Kategoriearchiv „Mail“

Attn: Friend!!

Montag, 9. Mai 2016

Oha, ein Qualitätsbetreff!!

Good Day My Friend,

Ich weiß zwar nicht, wer du bist, doch…

With the warmest of hearts, I offer my friendship, greetings and I hope this mail meets you in good time and spirit.

…ich biete dir meine ganze kühlschrankgleiche Herzenswärme, meine Freundschaft, meine Grüße und meine brennende Hoffung, dass meine Spam wieder auf ein paar Handvoll Idioten trifft, die ich abzocken kann. Mein Auto ist schon wieder fast drei Monate alt, ich brauche ein neues.

However this email might seem strange to you, as we have not met personally or had any dealings in the past, I humbly ask that you take due consideration of its importance and immense benefit. I am a well-established
consultant currently in Europe handling a wide range of trade and investment matters.

Wenn du noch nie eine Spam empfangen hast, mag ein solcher lächerlicher Versuch der Einleitung eines Vorschussbetruges für dich komisch klingen. Deshalb erstmal ein paar unbeholfene Wörter zur Erklärung. Ich mache Investment (das ist so Zeug mit Geld, viel viel Geld), und ich habe dir etwas echt jetzt mal Wichtiges anzubieten, von dem du ordentlich profitieren wirst (das ist so Zeug mit Geld, viel viel Geld).

Just recently, I was consulted and mandated by a client of mine from Russia who is currently having some political problem, to source for a reliable entrepreneur to assist invest funds totaling US$8.5 Million.

Ich habe hier achteinhalb Millionen Rubel… ähm… US-Dollar aus Russland rumliegen, und ich suche einen zuverlässigen Geschäftsmann, dem man das leidige Kleingeld anvertrauen kann. So etwas wie Banken nehme ich nicht, ich mache das lieber über eine E-Mail an Unbekannte.

My Client needs a country that is politically stable with an excellent investment climate like yours, a trustworthy personality by whom investment on a large scale could be handled and finally the funds invested in any profitable ventures such as real estate.

Mein namenloser Kunde (das ist der mit Geld, viel viel Geld) hat nämlich überhaupt keine Ansprüche an den Menschen, dem er das viele viele Geld in die Hand drückt, sondern nur an den Staat, in dem dieser Mensch lebt. Ansonsten könnte es von der Junkhure über den Verbrauchtwagenverkäufer bis hin zum naiven Bachelor mit Sozialpädagogikstudiumshintergrund und einer Berufsperspektive als Currywurstverkäufer wirklich jeder sein.

Your main responsibility is to ensure the total evacuation of the funds from where it is secured at the moment as my client is having some political problem and find it very difficult to secure the funds himself. Should you however be in a position to secure these funds and to handle the investment desire of my client, please
notify me through email or fax which is stated clearly above so that we shall discuss among others, investment areas, evacuation or transfer of the funds and above all the benefits to the persons involved.

Deine Aufgabe besteht darin, das Geld abzuräumen, und davon sollst du profitieren (das ist etwas mit Geld, mit viel viel Geld).

Be assured that everything will be carried out in the most legitimate arrangement which will forbid you from any breach of the law (Domestic/international).

Glaub mir einfach, dass ein Spammer, dessen Spam mit einer dynamischen IP-Adresse der Telekom Malaysia von einem mit Schadsoftware übernommenen Rechner eines anderen Menschen versendet wurde, so richtig legal vorgeht. Vor allem, wenns um Geld geht. Wundere dich nicht darüber, dass die Absenderadresse vorgibt, von Googles Freemail-Angebot zu stammen, obwohl die Mail niemals einen Server von Google auch nur aus der Ferne gesehen hat. Dafür habe ich den Trick mit dem Reply-to-Header drauf, so dass deine Antwort an meine wirklich benutzte Mailadresse luca (punkt) masiello (at) yandex (punkt) com geht. Den hat mir neulich erst ein Achtjähriger gezeigt, diesen tollen Trick. Vertrau mir, dann fällt dir auch nicht auf, dass ich meinen Absender fälsche. Und frag auf keinen Fall jemanden anders um Rat, der sich ein bisschen auskennt und dich vor meinem Betrug warnt.

It is a highly confidential business undertaking/venture which will yield results in monetary terms/value to the benefit of those involved/concerned; hence a serious minded
person is needed. Kindly respond to this letter only if you are interested and capable of handling it.

Es ist ein ganz geheimes Geschäft, so geheim wie eine unverschlüsselte, offen wie eine Postkarte durch das Internet gesendete E-Mail. Und du kriegt monetäre Werte als Profit (das ist etwas mit Geld, viel viel Geld). Deshalb sollst du so dumm sein, mich ernst zu nehmen und mir zu antworten, damit ich dir ein paar richtig dicke Lügen auftischen kann. Und wenn du erstmal glaubst, dass so eine Million oder ein bisschen mehr für dich abspringt, dann wirst du eine Vorleistung nach der anderen bezahlen – hier eine Beglaubigung, dort ein Vertrag, dort eine Gebühr und noch eine kleine Bestechung für einen korrupten Beamten. Natürlich nicht auf mein Bankkonto, denn so etwas benutze ich nicht, ich mache ja schließlich in Investment. Nein, immer schön über Western Union und Konsorten, damit ich es mir anonym und bar abholen kann und damit gleich in den benachbarten Puff gehen kann. Das ist viel schöner da als im Gefängnis. Und es macht richtig Spaß, das Geld anderer Leute auszugeben.

Thank you and God bless you!

Danke!

Wofür? Ach, egal! Und hoffentlich bist du fromm, denn fromme Menschen fallen häufiger auf meinen Betrug rein! Gut, dass die Mutter der Deppen immer schwanger ist.

Best regards,
luca masiello.

Mit Gruß
Dein Vorschussbetrugsspammer

Hui, mal wieder ein etwas anderer Text…

rechnung tamagothi.de

Freitag, 6. Mai 2016

Aber die Domain ist doch schon bezahlt.

Sehr geehrter Damen und Herren,

Hach, wie gut mein Name wieder getroffen ist… 😀

anliegend erhalten Sie die Rechnung für die Veranstaltung mit Herrn Dr. Schmitt vom 02. – 04.05.2016 in unserem Haus.

In welchem Haus? Welche Veranstaltung? Was zum hackenden Henker?

Wer Näheres wissen will, muss einen Mailanhang öffnen. Dieser hat zwar einen Dateinamen, der auf .rtf endet und sieht damit wie ein harmloses Dateiformat, wie ein RTF-Dokument, aus, ist aber in Wirklichkeit…

$ file rechn_comerz\(052016\)_7844.rtf 
rechn_comerz(052016)_7844.rtf: Zip archive data, at least v2.0 to extract
$ _

…ein ZIP-Archiv. Was sich der Spammer davon versprochen hat, weiß ich nicht. Vermutlich gibt es Office-Programme, die das dann beim Öffnen entpacken und das darin enthaltene…

$ unzip -l rechn_comerz\(052016\)_7844.rtf 
Archive:  rechn_comerz(052016)_7844.rtf
  Length      Date    Time    Name
---------  ---------- -----   ----
    15003  2016-04-29 04:01   2016INV-APR04041.pdf.js
---------                     -------
    15003                     1 file
$ _

…Javascript-Programm, das mit irreführendem Dateinamen in einer Spam mit alarmierendem Inhalt zugestellt wurde, auch noch ausführen. Vielleicht hilft diese Art der Verpackung sogar dabei, eine Schadsoftware zu verbreiten, die schon von sehr vielen Antivirus-Programmen erkannt wird. Ich weiß es nicht. (Ich kann mir gar nicht vorstellen, das so ein Trick überhaupt funktioniert, aber die bunte Welt von Microsoft Windows war für mich bislang immer für eine böse Überraschung gut.)

Ich weiß nur eins: Wer einen Mailanhang aufmacht, der nicht vorher und über einen anderen Kanal als E-Mail explizit abgesprochen wurde, spielt russisches Roulette mit seinem Computer und lädt die Probleme geradezu ein. Die meiste derzeit umlaufende Schadsoftware sind Erpressungstrojaner. Mit ein paar hundert Euro kann man wahrlich etwas Besseres anfangen, als sie bang in Bitcoin zu tauschen und nach der Bezahlung des Lösegeldes an ein kriminelles Arschloch darauf zu hoffen, dass man danach wieder an seine E-Mail, Korrespondenz, Dokumente, Fotos, Videos, Musik und sonstigen Dinge von persönlichem Wert kommt.

Bitte überweisen Sie den Rechnungsbetrag in Höhe von EUR 374,24 unter Angabe der Rechnungsnummer auf unser Konto bei der Commerzbank.

Damit man den Anhang auch wirklich aufmacht, wird (wie üblich) gesagt, dass man völlig grundlos ein paar hundert Euro bezahlen soll – und wie üblich ohne jede Angabe der Bankverbindung, denn dem Spammer geht es ja nicht um Überweisungen, die für die Polizei verfolgbar wären, sondern darum, dass Leute den Anhang öffnen und sich seine Schadsoftware installieren, damit er sich anonymisierend Lösegelder über Bitcoin abholen kann, ohne diese lästigen Handschellen angelegt zu bekommen.

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Kontaktdaten werden keine angegeben. Das ist das neue Zur-Verfügung-Stehen. 😀

Mit freundlichen Grüßen, Wolfgang Roth

Freundlich wie eine Ohrfeige
Dein Schadsoftware-Spammer

Alexander am Zoo
Lange & Partner oHG / HRA
Tel. + 49 15 18xxxx
Fax: + 49 20 89xxxx
email: info (at) alexanderamzoo (punkt) de
http (doppelpunkt) (doppelslash) www (punkt) alexanderamzoo (punkt) de

Natürlich ist sowohl der Absender der Spam gefälscht, genau so wie diese Daten falsch sind. Diese Spam wurde in Wirklichkeit von einer dynamischen IP-Adresse aus Pakistan versendet; mutmaßlich also von einem Computer, der mit Schadsoftware zum fernsteuerbaren Bot der Kriminellen gemacht wurde. Habe ich eigentlich schon erwähnt, dass der Absender mit seiner Spam Schadsoftware unterbringen will?

Auszahlungsbestätigung für gammelfleisch@tamagothi.de (Bitte Jetzt Bestätigen!)

Donnerstag, 5. Mai 2016

Hallo gammelfleisch@tamagothi.de!

Das ist ja genau mein Name!

Sehr geehrter Kunde!

Und schon wieder mein Name! Woher kennt der Spammer den nur?! 😀

Hiermit übersenden wir Ihnen Ihre Auszahlungsbestätigung für offenes Guthaben in der Höhe von:

781,12 € (EURO)

für Ihr Benutzerkonto mit folgender E-Mail Adresse:

gammelfleisch@tamagothi.de

Merken wir uns: Geld wird an Mailadressen (oder an Benutzerkonten) gezahlt, nicht an Leute, die es auch ausgeben könnten.

„Kreativ“ ist hier die Verwendung der Auszeichnung für eine unsortierte Liste mit nur einem einzigen Element. Auch Dummheit kann kreativ machen.

Bitte KLICKEN SIE HIER um Ihre Auszahlung anzufordern!

Genau, das hat in der hingestümperten Spam noch gefehlt. Ein „Click here“, der dümmste Linktext, den man in eine Mail reinschreiben kann. Da kann man sich dann Geld klicken, das einem grundlos gegeben wird, weil man so eine schöne Mailadresse hat. Sehr glaubwürdig. Und wer jetzt wissen will, um was es geht…

Bei weiteren Fragen steht Ihnen der Kunden Support auf der Website zu verfügung.

…muss ebenfalls klicken. Auf einen Link, der über ein Tracking-Skript in der Domain webimpossible (punkt) com geht. Keine gute Idee, das zu tun.

Wer es sich sparen will: Es geht nach einer längeren Kaskade von Weiterleitungen dann wieder zum Sir William Bot, der alle Menschen wie von allein so richtig reich macht. Eigentlich schade, dass der Spammer den nicht selbst benutzt, sondern lieber ein paar klimprige Affilate-Groschen dafür kassiert, dass er windigen Brokern ein paar Kunden zutreibt. Warum der Reichwerdexperte seine Reichwerdmethode nicht selbst benutzt? Ach, das klärt sich durch kurzes Nachdenken.

Mit freundlichen Grüßen

Walther Marengold
VIP Customer

So so, von einem ganz very impotent wichtigem Kunden…

Gesehen, gelacht, gelöscht.

Börsentagen beginnt früher, wenn jeder im Shark Tank registriert ist.

Mittwoch, 4. Mai 2016

Na, dann willkommen im Haifischbecken, in dem der Schlaf schneller beendet wird!

Hallo an Alle!

Wer würde sich davon nicht angesprochen fühlen?! 😀

Shark Tank, das größte Unternehmen in Handelsmärkten, unterzeichnete in Vereinigte Staaten von Amerika mit Firmen auf der ganzen Welt, hat das Shark Tank Wettbewerb 2016 angefangen!

Wer würde einen Spammer, der sich als das größte Unternehmen in Handelsmärkten bezeichnet, nicht sofort glauben?! Dass das Geld für einen richtigen Dolmetscher nicht übrig war, kann doch keinen Zweifel wecken.

Wir haben zufällig von unserem System 7 gezeichnete Mitglieder ausgewählt um sie zur.
Registrierung und Teilnahme im Wettbewerb einzuladen, die einmal jährlichen Wettbewerb! Dieses Jahr, anders als im Vorjahr haben wir eingeladen, Brad Christian ein erfolgreicher Händler, der bekannt durch seine erfolgreichen Handel für die letzten 10 Jahre in den Handel Märkte.

Dieses Jahr alles, was Sie zu tun haben, ist die Kopie seiner Trades, wie Spiegel.

Wer würde diesen merkwürdig in Absätze gegliederten Kürzsttext nicht mehrere Male durchlesen und versuchen, sich zurechtzureimen, was zum hackenden Henker der Spammer hier eigentlich sagen will?!

Jemand, der vom käsigen Hirnzerfall durch Spam gezeichnet ist?

Bitte klicken Sie auf den folgenden Link oder kopieren und fügen Sie ihn in Ihren bevorzugten Browser:

http://ganglink.com/competition

Auch nicht zu vergessen die Software zum Herunterladung [sic!] hier:

http://ganglink.com/APfYg (Agent47)

Wer würde nicht sofort zur „Herunterladung“ – oder neudeutsch: Downloadung – von Software schreiten, die von so einer tollen Spam empfohlen wird?! 😀

Wir haben auch den Live Chat Option integriert, wo Brad wird Ihnen das Handwerk
Und auch er legt seine eigenen Geschäfte, Alles, was Sie zu tun haben, ist das Kopieren seiner Trades automatisch von seinem eigenen Konto!

Denn Brad legt euch das Handwerk und legt seine Geschäfte. Einfach nachmachen.

Dies ist ein Aufruf für eingeladen und unregistrierte Mitglieder in der Shark Tank Competition 2016 – nach dieser Seite sie werden umgeleitet auf der Seite Präsentation!

Dies ist eine Spam aus dem Haifischbecken des kriminellen Internet.

[Die folgenden Mailadressen sind von mir unbenutzbar und die Nachnamen unkenntlich gemacht worden, nicht etwa vom Spammer. Im Original stehen da Mailadressen mit vollem Namen. Ich weiß nicht, ob es diese Personen gibt, aber sie sind gestraft genug durch die Drecksspam, da muss ich nicht auch noch die Daten hier „verewigen“.]

Benutzerliste:

alvaro (underline) moreira (at) gmail (punkt) com – Alvaro M. – United States – Registered – 01/05/2016 – Status: Trading – Profits: $6670
Bernisfk (at) web (punkt) de – Bernis F. – Germany – Registered – 02/05/2016 – Status: Trading – Profits: $8661
andrea (underline) boticelli (at) yahoo (punkt) it – Andrea B. – Italy – Registered – 01/05/2016 – Status: Trading – Profits: $7880
gammelfleisch@tamagothi.de [Huch?! Ich?!] – Not Registered – No Country Specified – Not Registered – Status: Not Confirmed [Tolle Daten!]
keven (punkt) stpierre (at) hotmail (punkt) com – Keven S. P. – Canada – Registered – 02/05/2016 – Status: Trading – Profits: $6651
anna (underline) us (at) yahoo (punkt) com – Anna M. – United States – Registered – 03/05/2016 – Status: Trading – Profits: $4200
kevin (underline) zied (at) gmail (punkt) com – Not Registered – No Country Specified – Not Registered – Status: Not Confirmed

Wahnsinn, „meine“ Mailadresse steht in der Benutzerliste. Und als „Name“ steht daneben „Not Registered“. Sehr überzeugend!

***Für alle unregistrierten Mitglieder ( gammelfleisch@tamagothi.de , kevin (underline) zied (at) gmail (punkt) com ) Bitte registrieren Sie sich über den Link unten vor dem 30. Mai, um den Start des Handels mit Haifischbecken.

Und weil ich den schönen Namen „Not Registered“ habe, soll ich jetzt klicki klicki machen. Um ins Haifischbecken zu hüpfen. Happ, happ!

BITTE NICHT VERPASSEN!

Börsentagen beginnt früher, wenn jeder im Shark Tank registriert ist.

Bitte klicken Sie auf den folgenden Link oder kopieren Sie ihn und fügen ihn in Ihren bevorzugten Browser:

http (doppelpunkt) (doppelslash) sirwilliambot (punkt) info (slash) /(fragezeichen) b (gleich) 1 (ampersand) lang (gleich) de (ampersand) a (gleich) 191 (ampersand) brand (gleich) Marketsrally (ampersand) aid (gleich) 0 (ampersand) p1 (gleich) competition

Wer könnte da widerstehen?!

Und es kommt noch besser. Es ist eine HTML-Spam, und der Link geht keineswegs auf die lange URI¹, die da angezeigt wird, sondern mit eindeutiger ID über ein Trackingskript in der Domain alfamotors (strich) eg (punkt) com. Die gnadenlos komische Website, die man nach einem Klick auf diesen gnadenlosen Link zu sehen bekommt, habe ich bereits vorgestern ausführlich gewürdigt (mit Screenshot). Wer mal wieder lachen möchte, muss also nicht an die Spammer zurückfunken, dass er die Spam bekommen hat.

Auch nicht zu vergessen die Software zum Download hier: http://ganglink.com/APfYg (Agent47)

Wartet auf Sie im Shark Tank,

Wer würde da nicht sofort in das Becken hüpfen?! 😈

Mit besten Grüßen

Und vor allem: Mit der bestmöglichen Leistung, die dieser Spammer auf Grundlage seiner mentalen Fähigkeiten hinbekommen konnte.

Oliver – Shark Tank
Mobile: 1-438-39649xxxx
Address: Main Street Boulevard, 32 Floor 2
Toronto, Canada
Skype: Skype Plugin fehlt [sic!]

Das Skype-Plugin ist leider nicht das einzige, was bei diesem Enthirnungsrest fehlt.

Abgeschlossen wird diese frechdumme Intelligenzverachtung von…

<img 
src="http://alfamotors-eg.com/open.php?M=9442524&L=121&N=1240&F=H&image=.jpg"
height="1" width="10">

…einem für die „normalen“ Leser unsichtbaren Webbug, der zum Spammer zurückfunkt, dass die Spam angekommen ist und gelesen wurde, wenn man sie sich anschaut.

Deshalb lädt man keine Grafiken in HTML-Mails. Oder noch besser, wenn man es sich leisten kann: Man sortiert alle HTML-formatierten Mails sofort in den Müll. In der Praxis geht es leider nicht so einfach, da viele Unternehmen und Webdienste ohne zwingenden technischen oder sachlichen Grund HTML-Mail versenden. Leider hat das nicht zur Ächtung der ganzen Klitschen und Webdienste geführt, die so vorgehen, sondern zur Gewöhnung an einen Zustand, der die E-Mail noch ungenießbarer macht, als sie es durch die Spampest eh schon ist – und dazu ein in die Privatsphäre eindringendes Tracking von Werbern und Ganoven sowie hin und wieder einmal die Ausbeutung von Sicherheitslöchern durch Kriminelle ermöglicht.

Ach! 🙁

¹Pedanten, Zwangsneurotiker und analsadistisch gestörte Persönlichkeiten sagen mir immer wieder einmal, es handele sich um „den URI“ und nicht „die URI“. Aber in meinem Umfeld sprechen alle von „der URL“ und „der URI“, und ich schreibe das schon seit Jahren so, ohne selbst darüber zu stolpern. (Deshalb stubsen ja die Pedanten immer wieder mal mein Näschen da hinein; so ein Rechtschreibfeler ist ja beliebt, wenn man sonst nichts zum Bekritteln findet.) Das Englische, aus dem die lustigen Aküwörter kommen, kennt kein grammatisches Geschlecht, und jede Zuordnung eines solchen im Deutschen ist völlig willkürlich. Der Duden hat für „URI“ noch keine Entscheidung getroffen, und wenn ich es oft genug so schreibe, wie Pedanten es regelmäßig für falsch halten, wird dieser Fehler vielleicht noch zur Regel. Diese Hoffnung bestärkt mich darin, so weiterzumachen. Beim verwandten Aküwort „URL“ lässt der Duden zurzeit beides zu. Wohl denen, die eine Sprache sprechen, in der es solche Probleme nicht gibt! Und jetzt zur nächsten Frage: Heißt es „die Spam“, „der Spam“ oder „das Spam“? Auch hier habe ich vor fast zwei Jahrzehnten einfach aus dem Bauchsprachgefühl heraus entschieden, „die Spam“ zu sagen, weil sie mir damals meist als Mail kam, weil die Post im Deutschen nun einmal feminin ist und weil sich das für mein Empfinden besser spricht. Ich kann getrost sein, denn auch nach zwei Jahrzehnten Spamseuche ist dem Duden keine verbindliche Regelung des Genus für das Nomen „Spam“ eingefallen. Dem anderen häufigen Kritikpunkt derartiger Pedanten an meinem Geschreibe, dass ich dazu neige, Sätze mit Konjunktionen wie „und“ und „dass“ zu beginnen und dass es sich dabei um ganz miesen Stil handele, kann ich leider nur entgegenhalten, dass mein Stil dann wohl mies sein muss. Er lehnt sich stark an den miesen Stil der gesprochenen Sprache an…

Ihre Aktivierung ist abgeschlossen (Zugriff Genehmigt)

Montag, 2. Mai 2016

Oh schön, ich wurde aktiviert. Und nach meinem Tod werde ich recycelt¹.

Hallo,

Genau mein Name.

Glückwunsch, Ihr Zugang wurde genehmigt.

Wer hat welchen Zugang wohin genehmigt?

Konto: gammelfleisch@tamagothi.de

Aber die Empfängeradresse steht doch schon im Mailheader, sonst wäre deine Spam gar nicht bei mir angekommen. Und dass du glaubst, mein Name sei „Hallo“, hast du gleich zu Anfang klar gemacht.

Status: AKTIVIERT

Aber das steht doch schon im Betreff. Und, Spammer, um was geht es?

Ihre Einrichtung ist nun abgeschlossen.

Bekomme ich neue Möbel?

Klicken Sie Auf Ihren Persönlichen Zugangslink Unten.

Der muss ja unten sein. Dass da oben kein Link war, habe ich beim Lesen schon gemerkt.

* Hier für Sofortzugang Klicken

„Click here“ für eine Katze im Sack. Miau!

Vielen Dank,

Du mich auch.

Elite Trading Deutschland

Ach so, an der Börse soll ich zocken… wegen einer Spam… mit einer Katze im Sack… und einem „Click here“… da müsste ich aber ganz schön doof sein, wenn mir keine bessere Verwendung für Geld einfiele.

Dieses Mal – wer auf den Link klickt, sollte sich aber darüber im Klaren sein, dass damit die zugespammte Mailadresse gegenüber den Spammern bestätigt wird und dass man es mit Websites von Kriminellen zu tun hat, die man niemals ohne besonders gesichertes System besuchen sollte – hätte es übrigens einen überaus gnädigen „Sir William Bot“ gegeben, der jeden Empfänger dieser Spam zum Millionär macht:

Die Frage, wieso dieser freundliche Reichwerdexperte nicht einfach selbst mit seinem tollen Gelddruckprogramm an der Börse zum Millionär wird, sondern lieber Millionen von Menschen Spam in das Postfach macht, beantwortet sich schon durch kurze Benutzung eines handelsüblichen Gehirnes. Ein kleiner Hinweis nur für Geistträge, Fremddenkenlasser und Opfer des gegenwärtigen Bildungssystemes: Es liegt nicht daran, dass der Geldmachbot funktionieren würde.

Der Spammer stellt das freilich anders da:

Detail aus der betrügerischen Website: 100% Satisfaction Guaranteed, 100% Secured

Hundert Prozent Befriedigung, hundert Prozent Sicherheit. Da ist man aber froh, dass es nicht nur neunzig sind. 😀

Ein Zähler, der unter auffälligem Blinken langsam runterzählt Eine andere Frage werde ich hingegen beantworten, nämlich die Frage, wie der Spammer es hinbekommen hat, einen „Zähler“ in seine Seite einzubetten, der auch dann noch funktioniert, wenn man (wie ich) Javascript abschaltet. Es handelt sich gar nicht um einen Zähler, es sieht nur wie ein Zähler aus. Es ist eine animierte GIF-Grafik. Diese wurde auf der Seite eingebettet, um die offenbar unwahre Behauptung zu unterstützen, dass es sich um ein „begrenztes“ Angebot handelt, das so „beliebt“ ist, dass man ganz schnell und gedankenlos zuschlagen muss und nach Möglichkeit ohne weiteres Nachdenken einem Spammer eine Kombination aus echtem Namen und Mailadresse geben muss. Ärgerlicherweise hat der Spammer nicht daran gedacht, dass es für diese Verwendung eher schlecht ist, wenn das GIF zyklisch abgespielt wird, so dass der Zähler nach Durchlauf der Sequenz wieder bei 23 anfängt. Wieso diese spammenden Reichwerdexperten aber auch immer so viel Pech beim Denken haben!

Um ganz klar zu machen, was das für ein Schwindel ist, habe ich das irreführend hektisch blinkende Bild auch hier eingebettet. Was es wohl bedeuten wird, dass der Spammer so gezielt einen falschen Eindruck erwecken will? Ob es wohl bedeuten mag, dass man ihm vertrauen soll, wenns um Geld geht? Denkt einfach selber drüber nach! Und dann macht einfach etwas Besseres mit eurem Geld, als euch von Reichwerdexperten abziehen zu lassen, die nicht einmal nach ihren eigenen Methoden reich werden wollen, sondern lieber asoziale und illegale Spam versenden! (Könnt ja einen Euro für Unser täglich Spam spenden…)

¹Eines dieser Verben, die mich im Duden nachschauen lassen, wie man sie schreibt…

SUPPLY OF EQUIPMENT (Lieferung von Ausrьstung)

Samstag, 30. April 2016

Oh, ein Qualitätsbetreff, gefolgt…

Herr,

…von einer Qualitätsanrede. 😀

Lieferung von Ausrьstung

Das steht schon im Betreff.

Ich bin Dr. Abdulrahman Abubakar, Direktor des Beschaffungs Ministerium [sic!] fьr Landwirtschaft, wie das Ergebnis der knapperen Цlpreise global [sic!] und unsere BIP, die Bundesregierung von Nigeria zu erhцhen haben beschlossen [sic!], auf eine intensive landwirtschaftliche Produktion zu beginnen und dies zu tun, wir erfordern schwere landwirtschaftliche Gerдte in verschiedenen GrцЯen und Kapazitдten.

Echt immer wieder schade, dass die nigerianischen Unternehmen und die nigerianische Regierung immer in Sprachen schreiben, für die sie keine Dolmetscher haben und dann einfach einen Computer übersetzen lassen.

Die Idee mit der Landwirtschaft finde ich gut. Das Gehirn von Vorschussbetrügern ist sowieso nur noch als Dünger oder Kraftfutter für Schweine zu gebrauchen.

Ich bin Kontaktaufnahme mit Ihnen [sic!] und Ihrem Unternehmen dieses Vertrages die Versorgung der verschiedenen Gerдte zu ьbernehmen [sic!]. Wir haben bereits unsere Hintergrund-Kontrollen [sic!] perfektioniert und die Transaktion ist von irgendwelchen Pannen frei [sic!]. Die Regierung wird machen ьber 60% der Vorauszahlung [sic!] Sie Quelle fьr die Gerдte zu ermцglichen [sic!].

Schön, dass das alles von irgendwelchen Pannen frei ist – wenn man mal von sprachlichen Pannen absieht.

Sollten wir Ihr positives Zustimmung haben, werden wir euch detailliert ьber die Modalitдten der Transaktion im Ernst [sic!].
Danke und GrьЯe.
Dr. A. Abubakar

Keine Ursache, Grüße… sorry GrьЯe zurück und Spam nach genossener Heiterkeit gelöscht.

Die Kommunikation mit der angeblichen nigerianischen Regierung würde übrigens über eine kostenlos und anonym einzurichtende Mailadresse bei outlook (punkt) com laufen.

Viagra Generika – Testen Sie uns gern

Donnerstag, 28. April 2016

In die „Hall of Shame“ kommen nur die ganz Harten. Die, bei denen sich der mutige Einsatz von Technik und das Streben nach gestalterischer Exzellenz mit unfassbarer Stümperei paart. Die, bei denen die Worte erst einmal Luft holen müssen, ehe sie das Gesehene beschreiben können. Wenn du hier landen willst, Spammer, denn musst du dir schon Mühe bei deiner Müllproduktion geben…

Dieser Spammer hat auf jeglichen Text verzichtet. Was er zu sagen hat, sagt er nicht in zweihundert Bytes dummen Stummeltextes, sondern in einem 147,8 KiB großen JPEG-Bild, das so aussieht:

Die Mischung aus peinlicher Grafik und unansprechender Typografie ist schon über das normale Maß hinaus mies, so dass dümmliche Fomulierungen wie „Testen Sie uns gern“ gar nicht mehr richtig auffallen. Das immerhin hat der Spammer also geschafft: Seine Dummheit in Peinlichkeit verbergen.

Die spamtypisch indirekt gesetzte Link geht in die Domain redem (punkt) top, und zwar auf eine Seite, die neben der Weiterleitung zwei verschiedene Zählerskripten (eines von einem ukrainischen Anbieter und eines von Yandex) enthält:

$ lynx -mime_header http://www.redem.top/pillenversand/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Thu, 28 Apr 2016 09:05:20 GMT
Content-Type: text/html
Content-Length: 1477
Connection: close
Vary: Accept-Encoding
Last-Modified: Wed, 27 Apr 2016 22:03:31 GMT
ETag: "2aa0c62-5c5-5317e9494719a"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.pillenversand.net/"> 
</HEAD><BODY></BODY></HTML>
$ _

Vermutlich freut sich der Spammer jeden Tag darüber, dass er zwei verschiedene Zählergebnisse und Statistiken erhält. Aber doppelt hält eben besser. Deswegen trägt man auch zwei Uhren, so dass man sich niemals sicher ist, wie spät es wirklich ist… 😀

Vielleicht erzählt ihm irgendwann mal ein aufgewecktes Kind, dass man zuverlässigere Ergebnisse erhält, wenn man die Logdatei des Webserver auswertet. Das funktioniert übrigens auch, wenn Besucher Javascript blockieren und Browser-Addons gegen das site-übergreifene Tracking (auch) durch solche Zähler-Anbieter verwenden. Im Moment muss sich der Spammer jedenfalls ohne solche Kenntnisse behelfen, und das macht im Ergebnis einen eher inkompetenten Eindruck. Die Idee, dass jemand mit einem solchen Maß mangelnder Fähigkeit und derartigen Workarounds um sein (jederzeit durch eine einfache Websuche und ein paar Stunden aufgewendeter Lebenszeit beendbares) Unwissen dazu imstande ist, einen Versandhandel für Arzneimittel zu betreiben, ist ein guter Witz.

Der lustige Zeichensalat in der Einbettung des Zählers von MyCounter unterstreicht die Könnerhaftigkeit dieses ganz besonders extraguten Pimmelpillenspammers.

Schließlich geht es auf eine Website unter pillenversand (punkt) net, die…

$ whois pillenversand.net | grep -i '^registrant'
Registrant Name: Whois privacy protection service
Registrant Organization: Internet Invest, Ltd. dba Imena.ua
Registrant Street: Gaidara, 50 st.   
Registrant City: Kyiv
Registrant State/Province: 
Registrant Postal Code: 01033
Registrant Country: UA
Registrant Phone: +380.442010102
Registrant Phone Ext: 
Registrant Fax: +380.442010100
Registrant Fax Ext: 
Registrant Email: hostmaster@imena.ua

…über einen Dienstleister mit beschränkter Hoffnung aus dem schönen Kiew anonym registriert wurde. Der wenig Vertrauen erweckende Name „Pillenversand“ verrät vielleicht den meisten schon, dass hier jemand am Werke ist, dessen Stil eher von einer gewissen Grobheit geprägt ist, und die dortige potemkinsche „Apotheke“ begrüßt einem dann auch mit einem Bild, das mehr nach der Reklame eines Bordells als nach der Reklame einer Apotheke aussieht:

Nun, diese „Apotheke“ ist eben „Premium“.

Für Freunde des schmerzhaften Lachkrampfes habe ich einen Screenshot zu Flickr hochgeladen. Hier sei nur zitiert, was unter den vielen Bildern von dort angeblich erhältlichen Tabletten steht:

© Pillenversand, 2016

Frpills ist eine professionelle Online-Apotheke, spezialisiert auf Potenzmittel zur Behandlung von erektiler Dysfunktion. Einfach, sicher, in wenigen Minuten durchführbar! Zuverlässigkeit, Diskretion, Qualitätsprodukte, Kostenfreier Kundensupport, schnelle Lieferzeiten sind die höchste Priorität bei Viagrafon.

Frpills ist die beste Alternative zur Haus-Apotheke, um die Cialis bzw. Viagra online zu kaufen, selbstverständlich sicher und diskret. Nicht jeder möchte seine Apotheke wissen lassen, dass man Viagra oder ähnliche Arzneimittel benötigt.

Nicht einmal die ausgedachte Firmierung ist in diesen zwei lächerlichen Absätzen konsistent, sondern geht von Pillenversand über Frpills zu Viagrafon. So erfährt man ganz nebenbei, unter welchen anderen Namen der gleiche Beschiss mit dem gleichen Website-Gerüst schon lief. In der Tat, dieser Dumpfmeister von Spammer ist „professionell“ in seinem Betrug. Aber das heißt nicht, dass er sich viel Mühe bei der Präsentation des Betruges geben würde, denn erstens sind ihm seine Opfer keine Mühe wert, und zweitens könnte er doch gleich arbeiten gehen, wenn er sich Mühe geben würde.

Ach, übrigens kann man auch bezahlen. Die großartige Könnerschaft, in der dieser professionelle Betrüger ohne Ambitionen zu halbwegs überzeugendem Stil seinen Lesern das Bezahlverfahren klar macht, sei hier zur Verbesserung der Wirkung dieser unfassbaren Einheit von Inhalt und Typografie in Form eines weiteren Screenshots wiedergegeben:

Schade, dass das mit der MasterCard gerade nicht geht… dann zahle ich eben mit meiner Master Karte.

Alles in allem: Ein würdiges Exponat für die Schandhalle der miesen Spam.

Vorname Nachname Ihre Abrechnung 60600263 vom 26.04.2016

Dienstag, 26. April 2016

Diese Spams sind die Pest des heutigen Tages. Es gibt unglaublich viel davon.

Anstelle von „Vorname Nachname“ stand hier der richtige bürgerliche Name des Empfängers. Den hätte der Spammer zwar auch in das Empfängerfeld schreiben können, aber in der Betreffzeile wirkt es nun einmal alarmierender, und alarmieren will dieser Spammer. Denn er hat frische Schadsoftware anzubieten, die man sich nach einer Überrumpelung installieren soll, indem man einen Mailanhang öffnet.

Von: Rechnungsstelle Amazon AG <ebay (at) ebay (punkt) de>

So so, eBay und Amazon sind neuerdings fusioniert… schade eigentlich, dass die das selbst noch gar nicht gemerkt haben.

Der Spammer will hier natürlich die Kunden zweier beliebter Websites erreichen und zur Installation von Schadsoftware motivieren – aber die Art, wie er es getan hat, ist so, als würde in einer Absenderadresse als Klarname „etwas bei Volkswagen“ angegeben, und dazu eine Mailadresse in der BMW-Domain. Wenn man so etwas sieht, kann man sofort Zuckungen im Löschfinger bekommen. Es handelt sich ganz sicher um eine Spam von Kriminellen, deren Absender gefälscht ist.

Es gibt genau die gleiche Masche (mit geringfügigen Änderungen, aber ebenfalls mit dem Merkmal der erwähnten Anschrift) auch als angebliche Mail mit dem Absender „Rechtsanwalt GiroPay AG“ und der gefälschten Absenderadresse service (at) giropay (punkt) de und vermutlich in einigen weiteren Geschmacksrichtungen mehr.

Sehr geehrte(r) Vorname Nachname,

leider haben wir festgestellt, dass unsere Zahlungsaufforderung NR606002630 bisher ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma Amazon AG zu begleichen.

Ganz schlimme Zahlungsaufforderung. Sie hat eine Nummer. Denn Nummern sind wichtig. Um was geht es? Steht da nicht. Von wann ist sie? Steht da nicht. Objektiv steht da gar nichts und man soll völlig grundlos Geld bezahlen – wenn man mal von dem kleinen Patzer des Autors absieht, dass man „nicht gedeckte Beträge von Amazon begleichen“ kann. Schön, dass man seinen Beitrag dazu leisten darf, Amazon vor der Insolvenz zu bewahren.

Niemand würde sich so unklar ausdrücken, wenn es um Geld geht.

Nachdem so wenig Konkretes gesagt wurde, hat der Spammer allerdings auch etwas Konkreteres mitzuteilen – auch wenn der Empfänger das schon längst kennt:

Verbindliche Personalien:

Vorname Nachname
Straße Hausnummer
Postleitzahl Wohnort

Tel. Telefonnummer

Hier steht im Original der Name und die korrekte Anschrift des Empfängers nebst seiner korrekten Telefonnummer. Ich habe zurzeit mehrere derartiger Spams von Lesern, die allesamt eine korrekte Anschrift und eine korrekte Telefonnummer enthalten. Wo die Daten herkommen, ist mir zurzeit unklar – aber Spammer sind seit mehreren Jahren darum bemüht, auf allen nur denkbaren Wegen zu möglichst vielen Mailadressen weitere Daten zu erhalten und in großen Datenbanken zusammenzuführen. Meine spontane Vermutung ist, dass diese Daten über trojanische Apps aus Smartphone-Adressbüchern abgegriffen werden. In einem Fall war die angegebene Telefonnummer seit mindestens einem Jahr nicht mehr aktuell (das Mobiltelefon ging verloren). Der Datenbestand, aus dem sich die Spammer bedienen, scheint also mindestens ein Jahr alt zu sein. Allerdings sind auch viele Adressbücher in Smartphones nicht die Aktuellsten. Näheres dazu kann ich aber erst sagen, wenn mir ein paar Fälle bekannt sind, in denen die Quelle der Daten völlig klar ist, weil zum Beispiel eine ganz spezifische, nur in einem Kontext verwendete E-Mail-Adresse vom Spammer verwendet wurde, so dass man der Sache auf die Spur kommen kann.

Wer hierzu weitere Hinweise geben möchte, kann einfach einen Hinweis in den Kommentaren geben, so dass alle Leser etwas davon haben. Ich gehe davon aus, dass Millionen von diesen Spams unterwegs sind – und ich selbst habe „leider“ nur eine nicht-personalisierte mit der gleichen Schadsoftware-Brut. (Wer nach einer solchen Spam zu Recht etwas paranoid geworden ist: Natürlich kann man sich hier einfach einen Namen und eine Mailadresse für den Kommentar ausdenken, eine Registrierung ist nicht erforderlich.)

Das ist ein gutes Beispiel dafür, warum Datenschutz wichtig ist. Eine ansonsten ganz durchschnittliche Schadsoftware-Spam wird ungleich gefährlicher, wenn sie mit solchen Daten personalisiert wurde.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 44,40 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 25.04.2016.

So so, Kontaktaufnahme in drei Tagen – und eine Kontaktmöglichkeit ist nicht angegeben. Dafür wird es richtig teuer. Wofür, wird nicht gesagt. Sind halt Gebühren. Die entstehen halt. Wisst schon. Wer erschrocken ist und von seiner leichten Panik verdummt etwas Näheres erfahren möchte…

Eine vollständige Kostenaufstellung Nr. 606002630, der Sie alle Positionen entnehmen können, fügen wir bei.

…muss einen Anhang einer E-Mail öffnen, die mit gefälschtem Absender einen falschen Eindruck erwecken will, um rauszukriegen, um was zum hackenden Henker es hier überhaupt geht.

In den mir vorliegenden E-Mails ist dieser Anhang ein ZIP-Archiv, in dem ein ZIP-Archiv liegt, in dem eine ausführbare Datei für Microsoft Windows liegt. In einem Exemplar gibt es keine doppelte Verpackung, sondern nur eine einfache. In keinem Fall handelt es sich um ein Dokument, auch wenn das Piktogramm einen falschen Eindruck vom Charakter der Datei erwecken will.

Es handelt sich völlig klar um Schadsoftware. Diese wird zurzeit von den meisten Antivirus-Programmen nicht als Schadsoftware erkannt. Wer sich auf diesen Schutz verlassen hat, ist verlassen. So genannte Antivirus-Programme funktionieren nämlich nicht. Und wenn man sich wegen dieser Programme sicher fühlt und deshalb glaubt, unüberlegt handeln zu dürfen, sind diese Programme sogar gefährlich und arbeiten der Organisierten Kriminalität zu.

Deshalb ist es wichtig, dass man derartige Spam selbst erkennt und niemals darin herumklickt, sondern sie löscht. (Wer mag, kann natürlich gern zur Polizei gehen und Strafanzeige erstatten, aber über die Ermittlungschancen sollte man sich keine Illusionen machen.) Grundsätzlich sollte niemals ein E-Mail-Anhang geöffnet werden, der nicht vorher explizit und über einen anderen Kanal als E-Mail abgesprochen wurde – und niemand sollte sich vom Absender einer Mail verblenden lassen, denn dieser ist beliebig fälschbar¹.

Wir erwarten die Zahlung bis zum 28.04.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen.

Jedes Unternehmen, das auch Geld bekommen möchte, würde an dieser Stelle seine Bankverbindung und den Betrag angeben. Der Spammer will aber nur, dass ein Anhang geöffnet wird.

Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung.

Klar, eine E-Mail nur für meine Unterlagen… 😀

Und die Fragen stellt man wo? Ach, Kontaktdaten gibts keine.

Mit freundlichen Grüßen

Rechnungsstelle Silas Krantz

„Freundlich“ wie eine Ohrfeige

Dein Schadsoftware-Spammer mit dem aktuellen Erpressungstrojaner

¹Die ganzen Internet-Unternehmen könnten damit anfangen, ihre Mail digital zu signieren, um dieser Form der Kriminalität (und dem Phishing) nach und nach das Wasser abzugraben. Sie tun dies nicht. Die technische Lösung für die digitale Signatur von E-Mail steht seit 25 Jahren jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die technische Lösung steht seit über anderthalb Jahrzehnten in freier und kostenlos nutzbarer Form jedem zur Verfügung, der sie nutzen möchte. Sie tun dies trotzdem nicht. Die ganzen Unternehmen, die sich angesichts der gegenwärtigen Kriminalität aus nicht nachvollziehbaren Gründen (ich nenne sie einfach mal in Ermangelung besserer Erklärungen Verantwortungslosigkeit und Arschlochhaftigkeit) weigern, ihre Kunden zu schützen, indem sie den Verfasser und unverfälschten Inhalt ihrer E-Mails überprüfbar sicherstellen, tragen eine erhebliche Mitschuld am Erfolg der gegenwärtigen Internet-Kriminalität, vom Phishing bis zum Erpressungstrojaner.

Danke an die diversen Einsender dieser wirklich gefährlichen Spam! Ein spezieller Dank geht an Hans.