Genau, gegen den Stress kämpfen, weil ein Kampf ja keinen Stress verursacht…
Sind Sie satt mit Angst? Es ist Zeit, die Situation zu aendern.
Depression, Schlaflosigkeit oder dauernder Schmerzsyndrom sind Krankheiten, die sofort behandelt werden sollen. Die von uns angebotenen zuverlaessigen Pillen lassen Ihre Probleme vorbei.
Dass eure Pillen jedes Problem an sich vorbeilassen, das glaube ich euch nach Lektüre eures gequirlten Bullshits sofort. 
Das Live Spiel ist der nächste Schritt im online Gaming und Royal Gaming Club bietet die besten Live-Spiele der Branche! Beobachten Sie vom Komfort des eigenen Heims aus wie ein Live-Dealer die Karten mischt und sie direkt an Sie austeilt. Dies ist die beste Kombination der online Casinos und denen aus Stein und Beton. Fangen Sie heute noch an zu spielen.
Wir verkaufen unseren vergammelten Essig gern in neuen Schläuchen und nennen das, was in der Internet-Zockhölle „Magic Box Casino“ abläuft, jetzt „Live Spiel“ (mit Deppen Leer Zeichen). Damit räumen wir ein, dass das Spiel vorher nicht ganz so „live“ war, sondern dass der Verlust des Spielers lange feststand, bevor er auch nur das „Spiel“ gestartet hat. So ist das eben in einem durch nichts und niemanden kontrollierten Zockladen im Internet, dessen Existenz ausschließlich durch asoziale und illegale Spam bekannt gemacht wird. Also seien sie so blöd und schauen sie sich ein gestreamtes Video an, in dem jemand Karten mischt und austeilt, und glauben sie, dass die bei ihnen als Ergebnis eines von niemanden kontrollierten Programmablaufes angezeigten „Karten“ etwas anderes sind als gewerbsmäßiger Beschiss! Das ist die beste Kombination aus Profit für die organisierte Internet-Kriminalität und Stein und Beton im Kopfe der Opfer. Also, nichts wie los!
Und nicht darüber wundern, dass das angebliche Casino in dieser Spam zwar „Royal Gaming Club“ heißt, aber auf einer Domain liegt, die so tut, als hieße „Grand Royal Casino“, während die dortige Seite eine Weiterleitung zu einer anderen Domain ist, die so tut, als hieße der Laden „Royal Gaming Room“, um denn eine Website zu präsentieren…
…die wiederum vom „Royal Casino Club“ spricht. Erstens betreiben wir gar kein Casino, sondern treiben dem etwas obskuren „Magic Box Casino“ Kunden zu und kassieren Affiliate-Gelder, wenn Leute darauf reinfallen, und zweitens müssen wir regelmäßig Bezeichnungen und Domains wechseln, weil unser täglich im Dutzendpack gelieferter Sondermüll sonst durch keinen Spamfilter mehr kommt. Aber diese Details unseres Geschäftes schreiben wir natürlich nicht in unsere Spam, stattdessen gibts die üblichen, hirnfrei formulierten Bullshit-Texte.
Ach ja, unsere Website ist auch schon etwas älter, und trotzdem genau so bescheiden wie am ersten Tag, denn unser alter Grafiker ist uns abhanden gekommen. Letzten Monat lag sie noch auf www (punkt) royalcasinodot (punkt) com, und in der Spam war die Rede von www (punkt) goroyalbets (punkt) com.
Ihr Betrugscasinospammer
Wenn man als Spammer schon nur Bullshit zu erzählen hat, muss man es doch wenigstens in Form einer HTML-Mail tun:
Die Zielgruppenansprache wird allein darin deutlich, dass hinter der Aufforderung „Vergrößere deinen Penis“ noch die Klarstellung „Großer Penis“ steht, damit auch die weniger intelligenzbegabten Menschen den Sinn einer solchen Vorgehensweise verstehen. Die glauben dann wohl auch, dass man bei den Angeboten von kriminellen Spammern Zeit und Geld sparen kann. Zum Beispiel bei so einer russischen Betrugsapotheke, deren Domain erst vor drei Tagen eingerichtet wurde und die in spätestens einer Woche nicht mehr genutzt wird, weil sie bei jedem Spamfilter dieser Welt bekannt ist. Und damit es schnell geht, bezahlen diese Leute, die nicht ganz so genau wissen, dass Vergrößern zu Größe führt, dann Vorkasse. Für die kriminellen Spammer ist das schlicht die sicherste und effektivste Methode, an das Geld anderer Leute zu kommen…
Diese Plage läuft zurzeit über Twitter ab, natürlich mit viel mehr Accounts als nur diesen einen:
Wie man sieht, ist die Spam nicht besonders einfallsreich. Die Opfer dieser Spammasche werden wohl aus der allgemeinen Timeline herausgepickt, mit einer @-Anfrage angesprochen und bekommen alle das gleiche Textbröckchen vorgeworfen, natürlich auch mit dem immer wieder gleichen Link, den ich hier unkenntlich gemacht habe, um niemanden zu gefährlichen Experimenten zu verführen. Die gewählte Form ist dafür gemacht, Menschen abzuholen, die auch auf Facebook aktiv sind.
Der Link geht zu einem bei blogspot (punkt) com liegenden Blog, das mit einem Riesenberg CSS „liebevoll“ die Erscheinung einer Facebook-Timeline nachempfindet und ganz nebenbei die typischen Steuerelemente der dort gehosteten Blogs versteckt hat, damit auch nicht jedem mäßig erfahrenen Netznutzer auf dem ersten Blick auffällt, was das für ein Schwindel ist. Das Ergebnis ist durchaus gelungen und sieht so aus (zum Vergrößern auf das folgende Bild klicken):
Dass jemand, der so gezielt einen falschen Eindruck erweckt, nichts Gutes im Schilde führt, brauche ich hoffentlich nicht weiter zu erwähnen.
Der Quelltext ist sehr verbastelt. Ich kann ihn nicht in fünf Minuten durchanalysieren. Er enthält eine Menge Techniken, die ich nach einem ersten Überfliegen nur halb verstehe, und meine Motivation zum gründlichen Verstehen ist gerade nicht so hoch, dass ich mir alles anschauen mag.
Was ich mir allerdings angeschaut habe¹, ist zum Beispiel dieses scheinbare eingebettete YouTube-Video, und das ist etwas völlig anderes als ein gewöhnliches YouTube-Video. Es ist ein IFRAME, der mit ein paar darin angeordneten Grafiken optisch wie ein YouTube-Player gestaltet wurde und in dessen Inneren eine in der Domain allinfree (punkt) net gehostete Seite dargestellt wird – es ist also im Gegensatz zum erweckten Eindruck nicht ein normal eingebettetes, bei YouTube verfügbares Video.
Auf diesem so hinterhältig als YouTube getarnten Bereich wird ein kleiner JavaScript-Fetzen ausgeführt, der überprüft, welcher Browser gerade für die Ansicht verwendet wird. Wenn es sich dabei um Chrome oder Firefox handelt, fordert das Skript im angeblichen YouTube-Player dazu auf, eine Extension namens „YouTube Premium“ zu installieren, der Code für diese Extension wird allerdings ebenfalls aus der Domain allinfree (punkt) net installiert, also von einer Seite, die unter der Kontrolle der Spammer steht.
Wenn auf solche Weise Code unter Vorspiegelung falscher Tatsachen zur angeblich erforderlichen Installation angeboten wird, sollte allein wegen der gewählten Methodik Alarmstufe Rot herrschen. Ich bin mir vollkommen sicher, dass es sich bei dieser angeblichen Extension um Schadsoftware handelt. Ich bin allerdings im Moment nicht gewillt, mir auch noch anzuschauen, welche unerwünschten „Funktionen“ diese Schadsoftware implementiert – es kann jede Aktion sein, die sich innerhalb eines Browsers ausführen lässt, vom Spammen über das Abgreifen von Passwörtern bis hin zum manipulierten Online-Banking. Natürlich kann eine solche Schadsoftware auch auf Facebook, Twitter und YouTube zugreifen und die angebliche Video-Seite dort im Namen des Opfers spammend weiterempfehlen, wenn man sich nicht abgemeldet hat und die Cookies noch im Browser gespeichert sind. Eine erwünschte Funktion wird es auf keinen Fall sein, und übrigens lässt sich YouTube und auch ein gewöhnliches, in andere Seiten eingebettetes YouTube-Video ganz hervorragend ohne diese angebliche Extension nutzen, wie jeder mit Leichtigkeit ausprobieren kann.
Für andere Browser gibt es eine Weiterleitung auf ein Dokument, das den Code zum Einbetten eines YouTube-Videos enthält, so dass Nutzern der Browser Konqueror, Internet Explorer, Opera, Galeon oder Safari gar nichts besonderes an dieser Schadsoftware-Schleuder der Spammer auffällt – außer vielleicht, dass das hier von Spammern missbrauchte Video ein bisschen… na ja… nicht so toll ist, wie es die gefälschten, im Facebook-Stil aufgelisteten Kommentare versprochen haben. Das finde jedenfalls ich… 😉
Der relativ hohe Aufwand und die beachtliche kriminelle Energie in dieser Masche lassen mich annehmen, dass bei jenen, die darauf reinfallen, ein relativ großer Schaden entstehen wird. Da die Nummer „frisch“ ist, ist auch davon auszugehen, dass die meisten Virenscanner die Schadsoftware noch nicht erkennen. Wer schon darauf hereingefallen ist, hat ein ernsthaftes Problem. Es ist erforderlich, etwas dagegen zu tun.
Wegen der sehr perfiden Vorgehensweise und der momentanen Massivität, mit der diese Masche auf Twitter (und vermutlich auch bei vergleichbaren Web-2.0-Sites) durchgezogen wird, kann ich nur eine deutliche Warnung aussprechen: Nicht auf jeden Link klicken, der einem mit einer „persönlichen“ Nachricht zugesteckt wird. Dies gilt in besonderer Weise, wenn der Link von einem bislang völlig Unbekannten kommt oder der begleitende Text dermaßen dümmlich um Aufmerksamkeit buhlt. Wenn dann ein Blick in die Twitter-Timeline dieses völlig Unbekannten zeigt, dass dauernd gleichlautende Links an alle möglichen Leute gesteckt werden, ist die Sache klar: Es handelt sich um einen Spammer, der gemeldet werden sollte, damit der Schaden für andere Menschen begrenzt wird. Das bisschen Vorsicht vor einem schnellen, unüberlegten Klick kann eine Menge späteren Ärger ersparen.
Wer glaubt oder nur befürchtet, dass er schon auf diese besondere Masche reingefallen ist, sollte unbedingt handeln. Alle Erweiterungen sollten im betroffenen Browser – in diesem Fall sind nur Firefox, Chrome und Chromium betroffen – sofort entfernt werden (die Schadsoftware kann unter völlig anderem Namen auftreten), das Verzeichnis mit den Extensions im Dateisystem gelöscht werden und dann können die wirklich benötigten Extensions neu installiert werden. Nicht einmal bei dieser etwas ruppigen Vorgehensweise kann ich zusichern, dass die Schadsoftware zuverlässig entfernt wurde (HTML 5 kennt viele Wege, Daten lokal zu speichern); ich kann auch nicht auszuschließen, dass ein weiterer, von mir beim schnellen Überfliegen nicht bemerkter Schadcode dieser Spammer noch einen anderen Schaden angerichtet hat. Wie ich oben bereits gesagt habe: Es ist ein ernstes Problem.
Dieses Problem wäre übrigens vermieden worden, wenn das Firefox-Plugin NoScript installiert und aktiviert gewesen wäre. Dieses verbietet die Ausführung von JavaScript in unbekannten Seiten und verlangt vor der Ausführung eine explizite Freischaltung. Doch selbst dieser Schutz ist wertlos, wenn man das Skripting leichtfertig aktiviert, weil man ein als lustig angepriesenes Video schauen will. Kein Plugin kann den Verstand ersetzen, und der Verstand sollte einem im Zeitalter einer mit hoher krimineller Energie und beachtlicher technischer Fertigkeit vorgehenden Internet-Mafia sagen, dass man gar nicht vorsichtig genug sein kann. Ein angeblich „lustiges Video“ aus einer derart obskuren und trüben Quelle sollte niemals zum Grund werden, die Vorsicht für etwas befriedigte Neugier zu opfern. Nur in einer solchen Haltung helfen Plugins als zusätzliche Unterstützung beim Streben nach einer sicheren Internetnutzung.
Beinahe jeder Hack eines privat genutzen Rechners lässt sich vermeiden – und das übrigens fast immer – wenn man die Spam als Spam erkennt (das erfordert manchmal etwas Nachdenken und Überprüfung, also Mühe) und niemals in einer Spam herumklickt (das erfordert nur einen gesunden Menschenverstand, ist also kaum der Rede wert).
¹Bevor mich jemand falsch versteht: So etwas schaut man sich nur auf einem besonders gesicherten System an. Ein installierter Virenscanner und eine laufende „personal firewall“ reichen nicht aus, um das System zu sichern. Wer nicht weiß, wie man sich ein besonders gesichertes System einrichtet, sollte niemals auf die Idee kommen, in einer offensichtlichen Spam herumzuklicken.
Klar, das wird mir gerade der Spammer mit einer (gefälschten) Absenderadresse beim Freemailer yahoo (punkt) com erzählen, was das beste Weihnachtsgeschenk ist. Mal schauen, was er mir anbieten will, dieser Weihnachtsmann:
Beschriften Sie von Weihnachtsmann
Tolle Aufforderung!
Das Gluck deines Kindes ist auch dein Gluck! Mach es glucklich mit einem Brief, der vom Weihnachtsmann unterzeichnet ist… lass es an die Magia des Weihnachtsmannes weiter glauben.
Aber die Ьberraschung ist nicht nur fьr die Kleinen, jetzt kцnnen Sie eine originelle und jugendliche Ьberraschung ihren Mann, ihrer Frau, ihren Geliebten oder Geliebte, ihrer Freunde, Geschwister, Schwiegermьtter, GroЯeltern, Eltern u.a. machen.
Der Brief wird mit dem Namen des Empfдngers, mit persцnliche Angaben, mit dem Stempel des Nordpols und mit der Unterschrift des Weinachtsmannes personalisiert sein.
Das Gluck deines Spammers ist auch das Gluck deines Spammers! Mach ihn glucklich und besuch seine tolle Website, auf der das Märchen vom Weihnachtsmann erzählt wird. Besuch seine tolle Website und sieh, dass es dich nur 8,80 Euro kostet. Die musst du einem Spammer geben. Der hat sich die tolle Domain unter Angabe einer Adresse in Rumänien übrigens gerade erst ganz frisch am 22. November dieses Jahres geholt, und zwar unter Angabe einer anderen kostenlosen und anonym einzurichtenden Mailadresse bei Google. So einer ist genau der Richtige, um ihm solche Dinge wie eine Kreditkartennummer in die Hand zu drücken, nicht?! Das gibt eine Überraschung, die eventuell nicht nur so klein bleibt, dass fast 9 Euro einfach futsch sind, ohne dass etwas dafür zurückkommt; sie kann sogar sehr viel größer werden. Der versprochene Brief wird mit der Unterschrift des Weihnachtsmannes nicht abgesendet werden. Obwohl diese Halunken sehr geübt im Fälschen einer Identität sind. Also ruhig…
Seien Sie wieder Kinder! Lassen Sie sich von die Zauberkunst des Weinachtsmannes umfasst!
…so kindisch sein und sich vom Angebot eines kriminellen Spammers bezirzen lassen.
http://www.santaclaus-letter.eu/gr/
Copyright © 2007-2011 santaclaus-letter.eu. All rights reserved.
Und schon gar nicht darüber wundern, dass der Absender dieses mit verhunzten Umlauten garnierten Stücks digitalen Mülls sein „Copyright“ an diesem Bullshit bis ins Jahr 2007 zurückgehen lässt, während eine Abfrage bei EURid schnell klar macht, dass die Domain für den Beschiss erst vor wenig mehr als zwei Wochen reserviert wurde.
You are receiveng this because your address is in our data base. Unsubscribe from Santa Claus Newsletters simply by replying to us with subject ‚UNSUBSCRIBE‘. Thank you for your understanding.
Du hast diese Spam ohne vernünftigen Grund bekommen, und die Antwort an die gefälschte Absenderadresse wird nur den Menschen verärgern, der diese Mailadresse benutzt.
Dear Email Owner,
We happily announce to you the Email Support Programme results which you were declared a winner in the Email Draw Category. This Email Support Programme is Sponsored by Microword Coporation and all the members of MSFT Word Resource Consortium Software Promotion Companies [sic!]. This internet E-mail draw is held periodically to encourage and promote Internet users literacy worldwide [sic!]. Your email email ID was randomly sellected amongst the lucky winners during balloting system. You have therefore been approved to receive the sum of Ђ500,000.00 EUROS. To receive this prize money, send an email Mr Carlos Pedro. Mr. Carlos is expected to process your prize payment immediately he receives an email from you confirming receipt of this message. For further development, Clarification and procedure please Contact: Mr.Carlos Pedro, Email Contact: carlosped999 (at) yahoo.com.hk.
An alle E-Mail-Teilnehmer.
Eine Lotterie ist gekommen
Gekommen vom Mikrowort
Und den Mickrigkeiten der Spammer.
Eine Lotterie, zu beenden
Dieses Kaufen von Losen
Und diese lästige Finanzierung.
Eine Lotterie, zu verschenken
Geld wie der Weihnachtsmann persönlich.
Warum? Damit du Internetuser
Besser mit dem Internet umzugehen weißt.
Der Absender hat indessen
Kein Gefallen am Formatieren gefunden.
Glaub fest daran!
MSFT ist Carlos Pedro und
Verwendet Adressen beim japanischen Yahoo;
Anonym eingerichtet
Mit lustigen Ziffern am Ende des Namens.
Das ist MSFT, ja Microsoft!
Geglaubt sei diese Lüge!
Glaub an die halbe Million Euro
Und beantworte die Mail nicht
Indem du auf „antworten“ klickst
(Denn ihr Absender ist gefälscht).
Lass dir noch mehr Lügen erzählen
Und lass die Gauner
Berge von Geld vor deine Augen malen.
So wirst du bereiter sein
Deine Vorleistung über WesternUnion
An die Verbrecher schnell zu senden;
Anonym, versteht sich. Denn diese
Sind nicht gern im Knast.
So kommt der Idiot, der unfähige,
Endlich an sein neues Auto
(Das alte ist schon einen Monat alt)
Und hat noch mehr zum Verprassen.
Und du, du Opfer,
Du hast eines nur gewonnen:
Erfahrung. Vielleicht ists ja das
Was deinen Umgang mit dem Netz verbessert.
Irgendwie bin ich heute ein bisschen albern, sorry. Aber die Spam ist heute dermaßen schlecht, da vergeht einem jeder Ernst…
Ohne Worte:
Preisnachlaesse und Spezialangebote fuer Stammkunden
Angela Merkel kann es auch nicht besser machen – unsere Tabletten helfen Ihnen am schnellsten gegen Krisis und Dipression.
Die Preise fuer unsere Pillen sind so guenstig, dass es kaum zu glauben ist, wie billig und wie einafch die Bestellung ablaeuft.
Im Moment läuft eine neue Phishing-Masche, die mir recht gefährlich vorkommt, obwohl ich noch keine der Spams gesehen habe.
Die betrügerischen Mails stamen angeblich von der Deutschen Bundesbank. In ihnen wird behauptet, dass es seit Kurzem eine Kooperation zwischen dem Bundesamt für Sicherheit in der Informationstechnik und diversen Kreditinstituten gäbe, die dem Handel mit gestohlenen Kreditkarten entgegentreten wolle. Die Empfänger der Mail werden aufgefordert, ihre Kreditkarte zu „verifizieren“ und den spammenden Betrügern damit die erforderlichen Daten zu geben, um die Kreditkarte in kriminellen Geschäften missbrauchen zu können. Wenn dies nicht sehr kurzfristig geschieht, soll die Kreditkarte sehr schnell gesperrt werden.
Wie schon die Erwähnung auf „Unser täglich Spam“ erahnen lässt, kommt diese Spam nicht von der Deutschen Bundesbank und auch alle weiteren Angaben und Behauptungen in diesen Mails sind unzutreffend. Wer darauf bereits reingefallen ist, sollte jetzt sofort die Sperrung seiner Kreditkarte veranlassen und seine kontoführende Bank von diesem Vorgang in Kenntnis setzen. Die meisten Menschen werden allerdings hoffentlich so vernünftig sein, dass sie niemals auf die Idee kommen, derartige Daten nach Empfang einer simplen, nicht digital signierten E-Mail (deren Absender beliebig fälschbar und für den Empfänger ohne digitale Signatur unüberprüfbar ist) in irgendeine Website einzutragen.
Es ist übrigens schade, dass die Deutsche Bundesbank in ihrer Presseerklärung nicht den Text der Spam veröffentlicht hat, weiß ich doch aus meiner alltäglichen Erfahrung mit „Unser täglich Spam“ sehr genau, dass viele Menschen nach Texten aus der Spam suchen, wenn sie nähere Informationen erhalten möchten. Aber immerhin wird in einer Presseerklärung deutlich Stellung bezogen, und dies ist auf der Startseite sichtbar. So einen offenen Umgang mit diesem Thema wünschte ich mir von jedem Unternehmen und von jeder Institution, deren Namen von Kriminellen für Internetbetrügereien missbraucht werden.