Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Unicode“

Trendovi vijesti u svijetu ove sedmice

Donnerstag, 21. März 2024

Mit diesem wunderhübschen Namen – wenn ich einer Computerübelsetzung trauen darf, bedeutet er so viel wie „Trends in den Weltnachrichten dieser Woche“, was zu den eher deprimierenden Dingen gehört – hat dieser robotisch anmutende Kommentarschreiber mit fehlerhaftem Spamskript und IP-Adresse aus Russland heute morgen einen tollen Kommentar hier auf Unser täglich Spam hinterlegt, der einmal mehr voll des Lobes und der Bewunderung für mein Geschreibsel ist:

Witth havin ѕo muⅽh content annd articles
d᧐ you evеr run into any issues ߋf plagorism ⲟr copyright
violation? Ⅿy site haѕ ɑ lot ߋf exclusive content Ι‘ᴠe eitheг written mуself or outsourced ƅut it aopears а lot of it іѕ popping іt upp ɑll oѵer
the internet wіthout mmy agreement. Dо yyou know any techniques tߋ help reduce contеnt
from bеing ripped off? I‘d truly appreciɑte it.

Ⅿy web site Trendovi vijesti u svijetu ove sedmice

Die ganzen eingesprenkelten Unicodezeichen sind natürlich – genau so wie die schlecht und unglaubwürdig mit einem Skript simulierten Verschreiber – aus dem Original. Vermutlich wollte der Spammer sich damit besser an Spamfiltern vorbeimogeln. Das nützt aber gar nichts, wenn das für die Kommentarspam verwendete Spamskript so mies und fehlerhaft ist, dass man es schon mit sehr einfachen Tests als ein Spamskript erkennen kann.

Aber gern beantworte ich die in dieser Spam mitschwingende Frage nach dem Schutz dessen, was man veröffentlicht. 🙃️

Ja, ich kenne eine ganz einfache Technik, mit der man verhindern kann, dass Inhalte von anderen abgeschrieben und zweitverwertet werden: Diese Inhalte einfach nicht veröffentlichen. Sind Inhalte erst einmal öffentlich, hat man keine Kontrolle mehr darüber. Jeder Mensch kann damit machen, was er will. Ferner auch: Jedes simulierte neuronale Netzwerk kann damit machen, was es will, und inwieweit das ein Problem sein kann, wird sich in den nächsten zehn Jahren noch mehr als einmal zeigen. Jeder Mensch kann veröffentlichte Inhalte anderer Menschen in seine Gedankengebäude übernehmen, unverstanden und verzerrt wiedergeben, völlig unter Verzicht eigener Denkvorgänge kopieren, als seine eigenen Ideen ausgeben, abwandeln und verfremden, zur Tarnung seines dreisten Plagiates umformulieren, nach Herzenslust verspotten, und manchmal werden sogar die Inhalte anderer Leute zu Ködern an den Angelhaken der Reklameindustrie, auf irgendwelchen Dreckswebsites kopiert und über vermietete Werbeplätze zu heiligem Geld gemacht, mit dem dumme, gierige Barbaren schon seit Erfindung des Geldes mehr anfangen konnten als mit Inhalten und Gedanken. Das finde ich übrigens besonders widerlich. Das man die Kontrolle über Festgehaltenes und Veröffentlichtes verliert, galt schon für Gedrucktes und Geschriebenes, vermutlich sogar für Gemeißeltes und in Holz und Tontafeln Geritztes, aber mit Internet und Computer ist dieser Vorgang zudem auch noch so einfach, dass es jeder dahergelaufene Mensch hinbekommt. Kapitalismus ist kulturlose Barbarei, denn seine weltanschauliche Grundlage, die grenzenlose, sich in absurdem Zynismus über alles hinwegsetzende Gier als Fundament jeden Miteinanders, ist das genaue Gegenteil jeder Kultur, ist in letzter Konsequenz die Allgegenwart des Tot- und Mordschlages aus Bereicherungsabsicht. Das sieht man nicht nur an halbseidenen und kriminellen Randbereichen wie der täglichen Spam. Nichts kann man gegen den kollektiven Wahnsinn seiner eigenen Zeit tun. Nichts kann man gegen die Zweitverwertung „seiner“ Inhalte nach einer Veröffentlichung tun – außer auf jede Form der Öffentlichkeit zu verzichten, alles schön für sich zu behalten und niemanden daran teilhaben zu lassen. Aber das wäre ja auch eine langweilige Welt, in der die Menschen nicht mehr kommunizierten. Zumal wir geradezu ein triebhaftes Verlangen nach Austausch und Miteinander haben. Wer nicht will, dass seine zu Inhalten gewordenen Gedanken und Beobachtungen missbraucht werden, muss sie in sich selbst begraben oder lediglich in vertrauenswürdigen und gesitteten Kreisen von sich geben. Das Problem dabei: Wenn das alle machen, sind wir schnell wieder auf den Bäumen zurück und schwingen uns von Ast zu Ast, nur getrieben von den drei großen und dummen Kräften der belebten Natur: Hunger, Lust und Angst. Als Folge unserer Gier, die wir nicht geächtet, sondern zur Grundlage des Miteinanders gemacht haben. Denn unsere gesamte Kultur und Zivilisation beruht auf Austausch, der ein Gemeinsames in Verschiedenheit entstehen lässt und komplexe arbeitsteilige Gesellschaften hervorbringt, die den einzelnen Menschen in mehr oder weniger hohem Maße aus der Not des Lebens heraustragen. Fällt dieses eine Element des Austausches weg, sind wir schon nach wenigen Generationen nur noch nackte Affen, und der Weg dahin ist ebenfalls eher unerfreulich.

Aber von solch trüben Gedanken ist der Spammer in seiner dummen, barbarischen Gier völlig unbeleckt. Der will nur seinen Link auf anderer Leute Websites kacken. Der lustige Linktext faselt zwar einen von Woche, Trends und Weltnachrichten, aber das ist nur Tarnung. Die verlinkte Website…

$ lynx -dump https://luckyrabbitreflex.com/
   [1](BUTTON) [2](BUTTON)
   [oWa8KgUbgZKzHJMGo2SGsLutoex0Yozh0F7ETWF+EQB1wTrBhbcv5pCuHvCt2L9Xx2uW6L
   klCX229onreZXUhyzzK+nIrr0QT4dGcR+Qo4XG26lZPab2vrGZYKIwBM5TjuhEqC6xFaqhw
   +A18efUnIykOVwAAAABJRU5ErkJggg==] [3](BUTTON)
   [gFJ2xCgRdxvW4AAAAASUVORK5CYII=] [4](BUTTON)
   [4e4jerVgCYbLa+0vX9NaqVoHFO0BdKD5hi1smlfWJQU1NTo8L4C6jU+z6Yz5xqAAAAAElF
   TkSuQmCC]
   [5](BUTTON) DAFTAR SLOT GACOR!
   [6]Login [7]Daftar [8]ARENA333 VIP

LOGIN ARENA333

   © 2024 ARENA333

Verweise

   Sichtbare Links:
   1. https://rebrand.ly/arena333-seo
   2. https://rebrand.ly/arena333-seo
   3. https://rebrand.ly/arena333-seo
   4. https://rebrand.ly/arena333-seo
   5. https://rebrand.ly/arena333-seo
   6. https://rebrand.ly/arena333-seo
   7. https://rebrand.ly/arena333-seo
   8. https://rebrand.ly/arena333-seo

   Versteckte Links:
  10. https://rebrand.ly/arena333-seo
$ _

…hat es da eher mit Geldspielgeräten. Und genau so, wie jedes kommerziell veranstaltete Glücksspiel letztlich dazu führt, dass der Spieler sein Geld loswird, führt jeder der 8 offenen Links auf dieser Website auf die gleiche lustige Weiterleitung, als hätte man einen klingeling Spamjackpot gewonnen. 🎰️

Für einen Domainnamen hat es bei der verlinkten Seite übrigens nicht gereicht:

$ mime-header https://rebrand.ly/arena333-seo | grep -i ^location
Location: https://13.251.147.254/daftar?ref=anakhoki168
$ _

Wer glaubt, dass man in so einem „Casino“ etwas gewinnen könne, hat leider eine bedauerliche Pechsträhne beim Denken. Aber diese Pechsträhne hat schon mit einem Klick auf einen Link in einer klar erkennbaren Spam angefangen.

Zum Abschluss noch ein fernliegendes Wort.

Ich beobachte mit einem gewissen Entzücken, dass in der Spam der letzten Monate die Betrügereien mit Kryptogeld immer mehr abnehmen, hingegen die älteren Betrügereien mit so genannten „Casinos“ langsam noch einmal zurückkommen, zurzeit ergänzt um betrügerische Dienstleister für das Zahlenlotto 6 aus 49. Nach beinahe zehn Jahren spam- und reklamegetriebenen Reichwerdbetruges mit Kryptogeld – der bis hin zu totalem Bullshit¹ wie NFTs ging – ist offenbar jeder dafür anfällige Mensch oft genug zum gebrannten Kind geworden, um jetzt nicht mehr sein Händchen auf die glühende Herdplatte zu patschen, so dass sich dieses Geschäft für die Spammer nicht mehr lohnt. Gut so, denn es hat mich doch sehr genervt, dazu immer und immer wieder das Gleiche zu schreiben. Dafür darf ich in absehbarer Zeit wohl immer wieder das wiederholen, was ich schon vor über zehn Jahren zu den ganzen windigen Spamcasinos geschrieben habe… wenn nicht demnächst ein neuer internetgetriebener Geldzauber von ahnungslosen Journalisten mit großen Worten von explodierenden Kursen und schlaraffenlandigen Gewinnen vor die Augen jedes technisch ahnungslosen Menschen getragen wird. Aber die Journalisten sind zum Glück gerade mit der so genannten „künstlichen Intelligenz“ beschäftigt, über die sie genau so kenntnis- und verantwortungslos schreiben, wie sie einst über Bitcoin geschrieben haben und wie sie vermutlich auch über jedes andere Thema schreiben, zu dem ich zufällig keine vertieften eigenen Kenntnisse habe. Krieg zum Beispiel. Oder Wirtschaft (wird heute von Journalisten meist auf Börsenkurse und den wie eine chinesische Wasserfolter verabreichten Forderungen nach immer noch größerem Armenhass für noch bessere Kurse reduziert). Wo immer die Menschheit mit „Hurra“ ins Verderben rennt, läuft sie den Journalisten hinterher. 😠️

¹Kryptogeld hat noch einen Anwendungsfall. Es ist zwar nicht in brauchbarer Weise dafür geeignet, aber immerhin gibt es einen Grund für seine Existenz: Die Verwendung als Zahlungsmittel im Alltag. NFTs sind nur ein Eintrag in eine weltweit verteilte, kryptografisch gesicherte Datenbank ohne konkreten Anwendungsfall, bei dem die „Besitzer“ hoffen, dass er zur Handelsware werden könnte. Das Thema war sogar Spammern ein bisschen zu windig und gaga, um den Dummen ihre Märchen zu erzählen, und deshalb gab es nur wenig Spam dafür.

✔ 𝗜𝗰𝗵 𝗵𝗮𝗯𝗲 𝗲𝗶𝗻𝗲𝗻 𝗴𝗲𝘄𝗼𝗻𝗻𝗲𝗻 𝗠𝗮𝗸𝗶𝘁𝗮 𝗣𝗼𝘄𝗲𝗿 𝗗𝗿𝗶𝗹𝗹

Montag, 9. Oktober 2023

Oh, missbrauchte Unicodezeichen im Betreff sind gerade sehr beliebt, sehe ich. Vor allem bei den ganz dummen Spams, mit denen Dumme bei der Habgier gepackt und geschüttelt werden sollen, bis sie Daten fallen lassen. Was ich gar nicht mehr erwartet hätte: Die Sprachausgabe…

$ spd-say -l de "`xsel -bo`"
$ _

…liest diesen „Text“ sogar noch (hier: aus der Zwischenablage) vor. Das ist sicherlich eher ein Zufall, denn die paar blinden und schwer körperbehinderten Menschen spielen für den Spammer genau so wenig eine Rolle wie für den leider noch legal die Welt verpestenden Werber, wenn er nicht gerade Spezialprodukte für blinde und schwer körperbehinderte Menschen verkaufen soll. Und deshalb ist der Spammer zufrieden, wenn die meisten Menschen beim Hingucken sehen, dass da Text steht und diesen Text sogar noch lesen können, aber der Spamfilter beim Ausfiltern dieses Mülls scheitert. Nun, Spammer, das ist dir nicht geglückt: Deine dumme Spam dümpelte im Glibbereimer, wo sie auch hingehört. Mit dem Zufall, dass sogar Blinde noch erreicht worden wären, hast du mal ein bisschen Glück bei der Datenverarbeitung gehabt. Aber gegen Spamfilter hilft es trotzdem nicht. 🙂️

Es fällt ja eh nur eine klitzekleine Minderheit der Empfänger auf so einen Müll herein. Was Wunder, bei solchen neugrammatischen Ausdrucksweisen der Marke „Ich habe eines empfangen dummer Spam“ schon im Betreff. 😁️

Und der Text wird auch nicht besser:

Herzlichen Glückwunsch
Sein Name kam für eine Belohnung von Makita Bohrmaschine

Ohne Worte. Und wessen Name kam da überhaupt. 🤭️

Doch nach einem Blick in den Quelltext der Mail weiß ich, dass diese Spam eigentlich so aussehen sollte:

Aus dem Web nachgeladene Grafik: Beeil dich. Die Anzahl der zu gewinnenden Preise ist begrenzt! Jetzt bestätigen! -- Das Neueste Modell -- Limitiertes Kaufland Angebot -- Hol es dir jetzt! -- Kaufland-Logo -- Makita Power Drill -- Herzliche Glückwünsche! Sie wurden ausgewählt, an unserem Treueprogramm für teilzunehmen KOSTENLOS! -- [JETZT BESTÄTIGEN!] -- Es dauert nur eine Minute, bis Sie diesen fantastischen Preis erhalten.. Makita Power Drill

Selbst, wer für die Darstellung einer Mail im HTML-Format Bilder aus dem Web nachlädt (und damit oft zum Absender „zurückfunkt“, dass die Mail angekommen ist und angeschaut wurde, weshalb das eine wirklich schlechte Idee ist), wird hier nur einen Anfall gebieterischer spontaner Heiterkeit bekommen. 😅️

Muss ich hier noch erwähnen, dass „Kaufland“ mit diesem Müll gar nichts zu tun hat und dass der Spammer das Logo einfach nur aus dem Web „mitgenommen“ hat, weil „Kaufland“ nun einmal eine bessere Reputation als ein dummer Spammer hat, der mit Spams die Leute dazu bringen will, auf irgendwelchen in seinen dummen Spams verlinkten Websites wegen angeblicher Gewinnspiele einen Datenstriptease zu machen? Nein, ich glaube, das merkt jeder. 😉️

¹Das kann mit anderen Betrübssystemen natürlich anders sein. Aber die habe ich hier nicht zur Verfügung.

Kunԁеnѕеrviϲе

Samstag, 7. Oktober 2023

Oh, da kann jemand kein „d“ schreiben? (Ich verwende hier eine Schriftart, bei der mir das sofort auffällt.) Und benutzt stattdessen einen lustigen Kringel? Wer ist das denn? 🤔️

Von: ϲоmԁirеϲt <sales@invest.kamiproject.com>

Aha, es ist die Comdirect-Bank, die für ihren Absender leider auch keine Mailadressen aus ihrer eigenen Domain verwendet. Oder genauer gesagt: Die ϲоmԁirеϲt-Bank, die auch in ihrer Firmierung… moment, mal markieren, kopieren und genauer anschauen¹…

$ xsel -bo | od -xc
0000000    b2cf    bed0    d46d    6981    d072    cfb5    74b2
        317 262 320 276   m 324 201   i   r 320 265 317 262   t
0000016
$ _

…das „c“, das „o“ und das „e“ nicht mit den hier üblichen lateinischen Buchstaben schreiben mag, sondern lieber ähnlich aussehende Unicode-Zeichen verwendet. Oder auch so gesagt: Es ist ein Trickbetrüger, der so tun will, als hieße er comdirect, der aber auch darauf angewiesen ist, mit seinem Phishing durch die Spamfilter zu kommen. Er lebt ja davon. Und deshalb schreibt er so komisch. 🤡️

Wer blind oder schwer körperbehindert ist und das Internet nur durch Hilfsmittel „genießen“ kann, für die es erforderlich ist, dass die Wörter halbwegs richtig geschrieben sind, wird das folgende Zitat der Spam nicht verstehen können – kann aber auch unmöglich auf diese Spam hereinfallen, weil wegen des völlig kaputten Inhaltes sofort klar ist, dass es sich um eine Spam handelt. Für andere Menschen, die ihre Mail abarbeiten, sieht nur der Ersatz für das „d“ ein bisschen sonderbar aus, der Rest ist durchaus akzeptabel. 😉️

Sеhr gееhrtеr Kunԁе,

Aber ganz genau mein Name! 👍️

Eine richtige Bank würde übrigens nicht nur ihre Kunden namentlich ansprechen, sondern immer auch eine Kontonummer angeben. Sehr viele Menschen haben mehr als ein Konto. Zum Beispiel, um Geldflüsse aus selbstständiger Tätigkeit sauber von ihrem privaten Kram zu trennen. Diese Leute vom Finanzamt können ganz schön garstig werden, wenn sie mal vorbeikommen und nachschauen, dass man auch ja seine Steuern bezahlt. 😐️

ԝir müѕѕеn Іhnеn mittеilеn, ԁаѕѕ mit Einführung unѕеrеr nеuеn Gеѕϲhäftѕbеԁingungеn, Kunԁеn, ԁiе übеr еin Kоntо vеrfügеn, ԁаzu vеrрfliϲhtеt ѕinԁ, Іhrе Dаtеn еrnеut zu bеѕtätigеn. Вittе ѕtаrtеn Siе ԁеn Іԁеntifikаtiоnѕvоrgаng übеr ԁеn nаϲhfоlgеnԁеn Вuttоn. Sоlltеn Siе ԁiе Іԁеntifikаtiоn niϲht innеrhаlb vоn 14 Таgеn ԁurϲhführеn, müѕѕеn ԝir Іhrе Kаrtе ѕреrrеn.

Zur Веѕtätigung

Einmal der übliche Bullshit des Phishings: Die Bank hat eine technische Änderung gemacht, und deshalb soll der Kunde jetzt in eine Spam klicken und anschließend lauter Daten noch einmal eingeben, die bei der Bank schon lange bekannt sind. Erschreckend, dass diese Masche immer noch funktioniert. Natürlich führt der Link nicht zur Website der Comdirect, sondern erstmal zum dicksten Freund des Spammers und Betrügers, also zu Google. Und von dort geht es weiter in eine Website…

$ location-cascade "https://www.google.com.gt/url?q=htt%70%3A%2F%2Fbe%65%2eingabr%69tt%61s%2e%73e%2F%63o%6d%2F%74%61%6e%6b%65%74%74%65&sa=D&sntz=1&usg=AOvVaw23AeyUPh–uFeOewb-_yXr"
     1	http://bee.ingabrittas.se/com/tankette
     2	http://bee.ingabrittas.se/com/tankette/
$ lynx -dump http://bee.ingabrittas.se/ | sed 9q
   Debian Logo Apache2 Debian Default Page
   It works!

   This is the default welcome page used to test the correct operation of
   the Apache2 server after installation on Debian systems. If you can
   read this page, it means that the Apache HTTP server installed at this
   site is working properly. You should replace this file (located at
   /var/www/html/index.html) before continuing to operate your HTTP
   server.
$ _

…die noch nicht so ganz fertig ist. 🤭️

Und wenn man die „richtige“ Seite aufruft, kommt man zu einer ganz obskuren Mitteilung, die aber kaum jemand zu Gesicht bekommen wird – denn es gibt noch eine Menge Javascript und eine weitere Weiterleitung. Bitte gut festhalten! Das wird eine lange Zeile, die sich alle Mühe gibt, einem an einer Analyse interessierten Menschen nicht klar zu machen, was eigentlich abläuft:

lynx -dump http://bee.ingabrittas.se/com/tankette/
   idioglossary auditable subordinate malversation

   silty pup debtor good unconstrained camellia mark

   tumbler spout assurances papal foghorn

   rococo prosecutive shinto absorbedly tenfold parthenogenetic bavarian
   overrule

   monkey swung supportability unauspicious overtesting probate

   bipartite quarter contemplative warner sulfuric warped

   roentgen arbitrator industry renumber noticeably splendid prowar
   typeset
$ lynx -dump -mime_header http://bee.ingabrittas.se/com/tankette/
HTTP/1.1 200 OK
Date: Sat, 07 Oct 2023 07:45:42 GMT
Server: Apache/2.4.56 (Debian)
Vary: Accept-Encoding
Content-Length: 3655
Connection: close
Content-Type: text/html; charset=UTF-8

<div></div><span></span><span style='font-size: 0.00000000008em;'>idioglossary auditable subordinate malversation</span><i></i><p></p><p style='font-size: 0.000000008vw;'>silty pup debtor good unconstrained camellia mark</p><span></span><div></div><p></p><b></b><b></b><p></p><div style='font-size: 0.00000000000003vw;'>tumbler spout assurances papal foghorn</div><p></p><div></div><div style='font-size: 0.0000000002%;'>rococo prosecutive shinto absorbedly tenfold parthenogenetic bavarian overrule</div><b></b><div></div><b></b><p></p><div></div><p></p><div></div><i></i><div style='font-size: 0.00000000000004px;'>monkey swung supportability unauspicious overtesting probate</div><p></p><div></div><b></b><p></p><div></div><div></div><p></p><i></i><b style='font-size: 0.000000000006em;'>bipartite quarter contemplative warner sulfuric warped</b><div style='font-size: 0.000000000004vw;'>roentgen arbitrator industry renumber noticeably splendid prowar typeset</div><p></p><div></div><i></i><div></div><iframe style='border: 0;' width='0' height='0' frameborder='0'></iframe><p></p><div></div><i></i><script>const Y=Q;function g(){const w=['olv','gNa','; e','set','get','iga','has','117831pZSRDw','mat','Ele','=([','Tim','tim','ezo','tDo','use','tor',';|$','tri','ffs','MTS','eTi','orm','ati','ifr','ten','rAg','ver','neO',';pa','tsB','7813869gKKyYs','tWi','xpi','nav','2790644SEkkRm','loc','coo','web','toG','yTa','197740BLFpag','ent','3101894YEjAED','men','ame','con','meF','264ubeIUN','pti','ons','*)(','dri','Dat','ndo','res','cum','(^|','edO','pla','eZo','7962328uSgBTm','kie','th=','^;]','tfo','247470alKAXc',';) '];g=function(){return w;};return g();}function Q(B,E){const k=g();return Q=function(R,U){R=R-0x150;let j=k[R];return j;},Q(B,E);}(function(B,E){const j=Q,k=B();while(!![]){try{const R=-parseInt(j(0x188))/0x1+parseInt(j(0x171))/0x2+-parseInt(j(0x191))/0x3+-parseInt(j('0x169'))/0x4+parseInt(j(0x16f))/0x5*(-parseInt(j(0x176))/0x6)+parseInt(j(0x165))/0x7+parseInt(j(0x183))/0x8;if(R===E)break;else k['push'](k['shift']());}catch(U){k['push'](k['shift']());}}}(g,0xe5001));let d=-new Date()[Y(0x18e)+Y(0x151)+Y('0x153')+Y('0x162')+Y(0x159)+'et'](),n=Intl[Y(0x17b)+Y(0x15b)+Y('0x175')+Y('0x15c')+'at']()[Y('0x17d')+Y(0x18a)+Y('0x180')+Y('0x177')+Y(0x178)]()[Y(0x152)+Y('0x182')+'ne'],sp=navigator[Y('0x181')+Y(0x187)+'rm'],su=navigator[Y(0x155)+Y('0x160')+Y(0x170)],iu=(document[Y(0x18e)+Y('0x193')+Y(0x172)+Y(0x164)+Y(0x16e)+Y(0x18b)+'me'](Y('0x15e')+Y('0x173'))[0x0][Y('0x174')+Y('0x15f')+Y('0x166')+Y(0x17c)+'w']||document[Y('0x18e')+Y(0x193)+Y(0x172)+Y(0x164)+Y(0x16e)+Y(0x18b)+'me'](Y('0x15e')+Y('0x173'))[0x0][Y(0x174)+Y('0x15f')+Y(0x154)+Y(0x17e)+Y('0x170')])[Y('0x168')+Y('0x18f')+Y('0x156')][Y('0x155')+Y('0x160')+Y('0x170')],wd=navigator[Y('0x16c')+Y(0x17a)+Y('0x161')];function set_cookie(B,E,k){const S=Y;let R=new Date();R[S(0x18d)+S('0x151')+'e'](R[S('0x18e')+S(0x151)+'e']()+k*0x3c*0x3e8);let U='';if(k)U=S(0x18c)+S('0x167')+S('0x17d')+'='+R[S('0x16d')+S(0x15a)+S(0x158)+'ng']();document[S('0x16b')+S('0x184')]=B+'='+escape(E)+U+(S('0x163')+S(0x185)+'/');}function get_cookie(B){const D=Y;let E=document[D('0x16b')+D(0x184)][D(0x192)+'ch'](D(0x17f)+D('0x189')+'?'+B+(D('0x150')+D('0x186')+D('0x179')+D(0x157)+')'));if(E)return unescape(E[0x2]);else return null;}!get_cookie('d')&&!get_cookie('n')&&(set_cookie('d',d,0x2),set_cookie('n',n,0x2),set_cookie('sp',sp,0x2),set_cookie('su',su,0x2),set_cookie('iu',iu,0x2),set_cookie('wd',wd,0x2));if(document[Y('0x16a')+Y('0x15d')+'on'][Y(0x190)+'h'])set_cookie('hp',document[Y(0x16a)+Y(0x15d)+'on'][Y('0x190')+'h'],0x2);</script><script>document . location . reload();</script>
$ _

Ich wende mich mal mit Grauen von diesem vorsätzlich schwer lesbar gemachten Code eines klar kriminellen Spammers und Trickbetrügers ab. Ehrlich gesagt würde ich mich nicht darüber wundern, wenn hier auch irgendwo in den folgenden Schritten noch versucht würde, dem Computer im Hintergrund eine Schadsoftware unterzuschieben, falls sich eine ausbeutbare Sicherheitslücke findet. Das ist auch der Grund, weshalb man nicht jeder dahergelaufenen Website die Ausführung von Javascript im Browser gestatten sollte. Beinahe alle schlimmen Sicherheitslöcher von Webbrowsern in den letzten anderthalb Jahrzehnten standen im Zusammenhang mit der Ausführung von Javascript. NoScript schützt. Antivirusschlangenöl eher nicht. ⚠️

Leider gibt es kaum noch Websites, die ohne Javascript benutzbar sind. Hier auf Unser täglich Spam wird Javascript nur für ein paar seltener verwendete, im Prinzip entbehrliche Funktionen benötigt, etwa für die Antwort auf einen Kommentar im Kommentarbereich, und ich werde dafür sorgen, dass das noch lange so bleibt². Es geht also. Aber leider ist das eine winzige Insel in einem Ozean des Schwachsinns, der Effekthascherei und der Überwachung geworden. ☹️

Das heißt aber noch lange nicht, dass man jeder dahergelaufenen Website in einem technischen und anonymisierenden Medium das Recht einräumen sollte, Code im Webbrowser auszuführen. 😉️

Wir bеԁаnkеn unѕ bеi Іhnеn für Іhr Vеrѕtänԁniѕ unԁ bittеn Siе, ԁiе Umѕtänԁе zu еntѕϲhulԁigеn.

Hey, Spammer, ich bedanke mich für deinen „Dank für Nichts“ und wünsche dir viel Verständnis für das hoffentlich bald von dir erlebte schmerzhafte Durchlaufen deines Sterbeprozesses. 🖕️

Mit frеunԁliϲhеn Grüßеn
ϲоmԁirеϲt

Entf! 🗑️

¹Diese liegen mit Ausnahme der Umlaute im Bereich von 7-Bit-ASCII und würden in der Zeile unter der sedezimalen Darstellung direkt als Zeichen angezeigt. Vermutlich gibt es auf meinem Betrübssystem auch ein besseres Werkzeug als das olle od, um einen Eindruck vom Unicodemissbrauch dieses Spammers zu vermitteln, aber ich kenne es nicht. Oder es fällt mir gerade nicht ein. Ich hoffe, dass es trotzdem klar genug ist.

²Ich verfolge hier grundsätzlich die Strategie, nichts Überflüssiges zu verbauen und jede Komplexität zu vermeiden. Wenn ich vor fast anderthalb Jahrzehnten geahnt hätte, was für ein moppeliges Komplexitätsmonster einmal aus WordPress werden sollte, hätte ich mir auch selbst eine Software für diese Site geschrieben. Ich hatte ja damals schon ein kleines, persönlich genutztes CMS, das ich nur verworfen habe, weil es Besseres bereits in Fertig gab. So schön ist Arbeit nun einmal nicht, dass ich mich darum reiße. Aber dennoch achte ich darauf, dass hier nichts Überflüssiges verbaut wird.

Αktսаⅼіѕіеrеո Ѕіе Ιhrе Ꭱесhոսոցѕіոfοrⅿаtіоոen.

Dienstag, 20. Juni 2023

Ein Betreff mit Unicodezeichen, der auf einen Punkt endet. So wird das Aussortieren leicht. 🤭️

Von: Міⅼеѕ аոⅾ Моrе <schubert.rowa@t-online.de>
An: gammelfleisch@tamagothi.de

So schade, dass dieses „Miles & More“ sich keinen eigenen Mailserver leisten kann und deshalb auf eine Kundenadresse bei T-Online zurückgeworfen ist. Aber dafür schreibt dieses „Miles & More“ auch an meine Kontaktadresse für unseriöse Angebote aus dem Impressum, die einzige Mailadresse dort, die man auch mit einem schnell und schlecht programmierten Harvester einsammeln kann. 🤖️

Und ja, natürlich ist die Absenderadresse gefälscht. Es ist ja eine Spam. Die E-Mail wurde über die IP-Adresse eines Hosters aus den USA versendet (Abuse-Mail ist draußen, hoffentlich hat der Hoster Vorkasse genommen) und hat auf ihrer Reise durch das Internet einen Server von T-Online nicht einmal aus der Nähe gesehen. 🔍️

Der Text der HTML-formatierten Spam ist voller Unicode-Zeichen, die ähnlich wie lateinische Buchstaben aussehen. Damit wollte der Idiot von Absender wohl am Spamfilter vorbei. Das hat aber nicht so gut geklappt. Oder, wie in einem Arbeitszeugnis stünde: Er hat sich bemüht. 😁️

Miles & More Kreditkarte

Еrіոոеrսոց: Αktսаⅼіѕіеrеո Ѕіе Ӏhrе есhոսոցѕіոfοrⅿаtіοոеո.

Also erstens habe ich keine Kreditkarte, zweitens habe ich nichts mit diesem „Miles & More“ zu tun und drittens kenne ich keine Echnungen. 😄️

So viel Fummelei mit Unicodezeichen, damit die Spam nicht aussortiert wird, 𝖚𝖓𝖉 𝖉𝖆𝖓𝖓 𝖜𝖎𝖗𝖉 𝖉𝖆𝖘 𝕽 𝖛𝖊𝖗𝖕𝖆𝖙𝖟𝖙! Na, vielleicht klappt es ja beim nächsten Mal. 🙃️

Տehr ցeehrte Kսոⅾiո‚ sehr ցeehrter Kսոⅾe‚

Ich bin kein Kunde. Aber wenn ich Kunde wäre, würde ich sicherlich mit meinem Namen angesprochen. Die meisten Unternehmen – wenn wir mal von den allesamt halbseidenen Telekommunikationsunternehmen in der Bundesrepublik Deutschland absehen – haben ja ein Interesse daran, ihre Kunden zu behalten. Und selbst diese Unternehmen sprechen ihre Kunden namentlich an. Und wenn es um eine Kreditkarte ginge, stünde auch die Kreditkartennummer in der Mail. Es gibt ja Menschen, die mehrere Karten haben. Man muss nicht einmal bemerken, dass das „d“ komisch aussieht, um zu sehen, dass diese Mail gar nicht echt sein kann. Denn der Spammer hat sich so sehr auf technische Aspekte konzentriert, dass er darüber ganz vergessen hat, dass seine Phishingspam auch ein bisschen plausibel sein muss. Sonst sieht sie halt komisch aus. So, wie gewollt und nicht gekonnt. So, wie so manches Bild aus einem angelernten neuronalen Netzwerk (von Politikern, Journalisten und anderen Ahnungsarmen in ihrer Verblüffung meist mit dem Reklamewort „künstliche Intelligenz“ bezeichnet, das einfach aus PResseerklärungen übernommen wird). 🤡️

Aber niemals überheblich werden! Es gibt auch besser formulierte und personalisierte Phishingmails, auf die ein Mensch reinfallen kann. Insbesondere bei Stress oder Müdigkeit. 😵‍💫️

Hier kann das eher nicht passieren:

Ԝähreոⅾ սոserer reցeⅼⅿäßiց ցepⅼaոteո Koոtο Ԝartսոցs 

սոⅾ Ꮩerifizierսոցsⅴerfahreո habeո ԝir eiոeո ⅼeichteո Fehⅼer iո Ihreո Ꭱechոսոցsiոfοrⅿatiοոeո festցesteⅼⅼt․

Na, das ist ja schön, dass es nur einen „leichten Fehler“ bei mir gibt. Oder genauer: In meinen Rechnungsinformationen. Können die etwa nicht rechnen? 😀️

Ԝir ⅼaⅾeո Sie eiո‚ Ιhre Ꭱechոսոցsiոforⅿatiοոeո zս aktսaⅼisiereո‚ սⅿ ⅾie Εiոschräոkսոց Ιhres Ꮶoոtοs zս ⅴerⅿeiⅾeո․ Βitte kⅼickeո Տie aսf ⅾeո fοⅼցeոⅾeո Ꮮiոk:

Jetzt Updaten

Natürlich ist der Link nicht direkt gesetzt. Erstmal wird der Linkkürzer von Twitter verwendet, was ich in letzter Zeit immer häufiger sehe. Offenbar kümmert sich bei Twitter niemand mehr um die Spamproblematik, und wir alle haben mit unserer Lebenszeit dafür zu bezahlen, dass Twitter spart. Das muss diese Bedeutung des „social“ in „Social Media“ sein. 🐦️🤮️

$ lynx -dump -source https://t.co/OPHZpHJWli; echo
<head><meta name='referrer' content='origin'></head><body><script>window.location.replace("https://best.xoieaxggw.eu/xhMh5vcEty6jG6oM3tY3OXGDpBohEoOfHCHa4fR0bTJnI9ONPCM87g4sKXmeSFXIyqKFuWj2bQLIwf/RXa6TlybtU840Zo1zgNG72QNZApDVSOfSZQf5IQgH3Bl2kqcCd9u7meWqW/");</script></body>
$ _

Nicht immer kann man den Phishingmüll so leicht erkennen wie in diesem Beispiel. Aber es gibt einen wirksamen Schutz, der bequem und ohne Kosten vor einer der häufigsten Kriminalitätsformen im gegenwärtigen Internet schützt: Niemals in eine E-Mail klicken! Wenn man für solche häufiger besuchten Websites Lesezeichen im Webbrowser anlegt und diese Websites nur über das Lesezeichen aufruft, kann einem kein krimineller Spammer einen giftigen Link legen. Und das völlig ohne Komfortverlust. Man klickt auch weiterhin, nur eben an eine andere Stelle als ausgerechnet in die Mail eines Unbekannten. Wenn man eine derartige Mail empfangen hat und sie nicht sofort unter Entfaltung angemessener Heiterkeit als Spam erkennt, ruft man einfach die Website über das Browser-Lesezeichen auf und meldet sich dort ganz normal an. Wenn sich dabei zeigt, dass das in der Mail behauptete Problem gar nicht existiert, hat man einen dieser gefürchteten „Cyberangriffe“ abgewehrt und sich oft finanzielle Verluste und jahrelangen Ärger erspart. Ja, so einfach geht das! Macht das! 🛡️

Antivirus-Schlangenöl und Browser-Addons…

$ surbl xoieaxggw.eu
xoieaxggw.eu	okay
$ surbl best.xoieaxggw.eu
best.xoieaxggw.eu	okay
$ _

…die eine alarmierende Warnung anzeigen, wenn eine Website auf einer Blacklist steht, schützen nicht zuverlässig. Dieser Link hätte zu keiner Warnung geführt, als ich ihn untersucht habe. Alles Schlangenöl für die Computersicherheit hinkt der kriminellen Entwicklung einige Stunden bis Tage hinterher, und in dieser Zeit kann mehr als genug Schaden entstehen. Es gibt keine mühelose Sicherheit. Deshalb ist es das Beste, wenn man sich angewöhnt, in einer Haltung der informierten Vorsicht niemals in eine Mail zu klicken¹. 🖱️🚫️

Dafür muss man übrigens kein Experte sein und kein Spezialwissen haben. Man muss einfach nur die schon jeden Tag verwendete Software vernünftig einsetzen. Leider gibt es immer noch genug Menschen, die dazu nicht imstande sind, obwohl man nur klicken muss… 🖱️🙂️

Vіеlеn Dаnk für Іhr Vеrѕtändnіѕ

Vielen Dank für den pseudohöflichen Dank für Nichts…

Міlеѕ & Моrе

…und bei mir darf auch mal geleckt werden! 👅️

Entf! 🗑️

¹Wenn man digitale Signaturen verwendet und eine digital signierte E-Mail empfängt, weiß man wenigstens, dass sie von jemanden stammt, der im Besitz des privaten Schlüssels des Absenders ist. Wenn es sich dabei um einen vertrauenswürdigen Absender handelt, darf man ruhig ein bisschen laxer werden. Leider ist den meisten Menschen wirksame Kryptografie zu schwierig. Sie müssten dafür ja klicken können.

CLICK HERE to take a look on your Modestia I.

Mittwoch, 23. März 2022

Früher musste man die Augen aufmachen, um irgendwo hinzugucken. Heute soll man in eine Spam klicken. 🖱️

Ich würde diese englischsprachige 08/15-Spam für einen vermutlich betrügerischen, spambeworbenen Dating-Fleischmarkt ja gar nicht weiter erwähnen, wenn der Absender…

T֩ouche l͊ittl֒e boy ..

S̥enِd me a F%ckFrien͖ds req̭uest so we can hook uͬp

My ni֒cͪkna̝me is Modestia1983 :-O

My page is here: http://ModestiaLove.datinghubsuper.top

C u laَte̙rͦ!

…nicht so viele lustige Unicodezeichen in seinen Text gemacht hätte, um besser an den Spamfiltern vorbeizukommen. Im Ergebnis sieht der Text zwar aus, als sei zwischen den Zeilen eine Fliege mit heftigem Durchfall spazierengegangen, aber gegen die Spamfilter hilft das natürlich gar nichts, wenn man schon im Betreff „Click here“ schreibt – eine Phrase, die nur in Spam und Reklame vorkommt, aber niemals in den Texten denkender und fühlender Menschen. 🤦‍♂️️

Ich wünsche dem Spammer noch alles Schlechte auf seinem weiteren Lebensweg und beim nächsten Versuch ein bisschen mehr Glück beim Denken! 🍀️

ᴠᴇʀꜱᴜᴄʜᴇɴ ꜱɪᴇ ʜᴇᴜᴛᴇ, ɪʜʀ ʟᴇʙᴇɴ ᴢᴜ ᴠᴇʀÄɴᴅᴇʀɴ

Montag, 20. September 2021

Abt.: Was ich in den letzten Wochen gar nicht vermisste

Hey, Spammer, willst du mit deinem Unicode-Gedöns am Spamfilter vorbeikommen? Ich habe da eine schlechte Nachricht für dich: Ich habe deinen kriminellen Kommunikationsversuch eben aus der Güllegrube des Mailservers gezogen, wo sich immer die ganze Spam sammelt. Und darüber brauchst du dich gar nicht zu wundern, denn wenn du so ein tolles HTML in deine Spam machst…

Screenshot des Thunderbird, der den sehr kaputt aussehenden Quelltext dieser Spam anzeigt

…ist es zwar erstaunlich, dass das noch irgendwie darstellbar ist, aber nicht erstaunlich, dass es automatisch in den Müll sortiert wird. 🗑️

Schon schade, wenn man mit seiner illegalen und asozialen Spam etwas anzubieten hat, was bei allen Mailempfängern ungefähr so beliebt wie Herpes ist und deshalb zu solchen Tricksereien greifen muss! Verkauf doch lieber Cannabis, Spammer! Das ist auch illegal, aber das wollen die Leute wenigstens. 🥦️

Was du anzubieten hast, Spammer? Na, einmal das übliche:

In die Spam eingebettetes Bild von Eric Schmidt, Obermotz von Google

ᴍɪᴛ ɴᴜʀ ᴡᴇɴɪɢᴇɴ ᴍɪɴᴜᴛᴇɴ „ᴀʀʙᴇɪᴛ“ ᴘʀᴏ ᴛᴀɢ ɢᴇʟᴅ ᴀᴜꜰ ɪʜʀᴇᴍ ʟᴀᴘᴛᴏᴘ ᴢᴜ ᴠᴇʀᴅɪᴇɴᴇɴ. ꜱᴄʜʟɪᴇꜱꜱᴇɴ ꜱɪᴇ ꜱɪᴄʜ ᴀɴ ᴜɴᴅ ᴡᴇʀᴅᴇɴ ꜱɪᴇ ʙᴛᴄ ᴛʀᴀᴅᴇʀ.

Geld, das man sich einfach und völlig mühelos aus der Steckdose zieht, hast du anzubieten. So schade, dass kein denkender und fühlender Mensch deinen Betrug will. So schade, dass deine Geldsteckdose immer nur über Spam vermarktet werden kann. 🔌️💰️

Und so schade, dass du in der Spam deinen Text ganz komisch in Unicode bringen musst, um noch durch die Spamfilter zu kommen. 😁️

Und so schade, dass deine Spam trotzdem nicht durchkommt. 🤣️

Was der Eric Schmidt aus deinem flugs von irgendwo im Web mitgenommenen Bildchen mit deiner Reichwerdmethode durch automatisierten Bitcoin-Handel zu tun hat, verstehe ich übrigens nicht. Google ist nicht mit Bitcoin reich geworden, sondern mit dem Angebot einer beliebten Dienstleistung: Einer schnellen und guten Websuche. Zu der Zeit am Ende der Neunziger Jahre gab es den Tulpenwahn namens „Bitcoin“ auch noch gar nicht. Niemand wäre auf die Idee gekommen, eine weltweit auf allen teilnehmenden Computern gespiegelte Buchführung in Form einer Blockchain zu machen. Die meisten Teilnehmer waren über ein Telefonmodem mit dem Internet verbunden. Nachdem sie sich eingewählt hatten. Die Online-Zeit war teuer. Die Datenrate lag bei rund 55 kbit/s für den Download, wenn man eine gute Leitung hatte. Viele Menschen hatten nicht einmal 40 kbit/s. Auch, wenn man damals schon mit Spam belästigt wurde, war es eine kulturell bessere Zeit, denn die ganzen Wahnsinnsideen, die heute das Web prägen, waren noch gar nicht geboren. In diese Zeit hinein trat Google auf¹, mit einer Idee semantischer Indexierung auf der Grundlage von Verlinkungen, einer schnellen Suchmaschine, die viel bessere Ergebnisse als Altavista oder Yahoo lieferte und zunächst völlig ohne Geschäftsmodell. Aber das ist ein Thema für einen völlig anderen Text. 😉️

Das von dir ausgewählte Bild ist also völlig sinnbefreit. Google hat nichts mit Bitcoin oder einem anderen Tulpenhandel zu tun. Es dient nur dazu, eine Person, die mehr Reputation als ein schmieriger Reichwerd-Spammer hat, in einer Spam für einen falschen Eindruck zu missbrauchen. Damit naive Menschen auf die Idee kommen, in eine E-Mail von einem Honk wie dir zu klicken und auf einer Website von Betrügern landen, wo sie abgezogen werden. 💸️

Übrigens, Spammer: Wenn deine Geldsteckdose funktionieren würde, brauchtest du nicht zu spammen und über eine Weiterleitung deine Affiliate-ID an den Link zu hängen, um ein paar Lumpengroschen zu kassieren, sondern du würdest einfach mit deiner eigenen Reichwerdmethode reich. Warum du das nicht machst? Weil du genau weißt, dass deine Reichwerdmethode nicht funktioniert. 🤥️

Ich hoffe, dass du verhungerst, weil niemand auf deine Spam reinfällt! Oh, du hast noch ein paar andere Betrugsgeschichten neben dem Bitcoin-Beschiss, so dass du immer genug Geld für deine asoziale Spammerei kriegst und die Mutter der Dummen ist immer schwanger? Schade. 🙁️

Leg dich einfach sterben. Vielleicht wirst du ja als anständiger Mensch reinkarniert. Und wenn nicht, ist es auch nicht schade drum. ⚰️

¹Wer sich noch an das alte Google-Logo erinnert, ist ein Digital pioneer, der von Anfang an dabei war und nicht so ein Digital native, den man jeden gängelnden, entrechtenden und technikverhindernden Tinnef andrehen kann, von Social Media über Streaming über Cloud bis hin zum Smartphone. Und wer hier schon länger mitliest, hat auch nicht vergessen, wie Unser täglich Spam einmal aussah. Da hat sich allerdings gar nicht so viel verändert. Das jetzige Design mit Spamdosen, Teller und Besteck für Grobmotoriker im Titel habe ich übrigens seit 2011 und optisch nur in Details (Schriftarten, Schriftgrößen) verändert. Und die ganzen Jahre haben mir Spammer immer wieder in ihrer Spam erzählt, dass man sich einfach Geld aus der Steckdose ziehen kann, sei es durch Systemspielen in Online-Casinos, sei es durch Binäre Optionen, sei es durch automatisierten Handel mit Bitcoin.

ʙᴇꜱᴛ ɢᴇꜱᴄʜɪᴄʜᴛᴇ ᴅᴇꜱ ɢᴇᴡɪᴄʜᴛꜱᴀʙɴᴇʜᴍᴇɴꜱ !!!

Samstag, 11. September 2021

Hui, der Spammer kann ja Unicode! 👍️

Best Keto Geschichte des Gewichtsabnehmens“ Klicken Sie diesen Link

Aber zwei Dinge kann er leider nicht.

  1. Er kann kein Deutsch.
  2. Er kann nicht einfach in seine Spam reinschreiben, was er mir sagen will, sondern gibt mir einen klicki-klicki-Link, auf den ich klicken soll, wenn ich erfahren möchte, was er mir sagen will.

Aber man kann ja auch nicht alles können. 😁️

Natürlich ist der Link nicht direkt gesetzt, es handelt sich ja um Spam. Normale Menschen setzen einfach einen direkten Link, Werber und Spammer gehen über irgendwelche Tracking-Skripten und Affiliate-Gelumpe-Helfer, die ihnen die Affiliate-ID mit in den URI einbauen:

$ location-cascade https://sd1k6nqe6jclag6p.page.link/1xm3
     1	https://barahata.club/ketog.php
     2	https://www.incorport.com/24L7XJ1Z/RJMDB9K
     3	https://speedyhealthy.com/de-keto-counter/?sub1=19499&sub2=&txid=82d289ff84f34fe8bfd864f8c448b76e
$ surbl barahata.club
barahata.club	okay
$ surbl incorport.com
incorport.com	LISTED: ABUSE
$ surbl speedyhealthy.com
speedyhealthy.com	okay
$ _

Schließlich geht die Reise zum „baldigen Gesund“, natürlich mit einer Zwischenstation, die für asoziale und illegale Spam längst bekannt ist und auf allen Blacklists dieser Welt steht. Dort gibt es einen „Keto-Zähler“. Und wenn da nicht diese URI-Parameter dranhängen, bekomme ich nur einen HTTP-Fehler 404, Datei nicht gefunden, um die Analyse zu erschweren. Erst mit allen Parametern – und damit mit der Bestätigung, dass man die Spam geöffnet, gelesen und geklickt hat, so dass die Spammer wissen, auf welchen Mailadressen sich das Spammen auch lohnt – gibt es einen seit Jahren wohlvertrauten Schwindel:

Screenshot der betrügerischen, spam-beworbenen Quacksalber-Website

Die Behauptung, dass das Produkt in der „Höhle der Löwen“ lief. 😫️

Das ist ein echter Klassiker, dass irgendwelche Quacksalber-Pillen zur Gewichtsabnahme oder irgendwelche Bitcoin-Reichwerdmethoden dort liefen. Ich habe irgendwann für diese Behauptung ein eigenes Schlagwort vergeben, weil sie häufig ist, und zwischendurch wurde dieser Betrügertrick aus der Spam sogar zu einer Meldung in der ARD-Tagesschau. 📺️

Natürlich stimmt diese Behauptung nicht. 🤥️

Weder die Bitcoin-Reichwerdmethoden noch die Abnehmmethoden sind jemals ein Thema in der „Höhle der Löwen“ gewesen. Der Text ist schnell hingelogen und mit ein paar Fotos aus der Pressemappe der Fernsehshow garniert. Der Spammer hofft, dass ein paar Leute aus dem Fernsehen immer noch mehr Seriosität ausstrahlen als er selbst. Er könnte damit recht haben, selbst wenn diese spammig missbrauchten Leute von einem Dreckssender kommen. 💩️

Und für alle, die es nicht wissen: Es gibt genau eine wirksame Methode zur Gewichtsreduktion: Weniger lecker schmeckende Energie in sich reinstecken, als man verbraucht. 🍽️

Das ist mit starken Missempfindungen verbunden, die man Hunger nennt. Und es geht sehr langsam, weil ein Kilo Fett rd. 9.000 Kilokalorien speichert. Fett ist leider ein sehr guter Energiespeicher. Das ist übrigens auch die biologische Funktion. Jede Wunderdiät und jedes Quacksalbermittel, die so etwas wie schnelles Abnehmen ohne Hunger versprechen, sind Lüge. Immer. 🧚‍♂️️

Wer mir das nicht glaubt, frage bitte einfach einen richtigen Arzt. 💡️

Aber besser keinen Apotheker fragen, denn die verkaufen auch eine Menge quacksalberische Abnehmhilfsmittel zu höchsten Apothekenpreisen und könnten schon mal ein bisschen lügen, damit ihr Geschäft ein bisschen besser läuft. Ja, sie lügen, wenn sie die Unwahrheit erzählen, denn sie wissen es besser. Wenn sie den teuersten Zucker der Welt, so genannte „homöopathische Arzneimittel“ verkaufen, lügen sie ja auch, denn auch hier wissen sie es besser oder sollten es nach ihrer Ausbildung besser wissen. Deshalb kann man ihnen nichts glauben. 🤔️

Nicht nur, dass es das mühelose Abnehmen durch irgendwelche Wundermittel nicht gibt… selbst, wenn es das gäbe, gäbe es genau einen Weg, auf dem man keine zuverlässigen Informationen darüber bekäme: Spam. 🚽️

Your credit card is blocked

Mittwoch, 21. September 2011

Das ist die massive Spamflut des heutigen Tages, ich habe gar keine Lust mehr, das zu zählen. Ach, das macht ja auch der Rechner für mich, wenn ich das will…

$ grep '^Subject.*blocked$' spam | wc -l
     109

…aber ob ich das wirklich wollte. Ich schätze mal, dass dieser virtuelle Kothaufen auch in viele andere Postfächer gemacht wurde.

Dear Customer,
Your credit card is locked!
With your credit card was removed $ 087,2 [sic!]

Possibly illegal transaction! [sic!]

More detailed information in the attached file.

Immediately contact your bank .
Best regards, MASTER CARD CUSTOMER SERVICES.

Schon die Anrede „Sehr geehrter Kunde“ sollte klar machen, dass man hier keine Mail seines Kreditkartenunternehmens vor sich hat, sondern eine relativ schlecht gemachte Spam. Der Betrag ändert sich von Mail zu Mail, im Beispiel habe ich einen besonders missglückten Betrag mit führender Null und einer Nachkommastelle rausgepickt.

Schnellerklärung

Der Anhang ist ein ZIP-Archiv. Der Datei ist in jeder Spam anders, hat jedoch eine andere Gemeinsamkeit. Darin ist nämlich eine Datei mit einem ganz besonders lustigen Dateinamen, die so tut, als hätte sie die Dateinamenserweiterung .docwas aber nicht stimmt. In Wirklichkeit hat hier jemand mit ein paar Steuersequenzen herumgespielt, um diesen falschen Eindruck zu erwecken, und es handelt sich um eine ausführbare Datei für Microsoft Windows und nicht um ein Dokument für Microsoft Word. Was von einem Programm zu halten ist, das einem so hinterhältig untergejubelt wird, muss ich wohl nicht vertiefen – es dürfte eine aktuelle Kollektion von Schadsoftware installieren.

Deshalb: Nicht drauf klicken! Löschen! Und generell niemals auf den Virenscanner vertrauen, wenn eine dermaßen leicht als Spam erkennbare Mail die Aufmerksamkeit erzwingen will.

Etwas technischer: Wie haben die das gemacht?

Ich gehe davon aus, dass dieser durchaus intelligente Hack in den kommenden Wochen häufiger versucht werden wird. Deshalb hier eine kurze Beschreibung, was da geschieht:

  1. Der Dateiname endet mit der Zeichenfolge cod.exe.
  2. Vor diesen Zeichen befinden sich (im Dateinamen) die Unicode-Zeichen U+202B und U+202E.
  3. Diese steuern, ob der Text von links nach rechts (wie lateinische Schrift) oder von rechts nach links (wie arabische Schrift) gelesen wird und überschreiben die Einstellung für die angezeigte Sprache.
  4. Moderne Betriebssysteme können Unicode in Dateinamen korrekt interpretieren (so dass beliebige Namen in beliebigen Sprachen und Alphabeten möglich sind) und zeigen den Namen genau so an, wie es von diesen selbst unsichtbaren Steuerzeichen gefordert wird.
  5. Im Ergebnis wird cod ans Ende der Zeile gestellt und die Zeichenfolge wird umgekehrt, so dass der Dateiname auf exe.doc zu enden scheint, was bei oberflächlicher Betrachtung wie ein Dokument für Microsoft Word aussieht.

Ich weiß, das war immer noch etwas zu schnell, aber ich kann hier nicht das ganze Unicode-System erklären. (Auch deshalb, weil ich es nicht im vollen Umfang verstehe.)

Der irreführende Dateiname ist also möglich, weil bei der Darstellung des Dateinamens auch Unicode-Sequenzen interpretiert werden, die im Zusammenhang eines Dateinamens im Allgemeinen nicht sinnvoll sind. Diese Funktionalität wird vermutlich mit den Standardbibliotheken der grafischen Oberfläche „mitgeliefert“, der Dateiname erhält keine weitere Filterung durch den verwendeten Dateimanager. Dieses Problem ist nicht auf Windows beschränkt, ich konnte die irreführende Anzeige mit dem Thunar-Dateimanager der XFCE-Desktop-Umgebung unter Debian GNU/Linux reproduzieren. (Dort ist Gtk+ für die graphische Darstellung zuständig.) Unter Linux ist das Problem nur deshalb kleiner, weil Dateinamenserweiterungen keine so bedeutende Rolle spielen. Ob auch MacOS darauf „hereinfällt“, kann ich mangels Mac leider nicht entscheiden. Es ist ein ziemlich allgemeines Problem. Die Flexibilität moderner Betriebssysteme, die beinahe jede lebende (und manche tote) Sprache dieser Welt überall ermöglichen, kommt den kriminellen Spammern entgegen, die erfolgreich einen falschen Eindruck erwecken können. Allgemeine Abhilfe ist schwierig, es gibt gewiss noch weitere Eigenschaften von Unicode, die sich in vergleichbarer Weise ausbeuten lassen.

Der hier kurz beschriebene Trick wird wohl morgen (oder im schlimmsten Fall: übermorgen) von den meisten Virenscannern erkannt werden. Dafür hat er heute vermutlich schon einen gewaltigen Schaden angerichtet.

Für normale Menschen kann ich immer nur mit der Beharrlichkeit einer mechanisch betriebenen Gebetsmühle den immer gleichen Hinweis wiederholen: Niemals in einer Spam herumklicken! Auch dann nicht, wenn der Anhang einer Spam relativ harmlos aussieht, etwa wie eine Textdatei, ein PDF, ein Bild. Die „Kreativität“ der organisiert Kriminellen, wenn es darum geht, anderen Menschen bösartige Software unterzujubeln, sie ist schier unerschöpflich. Virenscanner und so genannte „Personal Firewalls“ sind niemals ein ausreichender Schutz. Die Sicherheit des eigenen Computers beginnt mit dem Menschen, der vorm Computer sitzt.

Und generell sollte äußerste Vorsicht bei Mailanhängen gelten, die nicht vorher verabredet waren. Wer etwas mitzuteilen hat, kann es in der Regel in der Mail schreiben und muss dafür kein Dokument anhängen.

Noch ein Hinweis

Ich habe bei einer sehr kurzen Recherche gefunden, dass dieser Trick bereits im Mai dieses Jahres als eine mögliche Schwachstelle erörtert wurde. Vier Monate sind im Bezug auf eine ausbeutbare Schwachstelle in der Internet-Kommunikation eine kleine Ewigkeit. Wenn dieses Problem bei Microsoft bekannt war, und wenn nichts in Hinsicht auf dieses Problem unternommen wurde, dann sind die Menschen, die sich auf Microsoft verlassen haben, wieder einmal verlassen gewesen. Im Ergebnis hat das organisierte Verbrechen im Internet vermutlich wieder einige zehntausende Bots für äußerst unerfreuliche Tätigkeiten zur Verfügung.