Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Kategoriearchiv „Sex“

Hast morgen Lust auf FKK-Baden?

Mittwoch, 10. August 2016

Hey,

Genau mein Name!

ich habe in Deinem Flirtprofil gesehen […]

Erstens habe ich kein „Flirtprofil“, und zweitens: Wenn ich eines hätte, stünde ein Name dabei, mit dem man mich ansprechen kann. Also ein anderer als „Hey“.

[…] dass wir gar nicht weit auseinanderwohnen.

Stimmt, im Internet spielen Entfernungen nicht so eine große Rolle.

Wenn ich Deine Fotos so anschaue […]

Zumindest ich achte aus vielerlei Gründen sehr genau darauf, dass es nur wenig Fotos von mir im Internet gibt, auf denen man mich auch erkennen kann. Das geht so weit, dass ich andere Menschen dazu auffordere, mich nicht zu fotografieren, obwohl die mich dann oft für ein bisschen irre halten. Deshalb kannst du keine Fotos von mir gesehen haben. Außer vielleicht dieses hier. Und ich glaube nicht, dass dich das so anmacht…

[…] wollte ich Dich fragen, ob Du Lust auf Sauna und FKK-Baden morgen hast?

…dass du jetzt unbedingt entblößt mit mir beisammen sein willst.

In dem neuen Bad das sie an der Autobahn gebaut haben wäre das morgen…

Oh, wie romantisch! An der Autobahn! 😯

Vielleicht geht ja noch mehr mit uns?

Aber nur im Schlamm. 😈

Ich bin 24, Blond, Cup 90C und habe 2 Piercings. Wo die sind siehst Du hier:
Schau Dir einfach mein Profil an:

http://www.versand79.faith/[ID entfernt]/Isabelle24/

Nun, dein „Profil“ ist einmal der Affiliate-Dating-Betrug, diemal in der Domain my (strich) funbook (punkt) com. Dort erfährt man angeblich, wie man jeden Tag eine andere knallt. Wer darauf reinfällt, ist hinterher Kunde bei einem äußerst fragwürdigen Dating-Fleischmarkt für das kostenpflichtige Kopfkino beim Gerubbel; der Spammer kassiert dafür Affiliate-Judasgroschen.

Bussi
Isabelle

Du mich auch!

Hast Du mein Paket angenommen?

Samstag, 6. August 2016

Holla, fragen mich heute viele „Frauen“ in fast völlig gleichlautenden Spams danach, ob ich ihr Paket angenommen habe. Der arme Paketbote…

Hi!

Genau mein Name!

Ich bin Deine neue Nachbarin, ich hab mir die Tage ein paar nette Sachen im Internet bestellt. Ich habe gerade die Mail bekommen dass der Shop das Paket bei euch zugestellt hat.

Nun, wenn du wirklich eine derartige Mail bekommen hättest, dann wüsstest du von mir einen anderen Namen als „Hi“. Hast du aber nicht. Das ist nur eine Geschichte, mit der du Leute zum Rumklicken in einer Spam motivieren willst. Und damit das noch ein bisschen besser wirkt…

Magst Du mir das heute Abend rüberbringen? Da sind ein paar Erwachsenen-Spielzeuge mit drin

…spielst du asozialer und krimineller Spammer (der du gewiss keine Frau bist) die lebensfrohe Frau mit heiterem Spielzeug für Erwachsene zum wohligen Einführen in aufnahmebereite Leibespforten.

Naive Männer, denen von dieser Vorstellung das ganze Blut in den Schwellkörper fließt (und so im Hirne fehlt), sollen dann zum Klick auf einen Link motiviert werden, um mal zu sehen, wie so ein Paket ausgepackt wird (und sich dabei vorstellen, dass das ihre Nachbarin ist):

Hier mal n heisses Video wie ich meine letzte Bestellung auspacke:

http://www.server213.win/[ID entfernt]/

Natürlich ist das eine Wegwerfdomain.

Natürlich gibt es da auch kein Video.

Wenn ich die ID aus der URI entferne, gibts auch keine Weiterleitung zu irgendetwas heißem, sondern es geht zu einer Pimmelpillen-Apotheke:

$ lynx -mime_header http://www.server213.win/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Aug 2016 10:11:42 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.offizieller-generikashop.com
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Dabei handelt es sich um eine Website von Giftapothekern, über die ich mich schon im Januar dieses Jahres ein wenig ausgelassen habe.

Wer ein grundsätzliches Interesse an der „Diversifizierung“ von Online-Betrügerbanden hat¹, halte hier kurz fest, dass sich wieder einmal zeigt, dass der illegale und in Einzelfällen lebensgefährliche Handel mit gefälschten Medikamenten von der gleichen spammenden Bande vorangetrieben wird wie das Affiliate-Geschäft mit dem Dating-Betrug. Aber das habe ich ja schon vor ein paar Tagen mitgeteilt, wenn auch mit deutlich weniger Indizien.

So weit, so schlecht.

Um mal zu sehen, wo die Reise mit angehängter ID hingeht – Leute, die auf den Köder dieser Spam reingefallen sind, wollen ja gewiss keine Pimmelpillen kaufen, sondern ein erregendes Video sehen – habe ich mal ein paar Zeichen in der originalen ID aus der Spam verändert²:

$ lynx -mime_header http://www.server213.win/25_1h3Oy1a7un8t/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Aug 2016 10:25:08 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.whats-xxx.com/
Connection: close
Content-Length: 52
Content-Type: text/html; charset=UTF-8

$ _

Die Domain whats (strich) xxx (punkt) com ist ganz frisch und unverbraucht…

$ whois whats-xxx.com | grep '^Creation'
Creation Date: 2016-06-30T13:23:00.00Z
$ _

…sie wurde gerade erst vor etwas mehr als einem Monat eingerichtet. Was einem dort anschaut, ist dann eine Vul… ähm… wieder einmal das schon aus dem letzten Jahr bekannte WhatsFuck-Design der Dating-Spammer. Nichts wurde daran verändert. Der schwarze Balken über den einladend präsentierten Leibespforten im Screenshot ist natürlich von mir, und ich gehe davon aus, dass dieses Foto von irgendwo aus dem Internet „mitgenommen“ wurde… die Frau tut mir leid. Das einzige, was sich geändert hat, ist die für den Beschiss verwendete Domain. Vermutlich stehen die zuvor von diesen Gangstern verwendeten Domains inzwischen auf jeder Blacklist dieser Welt.

Natürlich wurde auch diese neue Domain über einen Dienstleister aus dem sonnigen Panama anonym registriert.

Gruß
Deine Vivien-Maus

Nee, Vivi, wenn du wirklich meine „Nachbarin“ wärest, dann brauchten wir keinen Dating-Betrug, der von Affiliate-Lumpenkaufleuten vertrieben wird, sondern du könntest einfach zu mir rüberkommen. Ich treibe es aber nur im Schlamm…

¹Das ist eine gute Gelegenheit, mal meine treuen Mitleser im Niedersächsischen Landeskriminalamt zu grüßen! Ich wünsche euch von ganzem Herzen viel Erfolg! Wer das Ziel hat, Spammer dingfest zu machen, hat den gleichen Feind wie ich, und das überbrückt viele Differenzen…

²Wer sich über die Pipe auf sed wundert: Ich lösche damit alles, was nach der ersten Leerzeile kommt, so dass ich für das Zitat nur die Header habe. Ansonsten würde der komplette HTML-Quelltext einer eventuellen Webseite ausgegeben, der mich in diesem Kontext zunächst nicht interessiert.

Treffen wir uns morgen am Parkplatz?

Montag, 1. August 2016

Oh, was für ein romantischer Treffpunkt!

Hey Schnucki!

Hey, Krepel,

Ich wollte Dich fragen ob wir uns morgen Abend am Parkplatz treffen könnten für ein kleines Nümmerchen.

ich mache es aber nur im Schlamm.

Ich habe in Deinem Profil gesehen dass wir gerade mal 20 Kilometer auseinander wohnen… ausser Du hast was gegen eine flotte Nummer im Auto haha

Und außerdem fahre ich gar kein Auto. Und ich glaube nicht, dass wir beide auf mein Fahrrad passen.

Schreib mir zurück, dann weiß ich wann ich morgen losfahren soll:

http://www.aufmachen98.date/[ID entfernt]/

Aha, in eine Spam zu klicken ist das neue „Zurückschreiben“. Bei anständigen Menschen – also bei Menschen, die keine Spammer oder Werber sind – kann man jede Mail beantworten, indem man einfach in seiner Mailsoftware auf „Antworten“ klickt.

Bussi,
Isabell

Du mich auch!

Abbestellen: http://www.aufmachen98.date/abm/[ID entfernt]/

Aber kreuzweise!

Oh, was ist denn da, meine kleine, feuchte und mich für „Schnucki“ haltende Isa? Noch eine Mail, an die gleiche Adresse, die mir nach deinem auto-erotischen Geschreibe sehr bekannt vorkommt:

Hey Schnucki!

Ich wollte Dich fragen ob wir uns morgen Abend am Parkplatz treffen könnten für ein kleines Nümmerchen.
Ich habe in Deinem Profil gesehen dass wir gerade mal 20 Kilometer auseinander wohnen… ausser Du hast was gegen eine flotte Nummer im Auto haha

Schreib mir zurück, dann weiß ich wann ich morgen losfahren soll:

http://www.aufmachen103.date/[ID entfernt]/

Bussi,
Hannah

Ob Hannah oder Isa (oder, wie ich auf der gleichen Mailadresse in den letzten vier Stunden auch bekommen habe: Lisa, Miriam und Mel): Es ist nichts als Spam und Lüge. Der Klick würde nach einigen Weiterleitungen auf eine Betrugs-Seite in der Domain myfunbook (punkt) net führen, wo man angeblich erfahren kann, wie man jeden Tag eine Andere knallt. Der wichtigste Unterschied zur bereits dokumentierten Betrugsseite ist, dass die überreichlich präsentierten Frauenbilder nun noch mehr primäre Geschlechtsmerkmale (einschließlich höchst nuttig in die Kamera gehaltener Leibespforten) zeigen und dass man…

Du musst bis zum 02.08.2016 anmelden -- Danach wird die Seite entfernt!

…nun nicht mehr eine Frist bis zum 19. Mai 2016 hat, sondern eine bis zum 2. August 2016. Was auf diesem Hintergrund von der Ankündigung der Spammer zu halten ist, dass die Seite danach entfernt wird, zeigt sich leider an dieser Spam und an der Seite. Wer glaubt, dass die anderen tollen Behauptungen dann etwas mit der Wirklichkeit zu tun haben, ist vermutlich nicht mehr zu retten.

Das Geschäft dieser Spammer ist es, Affiliate-Geld von obskuren Dating-Anbietern zu kassieren, die nicht einmal davor zurückschrecken, eine ihre Domains cash4flirt (punkt) com zu nennen. Was von einem Fleischmarktbetreiber zu halten ist, der seine Kunden anwirbt, indem er Spammern Affiliate-Gelder gibt, beantwortet sich durch kurze Benutzung des Gehirns. Wer nicht selbst draufkommt, bekommt hier noch einen kleinen Tipp von mir: Es handelt sich nicht um einen Anbieter, bei dem man richtige Frauen kennenlernt, aber das heißt noch lange nicht, dass man dort nicht eine Menge Geld dafür hinlegen kann, Kontakt mit „Frauen“ aufzunehmen. Das ist schade ums Geld. Aber das gilt immer für Spam.

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! 😉

Dating -- für Freundschaft und Sex in deiner Stadt -- Sehen sie die profile >>>

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht… :mrgreen:

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

Screenshot der durch Spam beworbenen, mutmaßlich betrügerischen Dating-Website

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.

Anja und ich überlegen uns ob wir Dich vern…

Freitag, 17. Juni 2016

Was jetzt? „Vernichten“? :mrgreen:

Hallo Eli!

Nahe dran!

2 unserer Mitglieder […]

Wie, die sind „mit Gliedern“? Das gibts bei euch Dating-Betrügern doch gar nicht. Auf euren tollen Dating-Sites gibts regelmäßig nur Frauen. Wie die wohl immer die ganzen Männer vertreiben? :mrgreen:

[…] haben Dir eine Nachricht hinterlassen:
„Hey Süßer! Angela und ich haben Dein Profil […]

Jaou, ihr habt mein Profil. 😀

[…] und überlegen, ob wir Drei nicht mal zusammen richtig heiß…“

Na, was denn schon wieder? Heiße Suppe essen? Leider muss ich klicken, um es zu erfahren (und das ist bei Spam immer eine ganz schlechte Idee):

Zum Beantworten dieser Nachricht klicke hier:

http://www.mailserver28.xyz/[ID entfernt]/

Willst Du erstmal die Nachricht ganz lesen:

http://www.mailserver28.xyz/[ID entfernt]/message/

Es begrüßt einem das unveränderte Design des Datingschwindels „WhatsFuck“, das naive WhatsApp-Nutzer bei ihrer lebenspraktischen Dummheit abzuholen versucht, um sie mit Dating-Betrug abzuzocken.

Viel Spass!

Du mich auch.

Keine Nachrichten mehr?
http://www.mailserver28.xyz/abm/[ID entfernt]/

„Nachrichten“ hätten eine Bedeutung für mein Leben. Die dumme Stopfmasse, die ihr Verbrecher in mein Postfach macht, wird viel besser durch das Wort „Scheiße“ charakterisiert.

Ein einsames Mädchen

Donnerstag, 9. Juni 2016

Och, das arme Spammchen! Hat ins Honigtöpfchen gegriffen. Diese Spam kommt auf jeder Adresse an, die Spammer irgendwann einmal einsammeln oder kaufen konnten.

Die Liebe ist näher als Sie denken.

Mag sein.

Emma
Alter: 28

Ein Name und eine Zahl. Wie hübsch.

„Ich Suche neue Freunde, interessante Menschen, Kommunikation und Dating, im Vorfeld für eine ernsthafte Beziehung. Ich mag aktive und unterhaltsame Freizeit, aber in letzter Zeit, ich will eine romantische Beziehung – Liebe. Schreiben Sie, ich werde froh sein, zu kommunizieren :)“

„Emma“ sucht neue „Freunde“ und kann gar nicht genug davon kriegen. „Sie“ versendet deshalb ganz viele Spams. „Sie“ glaubt, damit interessante und lukrative Opfer zu finden, denen sie möglichst viel Geld aus der Tasche leiern kann – für Gespräche mit Chatbots.

Antwort

Nach der üblichen Kaskade von Weiterleitungen (natürlich ist an den Link auch eine eindeutige ID angehängt, damit die Spammer wissen, dass die Spam ankommt), landet man schließlich auf einer Website in der Domain fremdgehen69 (punkt) com. Dort begrüßt einem eine tolle Dating-Site…

Screenshot der durch Spam beworbenen, mutmaßlich betrügerischen Dating-Website

…auf der es wieder einmal nur Frauen gibt, die mit Augen wie ein offenes Bett in die Kamera gucken. Was diese Frauen wohl getan haben mögen, um sämtliche Männer dort zu vertreiben, überlasse ich der kecken Fantasie der Leser und Leserinnen.

Selbst, wer dort zum ersten Mal landet, hat lt. Anzeige im Titelbereich der Website gleich drei „Sexanfragen“.

Was einem blüht, wenn man auf eine Dating-Website reinfällt, die über illegale und asoziale Spam beworben wird, habe ich vor fünf Jahren schon ausprobiert. Es gibt meiner Meinung nach bessere Verwendungen für Geld und Lebenszeit. Selbst Dating-Sites, die nicht durch Spam beworben werden, sondern auf legale Werbung setzen, fallen immer wieder einmal durch dreiste, fragwürdige und mutmaßlich kriminelle Machenschaften auf.

weitere Profile ansehen

Hey, Spammer, wolltest du darauf vielleicht auch einen Link setzen? Na, vielleicht klappts ja beim nächsten Mal.

Отписаться от рассылки

Die Sprache des Abmelden-Links passt aber gar nicht gut zur Sprache der Spam. Na ja, vielleicht ist das ja auch bei der nächsten Spam etwas besser.

Heisse Grüsse von Angela

Mittwoch, 18. Mai 2016

Wie die wohl mit Nachnamen heißen wird? :mrgreen:

Hallo Süßer!

Das ist zumindest mal eine andere Anrede als „Lieber Kunde“. Besonders passend ist sie als Anrede eines Unbekannten an einen Menschen, den er noch nie gesehen hat.

Ich habe Dein Profil gesehen und dachte mir, es könnte heiß werden mit Dir… also wenn wir beide zusammen es mal so richtig krachen lassen würden *zwinker*

Nein, Angela, mit mir wird nichts mehr heiß. Jedenfalls nicht bei Spammern. „Krachen lassen“ finde ich da schon eine geeignetere Metapher, aber ich stelle mir dabei eine Faustfeuerwaffe mit recht großem Kaliber vor.

Magst mir ne Freundschaftsanfrage stellen? Dann können wir mal was ausmachen?

http://www.link-90.xyz/[ID entfernt]/

Warum mailst du mir nicht einfach mit deinem echten Absender, so dass ich deine Mail direkt beantworten kann? Ach ja, weil du nur ein Köder bist, der mich zu einer schnell aufgeschäumten Dreckssite von Dating-Betrügern locken soll. Deshalb auch dein Link über eine…

$ lynx -mime_header http://www.link-90.xyz/blahblah/
HTTP/1.1 301 Moved Permanently
Date: Wed, 18 May 2016 12:49:36 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.45-0+deb7u2
Location: http://www.myfunbook.net/
Connection: close
Vary: Accept-Encoding
Content-Length: 3
Content-Type: text/html

   $ _

…Wegwerfdomain, wo es nur eine Weiterleitung zur potemkinschen Datingsite gibt. Diesmal wieder zu myfunbook (punkt) net, wo es früher einmal einen Ficki-Berater gab. Der war aber wohl nicht so erfolgreich im Abernten von naiven Deppen, so dass die Betrüger einfach ein neues Design gemacht haben, statt den kleinen Fehler mit dem fehlenden Foto im alten Design zu flicken. Vermutlich waren sie gar nicht dazu imstande, denn dafür hätten sie ja wissen müssen, was dieses HTML überhaupt ist und wie man darin den Pfad zu einem eingebetteten Bild angibt. Nun ja, die neue Beschiss-Seite der Dating-Betrüger trägt den Titel „Sextreffen Deutschland“, sieht aber dabei so aus:

Screenshot der betrügerischen Website

Die Verpixelungen sind natürlich von mir. Die Frauen, deren Bilder von irgendwo aus dem Internet eingesammelt wurden, sind durch diesen kriminellen Missbrauch wahrlich gestraft genug. (Übrigens: Wer noch mehr Gründe braucht, niemals ein persönliches Foto bei einer Social-Media-Website oder mit einer entsprechenden App hochzuladen, sollte mal seinen Hirnwartungsexperten konsultieren. Die Funktionsfähigkeit des Hirnes könnte besser sein.)

Oha, der letzte, der mir über Spam irgendwelche „Tricks“ andrehen wollte, war ein gewisser „Gerhard Frommel“ mit seinem tollen Novoline-Trick ohne Novoline. Und der hat auch Fotos von irgendwo mitgenommen… :mrgreen:

Und was passiert nun denen, die im Zustand geschwollenen Schwellkörpers mit drangvoller Eile und fehlendem Blut im Hirne „Lass mich rein“ klicken? Richtig, sie stehen vor einer Dateneinsammelstelle der Spammer:

Herzlichen Glückwunsch! Du bist einer der 5 User aus die sich registrieren können! – Gefolgt von einem Formular zur Eingabe von E-Mail-Adresse, Geburtstag, Postleitzahl, Benutzername, Passwort und einer Checkbox, dass man die AGB akzeptiert.

Wie immer beim Dating-Beschiss ist die Anmeldung kostenlos, die Nutzung aber nicht. Erst durch Lesen der literarisch ungenießbaren Prosa in den AGB wird klar, woran man sich überhaupt anmeldet, aber die Verbrecher wissen ja genau so gut wie die legaleren Geschäftsleute im Internet, dass kein Mensch die AGB liest, wenn er eine Checkbox „Ich habe die AGB gelesen und bin damit einverstanden“ anklickt. Es handelt sich nun einmal um die gängiste und häufigste Lüge des digitalen Zeitalters.

Ich habe mal eine dauerhafte Archiv-Version dieser AGB angelegt. Es geht um einen litauischen Anbieter kostenpflichter Chats (wie viel die kosten, kann man vor der Nutzung nicht erfahren, aber die Preise bei diesem Beschiss sind generell mehr als nur gesalzen), der Deutschlands geilste Community zu betreiben vorgibt. Die Spammer machen vermutlich ein Affiliate-Geschäft mit diesem Laden, aber es ist gerade ein schöner sonniger Nachmittag, und ich habe keine Lust, mich weiter durch diesen IFRAME-Wust zu kämpfen, bis endlich das Formular mit den Registrierungsdaten kommt. Denn Betrüger machen es niemals direkt und einfach. Nur ein kleines Detail. Eine der Zwischenstationen in diesem Weg, der ohne technischen Grund mehrere Websites ineinander verschachtelt darstellt, verwendet die Domain mit dem ziemlich deutlichen Namen cash4flirt (punkt) com, der schon alles sagt. :mrgreen:

Tschau, ich kanns kaum erwarten

Bussi
Angela

Ja ja, mit lecker lecker Judasküsschen…

Michaela und ich überlegen uns ob wir Dich vern…

Samstag, 27. Februar 2016

Was jetzt? „Vernichten“ vielleicht? 😀

Hallo Elias!

Immerhin, der Name stimmt.

2 unserer Mitglieder haben Dir eine Nachricht hinterlassen:

Aber dass irgendwelche imaginären Mitmösen¹ irgendeiner obskuren Dating-Betrugssite irgendwelchen Leuten, die mit dieser Site gar nix zu tun haben irgendwelche Nachrichten zukommen lassen können, das stimmt nicht.

„Hey Süßer! Melina und ich haben Dein Profil und überlegen, ob wir Drei nicht mal zusammen richtig heiß…“

Was jetzt? Mal so richtig heiße Suppe essen? 😀

Zum Beantworten dieser Nachricht klicke hier:

http://www.vidgt.site/[ID entfernt]/

Willst Du erstmal die Nachricht ganz lesen:

http://www.vidgt.site/[ID entfernt]/message/

Natürlich ist das mal wieder eine Wegwerfdomain, die nur zur Weiterleitung auf den eigentlichen Betrug dient:

$ lynx -dump -mime_header http://www.vidgt.site/
HTTP/1.1 301 Moved Permanently
Date: Sat, 27 Feb 2016 13:06:30 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.45-0+deb7u2
Location: http://www.seitensprung-treffen.com
Connection: close
Vary: Accept-Encoding
Content-Length: 3
Content-Type: text/html

$ _

In der erst vor acht Tagen über einen Dienstleister aus dem sonnigen Panama anonym eingerichteten Domain seitensprung (strich) treffen (punkt) com gibt es dann die nächste Weiterleitung. Nicht, weil sie nötig wäre, sondern einfach nur, weil direktes Vorgehen eben einfach nicht spammig genug ist (und die Analyse zu leicht machte):

$ lynx -dump -mime_header http://www.seitensprung-treffen.com/
HTTP/1.1 301 Moved Permanently
Date: Sat, 27 Feb 2016 13:09:33 GMT
Server: Apache/2.2.22 (Debian)
X-Powered-By: PHP/5.4.45-0+deb7u2
location: http://www.seitensprung-treffen.com/247/
Vary: Accept-Encoding
Content-Length: 4
Content-Type: text/html
X-Pad: avoid browser bug


?>
$_

So so, avoid browser bug – dieser obskur wirkende HTTP-Header ist ein Workaround für einen Fehler im Netscape Navigator 4.0beta und älter, der bereits im Jahr 1997 gefixt wurde. Erfreulich, dass die Kriminellen auch an Freunde längst obsoleter Software denken! :mrgreen:

Besonders hübsch ist hierbei das ?>-Denkmal für einen etwas zu hastig verabreichten PHP-Kurs im ausgelieferten Dokument. Und, gibt es jetzt endlich das Ziel? Ja, wir sind in der Tat beim Dating-Betrug mit WhatsApp-Ästhetik unter dem Titel „WhatsFuck“ angelangt, bei dem es nur Frauen gibt und der hier schon wohlbekannt ist. Natürlich gibt es dort in Wirklichkeit keine Frauen. Und natürlich landen alle eingegebenen Daten direkt bei Kriminellen, das Gleiche gilt für alles Geld, was man für eine eventuelle Teilhabe ausgibt. Dabei…

Viel Spass!

…haben vor allem die Verbrecher ihren Spaß, die dann die Einkünfte aus ihrem Datenhandel und das Geld anderer Leute fröhlich mit Koks und Nutten im Puff durchbringen.

¹Diese Seiten haben immer nur Frauen im Angebot, deshalb spreche ich nicht von „Mitgliedern“.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.