Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „wix.com“

David Peterson

Freitag, 10. März 2017

So nannte sich die Gestalt, die den folgenden Kommentar zur Einleitung eines Vorschussbetruges hier auf Unser täglich Spam absetzen wollte.

Man beachte: Das ist ein Blogkommentar! Da fangen wir doch alle mit den Worten „Wie geht es Ihnen heute“ an… :D

Wie geht es Ihnen heute? Ich bin Herr David Peterson von David Peterson Darlehen Firma und ich muss Ihnen sagen, wie erfreut, Ihnen zu informieren, dass wir jetzt Darlehen zu einem sehr niedrigen Zinssatz von 2. Kontakt unsere Firma für dieses hervorragende Darlehen Angebot per E-Mail als davidpetersonloanfirm1@outlook.com oder besuchen Sie unsere Website auf http://davidpetersonloanf.wix.com/davidpetersonloan. Wir geben Lebenszeit Darlehen Möglichkeiten für Einzelpersonen, Unternehmen und Unternehmen etc. Sind Sie in irgendeiner finanziellen Schwierigkeiten oder in der Notwendigkeit von Darlehen zu investieren oder Sie brauchen ein Darlehen, um Ihre Rechnungen zu bezahlen nicht mehr, wie wir hier sind, um alle Ihre finanziellen Schwierigkeiten a Sache aus der Vergangenheit.

E-Mail: davidpetersonloanfirm1@outlook.com
Website auf http://davidpetersonloanf.wix.com/davidpetersonloan

Der Text: Ohne weitere Worte! :lol:

Ich habe mich ja immer gefragt, was das für Gestalten sein werden, die einen Website-Baukasten mit dem im deutschen Sprachraum nicht ganz so vorteilhaften Namen „Wix“ benutzen werden, und heute habe ich die Antwort darauf bekommen. Diese Vorschussbetrüger stören sich auch nicht daran, dass Menschen, die halbwegs sichere Browsereinstellungen haben, auf einer derartigen Drecksseite gar nichts sehen können, weil sie selbstverständlich nicht (wie es leider die Standardeinstellung aller Webbrowser geworden ist) jedem anonymen Gegenüber im Web das Ausführen von Code im Webbrowser gestatten. Nein, ein Vorschussbetrüger zielt auf die Naiven, die Dummen, die völlig Unerfahrenen und auf die vor Verzweiflung dumm Gewordenen. Jeder andere weiß sofort, dass in einem Blogkommentar keine Darlehen angeboten werden.

Nun gut, für derartig Javascript-verseuchte Websites von Spammern habe ich eine virtuelle Maschine, und die tolle Website habe ich mal gescreenshottet – mit hier leider nicht wiedergegebenen Texteinblendeffekten der Marke ‚Anderthalbjähriger Schimpanse experimentiert mit PowerPoint-Folienübergängen‘. Oh, mir fällt gerade auf, dass ich den Ton abgestellt hatte. Hoffentlich habe ich da nichts verpasst. :D

Aber immerhin, dies ist die erste Website eines Kommentarspam-Vorschussbetrügers in meiner bisherigen Spamlesekarriere – vermutlich wird es so etwas auch einmal in besser geben:

Screenshot der mit Wix gemachten Website des Darlehen-Vorschussbetrügers

Am besten gefällt mir ja die Hintergrundgrafik… ;)

Ich habe die Seite natürlich eben gerade bei „Wix“ verpetzt und gehe davon aus, dass sie dort nicht mehr lange zu sehen sein wird. Denn auch „Wix“ dürfte nicht das geringste Interesse daran haben, zu einem Biotop für Betrüger zu werden. Das ist ja auch nicht so gut für die Reputation.

Re:

Mittwoch, 30. März 2016

Tja, mit den Worten hat es dieser Spammer nicht so, stattdessen „erfreut“ er seine Empfänger mit einem 55,3 KiB schweren Bildchen, das deutlich weniger als tausend Worte sagt:

Abbildung einer Medikamentenflasche mit Etikett 'VigRX for Men, oral', an der Medikamentenflasche ein 'Product Security Seal', dass dazu auffordert, auf einer Website sechzehn Neunen einzugeben, um die Echtheit des Produktes zu prüfen, dazu der Text 'Natürlich und effektiv. Die erste Wahl seit 2001. Offizielle Website von VigRX.

Ich mag ja das Spamsiegel mit den vielen Neunen, das mir ermöglicht, die Echtheit zu überprüfen – hier noch einmal etwas vergrößert und dadurch leider verwaschen, aber in seiner Peinlichkeit viel deutlicher:

Detail aus der Spam. Das Siegel. 'Visit VigRX.com & input code -- Check Authenticity -- 9999 9999 9999 9999 -- LeadingEdge Health -- Product security seal

Ob die so angepriesene Pimmelpille wirklich etwas für den Pimmel tut, kann ich natürlich nicht sagen, aber zur Förderung zur Selbstmassage des Zwerchfells ist sie nicht schlecht.

Nach diesem Einblick in die von sechzehn Neunen besiegelte Echtheit des Produktes noch ein weiterer Blick in seine Präsentation im Web – natürlich nehme ich aus naheliegenden Gründen keinen „richtigen“ Browser dafür, sondern schaue mir auf der Kommandozeile an, was einem Besucher unbemerkt alles zugemutet wird. In den folgenden Zeilen habe ich stark gekürzt, um die endlosen Javascript-, Tracker- und Zählerwüsten zu ersparen¹:

$ lynx -mime_header http://www.exelorio.biz.ua/exelorio/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:41:46 GMT
Content-Type: text/html
Content-Length: 1496
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:59:18 GMT
ETag: "37c0390-5d8-52f314605d690"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.exelorio.biz.ua/medipreise/index.html">
$ _

Tja, so ist das eben, wenn man eine „offizielle Website“ aus der Spam besucht – das ist niemals ein direkter Link, sondern immer eine alles verschleiernde Weiterleitungswüste. Und nein, mit einer Weiterleitung ist es nicht genug. Auch hier habe ich wieder stark gekürzt:

$ lynx -mime_header http://www.exelorio.biz.ua/medipreise/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:49:02 GMT
Content-Type: text/html
Content-Length: 1488
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:58:52 GMT
ETag: "37c038e-5d0-52f31448237bd"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.medipreise.info/#!vigrx/q5zpo">

$ _

Ob es wohl gleich noch eine Weiterleitung gibt?

$ lynx -mime_header 'http://www.medipreise.info/#!vigrx/q5zpo' | sed '/^\s*$/q'
HTTP/1.1 200 OK
Cache-Control: max-age=0, must-revalidate
Content-Language: en
Content-Type: text/html;charset=UTF-8
Date: Wed, 30 Mar 2016 07:01:18 GMT
ETag: ffca9f612019e88c0c0b71d1b0c10a32
Expires: -1
Pragma: no-cache
Server: Pepyaka/1.9.9
Vary: User-Agent,Accept-Encoding
Via: 1.0 username.wix.com
X-Seen-By: /0b3tu7BwMUubvM+8DFnyIZhbXxmdS0SoYtN65Ns3dwVg8yBNrCddpK11/FwIFN7,LwsIp90Tma5sliyMxJYVEimxe5u57vJkW8Ut+ygV+W3naXGSE7xQP0F5eUkr7UI2,Tw2AanFDQ+Wwo8Xxk6ZL7rHKeAJXtkPxqn+uc4aMlOC9TZSDiwEgQLyYAOfMlNNfnUoPRWylvzmW1WtoYIgS/A==,9/zAiwmuIQ5G9xgIqi9IpfKjiM3HhjsT5sK9PwlANII=
X-Wix-Renderer-Server: app205.vae.aws
X-Wix-Request-Id: 1459321278.2271453355868244144
Content-Length: 16073
Connection: Close

$ _

Aber nein. Damit sind wir endlich am „Ziel“ angekommen – auf einer tollen Seite mit dem tollen Titel „Preisvergleich in Apotheken“, die so stark auf Javascript setzt, dass sie ohne Javascript fast nichts mehr anzeigt. Weil der Spammer es nicht so mit Technik hat und das Internet eigentlich nur zum Spammen verwenden möchte, wurde diese Seite schnell mit dem kostenlos nutzbaren „Website Builder“ unter wix (punkt) com zusammengeklickt², dessen Website einem eventuellen Besucher ohne Javascript übrigens auch gar nichts zu sagen hat, nicht einmal ein Impressum ist verfügbar. Dafür gibts wenigstens ein Video. Hier bekommt die „Generation Jamba“ die Gelegenheit geboten, sich ins Web zu entfalten… ach! :(

So, jetzt aber zum gülden gleißenden Glanzstück der flüchtigen Recherche. Hier ist der Inhalt der Website der Spamkünstler, zusammengesetzt aus etlichen Quellen, technisch realisiert mit wix (punkt) com, inhaltlich hochreiner Bullshit, dargestellt in einem Firefox mit abgeschaltetem Javascript:

VigRX

VigRX™ ist ein ganzheitliches [Bingo!] und natürliches [Bingo!] Nahrungsergänzungsmittel zur Stärkung der männlichen Potenz und zur Steigerung der Penisgröße [Bingo!]. Es liefert wichtige Vitamine [Bingo!] und Nährstoffe [Bingo!] und optimiert [Bingo!] hierdurch die Durchblutung im Genitalbereich, was zu härteren und länger anhaltenden Erektionen führt. Die Wirkung fördert [Bingo!] zudem das körpereigene Zellwachstum [Bingo!] im Penis und setzt somit ein natürliches Peniswachstum [Bingo!] in Gang.

Willkommen auf der offiziellen Webseite von VigRX™. | 5% OFF Code: XXQRT8

© 2016 Die günstigsten preise [sic!]

Nun, ich wünsche guten Appetit mit dem ganzheitlichen und natürlichen Nahrungsergänzungsmittel, das den Pimmel länger macht. Der Link auf die „offizielle Website“ ist über Googles URL-Kürzungsdienst maskiert, weil Spammer nun einmal keine direkten Links mögen und weil so…

$ lynx -mime_header http://goo.gl/nvzC2D | sed '/^\s*$/q'
HTTP/1.0 301 Moved Permanently
Strict-Transport-Security: max-age=10886400;
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Date: Wed, 30 Mar 2016 09:32:38 GMT
Location: http://track.healthtrader.com/track.php?c=cmlkPTEwMDU5MyZhaWQ9NTAwMTAxNjI
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Accept-Ranges: none
Vary: Accept-Encoding

$ _

…die angehängte Affiliate-ID weniger auffällt. Auf der Zielseite gibt es übrigens keinerlei Inhalte, die man ohne Flash und Javascript betrachten könnte – und ein in einem sicher konfigurierten Browser sichtbares Impressum gibt es auch nicht. Aber wozu denn auch, es geht ja nur um die Gesundheit. :twisted:

¹Die gelegentlich sichtbare Pipe auf sed ist dafür da, die Ausgabe nach den HTTP-Headerzeilen (also nach der ersten Leerzeile) abzubrechen. Für die Syntax von sed kann ich nichts, außer vielleicht sagen, dass es nicht halb so schlimm ist, wie es aussieht – aber oft sehr nützlich. Der eingefügte Kommentar mit dem Hinweis auf eine Löschung ist natürlich von mir.

²Natürlich kann der mir unbekannte Betreiber von wix (punkt) com nichts dafür, dass ein derartiges Angebot auch von Vollidioten wie diesem Spammer genutzt wird. Eine auch in einem sicher konfigurierten Browser sichtbare Kontaktadresse für die Meldung eines Missbrauches hätte ich gut gefunden, das Fehlen einer solchen Kontaktadresse halte ich für ein Zeichen, dass man von diesem Dienst unbedingt die Finger lassen sollte. Außer natürlich, man ist Spammer und möchte mit seinen grenzkriminellen oder offen kriminellen Webauftritten nicht vorzeitig aus dem Web entfernt werden… dafür bietet wix (punkt) com in der momentanen Form ein ideales Biotop.