Schlagwortarchiv „Screenshot“

Danny117

Samstag, 10. Februar 2018

Dies war der Name des Kommentators mit IP-Adresse im Adressbereich einer größeren Universität der Slowakei (die dortige Administration ist bereits unterrichtet und der für die Spam verwendete Rechner war nicht mit Schadsoftware befallen – mal schauen, ob der stinkende, asoziale Spammer auch noch so doof war, sich mit seiner Benutzerkennung anzumelden und jetzt wegen des kriminellen Missbrauchs von Universitäts-Infrastruktur vor seiner Exmatrikulation steht), der den folgenden Kommentar hier auf Unser täglich Spam veröffentlichen wollte, aber aus inhaltlichen Gründen am Spamfilter scheiterte:

Hallo,
Entschuldigung für mein Deutsch. Es ist nicht schwer Geld zu verdienen. Ich weiß, wie es geht. Ich habe lange nach Wegen und Lösungen gesucht. Und da war nicht viel für mich. Ich habe manchmal sehr viel ausprobiert. Aber jetzt habe ich einen Ausweg:
Geld verdienen hier !! KLICKEN
http://bit.ly/earn-MONEY

Ansonsten hat er es gut geschrieben. Ich teile immer noch Gitter.

Mögest du bald noch mehr Gitter teilen!

Oh, über Bitly gekürzt. Mal schauen, wo es hingeht:

$ lynx -mime_header http://bit.ly/earn-MONEY | grep ^Location
Location: http://www.hitcpm.com/watch?key=e3b34fba83d114eb546dd93593e44086
$ _

Die Angabe in key dürfte eine Affiliate-ID sein, mit der sich der Spammer seine spammigen Groschen verdienen will.

Ab jetzt geht es in Javascript weiter, und in was für Javascript!

$ lynx -mime_header http://www.hitcpm.com/watch?key=e3b34fba83d114eb546dd93593e44086
HTTP/1.1 200 OK
Server: nginx/1.12.1
Date: Sat, 10 Feb 2018 12:27:35 GMT
Content-Type: text/html
Content-Length: 2763
Connection: close
P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: u_pl=14293160; expires=Sun, 11 Feb 2018 12:27:35 GMT
Set-Cookie: ain=eyJhbGciOiJIUzI1NiJ9.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.NqKLV0rSpmzneFVZ6QY7hpH6SAEG3nynhgb5UnyySPI; expires=Sat, 10 Feb 2018 12:28:35 GMT
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Cache-Control: no-cache
Strict-Transport-Security: max-age=0; includeSubdomains

<html>
<head>
<meta charset="utf-8" />
</head>
<body>

<form action="/watch" method="get" id="submit-form">
            <input type="hidden" name="shu" value="53c60d797f17d488b80da88ae2ad3759"/>
            <input type="hidden" name="pst" value="1518265715"/>
            <input type="hidden" name="rmtc" value="t"/>
            <input type="hidden" name="uuid" value=""/>
            <input type="hidden" name="pii" value=""/>
            <input type="hidden" name="in" value=""/><input type="hidden" name="key" value="e3b34fba83d114eb546dd93593e44086"/></form>
<script type="text/javascript">
             try{
	    if (window.opener !=null){
	      if (window.opener.opener !=null){
	        window.opener.opener = null;
	      }
	      window.opener = null;
	    }
	    if (parent.window.opener != null){
	      parent.window.opener = null;
	    }
	  }
	  catch(_e){}
            function now() {
                try {
                    return Date.now();
                } catch (ex) {
                    return (new Date()).getTime();
                }
            }

            function set(name, value) {
                document.forms[ 0 ][ "" + name ].value = value;
            }

            function submit(incognito) {
                set("in", incognito);
                document.forms[0].submit();
            }

            function redirect() { submit("false"); }

            var date = new Date(now() + 15 * 1000),
                cookies = document.cookie,
                start = cookies.indexOf("uid_id2="),
                isPopunder = true;

            document.cookie = "cjs=t; path=/; expires=" + date.toUTCString();
            isPopunder && window !== top && set("pii", "true");

            if (start === 0 || (start > 0 && (cookies.charAt(start - 1) === ';' || cookies.charAt(start - 1) === ' '))) {
                var finish = cookies.indexOf(';', start);
                set("uuid", cookies.substring(start + 8, finish === -1 ? void 0 : finish));
                redirect();
            } else {
                try {
                    var request = new XMLHttpRequest(),
                        timeout = setTimeout(function() {request.abort();}, 1000);
                    request.withCredentials = true;
                    request.open("GET", "//r.remarketingpixel.com/stats");

                    request.onload = function() {
                        clearTimeout(timeout);
                        set("uuid", request.responseText);
                        redirect();
                    };
                    request.onerror = request.onabort = redirect;
                    request.send();
                } catch (error) {
                    redirect();
                }
            }</script>
</body></html>
$ _

😯

So kryptisch muss man eine Weiterleitung erst einmal formulieren können. Hier hat jemand ganz große Sorge, dass andere Menschen mit einfachen Hilfsmitteln analysieren können, wo die Reise hingeht, und er hat einiges an Hirn dafür aufgewendet, eine solche Analyse zu erschweren. Warum? Na, weil er genau weiß, wie sich Spam auf die Reputation auswirkt. Ein HTML-Formular voller unsichtbarer Felder, mit dem ein HTTP-GET durchgeführt wird – da könnte man auch einfach GET-Parameter an eine URI hängen. Und dieses Formular wird mit vorsätzlich verwirrenden Javascript befüllt und abgesendet.

Ich kapituliere! Es wird sehr aufwändig, jetzt an der Kommanodzeile weiterzumachen. Aber ich kapituliere nicht vollständig, denn eigens für solche Fälle habe ich eine mir virtuelle Maschine aufgesetzt, deren Integrität ich im Gegensatz zu meinem Arbeitsrechner bedenkenlos aufs Spiel setzen kann. Und da kann ich es auch mit dem Webbrowser machen.

Und, wie verdient unser Spammerchen jetzt sein Geld?

Aha, mit Affiliate-Spam für Dating-Betrug verdient er sein Geld. Wie er allerdings auf die Idee kommt, dass naive Klickopfer seiner Kommentarspam sofort von Geldverdienen auf den Austausch von Körperflüssigkeiten umschalten können, bleibt ein bisschen rätselhaft. Vermutlich spiegelt sich hier die bizarre geistige Welt des Spammers, deren Assoziationsketten für mich nicht leicht nachvollziehbar sind. 😀

$30,000 every month or more…

Donnerstag, 8. Februar 2018

Hi,

Das ist mal wieder genau mein Name.

How does $30,000 every month sound?

Ehrlich gesagt, Spammer: Es klingt bei Weitem nicht so gut wie die Million britische Pfund, die ich heute in einer dieser obskuren Lotterien gewonnen habe, für die man niemals ein Los kaufen muss.

Well that’s exactly what you will earn if you watch
this incredible video.

Aha, du richtest dich an Menschen, die es nicht so mit dem Lesen haben und deshalb lieber ein Video in ihrem Leben rumquasseln lassen wollen.

It’s totally free, just click below to get going…

Toll, dass es auch noch gratis ist, in deine Spam zu klicken und dein Video zu gucken. Nein, nicht nur gratis, sondern völlig gratis. Ich dachte schon, da klebte ein Münzeinwurf auf deiner Website.

==>> http://rebrand.ly/cryptocodex

Dass ihr Spammer aber auch nie eure Links direkt setzen könnt, weil diese Spamfilter immer so schnell lernen!

$ location-cascade http://rebrand.ly/cryptocodex
     1	http://clickmybank.com/Crytocoin/click.php?id=codex
     2	http://trulix.co/johanix/724061847597028
     3	https://cryptovippro.com/?p=331525324934800&p1=1501&p2=johanix&p3=&p4=
$ _

Aber immerhin sind es heute nur drei Weiterleitungen, bis man am „Ziel“ ist, also auf einer Website in der Domain cryptovippro (punkt) com. Dort gibt es eine weitere Variante des zurzeit täglich nervenden Bitcoin-Reichwerd-Beschisses, diesmal unter dem lustigen Namen Crypto VIP Club – als ob man ein „äußerst wichtige Person“, ein „VIP“ sei, wenn man Spam empfängt. Die vorsätzlich irreführende Website sieht so aus:

Warum diese geldbringenden Weihnachtsmänner des Posteinganges spammen müssen? Warum sie nicht einfach ihr angepriesenes Programm starten, sich zurücklehnen und sich darüber freuen, dass jede Woche 17.000 Dollar aus der Internetleitung in die Wohnung fluten? Es liegt daran, dass ihre hellsehende, kursvoraussagende Software nicht funktioniert. Deshalb kassieren sie lieber Affiliate-Geld von abzockerischen bis betrügerischen Bitcoin-Dienstleistern, denen sie neue Kunden zuschieben. Die vollmundigen Behauptungen aus der dummen Spam, dass jedes frisch lobotomierte Kaninchen…

Zero experience or expertise required. This is INSANE!

…ohne Wissen und Können reich werden kann, sind in der Tat ein bisschen mehr als nur gaga, was auch jedem Menschen durchschnittlicher Lebenserfahrung sofort klar sein sollte.

Die einzigen, die bei dieser Nummer Geld machen, sind die offen illegal vorgehenden Spammer und diejenigen, die bei dieser Nummer noch mehr Geld machen, sind die abzockerischen bis betrügerischen Bitcoin-Dienstleister, die von Spammern angeworbene, leichtgläubige Menschen ausnehmen wie die Weihnachtsgänse. Niemand, der darauf reinfällt, hat einen Gewinn gemacht.

What are you waiting for?

Ehrlich gesagt, Spammer: Ich warte auf den Tag, an dem du erfreulich reglos im Sand liegst und verfaulst.

Thank me later,
Rebecca Hatamura

Du kannst mich auch mal!

Copy and paste here >>>>> http://rebrand.ly/cryptocodex

Klar, der Spammer muss davon ausgehen, dass die paar Leute, die auf so etwas reinfallen könnten, nicht wissen, wofür diese Rollbalken an den Fenstern da sind und bringt deshalb seinen Link nochmal.

5635 S. Libaong Rd., Boise, Idaho , 83704, USA

Diese Anschrift kann mit Google Maps nicht gefunden werden. Kann ja mal passieren. Wir kennen das ja alle, dass man seine Anschrift versehentlich falsch angibt. Hauptsache, das mit dem Geld ist richtig.

You may unsubscribe or change your contact details at any time.
Unsubscribe Here!!

Wer noch mehr davon haben will, kann einfach dem Spammer mitteilen, dass die Spam angekommen ist. Der Erfolg ist messbar. Dreißig bis fünfzig dumme Spams am Tag.

Gewinnen Sie ein Volkswagen Polo

Mittwoch, 31. Januar 2018

Mit sauberem Dieselmotor und Affenvergaser? Da bin ich aber ganz heiß drauf!

Aber den bitteren Spaß mal beiseite: Natürlich hat die Volkswagen AG mit dieser Spam nichts zu tun. Die Marke wird hier von Spammern missbraucht und dadurch in den kriminellen Dreck gezogen, weil sie immer noch einen besseren Eindruck hinterlässt als ein asozial spammender Halunke.

Wird diese E-Mail nicht ordnungsgemäß angezeigt? Hier klicken!

Nett, dass der Spammer- und Reklameheini-Sprachstummel „Click here“ schon drinsteht, bevor es auch nur ein einziges Wort eigentlichen Text gibt, das beschleunigt das Aussortieren erheblich.

Klicken und gewinnen!

Natürlich hängt eine eindeutige ID am Link. Wer darauf klickt, hat also schon gewonnen – nachdem den Spammern mitgeteilt wurde, dass die Spam gelesen und sogar beklickt wird, bekommt man jeden verdammten Tag ein ganzes Postfach davon voll. Diese Mail ging übrigens an eine…

Hallo gammelfleisch@tamagothi.de,

…Mailadresse, die mit einem Havester-Skript im Web eingesammelt wurde¹. Jede Adresse, die sich irgendwo im Web finden lässt, kann diesen Müll bekommen. Wer dumm genug ist, der sagt deshalb…

Dies ist Ihr Glückstag.

…dass er heute einen Glückstag hat. Weil er Spam bekommt. „Ich habe ja so ein Glück, dass ich Spam bekomme“. Und morgen freut er sich darüber, dass er Krebs hat. 😈

Wir freuen uns Ihnen mit zu teilen dass Sie einer von 10 ausgewählten Nutzern aus Ihrer Region sind.

Weil an den Mailadressen immer so schöne Postleitzahlen hängen, wissen die Spammer ganz genau, wie viele Menschen „aus meiner Region“ sie vollspammen. (Die wissen nicht einmal meinen Namen.)

Holen Sie sich heute Ihre Volkswagen Polo!

Nur, um klarzumachen, wie „zielgruppengerecht“ diese Streumunition von schwer kriminellen Zeitgenossen ist: Ich habe nicht einmal einen Führerschein.

Und jetzt? Bestätigen Sie, dass Sie ein Gewinner sind und klicken Sie auf Gewinne.
GEWINNE!

Immerhin, einmal hat der Spammer den Sprachstummel „Click here“ vermieden, aber sein Ersatztext klingt genau so bescheuert.

Mit freundlichen Grüßen,
Anna Hoffmann
Prizesaints

So so, Preisheilige…

Click here to report this message as unsolicited or contact elastic.ads@bulletmail.org

Möchten Sie diese E-Mails nicht erhalten? Klicken Sie hier

Wer noch viel mehr von diesem geistverachtenden Müll haben möchte, braucht nur reinzuklicken. Das sind Spammer, die hören nicht mit dem Spammen auf, sondern spammen. Die pflastern jede Mailadresse zu, die sie irgendwo finden können, und wenn dann jemand mit einem Klick mitteilt, dass die Spam auch gelesen und beklickt wird, dann wird richtig gespammt.

Der Link führt nach der spamüblichen Tracking- und Weiterleitungskaskade zur Website in der Domain car (punkt) prizes4you (punkt) win, die…

$ whois -H prizes4you.win | grep WHOIS
   Registrar WHOIS Server: whois.namecheap.com
>>> Last update of WHOIS database: 2018-01-31T12:32:50Z <<<
$ whois -h whois.namecheap.com prizes4you.win | grep ^Registrant | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
$ _

…wie bei spammenden Verbrechern üblich über einen Dienstleister aus dem sonnigen Panama völlig anonym betrieben wird. Wäre ja schade fürs Geschäft, wenns Handschellen und vergitterte Fenster gäbe, da bleibt man besser im Dunkel.

Dort gibt es eine impressumslose Website, auf der leichtgläubige Menschen drei „sehr schwierige“ Fragen beantworten müssen, um am Gewinnspiel teilnehmen zu können:

Gewinnen Sie ein Volkswagen Polo Im wert von 13.000 Euro -- Dieses Angebot ist gültig bis zum: 31-01-2018. Benatworten Sie bitte die 3 Fragen unten um zu gewinnen: SIND SIE MANN ODER FRAU? [MANN] [FRAU]

Gewinnen Sie ein Volkswagen Polo Im wert von 13.000 Euro -- Dieses Angebot ist gültig bis zum: 31-01-2018. Benatworten Sie bitte die 3 Fragen unten um zu gewinnen: BESITZEN SIE EIN AUTO? [JA] [NEIN]

Gewinnen Sie ein Volkswagen Polo Im wert von 13.000 Euro -- Dieses Angebot ist gültig bis zum: 31-01-2018. Benatworten Sie bitte die 3 Fragen unten um zu gewinnen: HATTEN SIE JEMALS EINEN VOLKSWAGEN? [JA] [NEIN]

Es ist natürlich völlig gleichgültig, was man auf diese drei Fragen antwortet, denn anschließend gibt es eine Weiterleitung zu einer impressumslosen Webseite in der Domain play (punkt) prizesaints (punkt) com, die natürlich…

$ whois -H prizesaints.com | grep WHOIS   
   Registrar WHOIS Server: whois.namecheap.com
$ whois -h whois.namecheap.com prizesaints.com | grep ^Registrant | sed 5q
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411 
Registrant City: Panama
Registrant State/Province: Panama
$

…ebenfalls über den bei Spammern hochbeliebten Dienstleister aus dem sonnigen Panama völlig anonym betrieben wird. Auf dieser Website irgendwelcher völlig anonym bleibender Hanseln bekommt man dann das folgende „Spiel“ präsentiert:

Unter dem Druck einer wegtickenden Uhr (und damit eines entschwindenden Autos) soll man also eine Telefonnummer (hier unkenntlich gemacht) anrufen und bloß dranbleiben, sonst gibts keinen Gewinn. Am Telefon bekommt man dann irgendwann – man soll ja bloß dranbleiben – einen hochgeheimen und einzigartigen Gewinncode mitgeteilt, der dann eingegeben werden soll. Dabei wurde nicht einmal an eine TLS-Verschlüsselung der Website gedacht. Vermutlich darf man in einem dritten Schritt noch einen umfassenden Datenstriptease vor den Spammern machen, damit sie auch noch Adressdaten verkaufen können, aber das habe ich nicht ausprobiert, denn ich habe erstmal geschaut, was da unten in einem lesefeindlichen Augenpulver-Schriftgrad angegeben wurde (Anmerkungen in eckigen Klammern von mir) und danach vom Weitermachen abgesehen:

Der Anruf kostet Sie 1.99€ pro Minute [!!!], zusätzlich zu Ihren eigenen Anbieterkoste [sic!]. Das spiel [sic!] wird von der Prizesaints [sic!], vom 31/12/2017 bis zum 05/03/2018 (Einsendeschluss) veranstaltet. Hören Sie sich die Fragen an und beantworten Sie diese mit den Ziffern 1,2, 3 oder 4 auf Ihrem Telefon. Jeder Teilnehmer sammelt 100 Punkte pro korrekter Antwort. Sie können den Service [sic!] jederzeit stoppen, indem Sie die Telefon-Verbindung unterbrechen [Das ist ja ganz was Neues, dass man auch auflegen kann!]. Nach jedem Monat werden Gutscheine, an die Teilnehmer verliehen [sic!], welche die höchste Punktzahl in einem einzigen Anruf erhalten haben [sic!]. Die Gewinner werden innerhalb von 4 Wochen nach Einsendeschluss von Prizesaints per Losentscheid ermittelt und per E-Mail oder per Telefon benachrichtigt. Teilnehmen kann jede volljährige Person mit ständigem Wohnsitz in Deutschland über das spielformular [sic!] auf dieser spielseite [sic!]. Mitarbeiter von Prizesaints sind von der Teilnahme ausgeschlossen. Jede Person darf nur einmal an diesem spiel [sic!] teilnehmen. Eine Teilnahme über automatisierte Massenteilnahmeverfahren ist ausgeschlossen. Prizesaints kooperiert, fördert oder wirbt nicht für einer [sic!] der gelisteten Produkte oder Händler. Warenzeichen und Logo ist Eigentum den rechtmäßigen Inhabern [sic! Ja, wem sonst soll es gehören…]. Gewinne werden kostenfrei an den angegebenen Wohnsitz in Deutschland zugeschickt.

😯

Wie gesagt: Wer darauf reingefallen ist und naiv vor dieser Seite steht, hat ein Auto und eine wegtickende Uhr vor Augen und wird eher weniger geneigt sein, diesen Text zu lesen oder darüber nachzudenken.

Wenn die Spammer es schaffen, einen Anrufer nur fünf Minuten an der Strippe zu halten (auch mit Ansagetexten wie „Zurzeit sind alle Leitungen belegt, bitte haben Sie einen Moment Geduld), haben sie ihm schon zehn Euro aus der Tasche gezogen.

Ich würde mich nicht darüber wundern, wenn das gesamte Prozedere – natürlich für die Spammer kostensparend und automatisch mit einer dafür angepassten freien Telefoniesoftware durchgeführt – von sinnlosen Erläuterungen vor der ersten Frage bis hin zur endgültigen Durchsage des „Gewinncodes“ mit weiteren sinnlosen Erläuterungen über eine Viertelstunde dauerte, was schon einmal bedeutete, dass man für ein Versprechen auf die Chance eines Gewinnes dreißig Euro „bequem“ über seine Telefonrechnung bezahlt – natürlich zuzüglich eventueller Verbindungskosten an die Telefongesellschaft. Schaffen es die preisheiligen Spammer durch reichliche Spam – einschließlich Spam auf Social-Media-Sites und einem „empfiehl dieses tolle Gewinnspiel doch deinen Freunden, unser lieber Hilfsspammer“ – dass jeden Tag nur einhundert Leute darauf hereinfallen und sich das Geld aus der Tasche ziehen lassen, kommen sie mit dieser miesen spambetriebenen Abzocknummer an ein „bedingungsloses Grundeinkommen“ von dreitausend Euro pro Tag, das sie für ihren verfeinerten Lebensstil ausgeben können. Natürlich ist es durchaus denkbar, dass die naiven Abzockopfer länger als eine Viertelstunde an der Strippe gehalten werden und dass es folglich noch mehr bescheißerischen Reibach für die Spammer gibt. Auch ist es durchaus denkbar, dass man nach der Eingabe des „Gewinncodes“ noch einmal kurz anrufen „darf“, um auch gewinnen zu „können“. Ich habe es mir ja nicht weiter angeschaut… aus Gründen, die hoffentlich klar genug geworden sind.

Und, hat man wenigstens wirklich eine Chance, bei diesem „Spiel“ ein Auto zu gewinnen?

Ich will es mal so sagen: Das sind impressumslose Webseiten in anonym betriebenen Domains, auf denen ein mit illegaler Spam beworbenes „Gewinnspiel“ läuft, das völlig unkontrolliert und für die Teilnehmer unkontrollierbar durchgeführt wird. Wenn es kein Auto gibt, merkt es niemand. Von daher glaube ich sagen zu dürfen, dass es wohl bessere Verwendungen für das Geld gibt, das man sich spart, wenn man nicht darauf hereinfällt. Wem wirklich nichts besseres einfällt, was er mit dreißig gesparten Euro anfangen kann, der kann mir ja einen Euro schenken. Ich freue mich drüber. 😉

So, und jetzt noch schnell die Telefonnummer an die Bundesnetzagentur melden, und dann genug der Spam für heute.

¹Die zugespammte Mailadresse wurde von mir für das Zitat geändert, aber sie wurde klar mit einem Harvester eingesammelt. Die vom Spammer verwendete Mailadresse wird für menschliche Leser gar nicht sichtbar.

Sparkasse.de | Sicherheitsbenachrichtgung

Freitag, 26. Januar 2018

Aber ich bin doch gar nicht bei der Sparkasse… natürlich kommt diese Mail nicht von der Sparkasse. Es ist eine Phishing-Spam.

Von: „Service Team“ <info@support.com>

Der gefälschte Absender sieht mal wieder gar nicht sparkassig aus.

Sehr geehrte Sparkassen Kunden,

Genau mein Name!

aufgrund unserer neuen Nutzungsbedingungen ist eine Aktualisierung Ihrer Daten notwendig.

Was, Banken haben Nutzungsbedingungen? Ungefähr so wie Facebook? Und keine AGB? Und diese Bedingungsen werden ohne Mitteilung einfach so geändert, damit alle möglichen sehr geehrten Kunden jetzt in eine Spam klicken müssen.

Mit diesem Schritt möchten wir Ihre Sicherheit als Sparkassen Kunde erhöhen und Ihr Konto dadurch vor Missbrauchfällen schützen.

Aha! Trotzdem sind eure geänderten AGB (oder „Nutzungsbedingungen“) schlicht ungültig, wenn ihr sie nicht vorher mitgeteilt habt.

„Missbrauchfällen“ würde in einer richtigen Mail eines echten Kreditinstitutes niemals stehen. Das Deppen Leer Zeichen in „Sparkassen Kunde“ kann leider sehr wohl passieren… 🙁

Dazu bitten wir Sie die Anweisungen auf der verlinkten Sparkassen Seite zu folgen, damit Sie schnellstmöglich von der erhöhten Sicherheit profitieren können.

Genau, wenn man in eine Mail klickt, dann erzeugt das hokus pokus Sicherheit. Warum? Weil es in der Mail steht. Aber nur, wenn man „die Anweisungen folgt“.

Übrigens ist das genaue Gegenteil davon wahr: Wer sich niemals dazu hinreißen lässt, in eine E-Mail zu klicken, kann auf keine der häufigen Formen von Internetkriminalität reinfallen. Das spart viel Geld und Nerven. Deshalb sollte sich jeder Mensch angewöhnen, niemals in eine E-Mail zu klicken.

In diesem Fall könnte einfach die Sparkassen-Website aufgerufen werden. Nach einer gewohnten und problemlosen Anmeldung stellt man dabei ganz von allein fest, dass die behaupteten Probleme in der Phishing-Spam nicht existieren, denn sonst würde man ja auf der Website der Sparkasse darauf hingewiesen. Damit es auch wirklich einfach und bequem ist, Websites direkt aufzurufen, haben alle Webbrowser seit dem Mosaic Netscape 0.9 Beta aus dem Jahr 1994 eine praktische und leicht zu benutzende Lesezeichenfunktion.

Aktualisieren Sie bitte jetzt Ihre Daten, um eine Sperrung Ihres Kontos zu verhindern.

An meinen Daten hat sich doch gar nichts verändert… 😀

Eine Entsperrung kann nur gebührenpflichtig von einem Sachbearbeiter erledigt werden.

Aha, eine Nötigung versucht diese „Spaßkasse“ aus der wirren Phantasie eines Verbrechers auch noch.

Klicken Sie auf den unten stehenden Link, um die Aktualisierung zu starten.
Zur Aktualisierung

Der Link geht natürlich nicht zur Sparkasse, sondern zum URL-Kürzer Bitly. Und von dort dann auf einen anderen Kürzer. Und dann wird noch einige Male innerhalb der wenig Vertrauen erweckenden Domain www (punkt) sparkasse (punkt) de (strich) vorgangsnummer (strich) kda5 (punkt) bid, oder, um es genau zu sagen:

$ location-cascade http://bit.ly/2nb1Xfj
     1	http://shortennn.bid/?l=dm3gYLUy1
     2	http://www.sparkasse.de-vorgangsnummer-kda5.bid/portal/spar/kasse/
     3	https://www.sparkasse.de-vorgangsnummer-kda5.bid/portal/spar/kasse/
     4	/881388/D3Fwx1lgzSiGWer/09YXNC2nuafAFIb/423979446617/x5mU1oVyPWT8diq/n5Kt7xz6J0brLXk/
$ _

Dort gibt es dann eine Website, die mit einem bisschen Design so tut, als sei sie von der Sparkasse:

Da helfen alle aus der Originalseite leicht kopierten Schlösschen und das ganze Gefasel vom „sicheren Anmelden“ nichts: Was immer man hier an Daten eingibt, geht direkt an Kriminelle – und es wird im nächsten Schritt noch viel mehr. Übrigens ist die Verbindung TLS-verschlüsselt, so dass der Webbrowser auch noch ein Schlösschen anzeigt. Immerhin: So kommt niemand außer den Kriminellen an die gephishten Daten. 😈

Wir bedanken uns im Voraus für Ihr Verständnis.

Danke für nichts!

Mit freundlichen Grüßen,
Ihre Sparkasse

Freundlich wie ein Fausthieb
Dein Phishing-Spammer

Diese Spam aus dem täglichen Wahnsinn des Posteinganges ist ein Zustecksel meines Lesers M.S.

Hör auf zu arbeiten! Erhalte 500 euro und fang an zu verdienen.

Mittwoch, 24. Januar 2018

Musst du verstehen: Geld geht nur mit illegaler und asozialer Spam weg, sonst interessiert sich ja niemand dafür.

Hallo!

Genau mein Name!

Sie haben das Recht, anzunehmen, dass man nur durch schwere und harte Arbeit verdienen kann. Sie dürfen denken, dass das ganze Geld der Welt seit Langem zwischen den Superreichen aufgeteilt ist.

Nichts davon nehme ich an. Verdienen kann man am besten, wenn man Geld hat. Viel Geld. Mehr, als sich jemals erarbeiten ließe. Aber der Absender dieser tollen Spam richtet sich ja eher an Leute, die eher nicht so viel davon haben. Die glauben vielleicht auch daran, dass Geld mit der Spam kommt. Oder aus der Steckdose.

Ja, im Internet gibt es wenige funktionierende Verdienstmöglichkeiten, aber sie sind immer noch da. Es ist wichtig, als erstes zuzugreifen. Die Zeit arbeitet gegen die Schwachen und Unsicheren. Auch jetzt bleibt nur noch wenig Zeit, um 500 euro aufs Konto zu bekommen.

Oder auch aus diesem Neulanddingens, das sie gar nicht richtig verstehen. Aber schnell machen muss man. Die Scheine haben Flügel. Nicht nachdenken! Das ist Schwäche und Unsicherheit. Einfach ganz schnell daran glauben, dass ein Typ, der ganz tolle Geldmachmethoden kennt, keine bessere Methode weiß, diese bekannt zu machen, als ausgerechnet die gleiche illegale und asoziale Spam, die sonst nur von den schäbigsten Kriminellen verwendet wird. Wer dem glaubt, der zeigt in dieser Haltung folglich Stärke und Sicherheit.

Spielen Sie nach den neuen Regeln und erhalten Sie Ihre Belohnung ohne Risiko! Beachten Sie nicht die Reaktionen der Anderen.

Deshalb: Die Spam macht wie der Mai alles neu. Gibt winke winke Pinke-Pinke ganz ohne Risiko. Bloß nicht auf andere Leute hören, die eventuell Bedenken äußern könnten! Oder, um es mit der FDP zu sagen: Digital first, Bedenken second.

Wir haben ein eigenes Projekt geschaffen, um reich und frei zu werden. Kommen Sie an unsere Seite und nehmen Sie, soviel Sie tragen können.

http://cartechnology.at/de/

Der Absender hat eine Gelddruckmaschine im Internet, da muss man nur noch die schweren Geldbündel raustragen. Reichtum und Freiheit. Irgendwie riechen solche Versprechungen vertraut…

Wir verlangen keine sofortigen Zinsen. Natürlich werden Sie auch zahlen müssen, aber erst nachdem, Sie sich Ihre ersten 500euro verdient haben. Bis dahin dürfen Sie den Account gratis nutzen und ihr verdientes Geld bereits nach 24 Stunden abheben.

Dem Absender ist es egal, wie viel Geld seine Opfer verlieren. Der lebt nicht von seiner eigenen Methode, was man ja allein daran bemerkt, dass er noch spammen muss. Der lebt davon, dass er Affiliate-Geld dafür bekommt, dass er irgendwelchen windigen Dienstleistern neue Kunden zutreibt.

Haben Sie keine Angst. Alles unverbindlich und ohne Knebelverträge. Wenn Sie zögern, wird ein beherzterer Mensch Ihren Zugriff erhalten.

Also los, nicht gleich in die Hose machen! Und schnell schnell, nicht gleich mit dem Denken anfangen! Sonst kriegen die fünfhundert Euro, die der Spammer bei seinen ehrlichen Augen und seiner gefälschten Absenderadresse verspricht, flattrige Flüglein und entfleuchen zu jemanden, der es noch weniger mit dem Nachdenken hat.

http://cartechnology.at/de/

Der Spammer ist sich natürlich bewusst darüber, dass die Mitglieder der Zielgruppe seiner wenig einfallsreichen Beschissnummer wegen ihrer besonderen intellektuellen Leidensfäh… ähm… Leistungsfähigkeit nicht dazu imstande sind, jetzt den Text wieder zurückzuscrollen, und deshalb bringt er den Link lieber noch einmal. Wäre ja schade für den Ganoven, wenn die Dummen und Naiven ausgerechnet am Klicken scheiterten!

Wir warten. Arbeitsgruppe „Das Geheimnis des Geldes“

Natürlich handelt es sich hier mal wieder um ein ganz geheimes Geheimgeheimnis, das in massenhafter und natürlich unverschlüsselter Spam-E-Mail offen wie eine Postkarte mitgeteilt wird – und auf einer ebenfalls aus der gesamten Welt aufrufbaren Website für jeden Interessierten einsichtig ist. Das ist fast so geheim wie die Angebote eines Marktschreiers.

Ach ja, die Website: Natürlich ist der Link eine Weiterleitung, es handelt sich ja um Spam. Es geht zur Website in der Domain www (punkt) geld (strich) geheimnis (punkt) de.

Auf dieser Website steht weder etwas von Bitcoin noch etwas von Binären Optionen – zwei Wörter, die in jeder Suchmaschine eine große Kollektion an Warnungen hervorbringen, die ein Opfer vielleicht doch noch nachdenklich machen könnten – und überhaupt nichts Substanzielles zur Methode. Stattdessen gibt es dort, ganz wie in diesem Dummenfang üblich, ein Video, in dem zu schwerer, dramatischer Musik ein Pastor von wundersamen Brotvermehrungen… ähm… ein auf seriös machender Dampfplauderer von wundersamen Geldvermehrungen faselt. Denn sonst würde man ja Analfabeten ausschließen, und das wäre schlecht fürs Geschäft. Die Seite sieht so aus:

Und nein, es wird nichts zur Methode erklärt. Auch im Video nicht. Es wird nur Geld versprochen, das mit irgendeiner nicht näher beschriebenen Wundertechnik durch ein Computerprogramm an der Börse entsteht. Hokus Pokus Internet.

Wers glaubt, wird zwar nicht selig, aber hat dafür hinterher noch weniger Geld als vorher.

Potenzpillen mit der Lieferung

Mittwoch, 24. Januar 2018

Ich will meine Pillen aber vor der Lieferung!

Das ist mal wieder eine Spam ohne Text, in der eine verlinkte 39,6 KiB große JPEG-Datei die ganze Nachricht transportieren soll und dies unter Hinzufügung eines wenig stilsicher in der Grafik gesetzten Textes folgendermaßen tut:

Auf mich erweckt das Bild ja eher den Eindruck eines Mannes, der die Giftpille des Spammers eingenommen hat und jetzt tot im Bett liegt. Aber wenn alle Glieder steif werden, dann vielleicht auch mal das eine… 😈

Natürlich ist der Link nicht direkt gesetzt, es handelt sich ja um eine Spam. Diesmal ist jedoch jemand mit ganz großer „Könnerschaft“ an die Sache herangegangen, der auf seine Weiterleitungsseite…

$ lynx -mime_header http://medplaya.biz.ua/medplaya15/
HTTP/1.1 200 OK
Date: Wed, 24 Jan 2018 11:45:13 GMT
Server: Apache/2.2.22 (@RELEASE@)
Last-Modified: Mon, 22 Jan 2018 20:58:16 GMT
ETag: "1ffab-288-56363b06cc87b"
Accept-Ranges: bytes
Content-Length: 648
Connection: close
Content-Type: text/html
X-Pad: avoid browser bug

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 164815; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=164815" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://medplaya.biz.ua/medplaya14/"> 
</HEAD><BODY></BODY></HTML>
$ _

…noch ein kostenlos und anonym nutzbares Zählskript von mycounter (punkt) ua eingebettet hat, das als jahrelang bekannter Tracker schon von jedem anständigen Adblocker unschädlich gemacht wird. Die Weiterleitung geht dann auf die nächste Weiterleitung, ebenfalls mit Zählskript, von dort geht es auf die nächste Weiterleitung, ebenfalls mit Zählskript… ach! Ich müsste mir auch für solche HTML-Metatag-Akrobaten aus der Clownsschule des Spameinganges unbedingt mal ein Skriptchen schreiben, um die Weiterleitungen mit geringem Aufwand dokumentieren zu können, aber es gibt einfach zu wenig Idioten, die das so machen, als dass ich dazu eine hinreichende Motivation hätte.

Die humpelnde Reise (im Webbrowser würde jeder Weiterleitungsschritt wegen des hier gewählten Vorgehens eine ganze Sekunde lang dauern) endet jedenfalls in der Domain deutschepharma (punkt) shop, für die es leider keinen bequem abfragbaren WHOIS-Server gibt. Die Abfrage über das Webfrontend erfreut ihre Nutzer mit wirklich scheußlichen CAPTCHAs, um ihnen dann eine Ausgabe zu geben, die zumindest ich und vermutlich jeder andere halbwegs erfahrene Computernutzer lieber leicht filterbar an der Kommandozeile hätte. Das Ergebnis ist jedenfalls nicht überraschend:

[…]
Registrant Name: Super Privacy Service c/o Dynadot
Registrant Street: PO Box 701
Registrant City: San Mateo
Registrant State/Province: CA
Registrant Postal Code: 94401
Registrant Country: US
[…]

„Super Privacy Service“… super, genau das, was so ein Quacksalber braucht!

Diese Domain wird vollständig anonym betrieben, wenn auch zur Abwechslung einmal nicht über den bei Spammern sonst hochbeliebten Dienstleister aus Panama. Da bestellt man doch gleich viel lieber seine Pimmelpillen bei der „Europäischen Apotheke“, die verschreibungspflichtige Arzneien rezeptfrei zu verkaufen proklamiert und somit ganz offen und prall schon in der Überschrift erklärt, dass sie kriminell ist, so dass man sich allein deshalb weitere Recherchen getrost sparen könnte:

Wie üblich in der Spam ist diese „Apotheke“ eher ungeeignet, wenn man ein Medikament gegen Erkältungsbeschwerden benötigt – es gibt nur Lifestyle-Drogen. Oder besser: Imitate von Lifestyle-Drogen. Wer darauf reinfällt und Glück hat, bekommt einfach nur originalgetreu verpackte Tabletten ohne jeden Wirkstoff und ohne schädliche Substanzen und bleibt wenigstens am Leben, wenn er sie einnimmt. Wer weniger Glück hat, hat hinterher neben seinen Potenzproblemen und seinem Geldverlust auch noch eine akute, behandlungsbedürftige Vergiftung.

Diese Spam ist ein Zustecksel meines Lesers H.S.

gammelfleisch@tamagothi.de, Wunder von Schweden

Dienstag, 23. Januar 2018

Vorab: Diese HTML-formatierte Mail kommt nicht von Ikea. Sie hat niemals einen Server von Ikea gesehen. Es ist Spam. Das richtige Ikea würde ja auch…

Von: IKEA Gutschein für… <info@sessiot.com>
Antwort an: IKEA Gutschein für… <news@blueor.online>

…seine eigene Domain für seine Mailadressen verwenden und nicht seinen Absender fälschen. Die Spams kommen natürlich nicht aus Schweden, sondern werden über einen – sicherlich unter Angabe der Daten und Kreditkartennummern anderer Leute, die sich jetzt mit der Polizei auseinandersetzen „dürfen“ – gemieteten Server in Polen versendet.

Diese Mail ging an eine andere Mailadresse – ich habe sie hier im Zitat gegen meine Adresse für die Zustellung von Müll und unseriösen Angeboten ausgetauscht und im Screenshot unkenntlich gemacht.

Die Spam ist zugegebenermaßen recht ansprechend HTML-formatiert und sieht so aus:

Ich vermute mal, beim richtigen Ikea gäbe es jemanden in der Werbeabteilung, der auch Deutsch kann, ohne die vielen peinlichen Fehler zu produzieren; und wenn dort bekannte Ikea-Kunden angesprochen würden, dann käme es nicht zur Anrede als „Liebe Mailadresse“.

Es ist übrigens völlig egal, ob man auf „Ja, Gutschein her“ oder „Nein“ klickt, denn beide Links gehen auf genau die gleiche URI. Die vorgebliche Wahl ist also schon ein Schwindel. Generell ist es niemals eine gute Idee, in eine E-Mail zu klicken. Natürlich ist das kein direkt gesetzter Link, sondern es gibt erstmal ganze zehn Umleitungen auf andere URIs, bevor man auf der betrügerischen Seite in der Domain coupon (strich) jaeger (strich) 3843 (punkt) com landet; eine Domain, die eigentlich klar machen sollte, dass sie nichts mit Ikea zu tun hat. Die Spammer haben diesmal erheblichen Aufwand getrieben, um sicherzustellen, dass nur „richtige Webbrowser“ und nicht etwa irgendwelche frechen Skripte dort landen, damit die Domain nicht so schnell auf sämtlichen Blacklists steht und viele Empfänger vor dem Beschiss geschützt werden. Diese Mühe war vergebens, denn die Domain findet sich bereits jetzt als Spam-Domain auf den einschlägigen Listen:

$ surbl coupon-jaeger-3843.com
coupon-jaeger-3843.com	LISTED: ABUSE
$ _

Freut mich. Es bedeutet aber vermutlich auch, dass diese Spam recht häufig ist. Bitte nicht darauf hereinfallen! Die betrügerische, durch Spam beworbene, von asozialen und illegalen Spammern und ganz sicher nicht von Ikea betriebene Website sieht so aus:

Auf gar keinen Fall irgendwelche Daten (wie Name, Anschrift und Geburtsdatum) dort angeben! Sie landen direkt bei Kriminellen. Eine „Geschenkkarte“ im Wert von 500 Euro gibt es dort nicht. Es ist Spam. Dafür können eventuell eingegebene Daten in kriminellen „Geschäften“ missbraucht werden, was einem leicht mehrere Jahre beschränkter Lebenszeit gründlich verhageln kann.

Betrifft: Endlich sind sie hier

Mittwoch, 17. Januar 2018

Ja, Spammer! Es ist erforderlich, dass man vor dem Betreff noch „Betrifft“ schreibt, aber dafür verschweigt, um was es geht. Katzen im Sack sind sehr beliebt. Vor allem, wenn sie mit einer Spam kommen. Da sagt doch jeder: „Endlich ist sie hier“. 😀

Guten Tag,

Wir schreiben Ihnen aus Valencia, in Ostspanien an der Mittelmeerküste.

Einige von uns bearbeiten unsere Orangenhaine noch immer genau so wie wir es von unseren Eltern und Großeltern gelernt haben. Ohne Pestizide, Wachspolitur oder Kühllagerung. Wir ernten die Orangen im richtigen Augenblick. Ohne Eile.

Man merkt den Unterschied. Und zwar sehr.

Aber wir mögen keine Großhändler und große Nahrungsmittelketten. Sie wollen viel und billig. Wir setzen uns für ein Produkt von höchster Qualität ein, ohne uns durch Spekulation und Konservierungsmittel unter Druck setzen zu lassen.

Unsere Orangen haben eine besondere Süße und schmecken lecker. Sie sind keine Massenware und wir möchten dies beibehalten, um ihre unverwechselbare Qualität zu erhalten, ohne sie zu verderben. Also dachten wir, warum bieten wir sie nicht direkt den Verbrauchern an? Von der Ernte zu Ihnen nach Hause, ohne Zwischenhändler. Daher haben wir NaturValencia.com ins Leben gerufen.

So haben wir darauf hingearbeitet, dass auch Sie in Deutschland unsere 100% natürlichen und frisch geernteten Orangen genießen können (in 2-3 Tagen vom Baum auf den Tisch). Es ist ein hoch gestecktes Ziel und erfordert deutlich mehr Arbeit von uns, aber es ist der einzige Weg, um die Qualität unserer besonderen Orangen zu bewahren, 100% natürlich und frisch geerntet.

Probieren Sie sie und Sie werden den Unterschied bemerken. Ist eine andere Welt!

Bestellen Sie sie in unseren Shop kommen (hier klicken) und erzählen Sie uns, was Sie denken. Wir freuen uns über Ihre Ideen und Ihre Meinung.

Viele Grüße und Danke für Ihre Zeit.

Lola und Vicente (NaturValencia)

Shop-Online: Click Sie Hier
Versandkostenfrei

Übrigens: wenn Sie sehen möchten, wo wir uns befinden, Klicken Sie hier
Unsubscribe News NaturValencia

Ohne weitere Worte. Der „Webshop“ sieht in seiner Kombination aus dem Streben nach gestalterischer Exzellenz und seiner inhaltlichen Dürre übrigens so aus:

Die Frage, wieso der Betreiber dieses Webshops zur Auffassung gelangt ist, dass er sein Obst nur mit illegaler und asozialer Spam (in 2 bis 3 Sekunden vom Spamskript auf den Tisch des Empfängers) loswerden kann, und zwar mit viel und billig davon, möchte ich wegen des in der Bundesrepublik Deutschland geltenden und im Regelfall von der Hamburger Dunkelkammer durchgesetzten, vollumfänglichen Rechtsschutzes für beleidigte Leberwürste nicht mit meinen Mutmaßungen beantworten. Ist wohl eine andere Welt!

Diese sonnig-saftige Spam aus dem täglichen Irrsinn des Posteinganges ist ein Zustecksel meines Lesers L.D., vielen Dank dafür! 😉