʜʟɪᴇꜱꜱᴇɴ ꜱɪᴇ ꜱɪᴄʜ ᴀɴ ᴜɴᴅ ᴡᴇʀᴅᴇɴ ꜱɪᴇ ʙᴛᴄ ᴛʀᴀᴅᴇʀ.

Geld, das man sich einfach und völlig mühelos aus der Steckdose zieht, hast du anzubieten. So schade, dass kein denkender und fühlender Mensch deinen Betrug will. So schade, dass deine Geldsteckdose immer nur über Spam vermarktet werden kann. 🔌️💰️

Und so schade, dass du in der Spam deinen Text ganz komisch in Unicode bringen musst, um noch durch die Spamfilter zu kommen. 😁️

Und so schade, dass deine Spam trotzdem nicht durchkommt. 🤣️

Was der Eric Schmidt aus deinem flugs von irgendwo im Web mitgenommenen Bildchen mit deiner Reichwerdmethode durch automatisierten Bitcoin-Handel zu tun hat, verstehe ich übrigens nicht. Google ist nicht mit Bitcoin reich geworden, sondern mit dem Angebot einer beliebten Dienstleistung: Einer schnellen und guten Websuche. Zu der Zeit am Ende der Neunziger Jahre gab es den Tulpenwahn namens „Bitcoin“ auch noch gar nicht. Niemand wäre auf die Idee gekommen, eine weltweit auf allen teilnehmenden Computern gespiegelte Buchführung in Form einer Blockchain zu machen. Die meisten Teilnehmer waren über ein Telefonmodem mit dem Internet verbunden. Nachdem sie sich eingewählt hatten. Die Online-Zeit war teuer. Die Datenrate lag bei rund 55 kbit/s für den Download, wenn man eine gute Leitung hatte. Viele Menschen hatten nicht einmal 40 kbit/s. Auch, wenn man damals schon mit Spam belästigt wurde, war es eine kulturell bessere Zeit, denn die ganzen Wahnsinnsideen, die heute das Web prägen, waren noch gar nicht geboren. In diese Zeit hinein trat Google auf¹, mit einer Idee semantischer Indexierung auf der Grundlage von Verlinkungen, einer schnellen Suchmaschine, die viel bessere Ergebnisse als Altavista oder Yahoo lieferte und zunächst völlig ohne Geschäftsmodell. Aber das ist ein Thema für einen völlig anderen Text. 😉️

Das von dir ausgewählte Bild ist also völlig sinnbefreit. Google hat nichts mit Bitcoin oder einem anderen Tulpenhandel zu tun. Es dient nur dazu, eine Person, die mehr Reputation als ein schmieriger Reichwerd-Spammer hat, in einer Spam für einen falschen Eindruck zu missbrauchen. Damit naive Menschen auf die Idee kommen, in eine E-Mail von einem Honk wie dir zu klicken und auf einer Website von Betrügern landen, wo sie abgezogen werden. 💸️

Übrigens, Spammer: Wenn deine Geldsteckdose funktionieren würde, brauchtest du nicht zu spammen und über eine Weiterleitung deine Affiliate-ID an den Link zu hängen, um ein paar Lumpengroschen zu kassieren, sondern du würdest einfach mit deiner eigenen Reichwerdmethode reich. Warum du das nicht machst? Weil du genau weißt, dass deine Reichwerdmethode nicht funktioniert. 🤥️

Ich hoffe, dass du verhungerst, weil niemand auf deine Spam reinfällt! Oh, du hast noch ein paar andere Betrugsgeschichten neben dem Bitcoin-Beschiss, so dass du immer genug Geld für deine asoziale Spammerei kriegst und die Mutter der Dummen ist immer schwanger? Schade. 🙁️

Leg dich einfach sterben. Vielleicht wirst du ja als anständiger Mensch reinkarniert. Und wenn nicht, ist es auch nicht schade drum. ⚰️

¹Wer sich noch an das alte Google-Logo erinnert, ist ein Digital pioneer, der von Anfang an dabei war und nicht so ein Digital native, den man jeden gängelnden, entrechtenden und technikverhindernden Tinnef andrehen kann, von Social Media über Streaming über Cloud bis hin zum Smartphone. Und wer hier schon länger mitliest, hat auch nicht vergessen, wie Unser täglich Spam einmal aussah. Da hat sich allerdings gar nicht so viel verändert. Das jetzige Design mit Spamdosen, Teller und Besteck für Grobmotoriker im Titel habe ich übrigens seit 2011 und optisch nur in Details (Schriftarten, Schriftgrößen) verändert. Und die ganzen Jahre haben mir Spammer immer wieder in ihrer Spam erzählt, dass man sich einfach Geld aus der Steckdose ziehen kann, sei es durch Systemspielen in Online-Casinos, sei es durch Binäre Optionen, sei es durch automatisierten Handel mit Bitcoin.

ʙᴇꜱᴛ ɢᴇꜱᴄʜɪᴄʜᴛᴇ ᴅᴇꜱ ɢᴇᴡɪᴄʜᴛꜱᴀʙɴᴇʜᴍᴇɴꜱ !!!

Samstag, 11. September 2021

Hui, der Spammer kann ja Unicode! 👍️

Best Keto Geschichte des Gewichtsabnehmens“ Klicken Sie diesen Link

Aber zwei Dinge kann er leider nicht.

  1. Er kann kein Deutsch.
  2. Er kann nicht einfach in seine Spam reinschreiben, was er mir sagen will, sondern gibt mir einen klicki-klicki-Link, auf den ich klicken soll, wenn ich erfahren möchte, was er mir sagen will.

Aber man kann ja auch nicht alles können. 😁️

Natürlich ist der Link nicht direkt gesetzt, es handelt sich ja um Spam. Normale Menschen setzen einfach einen direkten Link, Werber und Spammer gehen über irgendwelche Tracking-Skripten und Affiliate-Gelumpe-Helfer, die ihnen die Affiliate-ID mit in den URI einbauen:

$ location-cascade https://sd1k6nqe6jclag6p.page.link/1xm3
     1	https://barahata.club/ketog.php
     2	https://www.incorport.com/24L7XJ1Z/RJMDB9K
     3	https://speedyhealthy.com/de-keto-counter/?sub1=19499&sub2=&txid=82d289ff84f34fe8bfd864f8c448b76e
$ surbl barahata.club
barahata.club	okay
$ surbl incorport.com
incorport.com	LISTED: ABUSE
$ surbl speedyhealthy.com
speedyhealthy.com	okay
$ _

Schließlich geht die Reise zum „baldigen Gesund“, natürlich mit einer Zwischenstation, die für asoziale und illegale Spam längst bekannt ist und auf allen Blacklists dieser Welt steht. Dort gibt es einen „Keto-Zähler“. Und wenn da nicht diese URI-Parameter dranhängen, bekomme ich nur einen HTTP-Fehler 404, Datei nicht gefunden, um die Analyse zu erschweren. Erst mit allen Parametern – und damit mit der Bestätigung, dass man die Spam geöffnet, gelesen und geklickt hat, so dass die Spammer wissen, auf welchen Mailadressen sich das Spammen auch lohnt – gibt es einen seit Jahren wohlvertrauten Schwindel:

Screenshot der betrügerischen, spam-beworbenen Quacksalber-Website

Die Behauptung, dass das Produkt in der „Höhle der Löwen“ lief. 😫️

Das ist ein echter Klassiker, dass irgendwelche Quacksalber-Pillen zur Gewichtsabnahme oder irgendwelche Bitcoin-Reichwerdmethoden dort liefen. Ich habe irgendwann für diese Behauptung ein eigenes Schlagwort vergeben, weil sie häufig ist, und zwischendurch wurde dieser Betrügertrick aus der Spam sogar zu einer Meldung in der ARD-Tagesschau. 📺️

Natürlich stimmt diese Behauptung nicht. 🤥️

Weder die Bitcoin-Reichwerdmethoden noch die Abnehmmethoden sind jemals ein Thema in der „Höhle der Löwen“ gewesen. Der Text ist schnell hingelogen und mit ein paar Fotos aus der Pressemappe der Fernsehshow garniert. Der Spammer hofft, dass ein paar Leute aus dem Fernsehen immer noch mehr Seriosität ausstrahlen als er selbst. Er könnte damit recht haben, selbst wenn diese spammig missbrauchten Leute von einem Dreckssender kommen. 💩️

Und für alle, die es nicht wissen: Es gibt genau eine wirksame Methode zur Gewichtsreduktion: Weniger lecker schmeckende Energie in sich reinstecken, als man verbraucht. 🍽️

Das ist mit starken Missempfindungen verbunden, die man Hunger nennt. Und es geht sehr langsam, weil ein Kilo Fett rd. 9.000 Kilokalorien speichert. Fett ist leider ein sehr guter Energiespeicher. Das ist übrigens auch die biologische Funktion. Jede Wunderdiät und jedes Quacksalbermittel, die so etwas wie schnelles Abnehmen ohne Hunger versprechen, sind Lüge. Immer. 🧚‍♂️️

Wer mir das nicht glaubt, frage bitte einfach einen richtigen Arzt. 💡️

Aber besser keinen Apotheker fragen, denn die verkaufen auch eine Menge quacksalberische Abnehmhilfsmittel zu höchsten Apothekenpreisen und könnten schon mal ein bisschen lügen, damit ihr Geschäft ein bisschen besser läuft. Ja, sie lügen, wenn sie die Unwahrheit erzählen, denn sie wissen es besser. Wenn sie den teuersten Zucker der Welt, so genannte „homöopathische Arzneimittel“ verkaufen, lügen sie ja auch, denn auch hier wissen sie es besser oder sollten es nach ihrer Ausbildung besser wissen. Deshalb kann man ihnen nichts glauben. 🤔️

Nicht nur, dass es das mühelose Abnehmen durch irgendwelche Wundermittel nicht gibt… selbst, wenn es das gäbe, gäbe es genau einen Weg, auf dem man keine zuverlässigen Informationen darüber bekäme: Spam. 🚽️

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.