re

Sonntag, 11. März 2018

Aha, ein Qualitätsbetreff. Das wird sicher wieder eine Qualitätsspam.

Von: janice_chen@pageonegroup.com
Antwort an: "er2faw@"@inbox.lv

Der Absender ist natürlich gefälscht, es ist ja eine Spam. Und die Antwortadresse ist… ähm… bemerkenswert. Kein Mensch würde sich eine derartig problematische Mailadresse bei einem Freemailer wie inbox (punkt) lv holen.

Attention Sir

Der Spammer weiß nicht einmal, wie ich heiße, obwohl das wirklich nicht so schwierig rauszukriegen ist, wenn man nicht gerade Massenware millionenfach auf wehrlose Postfächer loslässt.

I do apologize for badging into your privacy even though we never had a prior dealings before […]

Diese Entschuldigung kann ich leider nur akzeptieren, wenn sie stilvoll und ehrenhaft auf japanisch vorgetragen wird. 😈

[…] but kindly pay attention to what am going to discuss with you cos its going to be of a great important for our mutual benefit.

Aha, der Spammer kennt mich nicht, gibt das offen zu, entschuldigt sich sogar dafür, dass er sich mit seiner stinkenden Spam in mein Leben drängelt aber will mir irgendwas zum gegenseitgen Vorteil machen. Und, um was kann es da gehen? Richtig:

I just want to know if you can handle a multi Million Euro transaction for our mutual benefit.

Er will mir ein paar Millionen Øre in die Hand drücken. Weil ich so eine schöne Mailadresse habe. 😀

I will explain in details to you once i hear from you declaring your intention to partner with me.

Wer unbedingt noch weitere Lügen dieses Vorschussbetrügers hören will, muss allerdings antworten. Vielleicht werden die Geschichten ja besser.

Kind Regards
Erwin Fawcett
61 High St, Leatherhead,
KT22 8AQ UK
Tel:+44703198xxxx

Die Mail wurde übrigens über eine IP-Adresse aus der Republik Singapur versendet. Das ist zugegebenermaßen im Commonwealth, aber nicht gerade im Vereinigten Königreich.

Gewinn informiert

Samstag, 10. März 2018

Klingt ein bisschen wie „Einlauf aktuell“. 😀

Wir mцchten Sie informieren, dass das Bьro des nicht Beanspruchten Preisgeldes in Spanien, unsere Anwaltskanzlei ernannt hat, als gesetzliche Berater zuhandeln, in der Verarbeitung und der Zahlungeines Preisgeldes, das auf Ihrem Namen gutgeschrieben wurde, und nun seit ьber zwei Jahren nicht beansprucht wurde.

Ah ja, und was ist jetzt mein Name, auf den der Zaster gutgeschrieben wurde? Eine halbwegs überzeugende Anrede hast du ja nicht hingekriegt.

Anbei finden Sie die wichtige Nachricht.

Oh, war wieder kein Platz auf dem Mailpapier?

Die angehдngte Datei ist sicher und scannt die PDF-Datei.

Hier schreibt ein Experte für Kenner! 😯

Bitte laden Sie es herunter.

Es ist ein Mailanhang, ein verdammter Mailanhang. Den habe ich schon mit deiner Spam abgeholt. Ich mache meine Mail nicht im Webbrowser.

Vielen Dank
Carlos Sanchez

Danke wofür?

Na, mal in den Anhang schauen, in dem ja die eigentliche Botschaft steht¹. Dieser ist ein PDF-Dokument mit einer Dateigröße von außerordentlich fetten 306,2 KiB, was um so erstaunlicher ist, wo dieser „Brief“ neben einer Menge schlecht layoutetem Text voller Schreibfehler, einem einfach gestalteten Formular und einem Briefkopf der Europäischen Union nichts enthält. Das Dokument wurde aus Microsoft Word heraus mit dem kostenlos verfügbaren PDF24 Creator erzeugt, der als Backend GNU Ghostscript verwendet. Damit kann man eigentlich nichts so falsch machen, dass eine dermaßen aufgeblähte Datei herauskommt… aber Spammer in ihrer unendlichen Doofheit kriegen das natürlich hin. Das PDF-Dokument sieht übrigens so aus:

Facepalm-Smily Oh, jetzt sehe ich auch, wie der Hirni von Spammer es geschafft hat, die Dateigröße seines PDFs so aufzuplustern. Aber um das zu erklären, muss ich ein bisschen ausholen.

Der Spammer fühlte tief in sich ein neckisches Streben nach gestalterischer Exzellenz, als er das „KONTAKT FORMULAR“ für seinen ansonsten typografisch und gestalterisch misslungenen „Brief“ machen wollte. (Man beachte nur einmal die Seitenränder!) Und deshalb hat er es nicht, wie die meisten seiner betrügenden Kollegen, einfach mit fett gesetzten Texten und vielen Unterstrichen gemacht, sondern so, dass es auch wie ein Formular aussieht.

Nun, das kann man so oder so machen. Wenn ich Microsoft Word oder ein anderes Textverarbeitungsprogramm benutzte und diese Absicht hätte, würde ich eine Tabelle einfügen und die Rahmen entsprechend setzen. Das ist an sich sehr einfach (kann aber ein bisschen Fummelei bedeuten, wenn man es hübsch und ansprechend machen möchte). Beim PDF-Export einer solchen Tabelle entstünden auch nur ein paar einfache Befehle zum Zeichnen von Linien und ausgefüllten Rechtecken, die das Dokument nicht aufblähen. Bei jemanden anders habe ich einmal eine über OLE eingebettete Excel-Tabelle zur Darstellung einer Tabelle in einem Word-Dokument gesehen, was natürlich auch geht und beim PDF-Export zum gleichen Ergebnis führt, aber für diese Anwendung etwas übertrieben wäre. Der Vorteil des OLE-Objektes: Excel kann auch richtig gut rechnen. 😉

Kurz: Jeder Mensch, der normale Anwenderkenntnisse in Office-Programmen hat, hätte die Tabelle klicki klicki in Word gemacht. Nicht so unser Spammer. Der benutzt Computer schließlich nur zum Spammen und versteht deshalb wenig bis nichts von den Programmen, die er benutzt. Der lässt sich nicht von einem aufgeweckten Zwölfjährigen in die „Geheimnisse“ der Textverarbeitung einführen, sondern verbringt seine Lebenszeit lieber im Bordell, wo er das erschwindelte Geld anderer Leute verprasst.

Und deshalb ist er anders vorgegangen. Er hat ein Grafikprogramm aufgemacht und hat darin das Formular gezeichnet, um es als 2309×795 Pixel großes JPEG-Bild zu speichern, das er dann in das Word-Dokument eingefügt hat. Die dabei entstehenden 157,7 KiB Grafikmüll haben das PDF-Dokument so groß gemacht, denn nun handelte es sich nicht mehr um ein paar Linien und Rechtecke, die sich effizient codieren lassen, sondern um eine Grafik, die natürlich 1:1 in die PDF-Datei übernommen wird.

Aber immerhin: Er hat nach gestalterischer Exzellenz gestrebt, der Spammer. Das macht nicht jeder. Schade, dass es ihm dabei an jeglicher Könnerschaft gemangelt hat. Aber er ist halt ein Spammer…

¹Ich rate strikt davon ab, Anhänge aus einer Spam zu öffnen, wenn man nicht ganz genau weiß, was man tut. Schnell hat man nach einem unbedachten Klick einen Computer anderer Leute auf dem Schreibtisch stehen. Wer überhaupt keine Idee hat, wie man ein PDF von einem Kriminellen halbwegs sicher öffnet, sollte gar nicht erst darüber nachdenken, es zu tun. Im Moment sind übrigens mal wieder eine Menge Spams mit Schadsoftware im Anhang unterwegs…

Facepalm-Piktogramm: CC BY-SA 3.0, von Fred the Oyster. Von mir leicht bearbeitet, die Lizenz wird natürlich geerbt…

wirksames Mittel für Bekämpfung des Alkoholismus

Freitag, 9. März 2018

Dieses Mittel gibt es nicht. Aber man kann mit dem Weitersaufen aufhören und wenigstens ein trockener Alkoholiker werden, statt langsam, mit abnehmender Freude und zunehmender Einsamkeit vor die Hunde zu gehen.

Die Spam „erfreut“ wieder mit weitgehendem Verzicht auf Text, stattdessen wird ein 63,6 KiB großes PNG-Bild verwendet, um die „Botschaft“ zu transportieren:

OOO "INTERNET-CONSULTIN", INN: 773363093, CAT 7715010, bin 109774601055, Vorontsovskaya, d.6, p.2

Unsubscribe

Das sieht ja aus, als würde mir Bier gegen Alkoholismus empfohlen!

Diese Spam ist ein Zustecksel meines Lesers H.S.

Darlehensangebot jetzt bewerben?

Freitag, 9. März 2018

Von: geraldoarrudas@olinda.pe.gov.br
Antwort an: trustfinanceloanfirms@gmail.com

Oh, ein Spammer, der verstanden hat, wozu der Reply-to-Header gut ist. Das versteht nicht jeder Spammer. Aber…

Antwort an: yeomanloancompany@gmail.com

…er hat es auch nicht so richtig verstanden. Na ja, hauptsache, er versteht etwas von…

Brauchen Sie ein echtes günstiges Kreditangebot? Brauchen Sie ein zuverlässiges Kreditangebot? Brauchen Sie finanzielle Hilfe? Brauchen Sie ein zuverlässiges Kreditangebot zu einem günstigen günstigen Zinssatz? Hier ist die Firma, um das zu bekommen, weil ich Herrn Peter Squire den Eigentümer der ersten Finanzdarlehensgesellschaft geben Darlehen zu einem erschwinglichen Zinssatz von 1% für den Zeitraum von 1 bis 30 Jahren nur, so für weitere Details, wenn Interesse an der Behandlung mit meinem Darlehen Firma erreichen Sie mich dann bitte unter meiner unten angegebenen E-Mail-Adresse für weitere Bearbeitungen

yeomanloancompany@gmail.com

Antwort an: yeomanloancompany@gmail.com

…Darlehen, die im schönsten Spamdeutsch angeboten werden. Oder doch wenigstens davon, wie man Menschen für ein angebliches Darlehen jede Menge Vorleistungen aus der Tasche labert.

This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus

Diese Spam ist ganz sicher eine Spam, denn sonst würde so ein sinnloser Satz darin nicht erscheinen. Sinnlos? Ja, sinnlos! Jeder Verbrecher kann diesen Satz in eine E-Mail voller Schadsoftware reinkopieren. Der dumme, sinnlose Avast-Reklamesatz ist ein genau so sicheres Filterkriterium zum automatischen Aussortieren des Unnützen, Dummen und Kriminellen aus der E-Mail wie der Sprachstummel „Click here“.

ALVIN KEICHE

Donnerstag, 8. März 2018

So nannte sich der, die oder das Kommentator mit IP-Adresse aus Benin, der, die oder das den folgenden Kommentar zur Einleitung eines Vorschussbetruges hier auf Unser täglich Spam veröffentlichen wollte:

Hallo an alle

Zu Ihrer Aufmerksamkeit bitte !!

E-Mail-Adresse: damiennaurelie@gmail.com

Dieses Darlehenszeugnis ist wahr. Ich bin eine Frau mit 2 Kindern. Seit dem Tod meines Mannes befand ich mich in Schwierigkeiten. Ich hatte vorher viel zu bezahlen. Ich habe meine Nachbarn und meine Bank gebeten, mir zu helfen, aber sie fragen mich unerträgliche Bedingungen. Ich war in ernsthaften Schwierigkeiten. Ich habe ein paar Kreditangebote im Internet beantwortet und wurde zweimal betrogen. Aber um meine Nachforschungen fortzusetzen, las ich ein Darlehenszeugnis, das von einer ehrlichen und ernsthaften Frau sprach. Ich garantiere Ihnen, dass ich ein Darlehen von 150.000,00 EURO erhalten habe und dank dieses Geldes konnte ich meine Rechnungen bezahlen und mein Geschäft beginnen. Wenn Sie einen Kredit aufnehmen möchten, empfehle ich diese Frau und Sie werden nicht enttäuscht sein. Vertrau ihm und sie wird dir helfen.

Hier ist seine E-Mail-Adresse: damiennaurelie@gmail.com

danke

Vertrau ihm, und sie wird dir helfen. Ohne weitere Worte.

informieren

Mittwoch, 7. März 2018

Ja, Spammer, genau das solltest du tun in deinem Betreff: Informieren. Zum Beispiel darüber, worum es in deiner Spam geht. Ach, dann macht sie keiner mehr auf, der noch bei Troste ist. Na, so ein Jammer aber auch!

Oh, heute gibt es wieder einen Lotteriegewinn in Spamdeutsch ohne Umlaute. Tja, wenn man die ganzen Millionen immer wieder unter Leuten verlost, die nicht einmal ein Los kaufen müssen, dann ist eben auch kein Geld für einen Dolmetscher mehr übrig, und die Übelsetzung klingt ein wenig unterzeugend.

Wir freuen uns, Sie ueber die Veroeffentlichung von de Eurojackpot Loterie zu informieren, die am 23/02/2018 statt [sic!]. Ihre E-Mail hat sich zu einem Gewinner in unserer Verlosung gewonnen [sic!], mit den folgenden Daten: Ticket Nummer: 795564, Referenznummer: Email Jackpot [sic!]. Gewinn Nummer: 18, 26, 33, 42, 46 + 04, 5. Sie koennen ihre Gewinnzahlen ueber unsere Web-Seite:
https://www.juegosonce.es/resultados-eurojackpot-23-febrero-2018
ueberpruefen. Sie gewann in der 2ª [sic!] Kategorie (5+ 1) und die Gewinnsumme 546.393,50 Euro betraegt [sic!]. Herzlichen

Glueckwunsch! [sic! Dieser Absatzumbruch war da wirklich] Ihr Preisgeld wird bereit sein [sic!], fuer den Auftrag BOARD Lotteriegesellschaft zu zahlen [sic!], nach Ueberpruefung und Validierung [sic! Doppelt gemoppelt…]. Um Falsifizierung die Gewinne E-Mail-Adressen zu vermeiden, bitten wir Sie die Informationen über der Gewinn geheim zu halten [sic! In unverschlüsselter Mail, die offen wie eine Postkarte durch das Internet geht.], von der Werbung zu verzichten [sic!], waehrend haben Gewinndaten nicht verarbeitet wurden [sic!] und das Geld auf Ihr Konto uebertragen, da dies ein Teil unserer Sicherheitsprotokolle ist um Doppel behauptet [sic!] oder falsch dieses Programm Teilnehmer verwenden [sic!], zu vermeiden, wie dies in der Vergangenheit geschehen ist.

Ihre E-Mail-Adresse wurde automatisch von einem Computer automatische Auswahlsystem ausgewaehlt [sic!]. Alle Teilnehmer wurden ueber ein Computer-System Stimmzettel [sic!] von 100.000 E-Mail-Adressen aus einer Suche eines Computersystems ausgewaehlt. Um für den Preis bewerben, kontaktieren Sie bitte Ihren Agenten fuuer die Anwendung fuer die Zahlung Ihrer Gewinne: Nereya Paz. Ihre persönlichen Daten fuer die Anwendung eines erfolgreichen [sic!], Gewinn-Nummer und die Referenznummer, per E- Mail: liberty.seguros@insurer.com, Tel: +3460318xxxx.

Denken Sie daran, dass alle Preise muessen spaetestens zwei Wochen ab dem Zeitpunkt des Eingangs der Anmeldung des Gewinnens geltend gemacht werden [sic!]. Alle Gewinn Ansprueche eingereichten nicht für die Registrierung vor diesem Datum wird dem Ministerium fuer Wirtschaft Spanien [sic!] (Ministerio de Economía Y Hacienda), wie frustriert [sic!] zurueckgeschickt werden. Der Sponsor der Lotterielose gekaufen hat [sic!] Siherheitsfirma Alianza Seguro Espana.

Cornelia Alvarez
Directora de Administracion
Eurojackpot Loteria

Vielleicht hätte man beim Übelsetzen auf dem Weg von Spanisch nach Deutsch nicht Swaheli als Zwischenstation nehmen sollen. 😉

Today is Champions League: You should be making extra cash with our Predictions!

Mittwoch, 7. März 2018

Und, warum wettet ihr die nicht einfach selbst? Dann macht ihr doch das zusätzliche Bargeld. Oder probiert ihr nur mal aus, in wie weit man die Quoten am Totalisator mit einer dummen Spamaktion manipulieren kann?

Ja, ist klar! Man muss schon sehr dumm sein, um darauf hereinzufallen.

CONFIRMBETS.COM IS YOUR ANSWER

Nein, 42 ist die Antwort.

We know you‘ll say this is just another crappy predictions site, just here us out first, there is a twist.

Auch, wer schon einmal von einer ähnlichen Betrugsnummer zum gebrannten Kind gemacht wurde, soll sich ruhig nochmal ansengen lassen. Komm, da ist so eine schöne, glühende Herdplatte. Das ist eine andere als beim letzten Mal. Da kannst du jetzt ruhig dein Händchen draufpatschen. Die tut sicher nicht so weh wie die böse Herdplatte vom letzten Mal.

Confirmbets is the leading football predictions site that connects you to the best tipsters from around the world.

Aha, die haben alle kein Interesse daran, sich mit ihrem eigenen Expertenwissen einen Vorteil zu verschaffen, den sie in Wettgewinne ummünzen können. Alles klar!

We have done all the hard work by providing you with all expert’s history and performance to ensure you follow the best tipsters and make MAXIMUM PROFIT from your bets.

Es ist doch schön, zu sehen, dass es so viel Bereitschaft zum Verschenken, zur harten Arbeit für den Nutzen anderer Menschen und zum freien Herausgeben von geldwerten Vorteilen gibt. Erstaunlich, dass so etwas immer nur mit einer illegalen und asozialen Spam kommt…

Today is Champions League: You should be making extra cash.

Und ansonsten gibt es wieder Geld aus der Stromleitung.

Verlasst euch drauf, diese Leute haben es nicht vom Geben. Sonst brauchten sie auch nicht zu spammen.

CLICK HERE AND START WINNING TODAY →

„Click here“, ein Sprachstummel, der sich nur in Spam, Werbung und vergleichbaren Kommunikationsversuchen von Großhirnkastraten und Trottelflüsterern findet. Immer noch eine sichere Regel zum Filtern, immer noch völlig ohne Fehlerkennungen: Steht „Click here“ in einer seiner vielen Formen drin, ungelesen in die Ekeltonne!

Wenn sich das auch noch mit einem indirekt gesetzten Link über einen Linkkürzer kombiniert…

$ location-cascade "https://goo.gl/F9xgbg"
     1	http://confirmbets.com/
     2	https://confirmbets.com/
$ _

…ist es völlig sicher, dass man nach einem Klick wenig Freude haben wird. Die Domain, die übrigens zurzeit noch auf keiner Blacklist auftaucht, wird über einen Dienstleister aus dem trockenen Arizona, USA…

$ whois -H confirmbets.com | grep WHOIS
   Registrar WHOIS Server: whois.godaddy.com
elias@simson [~] $ whois -h whois.godaddy.com confirmbets.com | grep ^Registrant | sed 6q
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
$ _

…völlig anonym betrieben. Was kann dabei schon schiefgehen? Es geht ja nur um Geld. Die Schwindel-Website, die man unter dieser Domain präsentiert bekommt, sieht übrigens so aus:

Aber immerhin ist es mal eine neue Masche in meinem Spameingang. Bitte trotzdem nicht darauf reinfallen! 😉

Adelhard Adolf

Dienstag, 6. März 2018

So nannte sich der Kommentator mit seiner dynamisch vergebenen IP-Adresse eines Zugangsproviders aus Frankfurt am Main, Deutschland (mit hoher Wahrscheinlichkeit ein durch Schadsoftware übernommener Privatrechner), der vor wenigen Stunden den folgenden Kommentar zur Einleitung eines Vorschussbetruges hier auf Unser täglich Spam veröffentlichen wollte, aber aus inhaltlichen Gründen am Spamfilter scheiterte:

Denken Sie über finanzielle Unterstützung nach, die sie dringend benötigen? denkst du über die Gründung eines eigenen Unternehmens Wirtschaftlich, haben Sie Schulden zu bezahlen? Möchtest du deine Schulgebühren bezahlen, bist du bereit ein Haus zu kaufen und du hast kein Geld? Willst du ein eigenes Unternehmen gründen und hast du kein Geld? Dies ist Ihre Chance, Ihre Wünsche zu erreichen, da wir Ihnen ein Individuum geben Ansatz Kredite, Business-Darlehen und Student and Private Loan, Company Darlehen aller Arten von Darlehen, die wir jedem auf der Welt geben.
Unsere Darlehen Zinssätze beträgt 2% für weitere Informationen Kontaktieren Sie uns über Via Email (kkreditechloancompany@yahoo.com)

Kreditnehmer INFORMATION:

Kreditbetrag:
Kreditnehmer Vor- und Nachname:
Kontaktdaten des Kreditnehmers:
Land und Staat:
Stadt:
Staatsangehörigkeit:
Kreditfinanzierung:
Dauer des Darlehens:
Familienstand:
Alter:
Sex:
Telefonnummer
Faxnummer
Monatliches Einkommen:
Per E-Mail: kkreditechloancompany@yahoo.com
Telefonnummer: +44752062xxxx
Herr Adelhard Adolf
Generalberater
KREDITECH Darlehensfirma LTM

Bei jenen deutschen Bloggern, die Geoblocking betreiben, um derartigen kriminellen Dreck nicht zu veröffentlichen, wäre dieser „Kommentar“ durchgekommen, denn er kommt ja aus Deutschland.

Ich hatte heute mehrere ähnliche Kommentare mit einer deutschen IP-Adresse im Glibbersieb meines Spamfilters. Parallel dazu habe ich festgestellt, dass in den letzten Tagen ein reichkommentierter Text aus dem Jahr 2013 zu angeblichen Rechnungen, die eine Schadsoftware im Anhang transportieren, vermehrt gelesen wurde. Diese fünf Jahre alte Nummer scheint also genau jetzt wieder zu laufen. Da weiß ich dann auch gleich, wie wohl die Schadsoftware auf Rechner mit „unverdächtigen IPs“ gekommen sein wird, die sogleich zu Spamschleudern werden.

Auch das LKA Niedersachsen warnt zurzeit deutlich vor angeblichen „Rechnungen“, die in Wirklichkeit ein Schadsoftware-Anhang sind. Diese entsprechen weitgehend dem vertrauten Muster: In der E-Mail steht nichts Substanzielles zum Vorgang, wegen einer bloßen Vorgangsnummer soll Geld bezahlt werden und es wird eine absurd kurze und sittenwidrige Frist für den Zahlungseingang gesetzt, aber dafür eine absurd hohe Bullshit-Gebühr angedroht. Um zu erfahren, um was es überhaupt geht, soll man klick-klick einen Anhang öffnen – und die Schadsoftware wird von vielen Antivirus-Schlangenölen nicht erkannt und von Microsoft Windows einfach ausgeführt. Niemand, der das Geld auch haben will, würde seine Rechnung oder Mahnung so schlecht formulieren…

Bitte fallt nicht darauf rein! Niemals einen Mailanhang aus einer nicht digital signierten E-Mail öffnen, der nicht vorher (am besten über einen anderen Kanal als E-Mail) explizit abgesprochen wurde! Sonst hat man schnell einen Computer anderer Leute auf dem Schreibtisch stehen. 🙁