Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Pimmelpillen“

Vigarraa – 68% Disscouunt!

Montag, 6. Oktober 2014

Wie jetzt, ihr könnt nicht einmal schreiben, wie das „Medikament“ heißt, das ihr anzubieten vorgebt, aber ach egal! Rabatt! Rabatt! Das ist das Wichtigste!

Von: Buuyy Viigaarraa <hygrmqbjt (at) tmal (punkt) net>
An: ttfpqskgrk <gammelfleisch (at) tamagothi (punkt) de>

Auch der von euch ausgesuchte Empfängername ist grandios, von eurem Namen ganz zu schweigen. Man könnte fast denken, ihr wolltet mit so „kreativen“ Schreibungen am Spamfilter vorbeikommen. Das ist euch leider nicht gelungen.

OOnline Durrgshop

Beest cost in thee world

ibyhjbsbtbad

So so, die besten Kosten der Welt und krrnxtglq.

Buy now

0,91$ Viggaraa
1,56$ Ciilaiis
2,12$ Leevtira
0,76$ Pink Feemaalee Viggaarra
2,01$ Viiggaraa Sooft Tabs

View all

Eure „Apotheke“ hat aber ein recht einseitiges Angebot, nichts für Leute mit Schnupfen, Kopfschmerzen oder bakteriellen Infektionen. Dafür sind die angebotenen „Arzneien“ auch noch alle miteinander falsch geschrieben. Dass ihr glaubt, ein Alltagswort wie „female“ käme nicht mehr durch Spamfilter, na ja, ihr scheint ja auch zu glauben, dass eure Drecksspam überhaupt durchkommt.

Und warum sollte ich jetzt bei euch kaufen? Oh schön, eine Antwort:

Whhy?

  • Toop quality
  • 100% Sattiisfacttion Guuranttee
  • Cheapest cost iin the universe!
  • FDA recoommendeed prooducts
  • Offiiciial diistributoors
  • Discreet package
  • Insuurancee deeliveryy
  • Woorldwidee trackablee shippiing
  • Giifts and bonusees
  • All type of prooducts iin onee placee
  • 1-3 daays fast shippiing for Ameeriican clients ~NEEWW!

qnpgojtkbmxddugrilrnulazvqhbafxcexxvmwurhie
tgqwbjdfcevrlonpkpyryqu
terirmdfycrfyeoyw
tcxiuevtrybypxaapcvrlxfocso
vtfndyuerooxttcacbmkywcdrjujq
osrqqvfrhhymkhjnvelbdjzztjq
yenajdihcj

Wer wäre da nicht restlos überzeugt?! :mrgreen:

sup

Donnerstag, 2. Oktober 2014

Diese Mail ging bei einer Frau ein, deren Namen ich im Zitat gegen „Sabine“ austausche:

Hello bro sabine! Hello brother! how are you? I remembered that you asked me where I buy my medication with 60% discount? there’s a lot of drugs, including for us, mens 🙂 Try it today 🙂 its here. click


Guadalupe Hayden
Sent with Airmail

Das nenne ich eine gelungene Zielgruppenansprache, Spammer! :mrgreen:

Übrigens noch einmal ein herzliches Danke an den Hosting-Provider aus Russland, der nach meiner Abuse-Meldung die betrügerische Pimmelpillen-Apotheke binnen einer halben Stunde vom Netz nahm. Wenn das nur immer so liefe…

Suchbegriff-Referer-Spam

Dienstag, 10. Juni 2014

Ein Thema, dass alle Jahre wiederkommt, ist die Referer-Spam¹, die wegen ihres technischen und zunächst unsichtbaren Charakters oft unterschätzt wird und bei guter Machart als gezielter Angriff auch sehr gefährlich sein kann.

In diesem Fall scheint es jedoch mal wieder so zu sein, dass eine neue Generation von Anwendern von Blogs und CM-Systemen, die Referer-Spam noch nicht (oder nicht mehr) kennt, Plugins verbaut, um jene aktuellen Suchbegriffe irgendwo öffentlich auf der Website anzeigen zu lassen, mit denen sie von Lesern gefunden wurde. Deshalb simuliert diese aktuelle Referer-Spam Links von Suchmaschinen wie Google, Yahoo und Bing. In einer statistischen Auswertung der Serverlogs sieht die Spam unter den Suchbegriffen so aus:

Auswertung meiner Serverlogs über Suchbegriffe, mit massenhaft gefälschten Referern einer betrügerischen Apotheke

Wenn diese gefälschten „Suchbegriffe“ irgendwo im Blog angezeigt werden, dann hat man sein Blog in eine Linkschleuder für betrügerische Pimmelpillen-Apotheker verwandelt – die übrigens ein hübsches, neues Layout für ihre Betrugssite gemacht haben. Auch die Bullshit-Firmierung „Trusted Tablets“ ist – zumindest in meinem täglichen Spameingang – recht frisch. Vermutlich gefällt es den Kriminellen nicht so gut, dass eine einfache Websuche nach ihrer Bullshit-Firmierung sofort den Betrug offenbart, weil das eben mies fürs „Geschäft“ ist. Da unter dem Begriff Tablets eher die Wischopäd-Computerchen gefunden werden, muss ich leider einräumen, dass diese trügerische „Firmierung“ gut gewählt ist, wenn sie auch eine eher triviale Abänderung früherer Namen von Betrugsapotheken ist.

Und weil ein vernünftiger Mensch – oder doch zumindest ein Mensch, der sich der Tatsache bewusst ist, dass für Links auf der eigenen Website gehaftet wird – niemals wollen kann, dass sein Blog zu einer Spamschleuder für derartige völlig unvermisst aus der Gesellschaft entfernbaren Gestalten wird, wird ein vernünftiger Mensch eben niemals für Spammer leicht manipulierbaren Dinge wie Referer oder die letzten Suchbegriffe irgendwo öffentlich anzeigen lassen.

Aber leider: Es kommt alle Jahre wieder.

¹Das englische Wort schreibt sich eigentlich „Referrer“, aber die falsche Schreibweise „Referer“ ist im HTT-Protokoll spezifiziert worden. Ich benutze hier den technischen Ausdruck.

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

When It Comes Healthcare, Nothing Beats a Hometown Advantage

Freitag, 14. März 2014

Die heutige Meisterleistung des kreativen Einsatzes von HTML, um sich mit seinem Angebot der Marke „In meiner Betrugsapotheke kriegt jeder ohne Rezept und billig Pillen für den Pimmel“ an die Spamfilter vorbeizumogeln, sieht im beabsichtigten Layout so aus:

Screenshot des HTML-Layouts der Spam

Wer angesichts dieses etwas sonderbaren Layouts nicht sofort Zuckungen im Löschfinger bekommt, sollte einfach mal Strg+A drücken, um den gesamten Text zu markieren – dabei werden auch die Textfragmente sichtbar, deren Farbe der Hintergrundfarbe so ähnlich ist, dass sie bei normaler Darstellung nicht gesehen werden:

Und so sieht die Spam aus, wenn man den ganzen Text vor Augen hat

Da sollte doch jedem klar werden, was von dieser „kanadischen Apotheke“ in der russischen TLD .ru zu halten ist. 😀

Meine Lust, diesen „Text“ vollständig zu zitieren, ist aus hoffentlich verständlichen Gründen nicht besonders groß. Übrigens: Der Trick hat nicht funktioniert, die Spam wurde sicher als Spam erkannt.

12-Hours Only! Order now!

Mittwoch, 30. Oktober 2013

Wie, nur 12 Stunden? So schnell werden eure kriminellen Dreckssites wieder vom Netz genommen? Gefällt mir!

Dear user nachtwaechter,

Lieber Spammer uspfizersale, ich bin doch gar kein „user“ bei dir, sondern ein Empfänger deiner verrotteten Drecksspam. Und…

It’s lowest prices on the net:
– Super.Cilais – 1.82$
– Pfizer-Vigara – 0.67$
– Top.Propceia – 0.24$
– US-Levtira – 1.66$

…die niedrigen Preise deiner darin so freundlich angebotenen Giftpillen können leider nicht darüber hinwegtäuschen, dass du ein Spammer und Betrüger bist. Zudem lässt die besondere Eingeschränktheit deines pharmazeutischen Interesses keine besonders erfreuliche Meinung von deinen intellektuellen Befähigungen aufkommen. Wenn sich das Blut so lange nur im Schwellkörper ansammelt, jappst der Brägen vergebens nach Luft.

and much more.

In der Mail war offenbar kein Platz mehr, um dein Angebot vollständig zu beschreiben.

Order here http (doppelpunkt) (doppelslash) 060 (punkt) reekdoctor (punkt) ru (slash) (fragezeichen) discount (gleich) xxxxxxxxxx

[Eindeutige ID von mir unkenntlich gemacht – da stand eine zehnstellige sedezimale Zahl anstelle der „x“-Zeichen…]

Moment, wie nennst du dich in deiner Drecksspam? „USPFizerSale“? Und dann bevorzugst du eine Website in der russischen TLD? Das wirkt wieder einmal sehr überzeugend!

Update your amorous software

Freitag, 3. Mai 2013

..Hello___Elias «Can cf adia juk nPha hmn rmacy» onl ryq ine dru bzm gst qpq ore is the leading Can ykr adian dru llk gst umn ore which daily ships hundreds of orders to patients internationally. More and more people start purchasing me fzt dica vwe tions in Can sy ada, since they are much more cheaper than American ones and are of the same quality, and manufactured according to the same strict standards. Purchase with «Can ung adia zz nPha fm rmacy» and your me dt dicat qm ions will come right on time well packed and in perfect condition. Privacy and confidentiality are guar kyn anteed! Start new life with «Can all adia lf nPhar hd macy»! ... www.dxxxxxxxxe.ru

Ganz großes Kino, dein in einem vernünftig konfigurierten Mailclient nicht funktionierendes CSS-Gestrokel, Spammer! Und dass deine „Canadian Pharmacy“, die man in dieser Buchstabensuppe noch erahnen kann, ausgerechnet die russische TLD .ru verwendet, das spricht für sich selbst und natürlich für die „Qualität“ deiner viel billigeren Giftpillen

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.