Autorenarchiv

Reservierung [70976609], Tue, 21 May 2013 12:28:04 +0100

Dienstag, 21. Mai 2013

Die Nummern, das Datum und die Uhrzeit wechseln, der (gefälschte) Absender ist immer hotel (punkt) de (at) hotel (punkt) com. Natürlich handelt es sich nicht um eine Reservierung, sondern um einen Versuch, den Computer mit Schadsoftware zu übernehmen. Die Betreiber der Website hotel.de haben damit nichts zu tun, ihre Reputation und ihre Firmierung werden gerade von Kriminellen missbraucht. Ich lege den Betreibern nahe, einen deutlichen Hinweis auf die laufende Spamwelle auf der Startseite ihrer Website zu platzieren, um diesen Sachverhalt klarzustellen und um Schäden von ihren Nutzern abzuwenden. Wenn sich in der Untätigkeit der Betreiber der Website zeigt, dass es ihnen gleichgültig ist, ob ihre Nutzer zu Schaden kommen oder nicht, würde das von mir, so ich dort Nutzer wäre, als Aufforderung verstanden werden, dort besser nicht länger Nutzer zu bleiben.

Besondere Beachtung verdient das Datumsformat im Betreff. Der Spammer war scheinbar zu faul, es gut zu machen und mit strftime() ein ansprechendes Datumsformat zu erzeugen, stattdessen hat er einfach die von asctime() erzeugte Zeichenkette in seine Müllmail übernommen. Das sieht im Ergebnis natürlich ein bisschen peinlich aus, vor allem, weil da noch die Zeitzone als Versatz zur UTC mit angegeben ist, so dass der Leser noch eine Stunde aufaddieren müsste, um die angegebene Zeit korrekt zu lesen. Aber wenn ein Spammer sich Mühe geben würde, könnte er ja auch gleich arbeiten gehen…

Reservierung

Reservierung von was? Von einem Tisch im Restaurant? Von einem Plüschtier beim Spielwarenhändler? Von einem Sitzplatz im ICE?

Buchungsnummer: ND7086871
Buchungsdatum: Tue, 21 May 2013 12:55:04 +0100

Mehr Details in der beigefugten Datei

So so, „beigefugt“. Dazu später noch eine Kleinigkeit.

Anreise: 20.06.2013
Anzahl Nächte: 1
Abreise: 21.06.2013
Gesamtanzahl Personen: 1
Preis: 94,72 EUR

Der Gesamtpreis beinhaltet 1,54 EUR Steuern und Abgaben.

Tja, und wo soll das nun sein? Das ist ja keine ganz unwichtige Information…

Aber es muss in einem tollen Land sein, in dem nur etwas mehr als 1,5 Prozent „Steuern und Abgaben“ fällig werden. 😉

Hinweis: Diese Buchung ist per Bankkarte gesichert.

Bei welcher Bank? Welche Nummer steht auf der Karte? Ach!

Wie üblich bei derartigen Mails der organisierten Internet-Kriminalität steht im Text der Mail keine wirkliche Information, sondern nur ein kleiner Schocktext, dass gerade fast hundert Euro ausgegeben wurden, ohne dass man überhaupt weiß, wofür. Oder an wen, denn es fehlen ja auch sämtliche Hinweise zum Empfänger des Geldes.

Mit diesem psychologischen Hebel sollen Menschen in eine gewisse Panik versetzt werden, damit sie den Anhang öffnen.

Ebenfalls üblich ist es, dass der Anhang ein ZIP-Archiv ist. Darin liegt eine Datei mit der Dateinamenserweiterung .pdf.exe, also kein Dokument, sondern eine ausführbare Datei für Microsoft Windows. Wer versucht, dieses vorgebliche Dokument zu öffnen, startet Software von Kriminellen auf seinem Computer und hat hinterher einen Computer und eine Internetleitung anderer Leute auf seinem Tisch stehen, und diese anderen Leute werden gewiss Anwendungen dafür finden, die sich niemand wünschen kann.

Wer sich auf Virenscanner verlässt, ist ebenfalls wie üblich verlassen. Die Schadsoftware wird zurzeit von zwei Drittel der Programm nicht als solche erkannt.

Zum Glück ist es zum Ausgleich dafür für einen Menschen recht einfach, die Mail als Spam zu erkennen und sie ohne langes Nachdenken zu löschen. Hier noch einmal die inhaltlichen Schwächen dieser Spam in weniger humorvoller Form:

Unpassende Absenderadresse
Obskurer Betreff ohne Information
Obskure, für Menschen in dieser Form sinnlose Zeitangabe
Kein Hinweis, wer hier überhaupt schreibt
Keine persönliche Ansprache
Keine kurze Beschreibung, um was es überhaupt geht
Seltsame Sprache in der Beschreibung eines Mailanhanges, ergänzt um den Rechtschreibfehler im Wort „beigefugt“
Wer aus dem spammigen Gestammel erahnt, dass es um ein reserviertes Hotelzimmer geht, darf sich darüber wundern, dass nicht beschrieben ist, welches Hotel an welchem Ort es sein soll
Absurde Größenordnung von „Steuern und Abgaben“
Keine Grußformel
Keine angegebene Kontaktmöglichkeit für Rückfragen
Keine Angabe der Bank, mit deren Karte die Buchung angeblich gesichert sei
Keine Angabe der Nummer auf der „Bankkarte“
Angehängtes Dokument in einem ZIP-Archiv
Dateiname mit Endung .pdf.exe

Bei einer solchen Häufung von Merkmalen aus miesen Spamnummern sollte also kaum jemand auf diesen Versuch reinfallen.

Aber auch bei besser gemachten Spams kann ich es wegen der puren Menge der momentan so verabreichten Schadsoftware nicht oft genug sagen: Nicht vereinbarte Anhänge in E-Mails stinken. Das gilt besonders, wenn es sich um ein angebliches Dokument in einem ZIP-Archiv handelt, in dem man die Details erfährt, die im Text der Mail verschwiegen werden. Es gibt keinen sachlichen oder technischen Grund, so vorzugehen, es erhöht ganz im Gegenteil sogar die Wahrscheinlichkeit von Missverständnissen und damit den Aufwand im Kundendienst. Niemand, der im Internet geschäftlich tätig ist, würde das also tun.

Deshalb: Derartige E-Mails mit Anhang immer löschen, ohne sich den Anhang anzuschauen – und zwar insbesondere, wenn sich der Anhang auch noch in einem ZIP-Archiv befindet! Immer daran denken, dass der sichtbare Absender der Mail beliebig gefälscht werden kann! Und vor allem: Niemals blind auf Virenscanner vertrauen, sondern vor jedem Klick das Gehirn einschalten!

Ihre Bestellung bei otto wurde versand

Dienstag, 21. Mai 2013

Der (gefälschte) Absender dieser Mail ist versand (at) otto (punkt) de, aber diese Mail kommt selbstverständlich nicht von der Otto GmbH & Co KG aus Hamburg, sondern von einem Idioten

versandstatus einsehen unter folgendem link:

http (doppelpunkt) (doppelslash) track (punkt) yoomedia (punkt) de (slash) t (strich) mail (punkt) php (fragezeichen) id (gleich) xxxx (ampersand) sid (gleich) xxxx

[Natürlich habe ich die IDs entfernt]

Hey, Spammer,

da hast du so eine tolle Idee gehabt! Einfach ein paar hunderttausend Drecksmails rausschleudern, die so tun, als kämen sie von einem Versandhaus, das weder mit der Groß- und Kleinschreibung klar kommt, noch das Perfekt des Verbs „versenden“ bilden kann – obwohl du dafür gleich zwei Möglichkeiten hattest, hast du dir eine dritte ausgedacht) – noch irgendeine Ansprache von Kunden hinbekommt. Da wolltest du denn Links reinpacken, die dir Klickercents einbringen, wenn jemand trotz deiner hingestümperten Drecksmail darauf klickt, weil er glaubt, seine nicht bestellte Bestellung ohne nähere Bezeichnung sei unterwegs.

Das hätte soooo viel Geld geben können!

Was für ein Jammer für dich, du armes, ungeliebtes Krepelchen, dass Yoomedia deine Beschissnummer nicht mittragen wollte und deine Klick-mich-reich-Seite einfach weggemacht hat. 😀

Das muss wirklich hart sein, wenn man so alleingelassen wurde.

Du brauchst dringend Trost. Mein Tipp: Such dir einen Freund, der zu dir passt und dich niemals mehr allein lässt, zum Beispiel eine tote Ratte, schließ dich mit deinem neuen Freund in ein dunkles, trauriges Loch ohne Internet ein und schmeiß den verdammten Schlüssel weg! Die besseren Zeiten für dich kommen ganz von alleine…

Dein dich „genießen“ müssender
Nachtwächter

electronic cigarette starter kit

Samstag, 18. Mai 2013

Wer nicht genug Spam in seinem E-Mail-Postfach hat, muss einfach ein Blog oder eine Website mit Kommentarfunktion aufmachen… das gibt jeden Tag mehrere hundert erfrischend geistlose „Kommentare“ von Leuten, die von ihrer Mutter ganz komische Namen bekommen haben.

Name: electronic cigarette starter kit
Homepage: Seite bei answers (punkt) yahoo (punkt) com
IP-Adresse: IP eines Hosters aus den USA¹

Heya i am for the first time here. I came across this board and I find It really useful & it helped me out much. I hope to give something back and help others like you aided me.

Das ist doch „schön“, dass du das erste Mal hierhergekommen bist und gleich einen Spamlink auf eine Spam in den Diskussionsforen bei Yahoo hinterlegen musst. Allerdings scheinst du ein sehr kurzes Gedächtnis zu haben, denn die Suche nach deiner charakteristischen IP-Adresse fördert etliches mehr von dir zu Tage, das du nur wenige Minuten zuvor in die Kommentare gemacht hast. So etwas zum Beispiel:

Name: electronic cigarette starter kit
Homepage: Seite bei answers (punkt) yahoo (punkt) com
IP-Adresse: Die selbe IP eines Hosters aus den USA

Hello, after reading this amazing paragraph i am as well cheerful to share my know-how here with colleagues.

Ich kann ja verstehen, du Idiot von Spammer, dass du nicht darauf achtest, auch nur die richtige Sprache zu treffen, wenn du einfach deine Dreckslinks in das Internet pustest. Warum solltest du auch. Du machst ja in deinem Spamgeschäft auch alles bunt durcheinander:

Name: oxycodone
Homepage: oxycodone.fotopages.com
IP-Adresse: Die selbe IP eines Hosters aus den USA

Good site spam.tamagothi.de. which browser you prefer to use? (ie, firefox or goole chrome) advanced occupational medicine specialists [url=http://oxycodone.fotopages.com/#qskyyizok]buy 30mg oxycodone online no prescription[/url] buy health insurance new york

Hervorragende Idee! Wenn die E-Zigarette zu spät gekommen ist und man schon unter fürchterlichen Schmerzen an Krebs verreckt, hat der Spammer auch wirksame Opiate für die Schmerztherapie im Angebot, die er gleich verlinkt – diesmal allerdings nicht auf einem Spameintrag in einem Yahoo-Forum, sondern auf einem Spameintrag bei einem kostenlosen Anbieter von Fotoseiten.

¹Die Abuse-Mail ist schon draußen. In den USA gehen die Hoster in der Regel sehr schnell vor, wenn man solchen Missbrauch meldet. Vermutlich wird der spammige Skriptapparat demnächst auf einen anderen mit gephishter Kreditkarte bezahlten und der Identität eines anderen Menschen gekauften Server aufgespielt. Enden wird das Ganze vermutlich erst, wenn die Giftapotheker ihre Giftpillen selbst fressen müssen.

RechnungOnline Monat April 2013

Donnerstag, 16. Mai 2013

Ein wichtiger Hinweis vorweg: Diese Mail mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de kommt nicht von der Telekom Deutschland GmbH, sondern von Verbrechern. Sie kommt übrigens auch bei Leuten wie mir an, die mit der Telekom nichts zu tun haben.

Auf die Übernahme des sehr aufwendigen Layouts dieser HTML-Mail habe ich verzichtet. Es ist identisch mit dem Layout, das bei der ersten Version dieser Betrugsnummer im Februar dieses Jahres verwendet wurde. Hier nur ein kurzes Zitat des eigentlichen Textes:

Ihre Rechnung für April 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat April 2013 beträgt: 46,43 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

Diese Mail hat einen Anhang. Es handelt sich um ein ZIP-Archiv. Darin befindet sich eine Datei mit der Dateinamenserweiterung .pdf.exe, also eine ausführbare Datei für Microsoft Windows, bei der die Absender mit einem alten Trick versuchen, den Eindruck zu erwecken, es handele sich um ein PDF-Dokument. Wer diese Datei auf einem unter Microsoft Windows laufenden Rechner mit einem Doppelklick öffnet, führt dadurch – egal, was geschieht, ob es Fehlermeldungen oder sonst etwas gibt – Code von Kriminellen auf seinem Rechner aus und hat hinterher einen Computer und eine Internetleitung anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit nur von etwas mehr als einem Fünftel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist also in vielen Fällen verlassen gewesen.

Für Hinweise zum wirkungsvolleren Selbstschutz verweise ich auf meinen Text aus dem Februar. Insbesondere kann ich nur dazu auffordern, so lange bei der Telekom Deutschland GmbH nachzufragen, warum sie nicht dazu imstande sei, digital signierte E-Mail zu versenden, bis es dort zum allgemeinen Einsatz dieser einfachen Sicherheitsmaßnahme kommt, die den Absender einer Mail jenseits vernünftiger Zweifel sicherstellt und damit den Auftritt unter falscher Identität in einer Mail erschwert. So lange große Unternehmen ihre Mail nicht digital signieren und damit dermaßen plumpe Überrumpelungen ermöglichen, kann man diesen Unternehmen nur zurufen: Ihr seid selbst die Spam, ihr seid das Botnetz, ihr seid der Betrug und ihr seid in eurer seit Jahren anhaltenden Dummheit und Trägheit fördernder Teil der organisierten Kriminalität.

INTERNATIONALE LOTTO KOMMISSION

Donnerstag, 16. Mai 2013

Warum habe ich eigentlich nie Geld, wenn ich doch immer bei diesen tollen Lotterien ohne Losverkauf Gewinne abstaube – und zwar niemals irgendwelchen Pfennigkram, sondern immer nur die dicken Millionen…

Und das gleich dreimal. Auf drei verschiedenen Mailadressen. Aber immer mit gleichen „Losnummern“.

INTERNATIONALE

LOTTO
KOMMISSION

So international, dass da sogar eine Leerzeile mit rein muss!

Head office: C/ Caracas de Mayor #4-9,
28096, Madrid, Spain/España. DATE:
15-05-2013
INTERNATIONALE PROMOTIOM [sic!] -GEWINNZUTEILUNG
OFFIZIELLE MITTEILUNG:
REFRENZ NR. OKM/777/ESP/13
REIHE NR. ES/12/0013 DE

Nach dem „DE“ stand eine kleine Ansammlung von ca. 200 sinnlosen Leerzeichen, die einen Umbruch der Zeile verursacht hat. Ich vermute, dass das im Vorlagentext dieses freundlichen Vorschussbetrügers nach der Bearbeitung durch einige seiner „Kollegen“ weitere solcher fast unsichtbaren Schwächen waren und dass es deshalb bei der Überarbeitung auch zu den völlig unsinnig aussehenden Zeilenumbrüchen gekommen ist.

estrella (punkt) guros (at) yahoo (punkt) es

Wer würde in diese Mailadresse kein Vertrauen haben?

OFFIZIELLE GEWINNBENACHRITIGUNG [sic!]

Moment, eine solche „Nachrite“ hatte ich doch schonmal, oder? Damit ist die Vorlage ja klar, und weil der Spammer zu faul und zu unfähig war, peinliche Fehler zu korrigieren, hat er einfach nur ein paar Datumsangaben und Mailadressen ausgetauscht. Und den Namen der angeblichen „Sicherheitsfirma“. Und dann hat er wie üblich ein paar hunderttausend Spams angestoßen, um überall die frohe Kunde zu bringen, man sei fast Millionär geworden.

Na gut, dann erspare ich mir hier mal die Kommentare, die ich schon geschrieben habe und lasse das Meisterwerk eines unbekannten Autors in seiner ausgewogenen Komposition aus Text, Inhalt und Formatierung in seiner rohen Form wirken.

Wir sind erfreut ihnen mitteilen zu können, die Gewinnliste LOTTO PROGRAMM
am 02/ 03 / 2013 erscheint ist [sic!],EUROMILLONES DE LA PRIMITIVA SWEEP-STAKE
LOTTERY INTERNATIONALEN PROGRAMM FAND IM MADRID SPANIEN (vorbei
Co-organisiert World Tourism Organization/Spanish Ministerio de Tourismo).
Aufgrund vermischt mit den Namen und E-mail das Resultat kamen am
26/04/2013 heraus. [sic!] Die Offizielle Liste der Gewinner erschien am
09/05/2013. Ihr Name wurde auf dem Los mit der Karte nummer: 5102-8010 und
mit der Seriennummer: 2113-05 registried. Die Glücksnummer: 53404, Sie
haben in der zweite (2) kategorie gewonnen.

Immerhin, zwei Dinge hat der Betrüger bei seiner Überarbeitung verbessert. Er kann jetzt deutsche Umlaute (und hat nicht mehr lustige kyrillische Zeichen drin), und er hat sich eine „Begründung“ einfallen lassen, warum man hier ohne Los gewinnen kann, die in der vorherigen Version der Masche fehlte: „Aufgrund vermischt mit den Namen und E-mail das Resultat kamen am 26/04/2013 heraus“. Vielleicht lässt er das nächste Mal sogar seinen deutschen Text von jemanden schreiben, der auch etwas Deutsch kann…

Oh, habe ich gerade die Umlaute gelobt?

Sie sind damit Gewinner von €937,500.00, (Neunhundert und sieben und
dreißig tausend fünfhundert Euros), im Bargeld [sic!] genehmigt worden, das zur
Akte TKZ gegutschrieben [sic!] wird, REFRENZ NR. OKM/777/ESP/13 u. REIHE NR.
ES/12/0013/DE. Die summe ergibt sich aus einer Gewinnausschuttung [sic!] von
€19,687,500,00 (NEUZEHN MILLIONEN SECHSHUNDERT SIEBEN UND ACHTZIG TAUSEND
FUNFHUNDERT.) Die summe wurde durch 17 gewinnern aus der glieichen [sic!] kategorie geteilt.

Wir merken uns. Wenn 19.687.500 durch 17 teilt, kommt da nicht etwa wie mit jedem Taschenrechner dieser Welt 1.158.088 heraus, sondern 937.500 – so eine Spamlotterie, die regelmäßig mit Millionenbeträgen umgeht, versteht ja schließlich etwas vom Rechnen.

Was der Unterschied zwischen Punkten und Kommas in Ziffernfolgen ist, lernt der Spammer vielleicht bei der nächsten Aufführung dieser Masche. Vielleicht aber auch nicht.

HERZLICHEH [sic!] GLÜCKWUNSCH! HERZLICHEN
GLÜCKWUNSCH!!

Glückwunsch, sie haben eine Spam erhalten.

Dir Gewinn [sic!] ist bei einer Sicherheitsfirma hinterlegt und in ihren Namen
und E-mail versichert. um keine Komplikationen bei der Abwicklung der
Zahlung zu verursachen bitten wir sie diese offizielle mitteilung ,
diskret zu behandeln.,es ist ein Teil unseres Sicherheitsprotokoll und
garantiert Ihnen einen Reibunglosen Ablauf.

So etwas wie ein gewöhnliches Bankkonto benutzen wir nämlich nicht, um Geld zu lagern, das wäre uns zu preisgünstig und zu sicher… 😀

Alle Gewinner werden per Computer aus 1,000,000 Namen und E-mail aus ganz
Europa, Asien, Australien und Amerika als Teil unserer Internationalen
promotion programms ausgewählt, Welches wir einmal im Jahr veranstalten.

Was „wir“ allerdings nicht machen: Irgendwo in unserer Reklame oder in Presseerklärungen erwähnen, dass wir Millionen verschenken, weil das ja eine tolle Werbung wäre, wenn man vielleicht Millionen geschenkt bekäme. Was „wir“ stattdessen machen. Wir sparen die paarhundert Euro für einen Dolmetscher, der unsere total OFFIZIELLEN Mails übersetzt, damit wir jeden Cent als Gewinn ausschütten können. Ohne Werbewirksamkeit. Aber mit höchster Lächerlichkeit.

Dr. Antonio Pedro Manager von
ESTRELLA SICHERHEIT FIRMA S. A. [sic!] an
Telefon:00 34 652 026 xxx Fax: 0034 917 692 xxx [unkenntlich gemacht!]
E-mail:
estrella (punkt) guros (at) yahoo (punkt) es

Bitte kontaktieren sie unseren Auslands sachbearbeiter Bitte bedenken
Sie, jeder Gewinnanspruch muss bis zum 15/06/2013 angemeldet sein. Jeder
nicht angemeldete Gewinnanspruch verfällt und geht zurück an das
MINISTERIO DE ECONOMIA Y HACIENDA wie zurückgebracht warden [sic!]. Hiermit
wird Ihnen ausserdem mitgeteilt, dass 10% ihres Lottogewinns der ESTRELLA
SEGUROS & FINANCIAL COMPANY S.A, zukommt, da Sie Ihren Namen fur diese
Ziehung eingetragen hat und Ihr Antragsvertreter ist. Die 10% werden
uberweisen, nachdem Sie den Gewinn in Ihrem Land erhalten haben, das Geld
ist auf Ihren Namen versichiert. Abziehen von diese versichert fond ist
gezetliches [sic!] verboten und bitte,statten sie anzeige und uns informieren
wenn es ist in gegenstand! Es ist ein Teil unseres Sicherheitsprotokoll
und garantiert Ihnen einen Reibunglosen Ablauf.

Bitte haben sie Verständnis dafür, dass von ihrem „Gewinn“ fast hunderttausend Euro wegfallen, weil wir lieber die Mondpreise einer obskuren Sicherheitsfirma bezahlen, statt unser Geld zu ganz gewöhnlichen Gebühren bei einer Bank zu hinterlegen. Das ist, müssen sie wissen, Teil unseres Sicherheitsprogrammes, und daran kann man unmöglich sparen. „Wir“ sparen lieber am Dolmetscher und an der Werbung.

WICHTIG: um Verzögerungen und Komplikationen zu vermeiden, bitte immer
Referenznummer und Bearbeitungsnummer angeben. Adressanderungen bitte
immer so schnell wie möglich mitteilen. Anbei esenden wir Ihnen ein
Anmeldeformular, bitte ausfüllen und zurück Per fax an die
sicherheitdfirma ESTRELLA SEGUROS & FINANCIAL COMPANY S.A, Fax: +34,917,692,xxx.
Original-Kopie Ihres Preisträger Zertifikat und Winning Ticket wird Ihnen,
nachdem Sie haben behauptet, Ihre Gewinnchancen [sic!].

(Vice President International Prize Department) ELLEN LAURA FERNANDEZ

So, und jetzt einen Blick auf das „Formular“ werfen, das so irre wichtig ist, dass man es sogar faxen muss – vermutlich, weil es auf jede Feinheit seiner Formatierung ankommt. Da will ich des Spammers Streben nach gestalterischer Exzellenz gern ein bisschen Raum geben. Es ist leider so gut wie sicher, dass hier einige überlage Zeilen aus Unterstrichen einfach aufgebrochen werden.

ESTRELLA SEGUR0S S. A.
VERSICHERUNG UND FINANZIELLE DIENSTLEISTUNGEN
ANMELDEFORMULAR ZUR ANMELDUNG EINES
GEWINNANSPRUCHS

BITTER FUELLEN SIE DIESES FORMULAR SORGSAM AUS UND FAXEN SIE ES
ZURUK [sic!] AN DIE
Fax: +34 917 692 xxx E-MAIL: estrella (punkt) guros (at) yahoo (punkt) es
ESTRELLA SEGUROS COMPANY
Paseo de Recoletos, 223,
28004 Madrid España
NAME:_________________________________ VORNAME:_______________________ GEBURTSDATUM:_______________

TELEFON:______________________ MOBIL:___________________ FAX:________
BETRAG:___________

STRASS:______________________________
NUMMER:___________________ WOHNORT:
____________

POSTLEITZAHL:___________
LAND:_________________ BERUF:______________ NATIONALITAT:__________________
REFERENZNR:______________________ DATEINR:______________________ EMAIL:___________________________

ZAHLUNG OPTION: A/ BANKUBERWEISUNG
B/ BARSCHECK:

BANKDATUN SIND NUR NOTWENDIG WENN SIE SACH FUER EINE BANKUBERWEISUNG
ENTSHIEDENHABEN

BANKNAME:_________________________________________

KONTONUMMER:_______________________________________ BANKLEITZAHL:___________________________________

BANKADDRESS:______________________________ PLZ:______________________
ORT:______________________________

D a t u m :
Unterschrift:

Nach dem Ausdrucken und Ausfüllen bitte beim nächsten Psychiater abgeben, wenn man an einen so durchschaubaren Beschiss glaubt.

Your Order with Amazon.co.uk

Dienstag, 14. Mai 2013

Das Wichtigste vorweg: Diese Spam mit dem gefälschten Absender auto (strich) confirm (at) amazon (punkt) co (punkt) uk kommt nicht vom britischen Amazon. Zurzeit sehe ich sie nur für das britische Amazon, ich gehe aber davon aus, dass die gleiche Masche demnächst auch mit deutschen Texten kommen wird.

Das Zitat der Spam ist nicht vollständig. Die Links auf die (echte) Amazon-Site und die juristischen Texte sind nicht mitzitiert. Hier ist lediglich der für diese Spam typische Text übernommen.

Thanks for your order!

Welche Bestellung? Welches Produkt? Wann wurde bestellt? All das kann der Spammer nicht schreiben, weil dann schon beim Überfliegen des Mülls klar würde, dass hier etwas nicht stimmt.

Und eine namentliche Ansprache des Kunden ist natürlich auch nicht möglich.

Want to manage your order online?
If you need to check the status of your order or make changes, please visit our home page at www (punkt) Amazon (punkt) co (punkt) uk and click Your Account at the top of any page

Ordering Information is attached.

Und genau diese angehängte Bestellinformation ist der Grund, weshalb diese Spam versendet wird. Es handelt sich um ein ZIP-Archiv mit dem Namen Your Order Details with Amazon.zip, in dem sich eine ausführbare Datei für Microsoft Windows befindet. Wer Microsoft Windows benutzt und das Archiv öffnet und auf diese Datei doppelklickt, hat hinterher einen Computer anderer Menschen auf seinem Schreibtisch stehen – und wird jede Menge Ärger damit haben.

Ich kann es nicht oft genug wiederholen: Jede Mail, an der ein vorgeblich „wichtiger“ Anhang hängt, in dem angeblich alles das stehen soll, was in der Mail aus unerfindlichen Gründen nur nebulös und völlig unkonkret angedeutet ist, stinkt. Solche Mails einfach löschen, ohne auch nur mit dem Gedanken zu spielen, sich den Anhang anzuschauen! Das gilt in besonderer Weise, wenn der Anhang gepackt wurde, denn dies ist regelmäßig in Spammails der Fall, um Schadsoftware besser an die Spamfilter vorbeimogeln zu können. Es gibt für Amazon oder irgendeine andere Unternehmung im Web keinen einzigen sachlichen oder technischen Grund, in dieser Weise vorzugehen. Alles, was mitgeteilt werden kann, kann im Text der Mail selbst mitgeteilt werden. Die Mitteilung in einem Anhang wäre nicht besser, sie wäre nicht sicherer, sie wäre sogar nur ein zusätzlicher Aufwand für die eigenen Kunden, der zu Missverständnissen führen könnte. Nur Verbrecher haben einen guten Grund, Dateien in Archivformaten anzuhängen, aber in der eigentlichen Mail nahezu nichts Substanzielle zu schreiben.

Ich lege Amazon nahe, auf der eigenen Website deutlich und unübersehbar auf den laufenden Missbrauch der Firmierung durch Kriminelle hinzuweisen, um die eigenen Kunden vor den Folgen solcher Angriffe zu schützen. Ich lege Amazon-Kunden nahe, Amazon zu einer solchen deutlichen Stellungnahme aufzufordern. Diese kleine Gegenwehr, die potenziell bei tausenden von Menschen einen größeren Schaden verhindert, sie wäre immer noch die beste Antwort auf den Missbrauch einer Firmierung durch Kriminelle.

Suchmaschinenoptimierung

Dienstag, 14. Mai 2013

Eine Mail von Peter Knopp Offenbar versucht auch die sich selbst „Peter Knopp“ nennende Gestalt einer angeblichen SEO-Klitsche mit ständig wechselnden Websites und Firmierungen den Preis „Aufdringlichster Spammer des Jahres“ zu ergattern. Ob diese Gestalt wohl Erfolg darin haben wird?

Guten Tag.

Ich bin Spammer. Meine Mail ist illegale Massenware. Ich habe keine verdammte Ahnung, wer sie sind und wie sie heißen.

Wir bieten Ihnen die Optimierung Ihrer Internetseite an. Dadurch kann Ihre Seite unter den ersten Zehn auf Google sein.
Unsere Fachleute stehen Ihnen mit ihrem technisch– informatischen Wissen zur Verfügung.

Ich nenne mich „wir“, weil das nach mehr klingt, als es ist. Ich habe ihnen schon vor ein paar Wochen genau den gleichen Text in ihr Postfach gemacht, aber damals habe ich es noch mit der Firmierung „WebProgress“ anstelle eines Namens versucht, der wie der Name eines Menschen klingt.

Wir gewährleisten die erhebliche Verbesserung der Webseite-Position.
Bei den nicht zufriedenstellenden Ergebnisse [sic!] garantieren wir die Rückerstattung der Kosten.

Obwohl ich ganz großer Spezialexperte bin, weiß ich immer noch nicht, was der Unterschied zwischen einer „Seite“ und einer „Site“ ist. Auch die peinlichen Fehler aus meiner vorherigen Spam habe ich nicht korrigiert. Wenn ich mir Mühe geben würde, könnte ich ja gleich richtig arbeiten und müsste nicht spammen.

Mit den aktuellen Codes erhalten Sie 15% Rabatt.

WP-RT-3988541 ( gültig bis zum 15.05.2013 )

Eine Sache habe ich immerhin an meinem Text geändert. Meine angeblichen Rabatt-Codes haben jetzt eine zeitlich beschränkte Gültigkeit, damit man auch schön schnell und unüberlegt zugreife. In meiner letzten Spam habe ich das noch nicht für nötig befunden, aber irgendwie muss ich es ja hinbekommen, dass Leute auf meinen Beschiss hereinfallen. Die Zeichenfolge im Rabattcode zu ändern, war mir dann allerdings zu viel Mühe.

Mehr Informationen entnehmen Sie bitte unserer Webseite:
http://www.seo-position.net

Und jetzt klicken sie sich endlich auf die Website… sorry… Webseite, die ich erst vor einer Woche eingerichtet habe – natürlich schön anonym, unter Verwendung eines Whois-Anonymisierers, damit es auch richtig unseriös aussieht.

Mit freundlichen Grüβen [sic!]

Was der Unterschied zwischen einem griechischen Beta „β“ und einem deutschen „ß“ ist, habe ich immer noch nicht verstanden. Dass die Zeichenkette „Grüβe“ damit ein ideales Filterkriterium zum Aussortieren meines Mülls geworden ist, kann ich ebenfalls nicht verstehen. Dafür müsste ich ja die Sprache beherrschen, in der ich spamme. Und weil ich die nicht verstehe, verwende ich in meiner HTML-formatierten Spam eben β anstelle von ß. Sieht ja auch ganz ähnlich aus…

SeoPosition

Auch aus einer früheren Version der Masche bekannt unter WebProgress. Und unter WebOpt.

Peter Knopp

Auch aus einer früheren Version der Masche bekannt unter Thomas Lipke. Weitere Namen folgen, wenn ich mit dem Namen „Peter Knopp“ durch keinen Spamfilter mehr komme.

http://www.seo-position.net

Auf meiner erst vor einer Woche eingerichteten Website… sorry… Webseite kann man nachlesen [Link auf eine archivierte Version], dass ich schon sehr lange im Geschäft bin: „Die über 10 jährige Erfahrung in der Internetbranche und die mehrjährige Aktivität auf dem Markt gewährleisten die ausgezeichnete Wirksamkeit und das hohe Niveau unserer Dienstleistungen“.

Wenn Sie unseren Newsletter abbestellen möchten, klicken Sie bitte hier.

Wenn sie noch mehr Spam haben wollen, teilen sie mir einfach mit, dass die Spam ankommt und dass sie da sogar reinklicken.

Quelle des oben verwendeten Bildes mit dem Facepalm am Schreibtisch: Wikimedia Commons, Urheber: LaurMG, Lizenz: CC BY-SA 3.0

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.