Hast Du mein Paket angenommen?

Samstag, 6. August 2016

Holla, fragen mich heute viele „Frauen“ in fast völlig gleichlautenden Spams danach, ob ich ihr Paket angenommen habe. Der arme Paketbote…

Hi!

Genau mein Name!

Ich bin Deine neue Nachbarin, ich hab mir die Tage ein paar nette Sachen im Internet bestellt. Ich habe gerade die Mail bekommen dass der Shop das Paket bei euch zugestellt hat.

Nun, wenn du wirklich eine derartige Mail bekommen hättest, dann wüsstest du von mir einen anderen Namen als „Hi“. Hast du aber nicht. Das ist nur eine Geschichte, mit der du Leute zum Rumklicken in einer Spam motivieren willst. Und damit das noch ein bisschen besser wirkt…

Magst Du mir das heute Abend rüberbringen? Da sind ein paar Erwachsenen-Spielzeuge mit drin

…spielst du asozialer und krimineller Spammer (der du gewiss keine Frau bist) die lebensfrohe Frau mit heiterem Spielzeug für Erwachsene zum wohligen Einführen in aufnahmebereite Leibespforten.

Naive Männer, denen von dieser Vorstellung das ganze Blut in den Schwellkörper fließt (und so im Hirne fehlt), sollen dann zum Klick auf einen Link motiviert werden, um mal zu sehen, wie so ein Paket ausgepackt wird (und sich dabei vorstellen, dass das ihre Nachbarin ist):

Hier mal n heisses Video wie ich meine letzte Bestellung auspacke:

http://www.server213.win/[ID entfernt]/

Natürlich ist das eine Wegwerfdomain.

Natürlich gibt es da auch kein Video.

Wenn ich die ID aus der URI entferne, gibts auch keine Weiterleitung zu irgendetwas heißem, sondern es geht zu einer Pimmelpillen-Apotheke:

$ lynx -mime_header http://www.server213.win/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Aug 2016 10:11:42 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.offizieller-generikashop.com
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Dabei handelt es sich um eine Website von Giftapothekern, über die ich mich schon im Januar dieses Jahres ein wenig ausgelassen habe.

Wer ein grundsätzliches Interesse an der „Diversifizierung“ von Online-Betrügerbanden hat¹, halte hier kurz fest, dass sich wieder einmal zeigt, dass der illegale und in Einzelfällen lebensgefährliche Handel mit gefälschten Medikamenten von der gleichen spammenden Bande vorangetrieben wird wie das Affiliate-Geschäft mit dem Dating-Betrug. Aber das habe ich ja schon vor ein paar Tagen mitgeteilt, wenn auch mit deutlich weniger Indizien.

So weit, so schlecht.

Um mal zu sehen, wo die Reise mit angehängter ID hingeht – Leute, die auf den Köder dieser Spam reingefallen sind, wollen ja gewiss keine Pimmelpillen kaufen, sondern ein erregendes Video sehen – habe ich mal ein paar Zeichen in der originalen ID aus der Spam verändert²:

$ lynx -mime_header http://www.server213.win/25_1h3Oy1a7un8t/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Aug 2016 10:25:08 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.whats-xxx.com/
Connection: close
Content-Length: 52
Content-Type: text/html; charset=UTF-8

$ _

Die Domain whats (strich) xxx (punkt) com ist ganz frisch und unverbraucht…

$ whois whats-xxx.com | grep '^Creation'
Creation Date: 2016-06-30T13:23:00.00Z
$ _

…sie wurde gerade erst vor etwas mehr als einem Monat eingerichtet. Was einem dort anschaut, ist dann eine Vul… ähm… wieder einmal das schon aus dem letzten Jahr bekannte WhatsFuck-Design der Dating-Spammer. Nichts wurde daran verändert. Der schwarze Balken über den einladend präsentierten Leibespforten im Screenshot ist natürlich von mir, und ich gehe davon aus, dass dieses Foto von irgendwo aus dem Internet „mitgenommen“ wurde… die Frau tut mir leid. Das einzige, was sich geändert hat, ist die für den Beschiss verwendete Domain. Vermutlich stehen die zuvor von diesen Gangstern verwendeten Domains inzwischen auf jeder Blacklist dieser Welt.

Natürlich wurde auch diese neue Domain über einen Dienstleister aus dem sonnigen Panama anonym registriert.

Gruß
Deine Vivien-Maus

Nee, Vivi, wenn du wirklich meine „Nachbarin“ wärest, dann brauchten wir keinen Dating-Betrug, der von Affiliate-Lumpenkaufleuten vertrieben wird, sondern du könntest einfach zu mir rüberkommen. Ich treibe es aber nur im Schlamm…

¹Das ist eine gute Gelegenheit, mal meine treuen Mitleser im Niedersächsischen Landeskriminalamt zu grüßen! Ich wünsche euch von ganzem Herzen viel Erfolg! Wer das Ziel hat, Spammer dingfest zu machen, hat den gleichen Feind wie ich, und das überbrückt viele Differenzen…

²Wer sich über die Pipe auf sed wundert: Ich lösche damit alles, was nach der ersten Leerzeile kommt, so dass ich für das Zitat nur die Header habe. Ansonsten würde der komplette HTML-Quelltext einer eventuellen Webseite ausgegeben, der mich in diesem Kontext zunächst nicht interessiert.

Charmant und nettes Madchen wird auf eine Antwort von Ihnen warten!

Samstag, 6. August 2016

Oh, ich habe aber lange keinen Liebesbrief mehr bekommen…

Von: Ich mochte die andere Halfte zu finden. <bwallace (at) arksysinc (punkt) com>

Oh, du schreibst bestimmt Qualitätsdeutsch. Mal lesen:

Guten Abend.

Wir haben es gerade so 13:30 Uhr. Da sagt man in meinem Umfeld noch „Guten Morgen“. 😀

Wie geht es dir?

Ach, eigentlich ganz gut, ich spüre nur leichte Übelkeit wegen deiner Spam.

Wie ist deine Stimmung?

Noch ist sie gut.

Ich wollte dich besser erkennen.

Versuch es mal beim Augenarzt!

Ich suche den Mann online fur die langfristigen Beziehungen. Ich habe die erwachsenen Lebensauffassungen. Ich die einsame Frau, und ich habe keine Kinder.

Das finde ich schön, dass du deinen zukünftigen Gesponsen über Spam suchst. So wächst zusammen, was zusammen gehört: Dummheit und Kriminalität.

Ich bin Marina.

Ich bin Elias. Mein Name stimmt. Deiner nicht. Und du warst zu faul, mal meinen Namen nachzuschauen, bevor du mir deine Spam in das Postfach kötteltest.

Ich bin freundschaftlich und friedlich Madchen.

Du bist so freundschaftlich und friedlich wie eine kriminelle Bande, die mit Spam nach naiven Opfern für einen Vorschussbetrug sucht.

Ach, übrigens Marinchen: Frag doch mal das nächste achtjährige Hackkind, wie man diese Umlaute in eine Mail kriegt! Es ist wirklich nicht so schwierig. Ach, wenn du dir Mühe geben wolltest, würdest du ja nicht spammen, sondern könntest gleich arbeiten gehen? Nun, so hört sich deine von irgendeiner Software aus dem Russischen ins Deutsche übersetzte Spam auch an, wenn man sie laut liest.

Ich glaube, dass Sie nicht der vulgare Person.

Mein Kommentar zu dieser Aussage ist aus Jugendschutzgründen zensiert…

Und Sie wirst die nackten Foto nicht erbitten.

Nee, ich nehme nur Fotos von nackten Menschen.

Ich denke, dass Sie der ehrliche Person.

Interessant, was für eine Tätigkeit du als „Denken“ bezeichnest.

Wenn Sie unsere Bekanntschaft unterstutzen wirst,
so werde ich Ihnen ausfuhrlicher von mir erzahlen.

Oh, toll: Wenn man dir antwortet, gibt es noch mehr Lügen. Für alle, die gar nicht genug davon kriegen können. Und damit du deine Lügen auch schön opfergerecht erzählst, auf dass Geld für allerlei Dinge lockergemacht und über Western Union an dich und deine Bande überwiesen werde, möchtest du erstmal etwas über dein Opfer wissen:

Mir ware es wunschenswert, dass du ausfuhrlicher von dir auch erzahlt hast. Wie heissen Sie? Wo kommst du her? Was ist Ihr Alter? Ich will Ihre Foto sehen. Bitte, sende mir Ihre Foto.

Echt jetzt: Du weißt gar nix von mir, aber willst mit mir „die langfristigen Beziehungen“ haben.

Na gut, ein nichtnacktes Foto von mir sollst du gern haben. 😀

Ich werde Ihre Antwort mit Ungeduld warten. Deine neue Freundin Marina.

Wenn du meine Freundin bist, dann gruselts mir erst so richtig vor meinen richtigen Feinden…

Oh, da hängen ja auch noch zwei Fotos an der Spam:

Erstes angehängtes Foto

Zweites angehängtes Foto

So eine entzückend anzuschauende Frau und doch so herzzerreißend ledig, dass sie Verzweiflungsspams schickt! Das ist kaum zu glauben… am besten, man glaubt es auch einfach nicht. Die beiden Fotos wurden irgendwo im Internet mitgenommen, und die dort abgebildete Frau, deren Anblick jetzt als Köder für Kriminelle dient, tut mir leid.

Wer irgendwelche Social-Media-Dienste mit persönlichen Fotos flutet, sollte ruhig mal darüber nachdenken, wo diese Fotos wieder „herauskommen“ können. Ich glaube, dass solche „Zweitverwertungen“ durch Betrügerbanden von niemanden gewünscht sein können, der seine Sinne noch beieinander hat.

Budget Reports

Freitag, 5. August 2016

Hey info

Beste Anrede des Tages!

I attached the annual budget reports that you asked me to send to you.

Ich habe dich um gar nichts gebeten. Und wenn ich mit dir kommunizieren würde und du würdest mir halbwegs regelmäßig Dateien senden, die für mich von Bedeutung sind, dann wäre deine E-Mail digital signiert oder du würdest das nicht tun. Es gibt nämlich Kriminelle da draußen, die Schadsoftware als E-Mail-Anhang versenden.

Best regards,
Brandie Chapman

Du mich auch!

Der Anhang der Spam ist ein ZIP-Archiv namens a131e76a27.zip. Es ist 11 KiB groß und enthält…

$ ls -lh a131e76a27.zip 
-rw-rw-r-- 1 elias elias 11K Aug  5 14:50 a131e76a27.zip
$ unzip -l a131e76a27.zip 
Archive:  a131e76a27.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
    77908  2016-08-04 22:08   annual_budget_ c4a8b0d1~.js
---------                     -------
    77908                     1 file
$ _

…exakt eine Datei. Diese ist nicht etwa ein Dokument, sondern ein direkt ausführbares Javascript-Programm für den Windows Script Host. Ein Doppelklick auf diese Datei startet das Programm. Das Programm ist vorsätzlich kryptisch und unverständlich formuliert, um eine Analyse durch Antivirus-Software und durch Menschen zu erschweren. Kein Programmierer würde so programmieren. Es handelt sich um klare Schadsoftware. Nach dem Klick auf das angebliche „Dokument“ steht ein Computer anderer Leute auf dem Tisch.

Obwohl „Locky“, der hier zugestellte Erpressungstrojaner, ein „alter Bekannter“ ist, scheitern zwei Drittel der populären Antivirus-Programme zurzeit daran, diese klare Schadsoftware als Schadsoftware zu erkennen. Wer sich auf den Schutz durch Antivirus-Programme verlassen hat, ist in vielen Fällen wieder einmal verlassen. Natürlich testen auch Kriminelle ihre Machwerke mit den gängigen Antivirus-Programmen und stellen sicher, dass ihre asozialen Nummern ein paar Stunden oder gar Tage lang laufen, denn sie leben davon.

Deshalb ist es so wichtig, niemals einen Mailanhang zu öffnen, wenn dieser nicht vorher explizit über einen anderen Kanal als E-Mail vereinbart wurde. Eine „vertrauenswürdige“ Absenderadresse ist keine Hilfe, denn der Absender einer E-Mail kann beliebig gefälscht werden. Jede E-Mail, die nicht digital signiert ist (und deren digitale Signatur man nicht überprüft hat) ist als E-Mail eines Unbekannten und möglicherweise Kriminellen zu betrachten und zu behandeln. Bei bekannten Absendern immer telefonisch nachfragen, bevor ein Anhang geöffnet wird; Anhänge von Unbekannten niemals öffnen! Und generell gilt: Ein ZIP-, 7z- oder RAR-Archiv als Mailanhang ist eine typische Verpackung für Schadsoftware – wenn sich darin zusätzlich nur eine einzige und relativ kleine Datei befindet, handelt es sich immer um Schadsoftware (oder um die E-Mail eines Vollidioten).

Der beste Schutz vor der Übernahme des eigenen Computers durch Kriminelle ist nicht ein oft wirkungsloses Antivirus-Programm, sondern die Benutzung des Gehirnes. Erfreulicherweise kostet die Hirnnutzung nicht einmal Geld, so dass nichts gegen einen Einsatz spricht. 😉

RE: Sorry für mein schlechtes Google Übersetzer

Donnerstag, 4. August 2016

Sorry für mein schlechtes Google Übersetzer
Ich vertrete eine Investition Interesse von Dubai ; und interessiert sich für Investitionen in Übersee Erholung große Menge von Mitteln bei vi suchen Ihre Teilnahme als Auslandsvertreter zwei InvG . Antwort -mail unten auf E , wenn interessiert.
Grüße, E – mail: MrDubaiinvest (at) outlook (punkt) com

„Antwort -mail unten auf E“… Ohne Worte. 😀

Attn:gammelfleisch — printing labels provider

Mittwoch, 3. August 2016

Dear Sir or Madam ,

Ich weiß zwar nicht, ob du Männlein oder Weiblein bist…

Here is Abby from a professional printing company .

…aber dafür hat meine echt jetzt und total professionelle Druckerei auch keine Firmierung, keinen Standort, keine Anschrift, nix. Immerhin ist sie in deinem Postfach. Erstaunlich, dass ich selbst einen Namen bekommen habe.

Need a better price?

Willst du Geld sparen? Spam ist immer gut zum Geldsparen. Ganze Bordelle und ganze Drogenringe werden nur durch das „gesparte Geld“ wirtschaftlich betreibbar, das kriminelle Spammer dort regelmäßig für Koks und Nutten ausgeben.

We can offer you various kinds of products, such as cup, lanyard, flyer and can help you with all your printing needs.

Deshalb sind Angebote aus der Spam immer eine ganz tolle Sache!

How about we starting business trip from this email?

Also komm schon! Du kennst mich nicht, ich kenn dich nicht, spar dein Geld und gib es mir.

Kind regards,

Abby Sales Manager

Mit Grüßchen

Abby, Spam Manager

Flexibler Arbeitsplan

Dienstag, 2. August 2016

Hallo!

Genau mein Name!

Wir suchen nach Mitarbeitern, die von zu Hause aus arbeiten wollen.

Klar. Und es ist so irre schwierig, Leute zu finden. Es gibt ja niemanden in der Bundesrepublik, der einen Job sucht. Deshalb macht ihr das über asoziale und illegale Spam.

Mein Name ist Bert und ich bin der Personalleiter einer großen, internationalen Firma.

Oh, schön! Du hast einen Namen, Bert. Aber deine große, internationale Firma firmiert dafür unter keiner Firmierung.

Den größten Teil der Arbeit können Sie von zu Hause, das heißt, egal wo erledigen. Bezahlung ist 3000 €-6000 €

Vermutlich handelt es sich um „Arbeit“, für die man nicht besonders schlau sein muss und nicht besonders viel können muss. Dafür ist sie aber auch gut bezahlt und man kriegt sie nur über Spam. Zu Risiken und Nebenwirkungen solcher „Jobs“ einfach mal die Polizei fragen!

Falls Sie an diesem Angebot Interesse haben, besuchen Sie bitte unsere Seite

Oh toll, ich brauche nicht einmal eine Kreditkarte. Aber ich muss erst in eine Spam klicken, weil die so nett ist, dann muss ich in eine Website klicken, weil das Hintergrundbild so gutes Wetter hat und schließlich lande ich bei einem tollen Typen, der mir auf seiner Website namens „Elite Trading Club“ sagt, dass jede amputierte Laborratte beim Börsenzocken mit hochspekulativen Wettzetteln reich werden kann – und damit man das auch glaubt, gibt es jede Menge gefälschte Presseartikel, deren Quellen natürlich nicht verlinkt werden.

Mit freundlichen Grüßen!
Personalabteilung

Mit „freundlichem“ Gruß von einem Spammer, der wegen erheblicher intellektueller Einschränkungen daran glaubt, dass sein Affiliate-Geschäft für irgendwelche windigen Broker weniger unseriös aussieht, wenn er seine Spams als Jobangebot tarnt.

lucky loans

Montag, 1. August 2016

So nannte sich der intellektuell unbewaffnete Zeitgenosse, der sich hier auf Unser täglich Spam mit dem folgenden Kommentar zur Opfersuche für einen Vorschussbetrug am Spamfilter vorbeimogeln wollte:

DRINGEND KREDIT ANGEBOT GILT. JETZT

Lieber die Kredite beantragt haben, Grüße von LUCKY solide Kredit.
Wir sind Darlehen Kreditgeber zertifiziert, die Kredite bietet
Menschen, die in Not von Darlehen sind. wir gibt Darlehen für
Projekte, Wirtschaft, Steuern, Schulden, Rechnungen und viele andere
reasons.we auf 2% mehr rate.There laufen über erhalten
erhalten Kredit für das Unternehmen, so müssen Sie einen Kredit?
Sind Sie in der Schuld? Wollen Sie ein Unternehmen zu gründen und Kapital brauchen?
Sie benötigen einen Kredit oder eine Finanzierung aus irgendeinem Grund? Eure Hilfe
endlich da, und wir geben den ganzen Kredit in Höhe von
billig und erschwinglich nur 2% pro Jahr, wenn Sie interessiert
Bitte kontaktieren Sie uns noch heute unter
(Luckyloans19 (at) gmail (punkt) com)
und erhalten Sie Ihre Darlehen today.For mehr über unsere
Dienstleistungen, bitte lassen
zu wissen, die Höhe des Darlehens Sie und die Laufzeit des Darlehens müssen.
Sie wollen zu nehmen
* Persönliche Darlehen (Secure und ungesichert)
* Business-Darlehen (Secure und ungesichert)
* Konsolidierung Darlehen und viele mehr.
Wir sind zertifiziert, vertrauenswürdig, zuverlässig, effizient, schnell und
dynamisch. Wenn Sie interessiert sind, wenden Sie sich bitte
Sie uns unter:
Luckyloans19 (at) gmail (punkt) com

Viel Glück,
Kunde.
LUCKY ZEICHEN KREDIT.

Die Zeilenumbrüche sind aus dieser „Lucky Zeichen Spam“ übernommen. 😀

Ich grüße den Spammer mit glucksendem Gruße aus der Heimatstadt von Kurt Schwitters!

Treffen wir uns morgen am Parkplatz?

Montag, 1. August 2016

Oh, was für ein romantischer Treffpunkt!

Hey Schnucki!

Hey, Krepel,

Ich wollte Dich fragen ob wir uns morgen Abend am Parkplatz treffen könnten für ein kleines Nümmerchen.

ich mache es aber nur im Schlamm.

Ich habe in Deinem Profil gesehen dass wir gerade mal 20 Kilometer auseinander wohnen… ausser Du hast was gegen eine flotte Nummer im Auto haha

Und außerdem fahre ich gar kein Auto. Und ich glaube nicht, dass wir beide auf mein Fahrrad passen.

Schreib mir zurück, dann weiß ich wann ich morgen losfahren soll:

http://www.aufmachen98.date/[ID entfernt]/

Aha, in eine Spam zu klicken ist das neue „Zurückschreiben“. Bei anständigen Menschen – also bei Menschen, die keine Spammer oder Werber sind – kann man jede Mail beantworten, indem man einfach in seiner Mailsoftware auf „Antworten“ klickt.

Bussi,
Isabell

Du mich auch!

Abbestellen: http://www.aufmachen98.date/abm/[ID entfernt]/

Aber kreuzweise!

Oh, was ist denn da, meine kleine, feuchte und mich für „Schnucki“ haltende Isa? Noch eine Mail, an die gleiche Adresse, die mir nach deinem auto-erotischen Geschreibe sehr bekannt vorkommt:

Hey Schnucki!

Ich wollte Dich fragen ob wir uns morgen Abend am Parkplatz treffen könnten für ein kleines Nümmerchen.
Ich habe in Deinem Profil gesehen dass wir gerade mal 20 Kilometer auseinander wohnen… ausser Du hast was gegen eine flotte Nummer im Auto haha

Schreib mir zurück, dann weiß ich wann ich morgen losfahren soll:

http://www.aufmachen103.date/[ID entfernt]/

Bussi,
Hannah

Ob Hannah oder Isa (oder, wie ich auf der gleichen Mailadresse in den letzten vier Stunden auch bekommen habe: Lisa, Miriam und Mel): Es ist nichts als Spam und Lüge. Der Klick würde nach einigen Weiterleitungen auf eine Betrugs-Seite in der Domain myfunbook (punkt) net führen, wo man angeblich erfahren kann, wie man jeden Tag eine Andere knallt. Der wichtigste Unterschied zur bereits dokumentierten Betrugsseite ist, dass die überreichlich präsentierten Frauenbilder nun noch mehr primäre Geschlechtsmerkmale (einschließlich höchst nuttig in die Kamera gehaltener Leibespforten) zeigen und dass man…

Du musst bis zum 02.08.2016 anmelden -- Danach wird die Seite entfernt!

…nun nicht mehr eine Frist bis zum 19. Mai 2016 hat, sondern eine bis zum 2. August 2016. Was auf diesem Hintergrund von der Ankündigung der Spammer zu halten ist, dass die Seite danach entfernt wird, zeigt sich leider an dieser Spam und an der Seite. Wer glaubt, dass die anderen tollen Behauptungen dann etwas mit der Wirklichkeit zu tun haben, ist vermutlich nicht mehr zu retten.

Das Geschäft dieser Spammer ist es, Affiliate-Geld von obskuren Dating-Anbietern zu kassieren, die nicht einmal davor zurückschrecken, eine ihre Domains cash4flirt (punkt) com zu nennen. Was von einem Fleischmarktbetreiber zu halten ist, der seine Kunden anwirbt, indem er Spammern Affiliate-Gelder gibt, beantwortet sich durch kurze Benutzung des Gehirns. Wer nicht selbst draufkommt, bekommt hier noch einen kleinen Tipp von mir: Es handelt sich nicht um einen Anbieter, bei dem man richtige Frauen kennenlernt, aber das heißt noch lange nicht, dass man dort nicht eine Menge Geld dafür hinlegen kann, Kontakt mit „Frauen“ aufzunehmen. Das ist schade ums Geld. Aber das gilt immer für Spam.