Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Yandex“

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! ;)

Dating -- für Freundschaft und Sex in deiner Stadt -- Sehen sie die profile >>>

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht… :mrgreen:

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… ;)

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

Screenshot der durch Spam beworbenen, mutmaßlich betrügerischen Dating-Website

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… :D

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.

Unser Wegweiser zum neuen Kredit

Freitag, 26. September 2014

Nachdem die typischen Angebote der Marke „wir geben jedem ein billiges Darlehen, Bonität ist uns egal, im Ausland wächst das Geld einfach so auf Bäumen“ von jedem Spamfilter aussortiert werden, versuchen es die Vorschussbetrüger einfach mal ganz ohne Text, indem sie ihre tolle Nachricht in einer großen JPEG-Grafik unterbringen:

Das Bild mit dem Darlehensangebot

Nun, das muss man dem Spammer lassen: So klappt es wenigstens auch mit den Umlauten. :mrgreen:

Gruß auch an Yandex, eine in Osteuropa sehr beliebte Suchmaschine, die seit drei Jahren immer wieder einmal (das letzte Mal gestern) eine Warnung vor Unser täglich Spam ausgibt und dieses Blog auch auf Blacklists setzen lässt, weil es hier angeblich Schadsoftware gibt, aber derartigen Gestalten mit einer kostenlosen und anonym einzurichtenden Mailadresse aushilft. Aufgrund meiner früheren Erfahrungen mit Yandex sehe ich davon ab, dort wahrscheinlich vergeblich auf den Missbrauch der Dienstleistung durch Kriminelle hinzuweisen.

Ach ja: Ein Darlehen gibts bei den spammenden Verbrechern natürlich nicht. Aber dafür kann man ihnen einen schönen Datenstriptease hinlegen – hmm, lecker Daten für die Organisierte Kriminalität – und Geld als „Bearbeitungsgebühr“ über MoneyGram, Western Union und vergleichbare anonymisierende Dienstleister bezahlen.

Yandex Search found malware on your website spam.tamagothi.de

Sonntag, 14. Oktober 2012

Das ist in gewisser Weise nur eine halbe Spam, aber dennoch in seiner Gänze der Erwähnung würdig.

Hi,

Some of the pages on your website may pose a threat to your visitor’s computer security. The number of potentially harmful pages is 1. You can view the details of our malware scan at http (doppelpunkt) (doppelslash) yandex (punkt) com (slash) infected (frageeichen) url (gleich) spam (punkt) tamagothi (punkt) de (kaufmannsund) l10n (gleich) en. To learn about how to find malicious code and delete it from your pages, please go to the help section http (doppelpunkt) (doppelslash) help (punkt) yandex (punkt) com (slash) webmaster (slash) (fragezeichen) id (gleich) 1115235#1115243 of our free website management service Yandex.Webmaster http (doppelpunkt) (doppelslash) webmaster (punkt) yandex (punkt) com/.

Yandex is one of the world’s leading search engines and a popular web portal (http (doppelpunkt) (doppelslash) company (punkt) yandex (punkt) com (slash) general_info (slash) yandex_today (punkt) xml). We continually check all websites in our search index using our own antivirus suite which integrates the signature and the behavioral approaches to malware detection. Read more about our antivirus technology at http (doppelpunkt) (doppelslash) company (punkt) yandex (punkt) com (slash) technologies (slash) antivirus_technology (punkt) xml.

This is an automated message to alert you about a problem detected on your website. This service free [sic!] and does not require registration.

To receive additional information about your website, including the list of infected pages, or to request a check-up after the malicious code has been deleted, please register on our free website management service Yandex.Webmaster (http (doppelpunkt) (doppelslash) webmaster (punkt) yandex (punkt) com).

Best regards,
Yandex Safe Search Team

Wer verstehen möchte, warum ich diese Mail dennoch hier im Spamblog erwähne, lese bitte weiter, was ich zu dieser Mail geschrieben habe und was ich auf Grundlage des Stiles dieser Mails und meiner Erfahrung mit diesem alarmierenden Bullshit von diesen vollständig nutzlosen Mitteilungen von Yandex halte.