Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Autorenarchiv

Bezüglich Ihres 200% Willkommens-Bonusses

Freitag, 2. Mai 2014

Hallo !

Persönlich und freundlich wie immer.

Es wird Sie freuen, zu hören, dass Ihr exklusiver 200% Willkommens-Bonus soeben im ‚Ruby Palace eingetroffen ist.

Dieses Ding, dass man nach einer Einzahlung von Geld eine dreimal so hohe Zahl in irgendeinem Fenster anzeigt, muss erstmal irgendwo „ankommen“. Und das ist gerade eben erst passiert.

Klicken Sie hier http://bytegraf.com/choked.htm , um sich anzumelden und Ihren exklusiven Bonus zu erhalten.

Was da in der Domain bytegraf (punkt) com abgeleget wurde, ist eine einfache Weiterleistung auf die Website unter der in allen Blacklists dieser Welt bekannten Domain rubygoldengame (punkt) com: Ein potemkinsches Casino, bei dem man sich die Software für dieses „Magic Box Casino“ runterladen kann, von dem die Spammer ihre Affiliate-Groschen kriegen, wenn jemand dort einzahlt. Ob das „Magic Box Casino“ etwas von den Verheißungen der Spammer weiß? Das ist den Spammern egal. Hauptsache, sie haben ihre Groschen kassiert.

Das Design der scheinbaren Casino-Site ist übrigens das völlig unveränderte Design vom letzten Jahr. Nur die verwendete Internetadresse ändert sich häufiger als ein Sauberkeits-Neurotiker seine Unterwäsche wechseln würde.

Die Anmeldung geht in wenigen Minuten über die Bühne und nachdem Sie Ihre erste Einzahlung geleistet haben, wird Ihre Einzahlung verdreifacht. Nun können Sie beginnen, unsere überwältigende Casinowelt mit über 2300 verschiedenen Spielen zu erkunden!

Dass auf der Website (wie seit mehreren Jahren gewohnt) von über 400 Spielen die Rede ist, wird die Zielgruppe für den Betrug mit Internet-Casinos nicht weiter stören.

Dieses Angebot ist nur für kurze Zeit verfügbar, melden Sie sich also gleich im Ruby Palace an.

Klar doch, seit Jahren nur für kurze Zeit verfügbar.

Mit freundlichen Grüßen

So freundlich…

Ihr Ruby Palace Team

…und vor allem: So abwechslungsreich!

Immerhin: Eines ist heute anders. Die betrügerische Website mit dem potemkinschen Casino ist so gut wie offline, so langsam ist sie. Da scheinen gerade ein paar Genervte eine DoS-Attacke drauf zu machen… ein Vandalismus, den ich nicht billige, für den ich aber volles Verständnis habe.

Your-Amazon $25-GiftCard – Complete-Our Brief Survey

Donnerstag, 1. Mai 2014

Diese Spam kommt mit dem Absender amazonrewards (at) yourgiftcardsurvey (punkt) us und geht auch an reine Honigtopf-Adressen, die nur im Internet herumliegen, damit sie von den Harvestern der Spammer gefunden werden. Es handelt sich also die ganz gewöhnliche Streumunition der Spammer. Amazon hat damit selbstverständlich nichts zu tun, die Firmierung wird von den Verbrechern nur missbraucht, um etwas Reputation abzustauben. Was dieser Firmierungsmissbrauch für Amazon bedeutet, ist den Spammern egal.

Amazon-Appreciation GiftCard-Notice.

Schön, und meine Antwort ist eine Verlautbarung des Kaisers von China.

Correspondence ID #2546659
Dear gammelfleisch (at) tamagothi (punkt) de

Weder ist irgendeine Zufallszahl noch eine Mailadresse – dass ihr die kennt, sehe ich schon daran, dass ich darüber eure Spam empfange – ein adäquater Ersatz für eine persönliche Anrede.

We want to show your our appreciation…

With a $25-Amazon-GiftCard!

Visit here to take our short-survey & receive your gift-card!:
http://host.yourgiftcardsurvey.us

Das ist aber „nett“ von euch.

Und wo ist mein Geschenkgutschein, wenn ich auf euren Dreckslink klicke? Stattdessen gibt es einen ganz anderen „Gutschein“ (in einem sehr skurillen Sinn des Wortes), und der sieht so aus:

Screenshot der betrügerischen Website: Aktualisiere jetzt deinen Media-Player (Empfohlen)

Nein, dieser tolle Hinweis, man möge ganz dringend empfohlenermaßen irgendeinen Player auf die neue Version bringen, hat – trotz des Farbschemas, das zu gern diesen Eindruck erwecken würde – nichts mit einem Adobe-Produkt zu tun…

Ich kann mir jetzt also völlig kostenlos Software von einer Website runterladen, die mir ein Spammer mit einem Link in einer Spam angedreht hat. Und wer jetzt wegen des Köders mit einem 25-Dollar-Gutschein dumm und gierig geworden ist und deshalb nach gibberigem Überfliegen des Textes glaubt, nach „Die Aktualisierung dauert mit Breitband weniger als eine Minute“ endlich eine blöde Umfrage zu bekommen, der klickt da drauf und liest nicht, was da kontrastarm schwarz auf dunkelgrau in der Seite steht – ich gebs mal für den gesteigerten Genuss in seiner vollen Pracht deutlich besser lesbar wieder:

Media-Player vertreibt „Custom Installationen“, die sich von den ursprünglich vertriebenen Installationen unterscheiden. Diese neuen Installationen entsprechen den Richtlinien und AGB der Original-Hersteller. Media-Player ist ein Installations-Manager, der die Installation der von Ihnen gewählten Software verwaltet. Neben der Verwaltung des Downloads und der Installation bietet der Media-Player kostenlos beliebte Software, die Sie interessieren könnte. Diese zusätzliche Software umfasst Toolbars, Browser-Add-ons, Spiel-Anwendungen, Anti-Virus-Anwendungen und andere Anwendungen. Sie brauchen keine zusätzliche Software installieren, um die Installation der ausgewählten Software abzuschließen. Sie können die Programme jederzeit in Windows „Programme hinzufügen / entfernen“ löschen

„Media-Player“ ist also, anders als der Name für diesen digitalen Tand vermuten lassen könnte, nicht etwa ein Mediaplayer, sondern ein Installer, der jede Menge weiterer Beglückungsideen dieser Spammer aus dem Internet nachlädt und installiert, ohne uns mit einer genaueren Information zu erfreuen, was das für ein Dreck ist. Es könnte einiges sein, was schon im Text angedeutet ist. Zum Beispiel Spiele. Oder Toolbars, davon kann man ja nie genug im Browser haben, sonst hat man am Ende noch Platz im Fenster übrig, um Webseiten zu betrachten. Oder Browser-Addons, die bei Käufen im Internet irgendwelche kriminellen Typen Geld über Affiliate-Programme mitverdienen lassen, indem sie Links manipulieren. Oder Scareware, die in alarmierenden Meldungen so tut, als habe die kostenlose Version schröckliche Viren auf dem Rechner gefunden, die man mit der Vollversion für wenige Euro-Banknoten beseitigen kann. Es kann aber auch etwas anderes sein. Zum Beispiel die Antwort auf die Frage, wie man sich eigentlich diesen fiesen Erpressungs-Trojaner einfangen kann.

Das hier sind nämlich Downloads von kriminellen Spammern, die irgendwelche von Websites eingesammelte Mailadressen zumüllen. Niemand glaube, dass es von diesen Spammern irgendetwas Hübsches, Brauchbares oder Erwünschtes gäbe. Davon leben die nicht. Die leben davon, dass sie die Unerfahrenheit und Dummheit anderer Menschen ausbeuten.

Ich habe es mir mal erspart, mich weiter durch die Dreckssite dieser Leute zu klicken. Es würde mich nicht wundern, wenn die auch noch wollen, dass man für den Download ihres kriminellen Mülls persönliche Daten angibt. Spammer können damit ja immer etwas anfangen…

Thank-You!

Vor meinem Arsch ist auch kein Gitter!

Eine Spamflut ist es

Von dieser Machart der Spam gibt es im Moment unfassbare Mengen, die hier herausgepickte ist nur ein Beispiel. Die gleiche Machart lässt sich an der Anrede mit der Mailadresse und der im Text angegebenen Zufallszahl erkennen. Andere Betreffzeilen sind etwa (unvollständige Liste):

  • Re: HomeDepot Replacement-Windows New Special: 30-Apr-2014
  • Over-12k All-New Shed Building-Guides! Step by Step
  • Article – Say Goodbye to Diabetes FOR GOOD – in Only-Three-Weeks
  • Re: Updated-LifeInsurance-Payment: [Policy No. 3142]
  • RE: Your-score has recently been-changed. See-new correspondence.
  • Re: Updated AutoInsurance-Payment: 4/29/2014

Die Köderbandbreite dieser Streumunition ist also erheblich. Es werden übrigens auch Unmengen verschiedener Websites verwendet.

Daneben gibt es noch einige weitere Spams, bei denen ich nicht mit abschließender Sicherheit sagen kann, dass sie von der gleichen Bande kommen, weil trotz gewisser Ähnlichkeiten das Merkmal einer sinnlos aufgeführten Nummer fehlt. Zumindest ist sicher, dass es sich um Spam handelt… und mit Spam kommt niemals etwas Gutes.

Starten Sie Ihr eigenes Geschäft mit unserer Firma!

Mittwoch, 30. April 2014

Wie jetzt? Wer ist denn eure Firma? Und was für ein Geschäft soll ich da machen? Ein kleines oder ein großes?

Diese Spam gibt es auch mit anderen Betreffzeilen wie „Brauchen Sie mehr Geld, dann ist diese Arbeit für Sie“. Sie ist ein bisschen die Pest des heutigen Tages.

Guten Tag!

Genau das ist mein Name!

Unsere Firma bietet eine einfache und gut bezahlte Arbeit in Ihrer Nähe.
Büroarbeit von zu Hause .

Ich denke, ich soll „mein eigenes Geschäft“ starten. Und jetzt soll ich auf einmal für euch arbeiten? Für euch, die ihr meinen Namen nicht kennt, die ihr aber zum Ausgleich für diesen Namensmangel auch einfach nur „Unsere Firma“ seid?

Für die Arbeit brauchen Sie den Internet [sic!], PC-Kentnisse und die Möglichkeit, Berichte zu verfassen .

Ja, ich brauche „den Internet“ dafür. Wenn ich den nämlich nicht habe, kann ich auch nicht den E-Müll empfangen, den ihr mir ins Postfach macht. Die PC-Kenntnisse und die Möglichkeit, Berichte zu verfassen (ich würde das ja immer auf benutztem Brotpapier mit Fettflecken machen), kommt gleich mit dem Rechenknecht, wo das Internet reingeht, mit. Können muss man bei eurer „Arbeit“, die ihr lieber nicht über seriöse und nicht-anonyme Kanäle anbietet, nämlich fast nichts. Gut, man muss noch etwas haben: Eine deutsche Postanschrift und eine Kontonummer, damit die Ware aus Betrugsgeschäften irgendwo hingeht und damit Geld gewaschen werden kann. Ein Name, der nicht slawisch klingt, wäre auch praktisch…

Gehalt hängt von den erfüllten Aufgaben [sic!]. Je schneller und effektiver werden Sie arbeiten, desto höher
wird das Gehalt .

Gehalt bekomme ich fürs Tätigwerden, nicht für den Erfolg… ihr wollt mir eine Art Provisionssystem andrehen, das weitgehend an die Stelle des Gehaltes tritt.

Nach jedem Auftrag , erhalten Sie ein momentanes Bonus + ein fixiertes Gehalt am Ende des Monats.
Anzahl der Stunden, die Sie selbst variieren.

Übrigens: Wenn sie so viel Stil haben, dass sie unsere Leerzeichen vor den Satzzeichen, unser mundstolperndes Deutsch und unsere katastrophale Formatierung mit den miesen Zeilenumbrüchen hässlich finden, dann haben sie schon zuviel Gehirn für unseren Job.

Wenn ihnen diese Bedingungen passen [sic!], schreiben Sie uns Ihre persönlichen Daten [sic!] sowie:
1. Namen und Vornamen
2. Telefonnummer
3. Aufenthaltesland [sic!]

Wir haben wirklich nicht die geringste Ahnung, wer sie überhaupt sind. Wir nehmen jeden, der an unserer Stelle ins Gefängnis geht und Pakete sowie Geld möglichst anonym an uns weitersendet. So einfach ist diese „Arbeit“: Sie gehen in den Knast, und wir gehen in unseren Lieblingspuff. Was der Unterschied zwischen ihrem Namen und ihrem Telefonnummer und „Ihren persönlichen Daten“ ist, fragen sie sich bitte nicht!

Unser Mitarbeiter setzt mit ihnen in Verbindung und gibt weitere Information

Unsere E-Mail-Adresse: */Elias@angebotejob.com/*

Bitte beantworten sie diese Spam auf gar keinen Fall, indem sie in ihrer Mailsoftware auf „Antworten“ klicken, denn der Absender ist gefälscht. Das wäre ja schade, wenn dann niemand anrufen könnte, um ihnen das Blaue vom Himmel runterzulügen.

„Unsere Firma“ ist übrigens nicht dazu imstande, in einer HTML-formatierten E-Mail einen mailto:-Link zu setzen, weil gerade kein fachkundiger Achtjähriger zur Hand ist, der sich mit diesem komplizierten HTML-Frickelkram und so esoterischen Themen wie dem Aufbau einer URI auskennt. Wenn wir etwas könnten oder uns auch nur Mühe geben wollten, wären wir doch keine Spammer und Betrüger. Deshalb können sie auf die angegebene Mailadresse auch nicht klicken. Wir sind technisch inkompetent und auch ansonsten ziemlich blöd. So ein für unseren gierzerfressenen Geist völlig unverständlicher Zauber wie der Reply-to-Header in einer E-Mail übersteigt unser intellektuelles Fassungsvermögen. Wir benutzen dieses ganze Internet nur zum Spammen, und mehr wollen wir nicht darüber wissen.

„Unsere Firma“ hat keine Website, keine Telefonnummer und nix. Die erst vor einer Woche eingerichtete Domain angebotejob (punkt) com wird nicht zum Betrieb einer Website, sondern nur für den Empfang der Antworten auf die kriminelle Massenmüllmail verwendet.

Mit freundlichen Grüssen, Personalabteilung

Mit freundlichem „ß“-Mangel
Eine ganze Abteilung einer namenlosen Unternehmung
Winke, winke, winke!

Unfassbar, wie mies dieses „Jobangebot“ ist…

Kreditschuld zur Rechnung #239574485901756

Dienstag, 29. April 2014

Die Schadsoftware-Spammer haben gerade so viele neue Texte, hier gleich noch einer:

Sehr geehrter Kunde,

Wo ich doch überall Kunde bin, ohne dass ich einen Namen habe, zum Beispiel…

Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben.

…bei einer Bank, die zum Ausgleich dafür aber auch keine Firmierung hat.

Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #239574485901756 3892.99 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem Umfang bis 24.05.2014 freiwillig durchzuführen [sic! Zahl deine Schulden freiwillig!].

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #F3131E4955124464A [sic!] bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten [sic!]
2) Die Gerichtsverhandlung vermeiden [sic!]

Keine Bank, die deutschsprachig mailt, schreibt ein ‚#‘ vor einer Kontonummer. Und ein „Vertrag“, über den man nichts weiter erfährt als eine sechszehnstellige sedezimale Zahl, ist einfach nur lächerlich. Damit passt dieser „Vertrag“ aber ganz hervorragend in die gesamte Lächerlichkeit des Textes, der mit erstaunlich vielen Worten genau nichts sagt.

Im Falle der Nichtzahlung 3892.99 Euro [sic! Wort fehlt.] sind wir im Rahmen der aktuellen Gesetzgebung berechtigt [sic! Das Bürgerliche Gesetzbuch vom 1. Januar 1900 ist ja so was von aktuell…], die Gerichtsstrafe [sic! Tolles Wort!] wegen der Schuldigkeit auszuführen [sic!].

Überdem weiß diese „Bank“ offenbar nicht, wie das gerichtliche Mahnverfahren in der Bundesrepublik abläuft, sonst würde sie wohl kaum so eine unbeholfene und unfreiwillig komische… sorry… Scheiße schreiben.

Die Vertragskopie #F3131E4955124464A und Zahlungsangaben sind zu diesem Brief als ZIP-Datei „vertrag_F3131E4955124464A.zip“ hinzugefügt.

Klar, wie immer ist es ein ZIP-Archiv, das an der Spam hängt. Wer häufiger in Unser täglich Spam reinschaut, weiß schon, was jetzt kommt: Darin ist eine einzige Datei, deren Dateiname auf .exe endet, es handelt sich um eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer mit einer alarmierend formulierten Spam zugestellt wurde. Wer diese Datei auf seinem Rechner ausgeführt hat, der hat ein Problem: Der Rechner auf dem Schreibtisch gehört jemandem anders, die Internetleitung gehört jemandem anders und die auf dem Rechner gespeicherten Daten gehören ebenfalls jemandem anders.

Die sehr aktuelle Schadsoftware wird zurzeit von weniger als zehn Prozent der gängigen Antivirus-Programme erkannt. Und genau so etwas ist der Grund, weshalb man Spam selbst erkennen und löschen muss, anstatt verängstigt oder neugierig – dies sind zwei Haltungen, denen die Dummheit auf dem Fuße folgt – darin herumzuklicken. Wenn aber das beste Antivirus- und Antispam-Program der Welt, das Gehirn, erst einmal aktiviert wurde, werden oft – neben einigen unterstützenden Addons für Webbrowser und Mailclient – keine zusätzlichen Sicherheitsprogramme mehr benötigt.

Mit freundlichen Grüßen,
Leiter des Departments für die Arbeit mit den Schulden. [sic!]
Abbes Eggert
+49 (0) 30 649 574 xx [Hier unkenntlich gemacht]

Bwahahaha! Einen schönen Gruß zurück an den „Leiter des Departments für die Arbeit mit den Schulden“! Spammer, du hast mich zum Lachen gebracht, und das ist bei deinen miesen, asozialen Nummern wirklich nicht so einfach. Aber so eine dümmliche Selbstbezeichnung eines Spammers ist mir schon lange nicht mehr untergekommen.

fax aus +49 (0) 30 999 117 xx – 24 seiten

Dienstag, 29. April 2014

[Die letzten beiden Stellen der Telefonnummer sind unkenntlich gemacht, diese Telefonnummer hat nichts mit dem Absender dieses Mülls zu tun.]

So so, jetzt wird mir schon der Maileingang zugefaxt. „Aus“ irgendeiner Nummer, die ich noch nie gesehen habe…

Faxnachricht [Caller-ID: +49 (0) 30 999 117 xx]
Seiten: 24.
Datum: 2014-04-28 13:05:44 UTC.
Kennziffer: A378219D4414DF78922B.

Sogar an eine Uhrzeit hat der Spammer gedacht, wenn auch aus einer hierzuland eher unüblichen Zeitzone. Und ein paar Buchstaben und Zahlen hat er durchgemischt, um eine völlig nutzlose Information anzugeben.

Die eigentliche „Mitteilung“ liegt natürlich im Anhang. Dieser ist ein ZIP-Archiv, in dem eine .exe herumliegt, also eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer zugestellt wurde. Um was es sich dabei handelt, bedarf hoffentlich keiner weiteren Erläuterung mehr. Wer diese Datei ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen, und diese Leute sind nichts, was man nur irgendwie in seiner Nähe haben möchte.

Wer sich auf Virenscanner verlassen hat, war bei der aktuellen Schadsoftware in über 60 Prozent der Fälle verlassen. Besser war dran, wer diese Spam als Spam erkannt und einfach gelöscht hat…

Artikel 201/04/2014 der EU

Montag, 28. April 2014

Lange nicht gehabt: Eine frische Masche für eine Phishing-Spam.

Von: Visa Deutschland <assistenz (at) europa (punkt) de> [natürlich gefälscht]

Hui, von Visa, Europa und Deutschland auf einmal! Das muss ja offiziell und vor allem irre irre wichtig sein!

==============================================
Sehr geehrter kunde nach der neuen verordnung der EU,
ab dem tag 28.04.2014, um ihre kreditkarte online
benutzen zu können, sie sind verpflichtet,
diese unterlagen zu füllen.
==============================================

„Diese Unterlagen“, die zu „füllen“ ich am nahen „tag“ spätestens „verpflichtet“ bin, liegen in einem ZIP-Archiv, es handelt sich um eine HTML-Datei, die ein Formular enthält, das im Browser geöffnet so aussieht:

Screenshot des angehängten Phishing-Seite

Große Teile des externen Materials werden von der offenbar gepwnten niederländischen Website unter politiek (punkt) net nachgeladen… oh halt, das muss eine belgische Website sein, denn „Vlaanderen“ liegt nun einmal in Belgien… und dorthin werden übrigens auch die so gephishten Daten übertragen, und zwar ausgerechnet zu einem Skript mit dem hübschen Namen weiter (punkt) php, das immer eine Weiterleitung zur richtigen Visa-Website ist. Die völlig unklaren Angaben zur Verantwortung für diese offenbar nicht mehr aktiv gepflegte Website und das Fehlen eines Impressums erschweren es mir, zu einem Verantwortlichen Kontakt aufzunehmen, damit dieser Müll schnell vom Server verschwindet, so dass ich nicht so guter Dinge bin.

Aber selbst, wenn man sich nicht den HTML-Quelltext dieses Anhanges anschaut, kann man sich folgende vier Fragen stellen:

  1. Warum sollte man gegenüber Visa Daten angeben müssen, die Visa längst bekannt sein müssen?
  2. Wieso gibt es eine EU-Verordnung, die gut die Hälfte der erwachsenen Bevölkerung so stark betrifft, dass sie in bestimmten und keineswegs seltenen Situationen nicht mehr bezahlen können, ohne dass etwas davon in der Zeitung stand und ohne dass es eine Meldung in den Nachrichten war? Und das, obwohl jetzt kein einziger Tag mehr zum Informieren übrig ist?
  3. Wieso „Artikel der EU“? Die EU ist ein Staatenbündnis. Eine Verfassung mag Artikel haben, aber eine Verfassung der EU gibt es nicht. Selbst, wenn es sie gäbe, würde sie nicht die politische Ausgestaltung des bargeldlosen Zahlungsverkehrs beinhalten. Und selbst, wenn auf einen Verfassungstext Bezug genommen würde, drückte man sich etwas anders aus. Dass die Bürde des Menschen (oder so etwas ähnliches) unantastbar ist, das steht nicht in Artikel 1 der BRD, sondern in Artikel 1 GG (oder ausführlich: Grundgesetz für die Bundesrepublik Deutschland).
  4. Seit wann ist die gemäßigte Kleinschreibung in geschäftlicher Korrespondenz üblich? Seit wann werden Kunden, die namentlich bekannt sind – immerhin wird sogar ihr Geld verwaltet – mit „Sehr geehrter Kunde“ angesprochen? Und seit wann treibt der Hang nach Ökonomie und Einsparung an allen Ecken und Enden die Menschen dazu, „füllen“ statt „auszufüllen“ zu schreiben, obwohl in der Mail mehr Platz als in einem Tweet ist? Das miese Phishing zeigt sich oft deutlich im fehlerhaften Sprachgebrauch; wer von seinem Charakter her nicht so gestrickt ist, dass er jede Mühe scheut und jedes Streben nach Stil vermeidet, der wird sich auch so gut wie immer seine Brötchen auf weniger verachtenswerte Weise verdienen.

Die kurze Beschäftigung mit auch nur einer dieser Fragen führt dazu, dass man erkennt, um was es sich hier handelt – und wer dann immer noch reinfällt, der ist eh nicht mehr zu retten. Die Taste, die zu drücken ist, ist mit Entf beschriftet. 😉

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

Willkommen in Kenia (Geschäfts)

Freitag, 25. April 2014

Aber ich bin hier doch in Hannover (Deutschland). :mrgreen:

Guten Tag,

So heißt doch jeder!

mein nam [sic!] ist Kwambai Paul aus Kenia Nairobi Ich arbeite mit Kenia Commercial Bank jedes Quartal fьhren wir Kontrollen durch auf Clients bank accounts.

Ich bin Ausgedacht Nam aus Kenia dem Land in dem man keine Kommas kennt ungern Punkte setzt und kyrillische Buchstaben benutzt Und dort ich kontrolliere Bankkonten.

vor zwцlf Jahren mir ist schon klar [sic!], dass ein fremdes Bankkonto mit einem enormos [sic!] Summe von $75.000.000 USD.

Dabei ich gefunden Haufen Zaster auf Konto.

Der Betrag wurde nicht Schallwand mir [sic!] aber was zog meine Aufmerksamkeit auf sich zog, war der Kontoinhaber ist ein nicht Kenia und hatte keine nдchsten Angehцrigen.

Und der Zaster von Ausländer ohne Verwandte. Da ich schnell wie durchbrechen Schallmauer Idee gekriegt, einfach Zaster irgendwie zu klauen.

Der Name geht von Herrn Hindu O. Idi [sic!] und ich habe auch noch eine weitere Untersuchung, die er starb [sic!] in der US-amerikanischen Botschaft Bombenanschlag in Nairobi 1998, und wenn ich grub ich weiter [sic!], er war in Rohstoffe ein neugebautes [sic!] seit dem bin ich Kontrolle der Rechnung wartet auf seine Business Partner zu zeigen sich [sic!] aber uptill [sic!] Datum niemand gezeigt haben, wenn man bedenkt bank Vorschriften [sic!] nur ein Auslдnder kann sich als nдchsten Angehцrigen, so dass alles, was ich will, dass sie fьr mich ist [sic!], stand als nдchster Angehцriger, Herr Hindu O. Idi damit wir unsere Das Ge
ld aus Kenia in ihrem Lan [sic!]

Satz enden hier.

Und besser noch: Geldsack tot. Du jetzt spielen Verwandtschaft, und wir halbe halbe. Was ich dir nicht sagen: Ganze Story nur in meine Fantasie, Geld nie existiert, nur da, dich dumm und gierig zu machen. Du machen Kontakt mit mir, und ich lügen Blau vom Himmel weg, erzählen tausend tolle Geschichten und immer Probleme geben, die du lösen müssen durch Geld das mit Western Union du senden an anonymes Unbekanntes irgendwo auf großes rundes Welt. Ich dann mit meine Freunde gehen in Puff und kaufen Kokain und fette Auto, und du kriegen Erfahrung, dass Text in Spam immer Lüge. So wir beide gewinnen, ich gern, du nicht.

Reagieren zurьck zu mir auf diese e-mail.
kwambaipaul (at) aol (punkt) com

Du nicht antworten an Absender durch Klick auf „Antworten“, denn Absender gefälscht. Deshalb du müssen antworten auf anderes Adresse.

Mfg
Kwambai Paul

Mit abgekürztes Freundlichsein
Dein Vorschussbetrugsspammer

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.