Der Standardleitweg

Vorsicht!
es gehen gerade E-Mails um in der auf einen inaktiven Account für die Packstation hingewiesen wird. Zum dauerhaften Zugang soll man sich einmalig auf der Webseite paketservice-dhl.de einloggen:

Sehr geehrter PACKSTATION-Kunde, sehr geehrte PACKSTATION-Kundin,

aufgrund der großen Nachfrage des PACKSTATION-Systems sind wir gezwungen dauerhaft inaktive Accounts fr neue Kunden freizugeben.
Selbstverständlich können Sie auf Wunsch weiterhin Ihre PACKSTATION nutzen. Hierfür ist lediglich ein Login unter
http://paketservice-dhl.de/
nötig, um Ihren Account automatisch dauerhaft zu registrieren.

Die Seite ist sehr gut gemacht, aufpassen!
Ein whois auf die weist aber nicht DHL als Besitzer aus sondern eine Privatperson. Gehostet ist die Domain bei 1&1, auch das macht DHL nicht.

Gebt hier keine Zugangsdaten ein!

---

Nachtrag, 17:05: mein Kontakt bei 1&1 hat mir gerade gemeldet dass die Seite down ist — schnell reagiert, sehr gut!

Dem gegenübergestellt DHL:

<abuse[at]dhl.de>... Deferred: Connection timed out with dhl.de.
Warning: message still undelivered after 2 hours
Will keep trying until message is 5 days old

Wie erwähnt bekomme ich momentan reichlich Spamkommentare über Nasenkorrekturen. Die werden zuverlässig erkannt und moderiert — die Kommentare erscheinen nie.
Das ist offenbar auch den Spammern klar, die ersten Kommentare tauchen auf die z.B. so anfangen:

Hello everyone. Nice site – pity you have to go to such lengths to moderate it.

Schön dass der Absender erkannt hat dass es hier oder allgemein so gehandhabt wird dass diese Kommentare in die moderationsschleife wandern.

Nur was wird damit bezweckt? Hoffnung dass ich den Spam freischalte weil er ja so einsichtig ist?

Irgendwie kann ich nicht glauben dass die Spammer so naiv sind…

Ich wurde entdeckt! Zumindest mein kleines Blog.
Seit gestern Abend erhalte ich verstärkt Mail mit dem Betreff: [Der Standardleitweg] [Bewilligung notwendig] Neuer Kommentar für… mit dem mir Kommentare die in die Moderation geraten sind bekannt gemacht werden.
Seit gestern Abend wie erwähnt relativ viele, was praktisch bedeutet alle 30-60 Minuten einer. Glücklicherweise haben die Kommentarspammer noch nicht zu den Trackbackspammern aufgeschlossen, bei über 300 am Tag habe ich das moderieren der Trackbacks schon längst aufgegeben.

Die Kommentare sind alle auf englisch, zu verschiedenen, älteren Beiträgen. Was zum einen bedeutet, dass sich dahinter Menschen verbergen die den Captcha überweinden, zum anderen, dass sie noch nciht bemerkt haben dass (noch) erst nach 3 Tagen für die Kommentare ein Captcha nötig ist. Auch der Useragent “Opera/9.62 (Windows NT 5.1; U; en-GB) Presto/2.1.1” spricht für Menschen.

Interessant finde ich aber vor allem, dass es bis auf ein paar Ausnahmen es immer um nose jobs, also Nasenkorrekturen geht.
Was sagt das über die Zielgruppe und die davon profitierende Wirtschaft aus? Dass die Schönheitschirurgen so langsam auch die Wirtschaftskrise zu spüren bekommen und so nach Kunden suchen oder dass Nasenkorrekturen anch wie vor gefragt sind un auf interesse stossen so dass es sich lohnt die Seiten im Suchergebnis möglichst gut zu platzieren?
Für letzteres würde sprechen dass die verlinkte Seite kein direktes Angebot sondern eine Sammelseite mit allerhand ‘nose jobs’ ist. Ob sie evtl. versucht einen Trojaner unterzubringen weiss ich nicht, unter Linux mit Firefox, Adblock und NoScript gibt es keine Auffälligkeiten. Sicherheitshalber gebe ich sie hier aber auch nicht verfremdet an, ich möchte nicht dazu beitragen dass sich neugierige Leser infizieren.

Könnte einer der mitlesenden Schönheitschirurgen kurz schildern wie es wirtschaftlich in der Branche aussieht? Das Nachfrageverhlaten ist im Zweifel relevanter als die Anzahl der tatsächlichen Nasenoperationen

Anna schreibt mir. Aus dem fernen, kalten aber angeblich schönen St. Petersburg.
Und sie will etwas von mir!

An ihre Mail hat sie sogar ein Foto gehängt:

"Anna aus St. Petersburg" vollständig lesen

Kein blöder Spruch, sondern wirklich: Was will mir diese Werbesendung Spammail sagen?

From: Qualitaet Fuer Kaum Geld <fdandrews@example.com>
Subject: Programme und neues Jahr! Sparen Sie richtig!

---

Wir maches es weiter! Einfach Nummer eingeben und schon kostet alles 30% billiger! D33W-0159

Jetzt ist die richtige Zeit um programme zu kaufen. Noch nie was er so billig wie jetzt, einfach bestellen und schon bekommen Sie alles nach Hause

Das ist der gesamt Inhalt der Maill. Sonst nichts. Auch keine versteckte Botschaft im HTML-Teil der Mail, sie ist plaintext.
Fehler beim Spammer? Versteckte Botschaft für eine bestimmte Zielgruppe?
Wer weiss es?

Bitte auch Bescheid sagen wenn ich etwas unkenntlich machen muss um die unbekannte Botschaft des Spammers nicht noch weiterzutragen.

---

Nachtrag 26.01.2009: Die nächste verwirrende Spammail, offenbar gleiche Quelle:

From: Bequeme Zahlungsarten <fdcoreycontact@example.com>
Subject: Unglaubliche Angebote! neues Jahr machen alles Moeglich

---

D33W-8137 Das ist die Nummer, um 30% Rabat auf unsere Software zu bekommen!

Jetzt ist die richtige Zeit um programme zu kaufen. Noch nie was er so billig wie jetzt, einfach bestellen und schon bekommen Sie alles nach Hause

Sonst wieder nichts. Kein HTML, kein Link, keine Andeutung wo ich denn angeblich 30% Rabatt bekommen soll.

Bei der ersten Mail hab ich ja noch an ein Versehen geglaubt, aber nach 3 Tagen sollte man so einen Fehler doch bemerken, oder?

---

Nachtrag 28.01.2009: Die nächste Mail, der Text wird kürzer aber der Sinn nicht verständlicher:

From: Logisch Sparen Sie Programme <trerik@example.com>
Subject: Jeder Kann Hier Kaufen, das ist Bewiesen! Vergleichen

---

Mit der Nummer D33W-1030 zahlen Sie 30% weniger fuer alle unsere Produkte

Ich bin immer noch Ratlos…

Folgende Nachricht hat es nun schon zwei mal durch den Spamfilter geschafft und beim flüchtigen Lesen ist sie gar nicht so offensichtlich:

Subject: Sperrung der E-Mail (irgendwas)@ standardleitweg.de

Sehr geehrte Damen und Herren,
Ihre Email “(irgendwas)@ standardleitweg.de” wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 53 Beschwerden wegen Spamversand bei uns eingegangen.

gut, dass zwei verschieden Adressen mit gleichlautendem Text von zwei verschiedenen Absenderadressen (inkl. TLD also Land) beanstandet werden ist schon sehr unwahrscheinlich. Dass beide Adressen nur für eingehende Mails benutzt werden ist noch kein Kriterium, Spammer benutzen alles was ein ‘@’ in der Zeichenkette hat als Absenderadresse und es gibt genug merkbefreite Serveradministratoren da draussen.
Auf den 1,5ten Blick bzw. beim letzten Satz gehen dann aber spätestens die Alarmglocken an:

Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Besagter Anhang “hinweis.zip” bzw. “Sperrung.zip” enthält eine “Sperrung.exe” die zumindest Kasperskys Onlinetest noch nicht als Virus identifiziert!
Wer glaubt, dass die Beschwerde doch echt sein könnte dem sei versichert, dass (in einem der Fälle) spanische Serverbetreiber normalerweise keine deutschen Texte verschicken und dies auch nicht über dynamische IPs aus einem türkischem ADSL-Einwahlpool tun.

Tut euch selbst und dem Rest der Menschheit einen gefallen und löscht die Mail ohne den Anhang zu öffnen!

Frisch aus der Inbox, ist gleich doppelt dem Spamfilter durch die Lappen gegangen:

Sehr geehrte Kunde DAB Bank!
Wir verbreiten Kennwort nie. Tauschen Sie Ihren Kennwort jede ein Paar Monate.
Seien Sie sicher, dass Ihr Computer von den Programmen des Anti-Virus, der Sicherheit und des Schutzes von anti-spyware erneuert wird.
Laden Sie unsere letzte Software, um zu helfen, Ihren Eingang ins Internet

zu schutzen Hier>>

Silvia Bravo.
2008 Mannschaft der Unterstutzung der DAB Bank.

Fällt wirklich jemand auf diese Babelfish-Übersetzung rein? Dass die Leute da draussen an den Webmailern auf alles klicken was nicht bei drei auf den Bäumen ist und dafür sogar den Wurm/Virus aus einem passwortgeschützten Archiv auspacken hab ich ja schon vor langer Zeit akzeptiert, aber dies jetzt? Das muss doch auch dem glühensten Bohlen-Fan auffallen dass da etwas faul ist…
Andererseits eines der besten Argumente für einen Sprachkurs zur Einbürgerung