Schlagwortarchiv „Screenshot“

Beitragsrückerstattung

Montag, 8. August 2016

Eine Konstante im täglichen Spameingang sind angebliche Versicherungsvergleiche. Allerdings sind die recht miesen und einfallslosen Spams in der Regel keines weiteren Kommentares würdig. Auch die heutige Spam – die übrigens binnen weniger Minuten drei Mal auf die gleiche Mailadresse zugestellt wurde, weil die Spammer noch kein Kind gefunden haben, das ihnen mal erklärt, wie man Dubletten aus dem Datenbestand rausbekommt – ist nichts Besonderes, sondern entspricht dem hirnlosen Standard

Guten Tag Elias ,

Immerhin, der Name stimmt mal.

viele Gesellschaften konnten dank Ihrer Gewinne in 2016 für das aktuelle Jahr die Beiträge senken […]

Was für Gesellschaften sind hier gemeint? Karnevalsvereine? Nun, damit hätte ich nichts zu tun.

[…] – die Kunden dieser Anbieter sparen jeden Monat Geld.

Worum immer es auch geht, es geht um Geld! Und weil der Gedanke an Geld so viele Menschen so dumm macht, dass sie dumm genug sind, in eine Spam zu klicken…

Sie auch? Oder hat Ihre Versicherung die Vorteile nicht an Sie weitergegeben?

http://www.clickserver101.science/[ID entfernt]/

…gibt es hier die Gelegenheit, in eine Spam zu klicken.

Prüfen Sie auf unserer Infoseite, wie fair Ihre Versicherung ist – und was Sie bei anderen Anbietern bezahlen würden.

Auf diese nicht direkt verlinkte „Infoseite“ komme ich gleich noch etwas ausführlicher zurück.

Oft kann Ihr monatlicher Beitrag schnell und einfach gesenkt werden.

Und falls es beim ersten Mal noch nicht geklappt hat (übrigens ist bis jetzt aus dem Text völlig unklar geblieben, um welche Art der Versicherung es geht), kommt der „Trick“ gleich noch mal. Es geht um Geld! Deshalb bitte ganz schnell…

Der Vergleich ist unverbindlich und kostenlos, er dauert nur wenige Minuten.

Vergleichen Sie jetzt:

http://www.clickserver101.science/[ID entfernt]/

…klicki klicki in eine Spam machen!

Mit freundlichen Grüßen,

Angelina Frank
Kundenservice

Freundlich wie eine ausgekippte Mülltonne im Wohnzimmer
Dein Versicherungsvergleich-Spammer

http://www.clickserver101.science/abm/[ID entfernt]/

Egal, wo du klickst, Opfer, du funkst über die eindeutige ID an uns zurück, dass die Spam bei dir angekommen ist und von dir beklickt wird. So etwas wissen wir gern. Wir sind schließlich Spammer.

Die vor kurzem neu eingeführte TLD .science hat natürlich keinen Whois-Dienst¹, so dass ich nicht abfragen kann, welche lustigen Daten sich der Spammer beim Registrieren dieser Domain ausgedacht hat. Zurzeit wird der verwendete Server von einem Düsseldorfer Dienstleister gehostet, dem ich von Herzen wünsche, dass er Vorkasse genommen hat.

Natürlich ist der Server eine reine Weiterleitungsschleuder, schnell aufgebaut und schnell wieder weggeschmissen, wenn er in allen Blacklists dieser Welt bekannt und damit für Spammer unbrauchbar geworden ist. Die Weiterleitung funktioniert auch ohne Angabe der ID aus dem Link und führt immerhin einmal direkt zum Ziel.

$ lynx -mime_header http://www.clickserver101.science/ | sed '/^\s*$/q'
HTTP/1.1 301 Moved Permanently
Date: Mon, 08 Aug 2016 13:52:33 GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.aktuelle-pkv-tarife.com/
Connection: close
Content-Length: 3
Content-Type: text/html; charset=UTF-8

$ _

Die Domain aktuelle (strich) pkv (strich) tarife (punkt) com wurde über einen bei Spammern sehr beliebten Dienstleister aus dem sonnigen Panama anonym registriert:

$ whois aktuelle-pkv-tarife.com | grep '^Registrant'
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 4773CBB0FDA74AB8ABCD72AA9F22675D.PROTECT@WHOISGUARD.COM
$ _

Niemand verstehe mich falsch! Die Verwendung eines Whois-Anonymisierers und die damit verbundene Weigerung, private Daten wie einen Namen, eine Anschrift, eine Telefonnummer und eine Mailadresse für den Zugriff aus der ganzen Welt zu veröffentlichen, kann eine sehr sinnvolle Maßnahme zum Datenschutz sein. Jedem Menschen, der eine Website in einer eigenen Domain betreiben will und der nicht möchte, dass seine persönlichen Daten für jeden kriminellen Missbrauch offenliegen, kann ich die Nutzung derartiger Dienstleister nur wärmstens nahelegen. So etwas ist nicht an sich verdächtig.

Es wird aber sehr verdächtig bei gewerblichen Websites, die sowieso ein Impressum haben müssen. Die Worte „sehr verdächtig“ meinen hier: Es ist immer ein ganz schlechtes Zeichen. Übrigens genau wie Spam. Die ist auch immer ein ganz schlechtes Zeichen. Wer auf seiner gewerblichen Website ein halbwegs ehrliches Geschäft machen will, hat solcherart Mummenschanz nicht nötig.

Wer auf so einer Website dann…

…genügend Daten für einen kriminellen Identitätsmissbrauch eingibt, weil ihm ein Spammer gesagt hat, dass er Geld sparen kann, der lasse alle Hoffnung fahren.

Das Design dieser tollen Betrugsseite ist ja schon etwas älter und der Spammer hat es auch nicht eingesehen, dass man etwas daran ändern sollte. Die Angaben zum Copyright sind in diesem Kontext…

…allerdings ein bisschen realsatirisch und sollten auch weniger gründlichen Lesern klar machen, dass es sich hier um das Machwerk eines Menschen handelt, der sich nicht einmal besonders viel Mühe geben will. Denn wenn der Spammer sich Mühe geben wollte, dann könnte er doch gleich arbeiten gehen. Die dort als stolzer Besitzer des „geistgen Eigentumes“ angegebene Domain tarifvergleich (strich) 2015 (punkt) com existiert inzwischen gar nicht mehr.

Aber dafür, dass diese Seite angeblich seit 2014 existiert…

tarifvergleich-aktuell.com ist ein Angebot von -- Aktuelle PKV-Tarife GmbH -- Rosenstrasse 93 -- 81517 München -- Geschäftsführer: Paul Walter -- Umsatzsteuer-ID: beantragt -- Steuernummer: beantragt -- E-Mail: info@aktuelle-pkv-tarife.com

…zieht sich die Vergabe einer Steuernummer aber ganz schön hin!

Aufmerksame Leser werden sicherlich gemerkt haben, dass hier jetzt schon die zweite Domain steht, die nichts mit der aktuell verwendeten Domain für diesen Beschiss zu tun hat. Denn wenn der Spammer sich Mühe geben würde… ach! Ich wiederhole mich.

Wer die Entwicklung dieser Nummer in den letzten sechseinhalb Jahren verfolgen möchte: Hier auf Unser täglich Spam gibt es ein Schlagwort „Krankenversicherung“ zum bequemen Durchstöbern. Viel Spaß!

¹Ich bin drauf und dran, sämtliche derartigen Top-Level-Domains als sicheres Anzeichen für Spam zu betrachten. Ich sehe sie zurzeit ausschließlich in Spam. Die einzigen, die einen entsprechenden Bedarf an neuen Domains wirklich gehabt zu haben scheinen, waren Kriminelle.

Neues Tan-Verfahren!

Freitag, 22. Juli 2016

Der Absender dieser Spam (die ihren Empfänger übrigens mit Namen anspricht) ist gefälscht. Sie kommt nicht von der ING-DiBA AG, sondern von Kriminellen, die ihre Opfer dazu bringen wollen, Zugangsdaten für ihr Konto herauszurücken. Es ist „gutes altes Phishing“, wie ich es inzwischen eher selten sehe, und das macht es in meinen Augen eher noch etwas gefährlicher. Die HTML-formatierte Spam sieht so aus:

Natürlich geht sie auch an Menschen, die keine Kunden der ING-DiBa sind. Es ist Schrotmunition. Nicht darauf reinfallen! Und wer schon darauf reingefallen ist: Sofort Kontakt mit der Bank aufnehmen, um den Schaden einzugrenzen!

Von: ING-DiBa <info (at) ing (strich) diba (punkt) nl>

Wie schon gesagt: Dieser Absender ist gefälscht. Es ist kinderleicht, den Absender einer E-Mail zu fälschen. Man kann einfach den Absender hineinschreiben, den man haben möchte. Deshalb sollte man niemals eine E-Mail nur wegen ihres Absenders für vertrauenswürdig halten¹.

Sehr geehrter Herr xxxxxxx,

Und jetzt, nachdem die Spammer nach teilweise verheerenden Datenschutzvorfällen zu sehr vielen Mailadressen auch einen Namen haben, ist auch eine persönliche Anrede mit richtigem Vornamen und Nachnamen kein sicheres Zeichen mehr, dass man es nicht mit einer Spam zu tun hat.

Nach dem BSI-Standard 100-1, [Komma zu viel] sind wir dazu verpflichtet [Komma fehlt] alte, unsichere Technologien durch aktuelle Standards zu ersetzen [„Standards“ und „Technologien“ sind zwei semantisch sehr verschiedene Dinge, so dass diese „Verpflichtung“ objektiv sinnlos ist]. Aus diesem Grunde löst das neue photoTAN-Verfahren das teilweise noch im Einsatz befindliche, veraltete iTAN-Verfahren ab.

Immerhin, den referenzierten Standard gibt es wirklich. Er hat zwar ein etwas anderes Thema, aber wer kurz beim Bundesamt für Sicherheit in der Informationstechnik nachschaut, was das für ein Standard ist, statt das unverstandene Wort zu überfliegen und sich darüber zu freuen, dass er es nicht verstehen muss, der ist eh viel zu intelligent, um auf so einen plumpen Betrug hereinzufallen.

Über den unten angezeigten Button gelangen Sie direkt zur Legitimation Ihrer Persönliche Daten [sic!] und der Entwertung Ihrer aktuellen iTAN-Liste [sic!]. Nach erfolgreicher Legitimation Ihrer persönlichen Daten und der Entwertung ihrer iTAN-Listen erhalten sie automatisch von uns einen für das neue TAN-Verfahren benötigten Legitimations-PIN kostenlos auf dem Postweg zugesandt.

Zur Legitimation

So so, „Entwertung ihrer aktuellen TAN-Liste“… kann man sich gar nicht selbst ausdenken, diesen Bullshit. Ich vermute mal, dass die Opfer Gelegenheit bekamen, die komplette TAN-Liste abzutippen oder ein Foto davon einzusenden – die in der Spam verlinkte Phishing-Seite ist zum Glück bereits verschwunden.

Übrigens: Banken versenden solche Aufforderungen niemals. Warum sollten sie auch. Die brauchen nur in ihrer Datenbank ein paar TANs als ungültig markieren, und schon gehen sie nicht mehr. (Das müssen sie können, weil eine TAN-Liste verloren gehen oder gestohlen werden kann.) Dafür bedarf es keiner weiteren „Entwertung“ und keiner sinnlosen Mail mit „Klick mal, ich bin ein Link aus einer Mail“.

Ach ja, der Link. Er war über bit (punkt) ly gekürzt, um das Linkziel zu verschleiern. Wo der Link hingeht, sieht man übrigens, wenn sich der Mauszeiger über dem Link befindet und man in seiner Mailsoftware in die Statuszeile schaut.

Ein richtiges Unternehmen, das Kontakt zu seinen Kunden pflegt, wird vielleicht auf viele komische Ideen kommen, aber sicherlich niemals auf die Idee, die eigene Website vor den Kunden zu verstecken. Solche Ideen haben nur Spammer. Sie müssen ja an den Spamfiltern vorbeikommen, und deshalb gibt es keine direkten Links, sondern eine Hüpfprozession entlang diverser über HTTP oder Javascript realisierter Weiterleitungen.

Wenn man sich dann anschauen will, wo die Reise hingeht, ist das schon ein bisschen nervig:

$ lynx -mime_header http://bit.ly/2atHQSe | grep '^Location'
Location: http://blg.to/fipSTeN
$ lynx -mime_header http://blg.to/fipSTeN | grep '^Location'
Location: http://theshortme.net/safgewga
$ lynx -mime_header http://theshortme.net/safgewga | grep '^Location'
Location: http://kontoverifikation.net/start/validation
$ _

Die Domain kontoverifikation (punkt) net…

$ whois kontoverifikation.net | grep '^Creation'
Creation Date: 2016-07-15T02:11:26Z
$ _

…wurde ganz frisch vor einer Woche eingerichtet, und zwar nicht von einer Bank, sondern von einer Privatperson mit einer kostenlos und anonym einzurichtenden E-Mail-Adresse bei mail (punkt) ru.

Mit freundlichen Grüße [sic!], Ihr ING-DiBa Team

An diese E-Mail-Adresse können keine Antworten gesendet werden. Weitere Informationen bekommen Sie bei unsererm ING DiBa Kundeservice.

Der Absender dieser Mail ist gefälscht.

Mit dieser Servicemitteilung informieren wir Sie über wichtige änderungen [sic!] bezüglich Ihres ING DiBa Kontos.
© 2016 ING-DiBa AG, Theodor-Heuss-Allee 2, 60486 Frankfurt am Main, Deutschland

Übrigens: Es ist gar nicht auszudenken, wie erfolgreich wohl eine neue Phishing-Masche sein könnte, wenn die Spammer sich wenigstens die Mühe geben würden, fehlerfreies Deutsch zu schreiben. Ist doch nicht so schwierig, da jemanden drüberschauen zu lassen, der auch Deutsch kann und ein paar Fehlerchen zu korrigieren, bevor man die Mail abschickt. Aber wenn der Spammer sich Mühe geben wollte, könnte er ja gleich arbeiten gehen…

¹Wer vertrauenswürdige E-Mail-Kommunikation wünscht, kommt nicht umhin, sich mit digitaler Signatur zu befassen. Es ist in der Anwendung viel einfacher, als die meisten Menschen sich das vorstellen.

ANTRAG AUF KREDIT

Freitag, 15. Juli 2016

Ohne Worte.

Öffnen Sie mich gammelfleisch@tamagothi.de

Mittwoch, 6. Juli 2016

Dümmster! Betreff! Ever! Wozu sollte der Absender in einem Betreff auch reinschreiben, um was es in seiner Mail geht? Ein kurzer Befehl reicht doch. Nichts unterstreicht die Wichtigkeit einer Sache besser.

Großbritannien ist
da!

Ja, stimmt. Ich habe eben noch mal nachgeschaut. Es ist immer noch da.

Profitieren Sie jetzt auf
das GBP durch die Schweizer Methode.

Ah, du bist ein Währungsanlagespezialexperte, ich verstehe! Und zwar einer von denen, die nicht etwa mit ihren Expertenwissen selbst reich werden, sondern die andere zum spekulieren bringen wollen. Ich verstehe!

Hier: http://ganglink.com/3ADR8

Aber auf der lustigen Website in der Domain autotraderbot (punkt) com, auf der man nach der üblichen Kaskade von Weiterleitungen landet, geht es gar nicht um Währungsspekulation. Da schreibt einer, dass er eigentlich gar keine Kenntnisse hat, vermutlich bereits am Erwerb des Hauptschulabschlusses gescheitert ist und auch nicht rechnen kann. Aber (vermutlich gerade deshalb) glaubt er an Millionenverdienmethoden und hat eine ganz extratolle Reichwerdmethode, die so einfach ist, dass jedes gelehrige Meerschweinchen damit Millionen machen kann: Das computerunterstützte Zocken mit Binären Optionen. Die literarisch ungenießbar erzählte Geschichte erfreut weder durch Glaubwürdigkeit noch durch Originalität.

Was so ein Betrugsblah mit dem britischen Pfund zu tun hat? Ungefähr so viel wie eine Pferdewette mit dem Ausgang der Fußball-Europameisterschaft. Aber wer lesen kann oder ein so wirksames Langzeitgedächtnis hat, dass er sich beim Überfliegen der Betrugswebsite noch an den Text der Spam erinnert, die ihn auf diese Website gebracht hat, ist für den Beschiss dieser Spammer schon viel zu schlau… der merkt bestimmt auch, dass Leute, die eine funktionierende Reichwerdmethode hätten, selbst damit reich würden und es nicht mehr brauchten, massenhaft Postfächer mit Spam zuzuspachteln, um Affiliate-Gelder dafür zu kassieren, dass sie windigen Brokern mit unfassbar dummen Behauptungen neue Kunden zutreiben.

Monika Rehfeldt

Ein Name, so echt wie der gefälschte Absender der Spam. Da stimmt doch bestimmt wenigstens das mit der kinderleicht bedienbaren Reichwerdsoftware, die als Webanwendung läuft!

leben und arbeiten in Vereinigte Staaten

Mittwoch, 22. Juni 2016

Diese Spam ging an eine Honigtopfadresse – und kommt damit vermutlich auf jeder Mailadresse an, die sich irgendwie im Internet einsammeln lässt.

IHR AMERIKANISCHER TRAUM LIEGT IN IHREN HÄNDEN!

So so… aber mehr dazu gleich.

An dieser Stelle möchten wir alle wichtigen Fragen zum GreenCard-Programm beantworten.

Bleibt doch noch etwas offen, so zögern Sie bitte nicht, uns zu kontaktieren.

Und, was hat der Spammer mit seinen spammigen Albträumen hier vergessen? Richtig, er hat vergessen, hier alle Fragen zu irgendeinem Programm zu beantworten, von dem man übrigens nur aus der Spam (und gelegentlich aus Werbebannern auf zwielichtigen Websites) erfährt.

Wir sind sieben Tage die Woche, 365 Tage im Jahr für Sie da, um für

bestmögliche Betreuung im Rahmen der GreenCard-Lotterie zu sorgen.

Aha, eine Lotterie ist das neue „liegt in meinen Händen“. Alles klar. Wer nach solchen Offenbarungen der Dummheit des Spammers noch auf den Betrug reinfällt, könnte wirklich der Betreuung bedürfen, aber besser nicht durch eine Bande von Spammern.

WAS SIE SCHON IMMER RUND UM DIE GREENCARD WISSEN WOLLTEN

Hier klicken.

Das hat noch gefehlt, um den unvorteilhaften Eindruck dieser Spam abzurunden: „Click here“, der dümmste Linktext, den nur Werber, Spammer und sonstige Entseelungsreste verwenden. Jeder, der noch etwas fühlt, würde so ein Stammelgetexte vermeiden. Und damit die Spamfilterung auch wirklich zum Zuge kommt…

If you wish to be unsubscribed from receiving these emails, click here.

…gibt es dieses kleine, aber gar nicht seltene Stückchen spammiger Idiotie noch einmal in Englisch.

report abuse

Du mich auch!

Der Link geht übrigens nach der üblichen Kaskade von Weiterleitungen in die Domain usagc (punkt) org. Dort bekommt man eine hübsche Möglichkeit zum Datenstriptease:

Im „Web of Trust“ hat sich diese betrügerische Website schon einen beachtlichen Ruf erarbeitet: Betrug, Phishing, Spam, Schlechte Erfahrungen und Schadsoftware. Der Kommentar von Kevin.Dingo macht auch klar, worin das „Geschäftsmodell“ dieser asozialen und kriminellen Spammer besteht:

They ask you for £80 up front then chase you in a harassing manner for more money avoid at all costs. if you are considering moving to Canada seek advise from the Canadian embassy in your country AVOID THIS SCAM at all costs

Man bezahlt eine Vorleistung nach der anderen. Für nichts. Natürlich werden die dabei angegebenen Daten in jedem Fall für einen Identitätsmissbrauch verwendet, der einem leicht ein paar Jahre Ärger mit Gerichten, Inkassoklitschen, Polizeien und Staatsanwälten einbringen kann – denn wegen des Verdachts auf gewerbsmäßigen Betrug ermittelt und kassiert wird bei der Person, deren Daten angegeben wurden. Es gibt wahrlich bessere Verwendungen für die beschränkte Lebenszeit… und für das Geld, das man verliert, wenn man darauf reinfällt.

Wer die Absicht hat, in die USA umzuziehen, sollte sich besser an die Botschaft der USA wenden und nicht auf Spammer reinfallen, die bei ihrem Betrug so tun, als würde ein Einwanderungsland wie die USA sich seine Einwanderer nicht aussuchen, sondern sie auslosen.

Bekanntschaft in deiner Stadt

Samstag, 18. Juni 2016

Ach nö, nicht hier in Hannover! 😉

[Der ätzrot überlagerte Text ist von mir. Ich möchte kein Bildhoster für Spammer werden.]

Wenn der Spammer es mit den Wörtern nicht so hat, muss er sich halt der Bilder bedienen, in die er dann neben aufreizenden Fotos Wörter reinschreibt. So werden aus nicht einmal hundert Byte Text stolze 66,2 KiB Stopfmasse fürs Postfach, die durch die base64-Codierung für den Mailanhang zu rd. 85 KiB aufgeplustert werden. Diese inhaltliche Sparsamkeit bei großer Datenmenge hat viele Vorteile, zum Beispiel kann man einfach mal ein paar irgendwo aus dem Internet mitgenommene Bilder von Frauen reinmachen, damit „Freundschaft und Sex in deiner Stadt“ auch ein Gesicht bekommen. Dafür muss man dann aber das Wort „profile“ fälschlich klein schreiben. Wenn man schon so wenig Wörter macht…

Das Bild ist verlinkt, der Link weist in die Domain cirtas (punkt) top. Natürlich ist das kein direkter Link, sondern die übliche Weiterleitungs-Hölle der Spammer.

$ lynx -mime_header -dump http://www.chirtas.top/chirtas1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:55:02 GMT
Content-Type: text/html
Content-Length: 1489
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:18 GMT
ETag: "c60cb3-5d1-53578cf98a1d8"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.chirtas.top/triuch1/index.html"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, zwei Tracking- und Zählskripten auf einmal. Und eine Weiterleitung innerhalb der gleichen Domain. Warum dann nicht gleich direkt?

$ lynx -mime_header -dump http://www.chirtas.top/triuch1/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 22:58:46 GMT
Content-Type: text/html
Content-Length: 1471
Connection: close
Vary: Accept-Encoding
Last-Modified: Fri, 17 Jun 2016 12:51:11 GMT
ETag: "c60caf-5bf-53578cf2b16e0"
Accept-Ranges: bytes

<HTML><HEAD><!-- MyCounter v.2.0 --> <script type="text/javascript"><!--
my_id = 135002; my_width = 2; my_height = 2; my_alt = "MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà"; //--></script> <script type="text/javascript" src="http://scripts.mycounter.ua/counter2.0.js"> </script><noscript> <a target="_blank" href="http://mycounter.ua/"><img src="http://get.mycounter.ua/counter.php?id=135002" title="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" alt="MyCounter - ñ÷¸ò÷èê è ñòàòèñòèêà" width="88" height="41" border="0" /></a></noscript> <!--/ MyCounter --> <!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
(w[c] = w[c] || []).push(function() {
try {
w.yaCounter35581560 = new Ya.Metrika({
id:35581560,
clickmap:true,
trackLinks:true,
accurateTrackBounce:true
});
} catch(e) { }
});
var n = d.getElementsByTagName("script")[0],
s = d.createElement("script"),
f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js"
if (w.opera == "[object Opera]") {
d.addEventListener("DOMContentLoaded", f, false);
} else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/35581560" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://triuch.com/QSpLW"> 
</HEAD><BODY></BODY></HTML>
$ _

Aha, deshalb nicht direkt: Um noch einmal die gleichen beiden Tracking- und Zählerskripten auf den armen Spambeklicker zukommen zu lassen, bevor es zur nächsten Weiterleitung kommt. Wenn man doppelt zählt, und diesen Vorgang dabei doppelt durchführt, dann muss das Ergebnis solcher Mühe ja auch ganz besonders gut und genau sein. Und jetzt?

$ lynx -mime_header -dump http://triuch.com/QSpLW
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 17 Jun 2016 23:01:04 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 5
Connection: close
Vary: Accept-Encoding

Bots.$ _

Oh, wie schade. Die nächste Station betrachtet mich als Bot, weil ich mit Lynx einen Browser verwende, der nicht darauf hindeutet, dass ich ein Abzockopfer der Dating-Betrüger sein könnte. Und deshalb komme ich nicht da an, wo der Spammer seine Opfer hintreiben will. Na gut, tue ich mal so, als hätte ich einen völlig veralteten Firefox zusammen mit einem inzwischen obsoleten, aber immer noch verbreiteten Betriebssystem.

$ lynx -mime_header -dump -useragent='Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0' http://triuch.com/QSpLW
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 17 Jun 2016 23:06:21 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: close
Location: http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs
Vary: Accept-Encoding

$ _

Na bitte, geht doch! Warum sich die Spammer so eine völlig sinnlos anmutende Mühe machen? Um eine automatische Analyse des Linkzieles (und damit eine Erkennung von Websites, die durch intensive E-Mail-Spam beworben werden) so schwierig wie möglich zu machen. Es wäre nicht so gut für das halbseidene bis offen kriminelle Geschäftsmodell von Spammern, wenn Warnungen vor ihren Websites in den Browsern angezeigt würden.

Und damit kommen wir nach einem kleinen Umweg zur nächsten Weiterleitung.

$ lynx -mime_header -dump 'http://nbeatrk.com/mt/v2b43354c4r233u294s2u2/&subid1=ib3yvsd7fs'
HTTP/1.1 302 Found
Content-Type: text/html
Date: Fri, 17 Jun 2016 23:10:49 GMT
Location: http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2
P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Server: nginx/1.8.1
Set-Cookie: mt_clk=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; path=/; domain=nbeatrk.com
Set-Cookie: mt_lds=%7B%22time%22%3A%222016-06-17+19%3A10%3A49%22%2C%22value%22%3A%22c0c98b70-b48b-595a-b2be-286308856825%22%7D; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_muid=MT-5764837970947-9945; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Set-Cookie: mt_imp_20600=1; expires=Sun, 17-Jul-2016 23:10:49 GMT; Max-Age=2592000; path=/; domain=nbeatrk.com
Vary: Accept-Encoding
X-Powered-By: HHVM/3.7.0
Content-Length: 0
Connection: Close

$ _

Aha, diesmal gehts wieder mit jedem Browser Und leckere Cookies gibt es auch wieder, nebst einer weiteren Weiterleitung in die voll sicher klingende Domain www3secure (punkt) com – deren einziger Zweck es ist, Weiterleitungen solcher Spammer zu erledigen. Und, wo wird die Reise meines einsamen Herzens heute enden?

$ lynx -mime_header -dump 'http://www3secure.com/?a=264&c=4&s1=CD4823&s2=c0c98b70-b48b-595a-b2be-286308856825&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39
Server: Microsoft-IIS/7.5
Date: Fri, 17 Jun 2016 23:12:50 GMT
Connection: close
Content-Length: 301

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www3secure.com/?a=264&amp;c=4&amp;s1=CD4823&amp;s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&amp;s3=ib3yvsd7fs&amp;s4=e2c4x234c4p2t2&amp;ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39">here</a>.</h2>
</body></html>

$ _

Hier endet meines blutenden Herzchens Reise jedenfalls noch nicht, denn vor dem Ziel ist eine weitere Weiterleitung innerhalb der toll und sicher klingenden Domain www3secure (punkt) com gesetzt, ganz so, als könne man nicht gleich die richtige URI in dieser Domain benutzen. Immerhin kann man sagen, dass die zwischendurch entstehenden URIs immer länger werden, wenn sie schon sinnlos sind… 😉

$ lynx -dump -mime_header 'https://www3secure.com/?a=264&c=4&s1=CD4823&s2=d32a9b21-6783-58f7-b8c4-30e76228fc54&s3=ib3yvsd7fs&s4=e2c4x234c4p2t2&ckmguid=3dca3b8e-1439-4a64-9726-1139a2709c39'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: https://www.parwise.de/lps/?lppnr=5100&cidnr=ck131217v01x&fdtnr=01052640003CD4823&r=196930889
Server: Microsoft-IIS/7.5
p3p: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"
Set-Cookie: sid=s1mulgFbPp3OhC5S8sIG56UzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; path=/; HttpOnly
Set-Cookie: trk=KzSfGLvH7+ReGT8UZ6uAfKUzKlUz4AKu61HKwKWGBky8a6Gp0Bax2g==; domain=.www3secure.com; expires=Fri, 18-Jun-2021 00:15:04 GMT; path=/; HttpOnly
Set-Cookie: c3=s1mulgFbPp30lozu8R4wHqojoyYaS1P8vvuNFeFBYVP+F8ZUkWHvsA==; domain=.www3secure.com; expires=Sun, 17-Jul-2016 23:15:04 GMT; path=/; HttpOnly
Date: Fri, 17 Jun 2016 23:15:03 GMT
Connection: close
Content-Length: 222

<html><head><title>Object moved</title></head><body>
<h2>Object moved to <a href="https://www.parwise.de/lps/?lppnr=5100&amp;cidnr=ck131217v01x&amp;fdtnr=01052640003CD4823&amp;r=196930889">here</a>.</h2>
</body></html>

$ _

Und nun bin ich endlich am Ziel, in der Domain parwise (punkt) de, deren Betreiber sich ganz sicher sofort von unseriösen Machenschaften und von illegaler Spamwerbung distanzieren würde. Falls es dort wirklich ein Interesse an Spambekämpfung gibt: Die Affiliate-ID des für Parwise werbenden Spammers befindet sich in den URI-Parametern nach dem soeben zitierten Location-Header; eine Strafanzeige und eine Schadenersatzforderung gegen diesen Spammer für die Beschädigung der Reputation durch illegale und asoziale Spam würde ich sehr begrüßen.

Allerdings steht das nach meiner Meinung nicht zu erwarten. Die „Online-Partnersuche mit Niveau“, von der ich nur durch eine Spam erfahren habe, deren lustigen Claim ich deshalb zugegebenermaßen unzutreffend als „Anspruchslos spammen, niveaulos abzocken“ lese und bei der es ausschließlich Frauen zu geben scheint…

…hat sich im „Web of Trust“ bereits einen tollen Ruf als Betrüger „erarbeitet“, auf den ich hier nur kurz im Kontext einer von mir empfangenen und in diesem Blog etwas ausführlicher gewürdigten Drecksspam hinweise, ohne mir den damit verbundenen Vorwurf strafbarer Handlungen zu eigen zu machen oder gar im Heimatlande des vollumfänglichen Rechtsschutzes für beleidigte Leberwürste zu behaupten, dass diese von einem Kollektiv diverser Webnutzer vergebene Wertung zwangsläufig der Wahrheit entspräche.

Sie deckt sich nur zufällig recht gut mit dem Eindruck, den ich erhalte, wenn ich Spam sehe.

Sie erhalten diese Nachricht, weil Sie registrierter Kunde unseres Unternehmens.
Wenn Sie nicht unsere News erhalten möchten, klicken Sie hier

So so, weil ich ein registrierter Kunde eures völlig namenlosen Unternehmens. Dieser Satz kein Verb. Danke aber auch! Und schön, dass ihr „Click here“ mit reingeschrieben habt, denn damit landet die Spam sicher im virtuellen Orkus. Da könnt ihr noch so viel aufwändigere Linkziel-Verschleierung machen, wenn ihr diese sinnlose Phrase reinschreibt… 😀

KONTAKT
Pl. Wszystkich Swiętych 7-4,31-004 Krakow
Elektroniczna Skrzynka Podawcza
GMINA MIEJSKA KRAKÓW – URZĄD MIASTA KRAKOWA
NIP: 676-101-37-17
REGON: 351554353

Diese Angabe ist gewiss genau so „wahrheitsgemäß“ wie der gefälschte Absender der Spam. Auch in Polen ist Spam nicht legal.

Das werden Sie auf jeden Fall genießen

Donnerstag, 16. Juni 2016

Was denn? Kaffee? Nee, das würde mir nicht in einer Spam gesagt, denn in einer Spam wird mir niemals die Wahrheit gesagt.

Hallo!

Das ist schon wieder genau mein Name.

Der Spaß hört bei Jackpot City Casino niemals auf! Zudem erhalten Sie ein 100% Bonus bis zu $/£/€ 400, wenn Sie sich anmelden und Ihre erste Einzahlung tätigen.

Der Spaß im Betrugsstadtcasino hört niemals auf… außer, man ist dort Spieler. Es gibt Bonus, wenn man dort Geld ablegt. In Währungseinheiten. Oder in Credits. Bis zu vierhundert. Ob es sich dabei um US-Dollar, britische Pfund oder Euro handelt, ist völlig egal. So kann man schon vor dem ersten Spiel sehen, dass die auf dem Monitor angezeigte Zahl nichts mit den Banknoten zu tun hat, die man dafür hingelegt hat, dass diese Zahl angezeigt wird und beim Zocken immer kleiner wird.

Spielen Sie Video Slots, Poker, Blackjack, Roulette und viele weitere Spiele. Gewinnen Sie groß bei den tollen regulären Promotionen.

Computergrafik ist ganz was feines. Da kann das Ergebnis einer Datenverarbeitung, die vom Betreiber eines so genannten Casinos für Spieler völlig unentdeckbar manipulierbar ist, wie Spielkarten, Roulettekugeln oder Walzen aussehen. Wer dumm genug ist, lässt sich davon verblenden. Und alle angebotenen Casinospiele wären schon ohne Betrug nachteilhaft für den Spieler. Wer das nicht glaubt, kann sich gern den Palast eines alten Casinos anschauen, etwa in Baden-Baden. Diese ganze Pracht wurde gebaut mit den Verlusten der Spieler. Und sie repräsentiert nur einen kleinen Bruchteil der Verluste der Spieler.

Holen Sie sich Ihren Bonus heute noch! http://djjedi.friko.pl/rwm.htm

Also klicki, klicki zugreifen! Und nicht daran stören, dass die verlinkte Website dafür bekannt ist, schon einmal Schadsoftware verteilt zu haben! Gibt auch Bonus. In auf dem Bildschirm angezeigten Währungseinheiten.

Ich schreibe hier ja manchmal, wenn ich etwas zu einem Link in einer Spam schreibe, dass auf einen Klick eine „übliche Kaskade von Weiterleitungen“ folgt. Die Spammer setzen beinahe niemals direkte Links, sondern versuchen das eigentliche Linkziel so gut wie möglich zu verschleiern, um Spamfiltern die Arbeit schwerer zu machen. Hier ist die Demonstration mit dem heutigen Link, der übrigens relativ schnell zum Punkt kommt – wer eine Allergie gegen Kommandozeilenakrobatik hat, möge sich einfach abwenden:

$ lynx -dump -mime_header http://djjedi.friko.pl/rwm.htm
HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Thu, 16 Jun 2016 09:48:58 GMT
Content-Type: text/html
Connection: close
Last-Modified: Wed, 15 Jun 2016 20:16:19 GMT
Accept-Ranges: bytes
X-Powered-By: ModLayout/5.1

<script>document.location.replace("http://bigclubroyal.com/");</script><!-- FOOTER //]]>'"</script></iframe></noembed></embed></object></noscript>-->
<script type="text/javascript" src="/2deb000b57bfac9d72c14d4ed967b572.js?d=ZGpqZWRpLmZyaWtvLnBs"></script>
$ _

Erstmal gibt es eine in Javascript realisierte Weiterleitung zu bigclubroyal (punkt) com. Das zusätzlich ausgelieferte Stück Javascript mit dem sedezimalen Dateinamen existiert zurzeit übrigens nicht und ist dort wohl nur als Denkmal früherer Verwendungen des gleichen Codes verblieben. Ich vermute, dass es sich hier um eine vorübergehend für eine Handvoll Bitcoin eingeschleuste Schadsoftware gehandelt hat, die dann aber später wieder entfernt wurde. Sonst sehen eventuelle Besucher der Website ja diese hässlichen Warnungen, und das wäre doch schlecht fürs eigene kriminelle Geschäft…

Gut, mal schauen, wie es weitergeht:

$ lynx -dump -mime_header http://bigclubroyal.com/
HTTP/1.1 302 Found
Server: nginx/1.8.1
Date: Thu, 16 Jun 2016 09:54:42 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 6
Connection: close
Set-Cookie: userlike2=%F9%ED9%1D%14%23%21%D6%14%0E%C6%D3.%D5%CFa%D7t%EF%BF%03%A0_G%E5y%DA%D4%CA%F9W%FA%FA%EE%95%DA; expires=Wed, 06-Jul-2016 09:49:21 GMT
Cache-Control: no-store, no-cache,  must-revalidate
Expires: Thu, 16 Jun 2016 12:49:21 +0300
Location: http://bigluckywinners6.com

$ _

Die nächste Weiterleitung gibt es also über HTTP und nicht mehr über Javascript, aber es soll ja auch nicht mehr hinterhältig zusätzliches Javascript mit untergejubelt werden. Es geht zu den sechs großen, glücksbesegneten Gewinnern – vermutlich den Betreibern eines so genannten „Online-Casinos“ mit mafiösem Hintergrund. Oder vielleicht doch eher zu ein paar Affiliate-Lumpenkaufleuten, die ihren Müll ohne Spam nicht loswerden? Mal schauen:

$ lynx -dump -mime_header http://bigluckywinners6.com
HTTP/1.1 301 Moved Permanently
Cache-Control: private
Content-Length: 0
Content-Type: text/html
Location: https://www.jackpotcitycasino.com/?a=1709515357611636
Server: Microsoft-IIS/8.5
Set-Cookie: ASPSESSIONIDQQQSBSQS=AJJKDGAAFINOGEMDGBBIOKDJ; path=/
X-Powered-By: ASP.NET
Date: Thu, 16 Jun 2016 10:10:43 GMT
Connection: close

$ _

Ah, jackpotcitycasino (punkt) com ist das nächste Ziel – und diesmal könnte es das letzte sein, denn es wurde eine Affiliate-ID angehängt. Mal schauen (die folgende Pipe auf sed bricht die Ausgabe nach dem Ende der HTTP-Header ab, weil ich sehr viel HTML erwarte):

$ lynx -dump -mime_header https://www.jackpotcitycasino.com/?a=1709515357611636 | sed '/^\s*$/q'
HTTP/1.1 302 Found
Cache-Control: private
Content-Type: text/html; charset=utf-8
Location: /deutschland/
Server: Microsoft-IIS/8.5
X-AspNetMvc-Version: 5.2
X-AspNet-Version: 4.0.30319
Set-Cookie: DetectedDevice=IsMobile=False&IsTablet=False&MatchedDeviceID=1&OperatingSystem=&OperatingSystemVersion=&ReportDeviceID=generic; domain=jackpotcitycasino.com; path=/
Set-Cookie: Visit=BannerTag=52de0c70-250f-4425-8af7-7010b153b6ba&BrandCode=JC&CountryIdByIP=276&CurrencyIdByCultureId=200&CurrencyIdByIpId=200&DeviceTypeId=12&Foo=JC&ForwardedIpAddress=2986582089&IpAddress=2986582089&IsDivAVisible=True&IsTrafficInternal=False&MerchantExclusive=False&Variables=P2E9MTcwOTUxNTM1NzYxMTYzNg==; domain=jackpotcitycasino.com; path=/
Set-Cookie: ASP.NET_SessionId=hvghs2zc041djqkfxs0xzrgk; path=/; HttpOnly
Set-Cookie: FCVR=9d1840bd-1d5f-4538-ba07-995383a63909; expires=Sun, 14-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: testValue=~/views/site/index.cshtml=~/views/site/index2016.cshtml; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: UID=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
Set-Cookie: testName=; expires=Tue, 16-Jun-2026 10:14:27 GMT; path=/
X-Powered-By: ASP.NET
X-UA-Compatible: IE=edge
Date: Thu, 16 Jun 2016 10:14:27 GMT
Connection: close
Content-Length: 87006

$ _

In der Tat, das ist das Ziel. Und so sieht das „Casino“ aus:

In der Spam gab es zwar noch einen Bonus von bis zu 400 Credits, aber hier gibt es jetzt 1600 Dollar. Dass die auf dem Bildschirm angezeigte Zahl nichts mit richtigem Geld zu tun hat, ist ja schon vorher klar geworden. Wer richtiges Geld gegen eine solche, angezeigte Zahl eintauscht, weil er eine Spam bekommen hat… ach bitte! Zahl dein Lehrgeld lieber an mich als an asoziale und kriminelle Spammer und an „Casinos“, die mit Affiliate-Geldern asoziale und kriminelle Spammer finanzieren, du Naivling! Ich mache da nämlich etwas Anständiges mit, ich kaufe davon Kekse… 😉

Das Centument!

Montag, 13. Juni 2016

Klingt ja wie Zement.

Die Spam ist HTML-formatiert (und verwendet unvorteilhafterweise „Courier New“ als Zeichensatz), die Zeilenumbrüche im Zitat sind original.

Diese Software WETTET automatisch an den
Finanzmärkten und produziert das Ergebnis
in 60 Sekunden ..
mit einer Genauigkeit von 95%!

Das klingt ja, als würde eine Setzsoftware beim Roulette automatisch für mich setzen und das sogar fast immer hinbekommen. Das lästige Zocken wird mir erspart. Ich lasse einfach den Computer für mich verlieren.

http://ganglink.com/centument

Es ist eine HTML-formatierte Spam. Der Link geht in Wirklichkeit in die Domain alfamotors (strich) eg (punkt) com und ist natürlich mit einer eindeutigen ID angereichert, die zum Spammer „zurückfunkt“, dass die Spam angekommen ist und beklickt wird. Wer darauf klickt, landet nach der üblichen Kaskade von Weiterleitungen schließlich in einer Website in der Domain centument (punkt) club. Dort können sich jene, die des Lesens nicht mächtig sind, in einem anonym über YouTube gehosteten Video allerlei Lügen anhören. Dieses Video ist bei YouTube nicht öffentlich gelistet, damit es niemand versehentlich finden kann. So wollen die Spammer verhindern, dass ihre dumme Betrugsnummer zu schnell an YouTube gemeldet wird und dass das Video und der ansonsten (in öffentlicher Sicht) völlig inhaltslose Kanal gelöscht wird.

Wer das eben verlinkte Video noch sehen will – es lohnt sich wirklich nicht – muss sich ein wenig beeilen, denn ich konnte gar nicht widerstehen, es bei YouTube zu melden. Ja, Spammer, genau für solche asozialen Halunken wie dich sind die Spammeldefunktionen bei Plattformen wie YouTube da! Wenns dir nicht gefällt, kannst du ja mal lernen, wie man ein selbstgehostetes Video in eine Website einbettet. HTML5 ist gar nicht so schwierig. Ach, das kannst du nicht, weil du dieses Internet nur zum Spammen und Betrügen verwendest? Nun, das habe ich mir gleich gedacht…

Ach ja, die Website – hier mal zur Erheiterung ein Screenshot des neuesten Gestrokels der Binäre-Optionen-Spammer:

Bei Flickr liegt der Screenshot auch in Originalgröße herum, so dass er bequem gelesen werden kann. Wer auf dermaßen hirntote Lektüre mit gutem Recht keine Lust hat, erfreue sich hier nur eines kleinen Leckerlis aus dem für die kalorienredizierte geistige Nahrung vollumfänglich geeigneten Werk eines zu Recht unbekannten Spamkünstlers:

Sehen Sie, was bestehende Neukunden darüber sagen, wie einfach die Einrichtung und die Nutzung von Centrument ist... und wie einfach es ist darüber Geld zu verdienen.

An dieser Überschrift aus der Mitte der Website erfrischt nicht nur die lustige Wendung „bestehende Neukunden“; auch ist es auffällig, dass sich die Spammer sich ausgerechnet bei ihrer eigenen Nonsens-Firmierung „Centument“ verschrieben haben. Es ist aber auch schwierig, so ein Wort eine ganze Website lang immer richtig zu schreiben! Und wenns dann auch noch der Name dessen ist, worum es angeblich geht…

Ach!

Das ist richtig .. AUTOMATISIERTE
60 Sekunden
Wetten die Gewinnraten von 200% erzeugen… einfach
unglaublich!
http://ganglink.com/centument

Verstehe nur eines nicht, Spammer: Warum spammt ihr dann überhaupt noch? Nehmt doch einfach eure Geldverdoppelsoftware und lasst sie laufen, bis ihr in Geld erstickt! Dann braucht ihr auch nicht mehr dieses niederträchtige Affiliate-Geschäft zu machen und Geld dafür kassieren, dass ihr windigen Brokern neue Opfer zutreibt.

Der offizielle Preis beträgt 3.600
USD
Der Sonderpreis beträgt
nun 2.400 USD

Ihr Preis: VÖLLIG KOSTENLOS

Der Preis einer Geldverdoppelmaschine… da erübrigt sich jeder Kommentar. Hirnrissige Äußerungen widerlegt man manchmal am wirksamsten, indem man sie einfach gewähren lässt.

Ja! Sie hören völlig richtig.
Laden Sie sich die
Software jetzt völlig kostenlos herunter.
Keine Kreditkarten
oder Bank Informationen werden von Ihnen verlangt!

Das ist ja toll! Und wir haben uns alle schon so daran gewöhnt, dass wir bei jedem Download eine Kontonummer angeben müssen…

Übrigens: Von Spammern angebotene Software ist immer ganz was Tolles. Wer sich die zieht, installiert sich auch freiwillig einen Erpressungstrojaner.

Aber er
möchte, dass Sie ehrlich sind und sobald Sie 3600 USD in
den
nächsten 30 Tagen verdient haben die Software auch kaufen.
Das
ist sein Angebot.

Wer ist dieser hier überraschend eingeführte „er“? Und hat „er“ wirklich 3.600 Dollar nötig, wenn er eine Geldverdoppelmaschine neben dem Bett stehen hat, die einfach leise vor sich hinrauscht und in regelmäßigen Abständen sein Geld verdoppelt?

Sie
können nicht verlieren .. Das garantieren wir!

Und wer ist dieses hier überraschend eingeführte „wir“?

Ach, egal! Es garantiert. Mit heiligem Spammerehrenwort! Geschworen beim gefälschten Absender der Spam! Mehr muss man doch nicht wissen…

Laden Sie diesen Moneymaker jetzt herunter und
danken Sie mir später 🙂

Also: Klicken sie jetzt und denken sie später!

Mit freundlichen
Grüßen
Monika Rehfeldt

Mit mechanischen Grüßen
Dein Binäre-Optionen-Spammer

PS: Beeilen Sie sich denn die kostenlose Version
ist nur für eine begrenzte Zeit verfügbar!

http://ganglink.com/centument

Nicht denken, schnell machen!