Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Yandex“

Re: Sofortkredit

Samstag, 11. Mai 2024

Hui, an admin@tamagothi.de, das riecht schon nach Spam, bevor man auch nur den ersten Blick darauf wirft.

Wieso „Re:“? Ich habe diesem James G. Martin…

Von: James G. Martin <guest@hanbiro.net>
Antwort an: Recipients <guest@hanbiro.net>
An: contactdcd@ltdclient.com

…noch nie geschrieben. Und persönlich ist diese Mail auch nicht. Dieser E-Müll geht als BCC an ganz viele Empfänger auf einmal. Deshalb stehe ich ja auch nicht als Empfänger drin. Natürlich soll man auch nicht an die Absenderadresse antworten, sondern an eine Adresse…

$ host ltdclient.com
ltdclient.com mail is handled by 10 mx.yandex.net.
$ _

…deren E-Mail über das russiche Portal Yandex betrieben wird. Mehr muss man gar nicht wissen, um zu sehen, dass es hier um die Einleitung eines Vorschussbetruges geht und um eine kurze Zuckung im Löschfinger zu bekommen.

Hmm, ob dieser Darlehensgeber in seiner Domain für die Mailadressen wohl auch eine Website betreibt? Das wäre ja ganz praktisch, wenn man so ein Kreditinstitut hat. Mal gucken:

$ lynx -dump ltdclient.com
                             www.ltdclient.com.com

   Coming soon.
$ whois ltdclient.com | grep -i ^creation
Creation Date: 2024-02-10T14:30:06Z
$ datediff 2024-02-10
2024-02-10 is 91 days before 2024-05-11
$ _

Oh, die ist leider noch nicht fertig, die Website. Na ja, die Domain ist ja auch noch jung. Und sich schnell mit einem dieser Baukästen für Websites eine Fassade zusammenzuschieben, ist doch viel zu viel Mühe. Wenn ein Spammer sich Mühe geben wollte, brauchte er nicht zu spammen, sondern könnte gleich arbeiten gehen. Und wenn er nicht die Intelligenz der Empfänger seiner Spam so sehr verachten würde, dann würde er sich vielleicht mal neue Betrugsmaschen ausdenken. Welche, bei denen mir nicht vor lauter Gähnen das Lachen vergeht. 🥱️

Na, das ist sicher eine lustige Spam:

Hallo Herr/Frau,

Ja, ich bin eines davon. Das habe ich zwar mit über 99 % der Menschheit gemeinsam, aber wenigstens ist eine Spam mit dieser Anrede ein bisschen persönlich. 🤭️

Wir bieten Darlehen im Bereich von zehntausend Euro bis zu fünfzig Millionen Euro zu einem attraktiven Zinssatz von 1,8 % an.

Wenn dieses Angebot für Sie interessant ist, zögern Sie nicht, uns per E-Mail zu kontaktieren, um weitere Informationen zu erhalten oder Ihre Finanzierungsbedürfnisse zu besprechen.

-James G. Martin

Aha, ihr seid also die Spambank. Ihr gebt das schöne Geld raus wie die Spam. Hier zehntausend, dort die Milliönchen. Bonität spielt für euch keine Rolle, jeder Mensch soll etwas haben. Bis zu fuffzich Millionen. Euro, nicht Rubel. Endlich mal wieder so richtig nach Herzenslust durchkaufen! 🛒️

Mit Stable Diffusion generiertes Bild.Wer ein bisschen naiv ist und das interessant findet, soll diese nicht digital signierte Mail – die nicht nur im Klartext, also offen wie eine Postkarte, durch das Internet befördert wurde, sondern auch auf dem gesamten Transportweg beliebig verändert werden konnte, ohne dass der Empfänger das bemerken könnte – beantworten. Unverschlüsselt, denn ein Schlüssel für die Antwort wurde nicht mitgeteilt. Wer braucht schon diese Diskretion in Gelddingen? Das kann man auch alles auf Postkarten machen. Die Kontoauszüge werden doch auch immer auf Postkarten gedruckt. Und bitte nicht an die Absenderadresse antworten, denn die ist gefälscht. Aber das mit den Dalehen stimmt. Fest dran glauben!

Entf! 🗑️

Exklusive Miele – Triflex HX2 vacuum cleaner Belohnungen für Sie

Mittwoch, 28. Februar 2024

Oh schön, ich werde belohnt! Mit Belohnungen. Das ist ja schön. Und belohnend. Vermutlich hat der Computerübersetzer das Wort rewards ins Deutsche übertragen, und was wir bei allem Gefasel um die so genannte „künstliche Intelligenz“ noch nicht haben, ist ein künstliches Sprachgefühl in einigermaßen erträglicher Form. Obwohl: Es ist ja schon viel besser geworden. Es sind wenigenstens keine „Entschädigungen“ geworden. Jetzt müsste nur noch jemand dem Übersetzer beibringen, was vacuum cleaner auf Deutsch heißt.

Irgendwann werden die Menschen – so sie nicht vorher ihre Selbstausrottungsbemühungen intensivieren und mit einem großen Erfolg krönen – immer mehr damit anfangen, so zu reden, wie es dumme „künstliche Intelligenzen“ und schlechte Übersetzungsprogramme vorgeben. Einige haben sogar schon seit langem damit angefangen. Man nennt sie Werber, und man nennt sie Spammer.

Mal schauen, was sonst noch so in der Spam steht:

Wir möchten uns bei Ihnen bedanken

Ja, dann tut es doch einfach! Ist doch nicht schwierig. 😁️

Herzlichen Glückwunsch, Sie wurden ausgewählt

Zu was? Ich will keinen Genickschuss. 😲️

Ja, das war der ganze Text der Spam. Also zumindest, wenn man eine Mailsoftware benutzt, die keine Bilder aus dem Web nachlädt und nicht auf diesem Weg zum Spammer zurückfunkt, das die Spam angekommen ist und angeschaut wurde.

Na gut, mal in den Quältext… ähm… Quelltext schauen:

[…]

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"><center><a href="https://fgbhdfgds34erfy.page.link/yRsRaH8vJBgiigLH6">
<h2>Wir möchten uns bei Ihnen bedanken</h2><br><h3>Herzlichen Glückwunsch, Sie wurden ausgewählt</h3>
<img src="https://i.ibb.co/VwJZTgh/tachtabt-de.png"></a><br>
<a href="https://fgbhdfgds34erfy.page.link/3b8SoEGqK5MznJtJ8"><img src="https://i.ibb.co/mBXS3p3/tachtabt-de-2.png"></a><br>

[…]

Das sind bestimmt tolle Bilder, die da angezeigt werden sollten:

$ curl -o tachtabt-01.png https://i.ibb.co/VwJZTgh/tachtabt-de.png
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 –:–:– –:–:– –:–:–     0
curl: (92) HTTP/2 stream 0 was not closed cleanly: PROTOCOL_ERROR (err 1)
$ lynx -dump https://i.ibb.co/VwJZTgh/tachtabt-de.png

Suche nach i.ibb.co
HTTPS-Verbindung zu i.ibb.co wird aufgebaut
Verifizierte Verbindung zu i.ibb.co (subj=i.ibb.co)
Zertifikat herausgegeben von: /C=US/O=Let's Encrypt/CN=R3
Sichere 256 Bit TLS1.3 (ECDHE_RSA_AES_256_GCM_SHA384) HTTP-Verbindung
HTTP Request wird geschickt.
HTTP Request geschickt; warten auf Antwort.
Obacht: Unerwarteter Netzlesefehler; Verbindung abgebrochen.
Zugriff fehlgeschlagen `https://i.ibb.co/VwJZTgh/tachtabt-de.png'
Obacht: Zugriff auf Dokument nicht möglich.

lynx: Unzugängliche Startdatei 
$ mime-header http://i.ibb.co/VwJZTgh/tachtabt-de.png
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 28 Feb 2024 08:23:45 GMT
Content-Type: text/html
Content-Length: 162
Connection: close
Location: https://i.ibb.co/VwJZTgh/tachtabt-de.png
$ _

Leider haben diese Spezialexperten den Trick mit dem TLS-Zertifikat nicht richtig hinbekommen. Aber über eine unverschlüsselte Verbindung kann ich mir das Bild auch nicht anschauen, da werde ich auf die TLS-gesicherte Verbindung weitergeleitet, denn ihren Webserver haben sie immerhin konfiguriert bekommen. Wenns auch nicht funktioniert. Dieser ganze Kryptografiekram hirnt aber auch immer! Und dass man einfach mal testet, bevor man ein paar hunderttausend Spams raussendet, wäre doch zu viel Mühe. Wenn Spammer sich Mühe geben wollten, brauchten sie doch nicht zu spammen, sondern könnten gleich arbeiten gehen. 🛠️

Aber will ich sie mal nicht so runtermachen, die Spezialexperten, denn sie können wenigstens spammen. 😁️

Und wenn man sich die HTML-Version ihrer Spam anschaut, steht zumindest auch ein bisschen Text in der Spam, wenn schon die Bilder nicht geladen werden können, weil die Spammer wegen ärgerlicher Bildungslücken mit ihrem Webserver überfordert sind. Übrigens gibt es in dieser Spam auch alternativ eine reine Textversion, so für die vielen Leute, die sich HTML-Mail gar nicht erst anschauen. Diese reine Textversion ist besonders erfreulich und erbäulich. Sie ist nämlich völlig leer. 🕳️

Vielleicht haben diese sichtbar bemühten Spammer bei ihrer nächsten Spamwelle ein bisschen mehr Glück beim Denken. Man kann ja nicht immer nur Pech haben. 🍀️

Aus den Biotopen des Internetsumpfes

Heute läuft es bei diesen Honks jedenfalls nicht so gut. Die haben mir sogar noch eine zweite Spam in den Posteingang machen wollen, und in dieser zweiten Spam benutzen sie sogar 𝖑𝖚𝖘𝖙𝖎𝖌𝖊 𝖀𝖓𝖎𝖈𝖔𝖉𝖊𝖟𝖊𝖎𝖈𝖍𝖊𝖓, statt ihren Text einfach auf der Tastatur zu tippen, so wie das ansonsten jeder denkende und fühlende Mensch machen würde, der sich nicht an Spamfiltern vorbeimogeln muss:

Betreff: Intelligente japanische Innovation

𝖶𝖺𝗋𝗎𝗆 𝖾𝗌 𝖽𝖺𝗌 𝖫𝖾𝖻𝖾𝗇 𝗌𝗈 𝗏𝗂𝖾𝗅 𝖾𝗂𝗇𝖿𝖺𝖼𝗁𝖾𝗋 𝗆𝖺𝖼𝗁𝗍?

𝗗𝗶𝗲 𝗦𝗽𝗿𝗮𝗰𝗵𝗯𝗮𝗿𝗿𝗶𝗲𝗿𝗲 𝘀𝗼𝗹𝗹𝘁𝗲 𝗻𝗶𝗰𝗵𝘁 𝗹ä𝗻𝗴𝗲𝗿 𝗜𝗵𝗿𝗲 𝗦𝗼𝗿𝗴𝗲 𝘀𝗲𝗶𝗻

Und diesmal klappt es sogar mit den Bildern, denn diese Spam enthält auch dieses prächtige Bildchen:

In die Spam eingebettetes Bild -- ENENCE -- ENENCE-Sofortübersetzer. Jede Sprache, jedes Land -- Führen Sie eine Echtzeit-Zwei-Wege-Kommunikation mit jeder Person auf diesem Planeten. Drücken Sie einfach die Taste, sprechen Sie und erhalten Sie die Sprachübersetzung in 1,5 Sekunden. -- ENENCE, ein revoluitionäres Gerät, mit dem Sie schneller, einfacher und billiger als je zuvor in 36 Sprachen auf der ganzen Welt kommunizieren können! Technologischer Durchbruch ermöglicht die Übersetzung Ihrer Sprache in nur 1,5 Sekunden. -- [ERHALTEN SIE EINEN RABATT VON 50%!]

Wie die Spammer das jetzt mit dem Bildchen hinbekommen haben, wenn sie doch mit dem TLS-Zertifikat für ihren Webserver gerade nicht so gut klarkommen, aber auch zu dumm sind, einfach mal diese dann völlig überflüssige Rewrite-Regel zu entfernen, die nicht funktionierende TLS-verschlüsselte Verbindungen erzwingt? Warum sie nicht einfach stattdessen unverschlüsseltes HTTP verwenden? Weil man dafür ja verstehen müsste, was man überhaupt macht? Vielleicht auch mal etwas Dokumentation zum Webserver lesen müsste? Also mehr Mühe hineinstecken müsste, als mal eben ein Videotutorial der Marke „Webserverkonfiguration in nur dreißig Sekunden für weitgehend hirnloses Gesäuge, das leider nicht als Fehlgeburt geendet ist und deshalb Brötchen und Atemluft in Dummheit verwandelt“ zu gucken, nachzumachen und zu scheitern?

Nun, ich verrate es euch, wie sie bei ihrem zweiten Spamversuch des Tages zum Erfolg gekommen sind: Sie haben für diese zweite Spam einfach ein Benutzerkonto bei Yandex angelegt, das Bild als Avatar für diesen Nutzer hochgeladen und dieses auf diese Weise bei Yandex gehostete Bild in die Spams eingebettet. 🤣️

Mal schauen, ob so eine Abuse-Mail bei Yandex überhaupt gelesen wird… 😉️

Aber schön, dass die Spammer mir jetzt zum guten Schluss auch noch mitgeteilt haben, mit welchem Übersetzer sie auf die Idee gekommen sind, dass ich mir mal eine „Belohnung“ verdient hätte. 😅️

Das Bild mit den Frauen, die durch ein schlammiges Sumpfgebiet gehen, habe ich mit Stable Diffusion erzeugt. Keine Frau hat sich dafür schmutzig gemacht.

Betreff: 2.000.000,00 USD WURDEN AUF IHREN NAMEN GESPENDET

Sonntag, 23. Januar 2022

Von: Haus Jona DSE OL <ol-haus-jona@dse-mission-leben.de>
Antwort an: Alice Walton <info@alicewaltonf.com>
An: undisclosed-recipients: ;

Der Absender ist gefälscht, und die Spam geht an ganz viele Leute gleichzeitig. Die E-Mail an die Antwortadresse geht nicht etwa zu einem eigenen Mailserver, weil es um so viel Geld geht und man deshalb wenigstens ein bisschen Vertraulichkeit haben möchte, sondern…

$ host alicewaltonf.com
alicewaltonf.com mail is handled by 10 mx.yandex.net.
$ _

…zu Yandex, wo sich jeder eine kostenlose und anonyme Mailadresse abholen kann. Die mutmaßlich (nein, ich kann das nicht sicher belegen) russischen Absender, die sich zum Spammen übrigens einen Server bei einem australischen Hoster gemietet haben – hoffentlich wurde dafür Vorkasse genommen! – sind technisch übrigens wesentlich besser als die durchschnittliche Canaille von Vorschussbetrüger: Die Mailheader sehen plausibel aus, enthalten keine leichten oder groben Fehler, das verwendete Spamskript wurde verstanden und die Spam ist sogar am Spamfilter vorbeigekommen. Das ist im Vorschussbetrug wirklich selten geworden. Obwohl es gar nicht so schwer ist. Ich glaube, die haben inzwischen gemerkt, dass ihre Mülltexte kaum noch ankommen, denn freiwillig würden die sich doch keine Mühe geben. 🛠️

Apropos Mülltexte: Echt jetzt, zwei Megadollar auf meinem Namen? Was ist denn mein Name? 😃️

Schönen Tag!

Das ist jedenfalls nicht mein Name. 😁️

Ihre E-Mail hat $2.000.000,00 des humanitären COVID-19-Programms von Alice Walton 2022 gewonnen. Kontaktieren Sie uns, um weitere Informationen darüber zu erhalten, wie Sie Ihre Spendengelder geltend machen können

Und meine E-Mail ist auch nicht mein Name. Aber meine E-Mail hat heute wirklich eine Menge Glück, denn fast jede meiner unter Spammern zirkulierenden Mailadressen wurde mit dieser Spam, ihren zwei Megadollar und meinem nicht genannten Namen beglückt. 🍀️

Danke und Gottes Segen
Alice-Walton-Stiftung

Danke für nichts!
Bleiben sie fromm und naiv!
Ihr Vorschussbetüger 🤡️

Hätten die Spammer sich doch beim Text auch noch etwas Mühe gegeben… 😁️

Entf! 🗑️

Hallo 4/14/2021 9:49:55 PM

Donnerstag, 15. April 2021

Aber genau mein Name! Sogar das Datumsformat stimmt! 👍️

Von: Michael Abert <admin@oxu.publicvm.com>
Antwort an: Michael Abert <michael.abert@pfl-kredit.com>
An: gammelfleisch@tamagothi.de

Natürlich ist der Absender gefälscht. Und die gesamte E-Mail für die Domain der Antwortadresse…

$ host pfl-kredit.com
pfl-kredit.com mail is handled by 10 mx.yandex.net.
$ _

…läuft in Wirklichkeit über Yandex. Damit das alles nicht zu russisch wird, wird die verwendete Domain…

$ whois pfl-kredit.com | grep -i ^registrant | sed 7q
Registrant Name: Domain Administrator
Registrant Organization: See PrivacyGuardian.org
Registrant Street: 1928 E. Highland Ave. Ste F104 PMB# 255
Registrant City: Phoenix
Registrant State/Province: AZ
Registrant Postal Code: 85016
Registrant Country: US
$ _

…über einen Dienstleister aus dem staubigen Arizona völlig anonym betrieben. Das wäre ja auch schade, wenn man von dieser lästigen Polizei ermittelt werden würde, wo man doch nur vom Betrug leben will.

Was für ein Betrug es ist? Kommt gleich. Erstmal die humoristisch wertvollen Bestandteile dieser Spam.

Hallo gammelfeisch@tamagothi.de

Oh, schon wieder genau mein Name! 👏️

Sehr geehrte Damen und Herren

Dieser Spammer kennt ja alle meine Namen! 😂️

Wir gewähren Darlehen in Höhe von 10.000,00 € bis 5 Mio. € mit einem Zinssatz von 2%

Und das ist der Betrug. Die geben keine Darlehen. Die nehmen nur finanzielle Vorleistungen dafür, und die soll man auch noch über anonymisierende Verfahren wie Western Union und Konsorten oder in jüngerer Zeit vermehrt über Kryptowährungen bezahlen. Hauptsache, der Geldfluss lässt sich für die Verbrecher gut anonymisieren. Die wollen ja nicht ins Gefängnis, sondern eine große Nase Koks ziehen und dann zum Prassen in den Puff. 🏩️

So, jetzt gut festhalten, der Deutschexperte war mal kurz pinkeln:

Die Zinsen und die Laufzeiten sind sehr attraktiv (2%) und in punkto Sicherheit beschränken wir uns auf das absolute Minimum.

Die Formulierung „in punkto Sicherheit beschränken wir uns auf das absolute Minimum“ ist die Realsatire des Tages im Posteingang. 🤣️

Interessiert? Dann kontaktieren Sie uns doch für weitere Informationen per e-mail.

Nein danke, ich habe schon Lachschmerzen. 😇️

Michael Abert.

Dass diesen Spammern aber auch immer so schöne Namen einfallen…

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! 😉

Dating -- für Freundschaft und Sex in deiner Stadt -- Sehen sie die profile >>>

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht… :mrgreen:

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

Screenshot der durch Spam beworbenen, mutmaßlich betrügerischen Dating-Website

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.

Unser Wegweiser zum neuen Kredit

Freitag, 26. September 2014

Nachdem die typischen Angebote der Marke „wir geben jedem ein billiges Darlehen, Bonität ist uns egal, im Ausland wächst das Geld einfach so auf Bäumen“ von jedem Spamfilter aussortiert werden, versuchen es die Vorschussbetrüger einfach mal ganz ohne Text, indem sie ihre tolle Nachricht in einer großen JPEG-Grafik unterbringen:

Das Bild mit dem Darlehensangebot

Nun, das muss man dem Spammer lassen: So klappt es wenigstens auch mit den Umlauten. :mrgreen:

Gruß auch an Yandex, eine in Osteuropa sehr beliebte Suchmaschine, die seit drei Jahren immer wieder einmal (das letzte Mal gestern) eine Warnung vor Unser täglich Spam ausgibt und dieses Blog auch auf Blacklists setzen lässt, weil es hier angeblich Schadsoftware gibt, aber derartigen Gestalten mit einer kostenlosen und anonym einzurichtenden Mailadresse aushilft. Aufgrund meiner früheren Erfahrungen mit Yandex sehe ich davon ab, dort wahrscheinlich vergeblich auf den Missbrauch der Dienstleistung durch Kriminelle hinzuweisen.

Ach ja: Ein Darlehen gibts bei den spammenden Verbrechern natürlich nicht. Aber dafür kann man ihnen einen schönen Datenstriptease hinlegen – hmm, lecker Daten für die Organisierte Kriminalität – und Geld als „Bearbeitungsgebühr“ über MoneyGram, Western Union und vergleichbare anonymisierende Dienstleister bezahlen.

Yandex Search found malware on your website spam.tamagothi.de

Sonntag, 14. Oktober 2012

Das ist in gewisser Weise nur eine halbe Spam, aber dennoch in seiner Gänze der Erwähnung würdig.

Hi,

Some of the pages on your website may pose a threat to your visitor’s computer security. The number of potentially harmful pages is 1. You can view the details of our malware scan at http (doppelpunkt) (doppelslash) yandex (punkt) com (slash) infected (frageeichen) url (gleich) spam (punkt) tamagothi (punkt) de (kaufmannsund) l10n (gleich) en. To learn about how to find malicious code and delete it from your pages, please go to the help section http (doppelpunkt) (doppelslash) help (punkt) yandex (punkt) com (slash) webmaster (slash) (fragezeichen) id (gleich) 1115235#1115243 of our free website management service Yandex.Webmaster http (doppelpunkt) (doppelslash) webmaster (punkt) yandex (punkt) com/.

Yandex is one of the world’s leading search engines and a popular web portal (http (doppelpunkt) (doppelslash) company (punkt) yandex (punkt) com (slash) general_info (slash) yandex_today (punkt) xml). We continually check all websites in our search index using our own antivirus suite which integrates the signature and the behavioral approaches to malware detection. Read more about our antivirus technology at http (doppelpunkt) (doppelslash) company (punkt) yandex (punkt) com (slash) technologies (slash) antivirus_technology (punkt) xml.

This is an automated message to alert you about a problem detected on your website. This service free [sic!] and does not require registration.

To receive additional information about your website, including the list of infected pages, or to request a check-up after the malicious code has been deleted, please register on our free website management service Yandex.Webmaster (http (doppelpunkt) (doppelslash) webmaster (punkt) yandex (punkt) com).

Best regards,
Yandex Safe Search Team

Wer verstehen möchte, warum ich diese Mail dennoch hier im Spamblog erwähne, lese bitte weiter, was ich zu dieser Mail geschrieben habe und was ich auf Grundlage des Stiles dieser Mails und meiner Erfahrung mit diesem alarmierenden Bullshit von diesen vollständig nutzlosen Mitteilungen von Yandex halte.