Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „HTML“

Your Transaction Report(s)

Freitag, 28. September 2012

Wie jetzt, ich habe doch gar keine Transaktion angestoßen…

Your Transaction Report(s) have been uploaded to the web site:

https://www.flexdirect.adp.com/client/login.aspx

Please note that your bank account will be debited within one banking business day for the amount(s) shown on the report(s).

Please do not respond or reply to this automated e-mail. If you have any questions or comments, please Contact your ADP Benefits Specialist.

Thank You,
ADP Benefit Services

Es ist leicht, diese Mail als Spam zu erkennen, denn sie verzichtet gegenüber einem angeblichen Kunden auf eine persönliche Anrede – kein Gewerbetreibender, dem etwas an seinen Kunden liegt, würde das tun.

Es handelt sich um eine HTML-Mail. Die Spammer haben offenbar versucht, einen anderen Eindruck zu erwecken, indem sie als Schriftart für den Text „Courier New“ setzten. Das ist aber sehr stümperhaft gemacht worden, wie sich deutlich am Fettdruck der unfreiwillig komischen Grußformel „Thank You“ und am abschließenden Link zeigt.

Der im Text angegebene URL ist mit einer ganz anderen Adresse verlinkt. Bei dieser wird zunächst einmal keine TLS-Verschlüsselung (https:) verwendet, und sie liegt auf einem völlig anderen Server in einem Verzeichnis, dessen Name schon andeutet, dass er automatisch generiert ist (DeTp3 würde ein Verzeichnis in einer echten Website nur selten genannt werden).

Die dort liegende Website bindet von zwei verschiedenen Adressen aus ebenso erkennbar automatisch benannten Unterverzeichnissen (uTNPT911 und 9x82urVs JavaScript-Dateien mit dem Namen js.js ein. Diese veranlassen eine identische Weiterleitung auf eine PHP-Datei auf dem Server mit der IP-Adresse 108.178.59.6.

Mit hoher Wahrscheinlichkeit sind die Server, die hier für die Weiterleitungskaskade verwendet werden, von Crackern übernommen worden. Sie werden von einer Winzerei aus Massachusetts und einer Nonprofit-Organisation aus Costa Rica betrieben.

Was die PHP-Datei, die am Ende dieser Reise durch das Reich der Weiterleitungen liegt, zurückgibt, um den Browser damit zu belasten, konnte ich leider nicht so leicht herausbekommen. Das PHP-Skript existiert, aber es gibt im Standardfall nur einen HTTP-Status 502 (Bad Gateway) zurück, ohne eine Fehlermeldung auszugeben oder irgendetwas anders an den Browser zu senden. Ein Mensch würde eine weiße Seite sehen. Vermutlich ist die Ausgabe abhängig vom Referer, vom User-Agent des Browsers und vielleicht weiteren Eigenschaften der Anfrage (ich habe erfolglos einiges ausprobiert, denn ich bin immer neugierig, was die Kriminellen gerade so treiben…) – hier will sich also jemand verstecken.

Verstecken vor wen? Nicht vor den Opfern, sondern vor allem vor Bots, die Webseiten automatisiert auf Schadcode durchsuchen, um in modernen Browsern eine deutliche Warnung vor dem Besuch einer derartigen Seite anzuzeigen. Denn das wird mit hoher Wahrscheinlichkeit das Ziel dieser ganzen Aktion sein: Dem Menschen, der in die Spam geklickt hat, eine hübsche Kollektion aktueller Schadsoftware unterzujubeln, wenn es irgendeine Lücke gibt, die das zulässt. Vor ein paar Monaten haben sich die Internet-Kriminellen weniger Mühe beim Verstecken gegeben, aber die Masche war die gleiche: Eine aufreizende Mail wegen einer Geldsache, ein Link, und wer darauf geklickt hat, bekam ein ernsthaftes Problem.

Und genau wie vor einigen Monaten gibt es gegen diese Form der Kriminalität einen wirksamen Schutz – und der besteht nicht im versprochenen Schutz einiger Schlangenölverkäufer aus der Antivirus-Industrie:

  1. Spam erkennen und löschen!
    In diesem Fall war es sehr einfach, die Spam zu erkennen, da es eine angebliche Benachrichtigung wegen eines geschäftlichen Vorganges ohne persönliche Ansprache war. Niemand würde seine Kunden so behandeln. Wann immer eine Spam erkannt ist, sollte sie sofort gelöscht werden. Der mögliche Schaden durch einen einzigen Klick ist das bisschen befriedigte Neugier nicht wert.
  2. Niemals von einer Mail in Panik versetzen lassen!
    Natürlich sind die Geschichten der Spammer so, dass sie Alarmstimmung auslösen, um möglichst viele Empfänger zu einer unvernünftigen Reaktion hinzureißen. In diesem Fall wurde etwa die Belastung eines Bankkontos mit einem unbekannten Betrag an die Wand gemalt. Das sollte niemals ein Grund sein, in einer Mail herumzuklicken. Im Zweifelsfall einfach die Website der Bank direkt im Browser aufrufen, sich anmelden und nachschauen, ob alles in Ordnung ist. Übrigens empfiehlt beinahe jede Bank in ihren Sicherheitshinweisen, dass man niemals die Bankwebsite aufruft, indem man in eine Mail klickt. Das hat einen guten Grund. Oder besser: Das hat mehrere Millionen gute Gründe pro Tag, die in vielen Mailpostfächern ankommen.
  3. Augen auf vor jedem Klick!
    Wenn sich der Mauszeiger über einem Link befindet, wird in der Statuszeile sichtbar, wohin dieser Link wirklich führt. Das ist nützlich. Wenn da eine Internetadresse in der Mail steht, und der Link führt auf eine andere Adresse, handelt es sich beinahe ausnahmslos um Betrugsversuche. Gute Mailsoftware wie etwa Mozilla Thunderbird weist auf derartige Versuche übrigens sehr deutlich hin, wenn man eine Mail betrachet. In jedem Fall sollten solche Überrumpelungs-Links ein Grund sein, die Mail zu löschen. Es gibt ein paar Unternehmen, die ihre per Mail versendeten Links über Tracking-Skripten laufen lassen, und deren Kommunikation kann man bei der Gelegenheit gleich mitlöschen. Wer sich bei der Methodik von Kriminellen bedient, um Erfolgsmessungen seiner Reklamemaßnahmen zu machen, darf sich nicht wundern, wenn die angemessene Ächtung der Kriminalität auch auf ihn fällt.
  4. Webbrowser sichern!
    Die Mehrzahl der Versuche, Rechner über präparierte Websites mit Schadsoftware zu missbrauchen, läuft über JavaScript. Es sollte niemals jeder beliebigen Website das Privileg eingeräumt werden, den Code irgendwelcher anonym bleibenden Zeitgenossen im Browser auszuführen. Wer JavaScript nicht völlig abschalten möchte, verwendet ein Browser-Addon wie NoScript, um dieses Privileg bewusst jenen Websites einzuräumen, denen man vertraut. Auch der hier kurz behandelte Crackversuch wäre an einem Addon wie NoScript (oder an abgeschalteten JavaScript) gescheitert. An einem „Antivirusprogramm“ hingegen vermutlich nicht, denn diese Softwaregattung hinkt der kriminellen Entwicklung immer einige Tage hinterher und verbreitet deshalb bei ihren Nutzern eine gefährliche Illusion von Sicherheit.

Aber der wichtigste Schutz vor der Internet-Kriminalität sitzt im Kopfe. Deshalb: Bei der Benutzung des Internet Gehirn einschalten!

Und der wichtigste Helfer der Internet-Kriminaltät ist das blinde Vertrauen in bequeme Sicherheit durch irgendwelche „Sicherheitsfeatures“ in gegenwärtiger Software oder irgendwelche „Antivirusprogramme“ und „Personal Firewalls“. Dies alles ist nur Ergänzung. Unter Betriebssystemen wie Microsoft Windows, die eine erhebliche Anfälligkeit für das Treiben der Cracker haben, vielleicht sogar eine wichtige Ergänzung – aber hier wäre ein weniger anfälliges Betriebssystem die bessere Wahl.

Wir verdoppeln Ihre Investition und vieles mehr

Donnerstag, 27. September 2012

Ein hundertprozentig Einzahlungsbonus wartet auf Sie

Der kann lange warten!

denn [Eine Wegwerfmailadresse]

Ah, ich sehe, dieser Forencrack zirkuliert unter eine Bande von Casinospammern. Aber wenigstens meinen Nick hätten die aus der Datenbank nehmen können…

Geld zu haben ist immer schön. Doch mehr für sein Geld zu erhalten, ist noch besser!

Hirn zu haben ist auch sehr schön. Noch schöner ist es freilich, das Hirn zu benutzen – denn dann fällt schnell auf, dass Casinobetreiber nicht etwa einen Geldbaum im Garten haben und das lästige Laub loswerden wollen, sondern dass sie davon leben, dass in ihren Casinos verloren wird. Aber dieser Spammer richtet sich offenbar nicht an Hirnanwender, denn…

Hier im GoldenRivieraCasino geht es ganz allein ums Geben:

:mrgreen:

Wir verleihen Ihnen einen hundert prozent Einzahlungsbonus, wenn Sie Ihre Ihre erste Einzahlung von 125 eruo bringen

Wir geben ihnen 250 Eruo… ähm… Euro in wertlosen virtuellen Jetons, wenn sie uns 125 Euro wertvolles Bargeld geben. Dazu kann man doch gar nicht nein sagen! :mrgreen:

Man beachte, dass die Spammer für dieses illegale Abzockcasino nicht einmal die Währungsbezeichnung Euro richtig schreiben können. Das ist ja nur Geld, und auf so einen lästigen Kram kommt es beim Betrieb eines Casinos ja gar nicht an.

Das bedeutet, dass Sie ganze 125 eruo mehr zum abspielen haben Plus
Sie erhalten 50
Freispiele für den populären Slotz Riviera Riches

Aber wenn die in ihrer Mail von Geld reden, dann meinen die ja ihre virtuellen Jetons, und das ist ein „Geld“, das ungefähr so viel Wert hat wie Zahlen, die man vor der Benutzung auf Klopapier schreibt. Deshalb können die damit auch so „freigiebig“ sein.

Registrieren Sie sich noch heute mit uns und erhalten Sie mehr

Wie jetzt? Noch mehr?

Beste Grüße

GoldenRivieraCasino
Es gelten unsere Bedingungen.
Sie benötigen Hilfe? Klicken Sie hier um mit unserem Kundenservice zu chatten.

Mit Gruß von einem Betrugscasinospammer, der seine „Bedingungen“ lieber nur erwähnt und nicht verlinkt. Aber hey, immerhin, dafür kann man chatten, wenn man noch keine erfreulichere Möglichkeit zum chatten gefunden hat. Das ist doch was. Natürlich gehen alle Links über ein Tracking-Skript und sind mit einer eindeutigen ID versehen, damit die Spammer auch wissen, dass die Mail ankommt. Und natürlich ist auch wieder ein unsichtbares Bild in der HTML-formatierten Mail, das an das gleiche Tracking-Skript zurückfunkt, dass die Mail betrachtet wurde.

Deactivate Me

Wer noch mehr Spam haben will, braucht nur zu klicken.

1500 € für Sie zu spielen

Mittwoch, 26. September 2012

Oh schön, mir schenkt mal wieder jemand Geld!

KOMMEN SIE AN BOARD [sic!] UND ERLEBEN SIE DIE BESTEN PRAEMIEN ONLINE

Weil… offline, also in Bargeld, hat man nichts von diesen „besten Prämien“, die bedauerlicherweise nur in virtuellen Jetons „ausgezahlt“ werden. Und auch nur dann, wenn man dem nur durch Spam beworbenen Abzock-Casino echtes Geld gibt. Ein Tausch gegen Glasperlen käme mir wirtschaftlich wesentlich sinnvoller vor.

Und dann „an board“. Ob dieser kleine Verschreiber wohl daran liegt, dass diese Mail an eine Adresse ging, die ich ausschließlich für die Anmeldung an ein bestimmtes Webforum verwendet habe. Der Betreiber dieses Forums ist natürlich gerade von mir informiert worden – aber scheinbar kommen die sprachkranken Casinoheinis zurzeit wieder durch breit angelegte Forencracks an neues Adressmaterial für ihre tollen E-Mails, so dass demnächst auch einige noch spamfreie Mailadressen mit derartigem Schrott zugestopft werden. Wer dann auf einen Link in der Spam klickt, hat verloren. Alle Links gehen über ein Umleitungsskript und haben eine eindeutige ID angehängt, so dass die Spammer wissen, dass die Mail ankommt. Den gleichen Zweck erfüllt übrigens eine unsichtbare eingebettete Grafik, die an die Spammer zurückfunkt, dass die Spam gesehen wurde. Deshalb lädt man ja auch keine externen Grafiken in einer Mail – oder noch besser, man schaut sich HTML-Mail gar nicht erst in HTML-Darstellung an.

CosmikCasino läuft auf der neuen Software, GameScale und wirft, mit dem neuesten Stand der Technik, einen blick in die Zukunft des Glückspiels

Wie, ein Blick in die Zukunft? Das Casino ist noch gar nicht fertig? :mrgreen:

Mit monatlich neuen Spielen, mehrsprachiger Kundenberatung, Online, Chat und Call center garantieren wir ihnen ein unglaubliches Spielerlebnis.

Wenn sie auf unsere Drecksspam reingefallen sind und uns Geld gegeben haben, wird ihnen niemand glauben, wie sehr wir sie abgezockt haben. Es ist fürwahr ein unglaubliches Erlebnis!

Gratis anmelden und ein atemberaubendes
WILLKOMMENSPAKET von 5555€ erhalten.

Natürlich ist die Anmeldung gratis. Die Einzahlungen, die man für elf lila Lappen in virtuellen Jetons legen muss, sind es natürlich nicht. Und wenn sie dann erstmal begreifen, dass sie einen Haufen Geld für nix an spammende Betrüger gegeben haben, bleibt ihnen sogar für einen kurzen Moment die Luft weg.

Wenn es in diesem illegalen, nur durch Spam bekannt gemachten Betrugscasino zu einem regelrechten Spielrausch kommt, dann wird der vor allem eines. Er wird…

Geniessen Sie einen unbezahlbaren Spielrausch [sic!] mit unserem 150% bis 1500€ Willkommensbonus auf Ihre erste Einzahlung

…unbezahlbar. :mrgreen:

Kann man wieder gar nicht selbst ausdenken!

Dieses Email [sic!] wurde Ihnen von CosmikCasino geschickt. Wenn dies aus Versehen [sic!] geschehen ist, oder wenn Sie keine Promotions Angebote mehr erhalten möchten, wenden Sie sich bitte an den deactivateme [sic!]

Diese Mail wurde ihnen ohne besonderen Grund von einem Spammer geschickt, der an ihre Mailadresse gekommen ist, weil ein paar Forencracker Datenbanken verkaufen. Das war kein Versehen, sondern kriminelle Absicht. Wenn sie garantiert noch mehr von diesem Müll haben wollen, dann sagen sie dem Spammer einfach, dass diese Mail ankommt und dass sie so doof sind, in einer Spam herumzuklicken.

Put some wow in your week

Samstag, 15. September 2012

Häh?!

Check out ezdatesonline.info for hot local singles online
Free to join, over one million active users!
More info here.

Ach so, mal wieder so eine tolle Website voller virtueller Frauen, an der ich kostenlos teilhaben kann, damit ich diese total geilen Singles in meiner Nähe online kennenlernen kann. Diese Website hat zwar schon ein paar Nutzer, benötigt aber immer noch Spamreklame.

Die Mail ist natürlich HTML-formatiert und der Link geht nicht etwa auf die angegebene Domain, sondern zusammen mit einer eindeutigen ID in der URI auf ein PHP-Skript unter der Domain mail (punkt) studiodev (punkt) info, damit die Spammer auch wissen, dass die Mail nicht nur ankommt, sondern dass der Empfänger bei der Vorstellung geiler Singles jede Vorsicht fahren lässt und sogar in einer Spam rumklickt. Sämtliche Links gehen auf die gleiche URI, auch dieser abschließende:

You are recieving this message when you joined in
To unsubscribe click here

Wie jetzt, ich bekomme die Mail, wenn bei euch Mitglied geworden bin? Wieso soll ich dann noch bei euch Mitglied werden? Könnt ihr bitte mal das Koks weglassen und das Gehirn einschalten, wenn ihr eure Strunztexte schreibt? :mrgreen:

Ihre PACKSTATION wurde deaktiviert

Montag, 10. September 2012

Wie, ich habe eine Packstation?! 😀

Sehr geehrte/r Packstation-Kunde,

Wir haben wir üblich nicht die geringste Ahnung, wie sie heißen, obwohl…

in den letzten 24 Stunden wurde mehrfach versucht, sich Zugang zu Ihrer PACKSTATION zu verschaffen.

…wir angeblich mit ihnen in einer Geschäftsbeziehung stehen. Aber natürlich sind wir nicht DHL, obwohl wir die Absenderadresse gefälscht haben, sondern Spammer mit einer Phishing-Masche, die gern fremde Anschriften für eigene illegale Geschäfte missbrauchen.

Wir gehen davon aus, dass es sich um einen unberechtigten Zugangsversuch gehandelt hat – daher haben wir aus Sicherheitsgründen Ihre PACKSTATION deaktiviert.

Deshalb machen wir erstmal Alarm. Wer verunsichert und verängstigt ist, ist gleich viel bereiter, etwas unaufmerksamer das zu tun, was Spammer von ihnen wollen. Zum Beispiel…

Durch diese Deaktivierung können Sie nicht mehr auf Ihre PACKSTATION zugreifen. Damit Sie Ihre PACKSTATION weiterhin wie gewohnt nutzen können, ist eine Entsperrung vonnöten.

https://dhl.de/privatkunden/paket/aktivierung.htm?56e4810eh530a32m87

…auf einen Link klicken, um wieder an die Packstation zu kommen. Die Mail ist natürlich HTML-formatiert, und der Link geht auch nicht zu DHL, sondern zum Server pack (strich) station (punkt) be. Dort kann man in einer flugs nachgebauten DHL-Seite seine PostNummer, sein Internet-Passwort und die PIN für die Packstation absetzen. Nachdem man dort brav seine Daten eingegeben hat – ich habe es gerade mit ein paar Phantasiedaten durchprobiert – bedanken sich die Phisher für das Vertrauen und sagen einen, dass man jetzt wieder seine Packstation deutschlandweit nutzen kann.

In Wirklichkeit können diese Halunken natürlich die Packstation nutzen. Und die werden Anwendungen dafür haben, denn sie bleiben bei ihren Geschäften doch lieber unidentifizierbar, damit sie nicht diese hässlichen Handschellen umgelegt bekommen.

Viele Grüße
Dirk Sebastian
Marktkommunikation DHL Paket

So heißt der wirkliche Absender garantiert nicht.

Hinweis: Es besteht keine Gefahr für Ihre PACKSTATION. Diese neue Maßnahme tritt automatisiert nach 3 fehlgeschlagenen Loginversuche ein und dient der Abwehr vor Angriffen.

Was bei der Abwehr von Angriffen wirklich helfen könnte, ist die Beachtung der von DHL gegebenen Sicherheitshinweise. Den im Zusammenhang mit diesem plumpen Phishing wichtigsten Hinweis gebe ich hier gern noch einmal wieder – die Hervorhebung habe ich aus dem Original übernommen:

Aktuell sind wieder verstärkt Phishing-Mails in Umlauf, in denen Sie aufgefordert werden, ihr gesperrtes Packstation Konto zu entsperren. Diese E-Mails verlinken auf eine gefälschte DHL-Seite, auf der man seine PostNummer, Passwort und PIN eingeben soll. Bitte beachten Sie grundsätzlich: DHL Packstation wird Sie niemals nach Ihrer PIN fragen, weder telefonisch, noch postalisch oder per E-Mail!

Ich hoffe, das ist deutlich genug.

Diese Phishing-Spam wurde mir von einer Leserin weitergeleitet. Danke!

Der Zugriff auf Ihr Konto wurde eingeschr?nkt.

Montag, 13. August 2012

Es ist ja nicht so, dass die Spammer nichts an ihren Nummern ändern würden.

Es scheint sogar so zu sein, dass die Spammer genau lesen, wie naive Internetnutzer über typische Maschen im Internetbetrug aufgeklärt werden, um dann ihre Spam ein wenig anzupassen.

Der Absender der folgenden Komposition aus HTML-Gestaltung und Phishing-Mail hat sich etwa folgendes gedacht: „Der Polizist da in der Zeitung, der hat gesagt, dass die Phishing-Mails den echten Mails täuschend ähnlich sehen. Da lasse ich mein PayPal-Phishing doch mal völlig anders als die corporate identity von PayPal aussehen, und schon merken die Leute nicht mehr, dass es eine Phishing-Mail ist. Und dann geben die mir hunderte von neuen Zugangsdaten für meine Betrugsgeschäfte“.

Dann setzte er sich an die Tasten und gestaltete eine beachtliche HTML-Mail.

Und so sah das Meisterwerk des unbekannten Künstlers schließlich aus (zum Vergrößern klicken):

Liebe User PayPal, Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto einzugrenzen bis zusätzliche Informationen zur Überprüfung gesammelt werden. Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir bitten Sie daher die von uns angeforderten Kontodaten zu enrneuern. Bitte klicken Sie hier

Es wird mit Sicherheit ein grandioser Erfolg werden! :mrgreen:

Try HQ Medications Online

Dienstag, 26. Juni 2012

Hey Spammer,

ich finde es ja lobenswert, dass du dich mal hingesetzt und HTML gelernt hast. Du hast dir bestimmt gedacht: Das ist ja toll, dass ich meine Drecksmails auch ansprechend formatieren kann, das macht sie bestimmt gleich viel überzeugender und wirksamer:

Try HQ Medications online Here

Jetzt musst du nur noch eines lernen: Dieses Ding mit den Inhalten. Ein einfaches Wiederholen des Betreffs ist jedenfalls wenig als „Inhalt“ geeignet und wird niemanden dazu motivieren, auf den tollen Linktext „Here“ zu klicken. Weder, um deinem Skript mit der eindeutigen ID aus dem Link mitzuteilen, dass deine Drecksspam ankommt, noch, um sich auf deine betrügerische Pimmelpillen-Apotheke mit der lächerlichen Firmierung „Canadian Health&Care Mall“ weiterleiten zu lassen. Diese Dreckssite ist übrigens auch schon bei allen Filtern dieser Welt bekannt, so dass Menschen mit einem aktuellen Browser eine Warnung wegklicken müssen, bevor sie Viagra, Cialis und Levitra zu Gesicht bekommen.

Aber wenns auch völlig sinnlos ist, was du da treibst, unbekannter Idiot: Du hast wenigstens ein bisschen HTML gelernt.

Vielleicht fängst du damit ja mal was anderes an, als lächerliche Mailtexte aufwändig zu verpacken… :mrgreen:

Dein dich lesen müssender

Nachtwächter

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.