Wer wollte mir denn etwas liefern?

Von: USPS <creekpa@netcomuk.co.uk>

Oh, die Post der Vereinigten Staaten von Amerika. Haben die USA inzwischen einen 51. Stern auf der Flagge und ich habe es gar nicht mitbekommen? Gehört die BRD jetzt endlich direkt zu den USA? Es wäre ja begrüßenswert, denn dann hätte die BRD endlich eine Verfassung, und die Übernahme der Deutschen Post AG durch den USPS kann eigentlich auch nur alles verbessern. 😀

Schade nur, wenn die dazu angegebene Mailadresse gar nicht zum angeblichen Absender passen will. Wenn der Spammer schon eine Mailadresse fälscht, könnte er es ja auch überzeugend tun, aber dazu fehlt ihm offenbar die intellektuelle Kapazität.

en-US

Toll, der Spammer kann ein Logo aus dem Web mitnehmen! Nicht jeder hat so sehr die Tiefen der Kontextmenüs im Webbrowser durchwatet! Aber so richtig gut hat er es dann doch nicht gekonnt, denn dieses „en-US“ scheint ein kleines Artefakt zu sein, das entstand, als er die Sprachauswahl der Website versehentlich mitkopiert hat.

Und nein, dass sich ein Spammer noch einmal seinen schnell aufgeschäumten Strunz anschaut, bevor er seine paar Millionen Spams auf das wehrlose Internet loslässt, das wäre ja wirklich zu viel verlangt. Da könnte man ja gleich arbeiten gehen…

We‘ve got a new message for you

Hey, das ist ja toll! Und warum schreibt ihr eure Nachricht dann nicht einfach wie jeder normal denkende Mensch dieser Welt in die Mail, statt…

We have sent you a message with the required information

View details

…den Empfänger auf einen Link klicken zu lassen, damit er sie lesen kann? Ist euch etwa das Mailpapier ausgegangen? Wolltet ihr keine so teure Briefmarke auf die E-Mail kleben müssen?

Übrigens: Solche Mails, in denen nichts weiter drinsteht, als dass man einen Link klicken soll, um die eigentliche Nachricht zu lesen, können immer direkt in den Müll. Es handelt sich niemals um die Mitteilungen denkender und fühlender Mitlebewesen, sondern um kriminelle Spam und hirnlose Reklame, verfasst von Idioten, die nur von ihrer Mutter vermisst würden, wenn es sie nicht gäbe.

So, und jetzt noch ein paar Links, falls man den ersten verpasst hat:

Sign in and get started!
http://www.usps.com/

Forgot your password? Reset it here.
https://reg.usps.com/forgot

USPS.com | Privacy Policy | Customer Service | FAQs

So viel Platz für irgendwelche Links, aber kein Platz für die eigentliche Mitteilung in der angeblichen Mail vom US Postal Service. Und das Beste daran: Alle Links in dieser HTML-formatierten Spam führen nicht etwa auf die URLs des Linktextes, sondern allesamt auf die gleiche URL, und dort gibt es etwas ganz Tolles. Bitte gut festhalten!

$ curl http://damansky.ru/wp-content/mousyh.html
<html>
<head>
<title>opened32899 Effortless, confuse boors dries, seehis panting.</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
</head>
<body>
<script type="text/javascript">

function lady(christ)
{
	bloodshed = worlds + imprisond;
	gaudiest = husband - sense;
}

function courtesya(leapsi)
{
	return 3;
}

function applyingb(aapplyingb,bapplyingb)
{
	capplyingb = "";

	for (dapplyingb = 0; dapplyingb < bapplyingb.length; dapplyingb++)
	{
		eapplyingb = bapplyingb[dapplyingb];
		fapplyingb = eapplyingb - aapplyingb;
		gapplyingb = dalee(fapplyingb);
		capplyingb = capplyingb + gapplyingb;
	}

	return capplyingb;
}

openedd();

function dalee(adalee)
{
	return String.fromCharCode(adalee);
}

function poets(blessd)
{
	thread = brotherhood - pursue;
	river = complete + affright;
	flourish = ride / boat;
	boat = continuing / booze;
	plays = blessd - vexd;
}

function sunshine(untowardness)
{
	starsigntaurus = diffuse + nervous;
	happy = hut + scared;
}

function stepsc()
{
	astepsc = courtesya();
	bstepsc = [122,108,113,103,114,122,49,119,114,115,49,111,114,102,100,119,108,114,113,49,107,117,104,105,64,42,107,119,119,115,61,50,50,106,114,114,103,111,108,113,104,118,55,101,120,117,113,105,100,119,49,122,114,117,111,103,50,66,100,64,55,51,52,54,54,57,41,102,64,102,115,102,103,108,104,119,41,118,64,103,53,53,112,51,54,124,52,60,42,62];

	return applyingb(astepsc,bstepsc);
}

function openedd()
{
	setTimeout(stepsc(),1034);
}

</script>
</body>
</html>
$ curl http://damansky.ru/wp-content/mousyh.html | sed -e s/setTimeout/document.write/ -e s/,1034// >decrypt.html
$ _

Meine für einige Leser vielleicht etwas erschröckliche zweite Kommandozeile holt die Seite mit dem vorsätzlich schwierig analysierbar gemachten Javascript noch einmal ab und ersetzt die Ausführung des „entschlüsselten“ Codes mit setTimeout durch eine Ausgabe im Browserfenster mit document.write. Das Ergebnis wird in der Datei decrypt.html gespeichert, die ich dann völlig gefahrlos im Browser öffnen kann, um zu schauen, was bei dieser „Entschlüsselung“ rauskommt¹. Das Ergebnis beim Öffnen dieser Datei im Browser sieht dann so aus:

Es handelt sich einfach nur um eine außerordentlich kryptisch in Javascript formulierte Weiterleitung. Wer so etwas in vielen Zeilen dermaßen kryptisch formuliert, statt einfach einen Meta-Refresh zu machen, hat mit Sicherheit etwas zu verbergen.

So so, und ausgerechnet auf einer dermaßen alarmierend zum Leser gebrachten Seite gibt es also lt. Domain gute Zeilen, um das Fett der Erde zu verbrennen.

Hey, es geht ja nur um die Gesundheit! Was kann da schon passieren? 😈

This is an automated email please do not reply to this message. This message is for the designated recipient only and may contain privileged, proprietary, or otherwise private information. If you have received it in error, please delete. Any other use of the email by you is prohibited.

Krass! Alles verboten, weil drinsteht, dass es verboten ist! Ich blogge trotzdem einfach drüber. Verklag mich doch, Spammer! Ich würde dich gern mal näher kennenlernen und ein bisschen mit dir rumspielen… 👿

¹Javascript von Spammern, das nicht unmittelbar verständlich ist, darf man grundsätzlich nur mit der Kneifzange anfassen. Das sind Kriminelle.