Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Mail“

Verdienen Sie Geld Sei glücklich

Samstag, 28. Juni 2014

Ein fröhlicher Spambetreff zwischen siezen und duzen, der mir schon beim Überflug die gewohnte Qualität des Textes verspricht, und in der Tat…

Es ist an der Reihe zu spielen. Willst du den Preis? Go here

…zieht der Spammer in seinem Kürzsttext alle Register der Sprache, um seine unfreiwilligen Leser zu einem Klick in sein Meisterwerk zu motivieren.

Schade nur, dass das dabei hervorgebrachte technische „Meisterwerk“ – eine Kaskade diverser JavaScript-, Flash- und Java-Versuche, einen Rechner zu übernehmen – bei einem vernünftig gesicherten¹ Browser gar nicht lauffähig ist. Aber da hat sich der Spammer wohl gesagt: Wer sich von irgendwelchen ominösen Gewinnmöglichkeiten zum Klick in eine Spam verleiten lässt, der weiß auch nichts von Browsersicherheit.

Und es steht zu befürchten, dass er damit recht hat.

¹Eine „vernünftige Sicherung“ besteht nicht aus Antivirus-Schlangenöl, das bei jeder halbwegs aktuellen Schadsoftware versagt, sondern aus dem Unterdrücken der Ausführung von JavaScript und einem funktionierenden Adblocker.

Dein Foto mit Sofia

Freitag, 27. Juni 2014

Die gleiche Spam gibt es im Moment auch mit einer Menge anderer Frauennamen, eine Auflistung würde hier nur erschöpfen.

Hallo,

Genau das ist mein Name!

Dein Foto mit Sofia ist jetzt online.

Aber ich kenne gar keine Sofia, und Fotos von mir gibt es (fast) nicht.

Sehe [sic!] es Dir hier an:

http://www.bild-mitdir.com/c983df9d786fc7774352276677a2b0db/

Der Klick führt nicht etwa auf ein Foto, sondern auf eine betrügerische Dating-Site, die sich im „Web of Trust“ inzwischen auch eine angemessene Reputation abgeholt hat. Leider kann ich aus Jugendschutzgründen keinen Screenshot der Seite bringen, weil vor lauter geschwarzbalkten Nippeln nicht mehr viel übrig bliebe. Das Wichtigste an dieser betrügerischen Website ist freilich die Möglichkeit, sich GRATIS anzumelden und sich KOSTENLOS anzumelden…

Detail der betrügerischen Dating-Website mit Anmeldemöglichkeit

…um dann gar nicht mehr so GRATIS und KOSTENLOS die mutmaßlich mechanisch generierten „Nachrichten“ zu lesen. Der zusätzliche Datenstriptease vor kriminellen Spammer, der mit gut durchblutetem Schwellkörper und Blutmangel im Gehirne durchgeführt werden soll, ist für diese Verbrecher viel wert.

Viele Grüße,
Dein Fototeam

Geht sterben mit eurer Dating-Abzocke!

Let me introduce myself

Dienstag, 24. Juni 2014

Hello, my name is Leopoldo Wagner, M. D., and I‘m your new family physician.

Wenn ein Spammer mein Arzt ist, wird der Tod zur Kur.

I want to recommend you online pharmacy with great amount of medicine and 70% discount.

Denn das einzige, was ein Canadian-Pharmacy-Spammer will, ist: Mir Pillen andrehen, die wesentlich billiger als irgendwo anders sind. Trotzdem macht der damit Reibach. Was könnte es wohl sein, was dieser Halunke bei den Pillen weglässt? :mrgreen:

I haven’t believed till I checked it by myself. I‘m sending you my vCard, so you are able to find more info about me as well as link of mentioned pharmacy.

Das ist die Innovation dieser Spam. Es steht kein Link mehr drin, sondern stattdessen hängt eine VCard dran. Die enthält hier allerdings nicht nur Name, Mailadresse und eine bemerkenswerte dienstliche Anschrift…

Screenshot der Darstellung dieser VCard im Mozilla Thunderbird

…sondern auch die URL, unter der dieser „Arzt“ aus New York, USA seine Praxis eröffnet hat, in der TLD Russlands, versteht sich.

Immer wieder lustig, was sich Spammer ausdenken, um sich an die Spamfilter vorbeizumogeln. Allerdings ist kaum zu erwarten, dass diese Masche zu einem großen Erfolg führt, denn VCards werden zwar immer noch – im Gegensatz etwa zu wirksamer Ende-zu-Ende-Kryptografie – von jedem Mailclient direkt unterstützt, sind aber im Alltag so gut wie tot. Ich habe über ein Jahr lang keine mehr gesehen. (Obwohl sie ganz nützlich sind…) Sehr viele Empfänger dieses Sondermülls werden gar nichts damit anzufangen wissen.

Fax sendebericht

Montag, 23. Juni 2014

Klar, ein „sendebericht“, was denn sonst. Klingt ja auch viel hübscher als „Müll spam“. Und Wunder der Technik! Dieser Spammer kann nicht nur das Substantiv nicht groß schreiben, er kann auch HTML-Tabellen in einer HTML-formatierten Mail setzen und damit fast vergessen machen, was für ein komisches Datum doch dieser Tag mit der Bezeichnung 23/14 ist. Das kann nicht jeder:

Fax sendebericht
S-Nr. 73404451
Modus Standard
Datum/Uhrzeit 23/14 12:22
Fax-nr./Name +49 4731 9174 xxx
U.-Dauer 00:01:52
Seite(n) 2
Download

Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.

[Die angebliche Faxnummer habe ich unkenntlich gemacht.]

Letztere Zusicherung ist besonders nett, denn man weiß ja nie bei krimineller Spam, ob da nicht irgendeine Seuche dranhängt. Und vor allem ist sie so glaubwürdig! :mrgreen:

Was der Spammer allerdings möchte, ist, dass möglichst viele Empfänger auf den Link „Download“ klicken. Ich weiß nicht in jeder Einzelheit, was man sich auf den von diesen freundlichen Internetkriminellen gestalteten Websites noch alles so einfangen kann, aber die besondere Kunst, in der man durch eine Kaskade von verschiedenen Seiten geleitet wird, dokumentiere ich gern mit einem Schnippselchen des HTML-Quelltexts in Form eines Screenshots meines Editors¹:

Screenshot meines Editorfensters mit einer äußerst verdächtigen Weise, JavaScript zu benutzen

Wer kein Javascript lesen kann: Hier werden Variablen mit sehr kryptischen Namen jeweils mit Zeichenketten aus einem einzigen Zeichen belegt, und welches Zeichen verwendet wird, ist jeweils in einer Exklusiv-Oder-Verknüpfung der einzelnen Bits zweier Ganzzahlen gecodet. Aus den so belegten Variablen wird dann zusammengesetzt, wohin der Browser gehen soll – wenn man denn die Ausführung von Javascript gestattet².

Die so interessant verborgene Fahrt ins Blaue geht übrigens zur URL http (doppelpunkt) (doppelslash) ildragodeicomputer (punkt) com (slash) reserved (slash) fax (underline) 23 (strich) 06 (strich) 2014 (strich) TX6381A7481 (punkt) zip. Es handelt sich um ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt; eine Datei übrigens, die mit ihrem Piktogramm versucht, wie ein PDF auszusehen und damit den Spamempfänger irrezuführen – tja, und wer dieses von Verbrechern zugestellte Programm ausführt, der hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Das Antivirus-Programm nützt nichts, es handelt sich – wie immer bei solchen Innovationen in der Durchführung – um hochaktuelle Schadsoftware, die zurzeit von deutlich weniger als zehn Prozent der gängigen Antivirus-Programme erkannt wird. Der eingebaute Virenschutz im Gehirn hingegen, der solche Spam klar als Spam erkennt und einfach unbeklickt löscht, der schützt immer zu hundert Prozent. Oder, um es noch einmal ganz deutlich zu sagen: Antivirus-Programme sind Schlangenöl.

Aber zum Glück hat ja hoffentlich jeder gemerkt, dass diese Mail nicht von seinem Faxempfangsgerät kam…

¹Dass ich mir nicht gerade mit einem aufgeplusterten grafischen Browser anschaue, wohin die Reise geht, sondern mir zuvor den Quelltext lieber mit lynx abhole, um einen genauen Blick darauf zu werfen, liegt ganz einfach an meiner Paranoia, wann immer ich es mit den Machwerken von Leuten aus der organisierten Internet-Kriminalität zu tun habe. Wer nicht weiß, wie man sich schützen kann – und nein: ein Antivirus-Programm und eine so genannte personal firewall sind kein Schutz – sollte gar nicht erst darüber nachdenken, in eine Spam zu klicken! Das bisschen befriedigte Neugierde ist den möglichen Ärger nicht wert.

²Eine Website das Ausführen von Javascript zu gestatten, ist ein Privileg, mit dem man unbedingt geizen sollte. Beinahe alle ausbeutbaren Sicherheitslücken der letzten Jahre standen im Zusammenhang mit Javascript – und eine Website, die ohne Javascript nichts mitzuteilen hat, liefert mit Javascript im Regelfall auch nur entbehrlichen „Content“. Die Installation des Addons NoScript ist eine wichtige Sicherheitsmaßnahme, die ein großes Sicherheitsproblem an der Wurzel bekämpft.

Invest today. Cash out next month

Sonntag, 22. Juni 2014

Ein Bullshit im Spameingang, der auch immer mal wieder kommt, ist die Börsenspam – massenhaft unter die Leute gebrachte Mails, die so tun, als würden sie ganz heiße Börsentipps geben. Was da drinsteht, war früher schon gnadenlos bescheuert und ist heute auch nicht besser. Empfohlen werden nur irgendwelche Pfennigpapiere, deren Kurs sich leicht durch Stimulation von Käufen beeinflussen lässt, und wenn der Kurs dann steigt, verkaufen die asozialen, kriminellen Spammer ihre Zettel – so das viele leichtgläubige Leute den Spammern ihren verfeinerten Lebensstil (nebst etlichen Exzessen mit Koks und Nutten) finanzieren. Zurzeit haben sich die Spammer die Rainbow International, Corp. vorgeknöpft, und eine ihrer typischen „Wirtschaftsnachrichten“ für Deppen sieht so aus:

Screenshot der Börsenspam

Ich bin immer wieder drüber überrascht, dass diese Idioten mit der Nummer Erfolg zu haben scheinen, denn es ist wirklich nicht schwierig, zu bemerken, dass es sich hier um eine Spam handelt:

  1. So so, da hat also jemand eine Voicemail von mir gehört, aber kennt nicht einmal meinen Namen und muss mich deshalb mit der Zeichenfolge vor dem @ aus der Mailadresse ansprechen. Nicht besonders überzeugend für jemanden, der sich im Gruß selbst als „Your bud“ bezeichnet…
  2. Das, worauf es ankommt – also das Kürzel „RNBI“ für den windigen Zettel – wird nicht normal in die Mail geschrieben, sondern als Grafik drin verbaut, um den Müll an den Spamfiltern vorbeizubringen. Und andere entlarvende Wörter wie „share“ schreibt man jetzt mit ganz vielen Punkten zwischen den Buchstaben.
  3. Die Mitteilung hat – wenn man sie kurz auf Inhalte abklopft – keine andere Substanz, als dass ein völlig Unbekannter behauptet, er habe mit einem anderen Unbekannten, einem Spezialexperten für Börsenkram, gesprochen, der ihm ohne jede zusätzliche Erläuterung gesagt hat, dass ein gewaltiger Kursanstieg kommen werde.

Nun, wer allen Ernstes auf dieser Grundlage sein Geld ausgibt, muss vermutlich wirklich erst einige Male zum gebrannten Kind werden. Schade nur, dass das Geld an spammende Idioten geht.

HELLO

Freitag, 20. Juni 2014

Der Deppenbetreff der extradummen Spammer!

Dear Friend,

Ich habe nicht die geringste Ahnung, wer du bist…

I am Peter Ben, Personal banker and account officer to the late UWE Gemballa who was murdered in South Africa, before his death he was the former CEO of the Porsche tuning company that bears his name.

…und für mich selbst habe ich mir einen hübsch klingenden Namen ausgedacht. Ich bin Bankangestellter bei einer Bank, die im Gegensatz zu mir keinen Namen hat, und die hatte einen Kunden, der totgemacht wurde. Und deshalb…

My urgent need for a foreign partner has made me to contact you for this transaction. I got your contact from yahoo Tourist search while I was searching for a foreign partner.

…schreibe ich einfach wahllos irgendwelche Leute mit dem Namen „Dear Friend“ an und behaupte, ich hätte ihre Kontaktadresse bei einem obskuren Service von Yahoo gefunden. Weil, das musste verstehen! Das macht man bei den Banken so.

As this message might meet you in utmost surprise. However, it all just sure of your capability and reliability to champion this business opportunity when I prayed to the good Lord about you.

Sicher, zunächst ist das etwas überraschend, weil die Banken ja sonst eher ein bisschen vorsichtig mit dem Geld umgehen, aber hey, vergiss das alles. Und überhaupt, ich habe sogar zu meinem Gott, dem Herren der Lügen, der Dummheit und der Gewalt gebetet, und der hat mir auch gesagt, dass du ein gutes Opfer bist. Und wenn nicht du, denn ein andere von den vielen Empfängern dieses Müllbriefes.

Before his death he left the sum of 22Million USD with the ABSA Bank of South Africa were i currently work and all attempts to communicate with him family was to no avail and he never included any next of kin on this account and until now no one has stepped forward to lay claims on the entire funds.

Und jetzt pssst! Ich verrate dir mal ein paar ganz geheime Geschäftsgeheimnisse. Meine ausgedachte Leiche hat 22 Megadollar auf dem Konto. Und weißte was… die erbt niemand!

Therefore i require your partnership to stand as his next of Kin to enable me prepare all legal paper works in your name to have the funds moved out in your name, and if you agree do respond back to me to enable me furnish you with more details as to the way forward in how this can be achieved.

Komm, da setzen wir einfach mal dich als Erben ein. Ich fälsche ein paar Dokumente, und dann beame ich den ganzen nicht-existierenden Zaster auf dein Konto. So macht der Kontakt zur Bank doch wieder Spaß! Wenn du noch mehr heitere Lügen von mir hören möchtest, antworte mir bitte, und dann erzähle ich dir, wie wir weiter vorgehen. Das wird lustig, wenn ich mit meinen Kumpels hier eine große Aufführung über Mail und Telefon mache, mit ganz vielen Problemen, Notaren, Gebühren, und du musst immer ein paar hundert Dollar über Western Union rüberschicken, weil ich als Banker natürlich kein Bankkonto benutzen möchte.

Immediately you receive this letter. Please indicate your Willingness by sending your information to enable us enter into the official stage of this transaction.

Also antworte sofort!

I await your response.

Ich bin schon ganz heiß auf deine Antwort. Das Bordell hier ist wirklich teuer.

Thanks,

Yours Faithfully,
Mr Peter Ben
ABSA Bank
Johanessbourg,
South Africa.
Private Reply Email: infoben (at) gmx (punkt) com

Aber antworte auf keinen Fall an die Absenderadresse, denn die ist gefälscht! Und bitte ignorier auch die folgenden Zeilen, die irgendwie in die Mail geraten sind, als ich sie hier im sonnigen Johannesburg verfasst habe:

Druck+Logistik * Schlavenhorst 10 * 46395 Bocholt * Telefon (0 28 71) 24 xx-x * Telefax (0 28 71) 24 xx-xx * eMail: info (at) dul (strich) print (punkt) de * Internet: www.dul-print.de * Amtsgericht Coesfeld: D+L REICHENBERG GmbH (HRB 8119) * D+L PRINTPARTNER GmbH (HRB 8333) * D+L MEDIENSERVICE GmbH (HRB 8949) * Geschäftsführer: Karl Reichenberg

Bwahahaha! 😆

Natürlich hat Druck+Logistik aus Bocholt (die Telefonnummer ist von mir unkenntlich gemacht worden) nichts mit dieser Spam zu tun, die Zeile dürfte da bei reingeraten sein, als Schadsoftware auf einem Firmenrechner die Mail übers Firmennetz versendet hat. Ich hoffe mal, dass dieses Problem dort mittlerweile gelöst ist… 😉

Mit uns werden Sie sicher verdienen

Donnerstag, 19. Juni 2014

Klar, denn jede Spam auf einer meiner Honeypot-Adressen wird ganz sicher nur von Vorteil für mich sein.

Guten Tag,

Ich heiße aber „Geehrter Antragsteller“, und…

suchen Sie Vollzeit oder Teilzeitarbeit in Ihrer Region?

…ich glaube nicht, dass ich über asoziale und illegale Spam einen Job bekommen kann, der für mich auch nur einen kleinen Vorteil hat.

SHIPPING MANAGERS ab sofort gesucht.

Ach, so nennt man das jetzt. Die Aufgabe ist ja auch zu einfach: Pakete unter der eigenen Adresse empfangen, eine neue Adresse draufkleben und sie an eine andere Adresse senden. Und wenn dann die Kriminalpolizei vor der Tür steht, die Bude durchsuchen will und von „gewerbsmäßigem Betrug“ redet, dann ist das erst der Anfang der Unannehmlichkeiten. Da hilft es auch nicht, dass man ein paar Klimpergroschen für seine „Tätigkeit“ bekommt, denn die zivilrechtliche Haftung für den Schaden kommt gleich hinterher.

Aussichtsreiche Arbeit fur jeden! Maximaler Verdienst bei minimalem Zeitaufwand.

Wer bei dieser Umformulierung von „Du musst nichts können, was nicht jeder kann, es kostet die kaum Zeit und wir geben dir Zaster dafür“ nicht alle Alarmglocken hört, muss wohl wirklich einige Male zum Opfer der Kriminellen werden.

Wir sind ein Warenfuhrer [sic!]. Unsere Buros [sic!] befinden sich in Frankreich, USA, Estland und England.

Vor allem sind die Absender ein internationales Unternehmen, das leider gerade keinen Namen hat… 😀

Sie brauchen nicht eigenes Geld anlegen, damit mit uns zu arbeiten beginnen.

Und jetzt der klangvoll krachende Knallhammer! Man muss nicht einmal mehr Geld dafür hinlegen, dass man arbeiten geht! :mrgreen:

Senden Sie uns Ihres Resumee [sic!] oder Ihre kurze Beschreibung [sic!] und wir kontaktieren Sie! Bitte, schreiben Sie uns eine E-Mail an folgende Adresse:
TaisiyaUvarova32 (at) gmail (punkt) com

Bitte nicht auf „Antworten“ klicken, denn der Absender dieser Spam ist gefälscht.

Mit freudlichen Gru?en [sic!], Mark Levin
Manager SEND-IT-OFF Company
TaisiyaUvarova32 (at) gmail (punkt) com

Oh, die haben ja doch eine Firmierung. Faszinierend nur, dass dieses internationale Unternehmen unter dieser Firmierung gar nicht im Internet zu finden ist.

Vermutlich benutzen die das Internet nur zum Spammen.

Gesetzentwurf: 98581108

Mittwoch, 18. Juni 2014

Oha!

Guten Tag,

Wir erinnern Ihnen, dass am 16 Juni 2014 Ihre Schuld 53.31 Euro ist!

Verner Schütt
+49-591-1340-xxx

An der Spam hängt… zum Abwechslung einmal kein ZIP-Archiv mit einer ausführbaren Datei für Microsoft Windows, sondern ein Dokument für Microsoft Word. Ein solches Dokument kann ebenfalls Programmcode enthalten, der beim Öffnen ausgeführt wird, und genau das wird hier der Fall sein. Deshalb öffnet man niemals derartige Mailanhänge.

Es ist aktuelle Schadsoftware, die zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt wird. Zum Glück ist es in diesem Fall für einen Menschen sehr einfach, die Mail als Spam zu erkennen und das damit zu machen, was man mit einer Spam macht: Nach kurzem Druck auf die Löschtaste vergessen.

Übrigens, das Öffnen des Dokumentes lohnt sich überhaupt nicht, es enthält keinen Text. Das habe ich natürlich nicht herausbekommen, indem ich es – etwa in OpenOffice – geöffnet hätte, sondern indem ich es gespeichert habe und an meiner Kommandozeile kurz file gasetz_98581108.doc getippt habe¹, was zu folgender Ausgabe führt:

gasetz_98581108.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: xN:.GL]ycfB9Md4 [sic!],, Template: Normal.dotm, Last Saved By: xN:.GL]ycfB9Md4,, Revision Number: 1 [sic!], Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00 [sic!], Create Time/Date: Mon Jun 9 18:38:00 2014, Last Saved Time/Date: Mon Jun 9 18:39:00 2014, Number of Pages: 1, Number of Words: 0 [sic!], Number of Characters: 0 [sic!], Security: 0

Das ist zugegebenermaßen etwas unübersichtlich in der Ausgabe, aber das Wesentliche wird klar. Dieses Dokument wurde von einem Autor mit dem schönen Namen xN:.GL]ycfB9Md4 verfasst (so nennen wir uns ja alle, wenn wir einen Namen bei der Installation eingeben sollen), es handelt sich um die erste Version dieses Dokumentes, er hat daran genau eine Minute lang gesessen (um den Makrocode mit der Schadsoftware einzufügen) und mit dem Tippen von irgendwelchen zum Lesen ermunternden Buchstaben vor dem Speichern dieses Werkes hat sich der Verbrecher gar nicht erst beschäftigt. Denn wenn er sich Mühe geben würde, könnte er auch gleich arbeiten gehen…

Weil ich so lange kein Makrovirus mehr gesehen habe und sie jetzt doch noch einmal zurückzukommen scheinen, lege ich zum Abschluss mal einen fröhlichen Link auf einen mittlerweile fast fünfzehn Jahre alten Text, den Felix von Leitner – besser bekannt als Fefe – anlässlich des E-Mail-Wurms ILOVEYOU verfasst hat. Ich wiederhole: Der Text ist fast fünfzehn Jahre alt – was man auch daran bemerken kann, dass Netscape noch erwähnt wird. Geändert hat sich seitdem nicht viel. Den herzlich formulierten Dank für diese Zustände bitte an den Softwarehersteller ihres Vertrauens senden…

¹Die Zahlen im Dateinamen sind jedesmal anders.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.