Warnung : Phishing Mails im Amazon.de Look

Achtung ! Aktuell sind wieder einmal Phishingmails im Umlauf die Amazon.de imitieren.

Diesmal ohne Rechtschreibfehler und mit einer täuschend echt gemachten Phishingseite.

Die Zielurl ist www.amazn-onlinehilfe.com

E-Mail:

amazon_fakemail

Seite:

amazon_phishingseite

Das Problem ist selbstverständlich schon an Amazon gemeldet, bis zur Abschaltung der Domain kann es aber noch dauern.

Majestic 12 Bot (MJ12Bot)

Etwas technisches zu Websiten und Suchmaschinencrawlern : MJ12Bot.

Bei der Durchsicht meiner Logs ist mir der MJ12Bot ins Auge gesprungen. Fast 17% aller Besuche von einem Bot ? Das kann doch nicht ernstgemeint sein. Und dann noch auf URL’s die es unter meiner Domain nie gab, inklusive SQL Injections.. na danke.

Aussperren ?

Die schnelle Lösung, .htaccess Anpassen:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^MJ12bot/v1\.0\.8.*$
RewriteRule .* – [F]

Was ist Mj12 nun eigentlich ?

Problem erst einmal gelöst. Aber was ist MJ12 ? Hier handelt es sich um eine verteilt agierende Suchmaschine. Es wird sehr aggressiv gecrawlt, an die robots.txt hält man sich auch nicht, also viel mir die Entscheidung das ganze zu Blocken auch nicht weiter schwer.

Oft wird dieser Crawler als „Bad Robot“ bezeichnet. Dazu zählen im allgemeinen Crawler die sich nicht an den guten Ton halten, zu oft crawlen, wiederkehrend nicht existierende URL’s besuchen, die robots.txt ignorieren oder auch SQL Injections in ihren URL’s verwenden. Also all das was eine Suchemaschine eigentlich nicht tun sollte und eigentlich auch (für eine Suchmaschine) keinen Sinn macht.

Ich habe diesen User Agent mit dem oben angegebenen Statement über die .htaccess gesperrt. Aber sollte man das nun wirklich tun ? Gründe gibt es ja dafür…

Den Namen finde ich merkwürdig.. oder doch absichtlich gewählt ? Für alle denen Majestic 12 nicht sagt, es gibt hier einen recht ausführlichen Artikel bei Wikipedia : Majestic 12 bei Wikipedia

Majestic 12 bietet einen sogenannten Site Explorer an. Hier kann jeder zu Domains Informationen zu referenzierenden Domains und Backlinks einsehen. Das ganze aber nur gegen einen kostenpflichtigen Account. Das ist aber auch das einzige was man so auf den ersten Blick von dieser Suchmaschine sieht. Eine Suchmaschine im klassischen Sinne ist es zumindest einmal nicht.

Weitere Informationen dazu gibts hier (in englisch): http://blog.arithm.com/2008/01/16/mj12bot-virus-robot/

Krankenversicherungsspam

Schon lange nichtmehr bekommen :

Guten Tag Jens Fiedler,

der Customer Care überprüft alle 12 Monate routinemäßig die Tarife der Versicherungsnehmer – also auch Ihren Tarif.

Nach den aktuellen Preisumstellungen könnte Ihr Tarif wahrscheinlich direkt gesenkt werden – möglicherweise sogar ohne den Anbieter zu wechseln.

Trifft unsere Einschätzung zu, so müssten Sie zukünftig für Ihre Krankenversicherung deutlich weniger bezahlen.

Bitte vergleichen Sie Ihren Tarif mit den neuen Tarifen, welche seit den Preisumstellungen der meisten Anbieter möglich sind.

Unseren Vergleichsrechner erreichen Sie wie folgt:
http://web.anpassung-2012.net/M1…8/365.html

Der Vergleich nimmt ca. 2 Minuten in Anspruch.

Sind diese Werte günstiger als Ihr derzeitiger Tarif, so informieren Sie uns bitte wie wir vorgehen sollen. Ob und in welcher Form gehandelt wird, das entscheiden Sie.

Ich hoffe, dass wir Ihnen behilflich sein konnten!

Mit freundlichen Grüßen,

Janina Schneider
Customer Care Service

PS: Unsere Infoseite ist eine Verbraucherinformation – und daher kostenlos & unverbindlich.

Sie können dieses E-Mailing jederzeit abbestellen. Ihre E-Mail Adresse wird dann dauerhaft gelöscht. Klicken Sie hier:
http://web.anpassung-2012.net/del/?v…..

Abbestellen ist wohl nicht die beste Idee, ausser man möchte mitteilen das die e-mail Adresse noch aktiv ist.

Aber was verbirgt sich dahinter ? Google spuckt dazu nicht sonderlich viel aus, aber diese Seiten sind häufig nur eintagsfliegen und ändern sich ständig. Daher ist das nicht weiter verwunderlich.

Ruft man die URL auf (ohne trackingdaten) landet man auf einer Seite wo man für Versicherungsvergleiche seine Daten eingeben soll.
Das Formular schickt seine Daten an : http://www.maklerwelten.ag/sys/registrieren3.php

Google weiss zwar wenig zu anpassung-2012, aber umso mehr über maklerwelten.ag. Die sind nicht unbekannt und versuchen ihr glück immer wieder über andere URL’s mit einer ähnlichen Masche.

Maklerwelten AG an sich hat keine Webseite gehostet, hier gibts nur eine Startseite von Paralells Confixx.
Ruft man den unterorder /sys auf landet man auf einem Login von Mailresponder.

registrieren3.php ist ein reiner Datensammler, wie von Spammern nicht anders zu erwarten. Ziel ist es die restlichen Personenbezogenen Daten zur email Adresse zu bekommen.

Ist es eigentlich verboten einen Spammer mithilfe eines Scripts zuzuspammen ? Die Postvariablen lassen sich doch so schön mit Zufallswerten füllen…

Ich liebe Spam…

Diese Nacht kam mal wieder Spam von der ganz lustigen Sorte a.k.a FAIL 🙂

Guten Tag Jens Fiedler,

Ihre 150,00 Euro können morgen überwiesen werden.

Folgende Daten werden noch benötigt:

– Vorname
– Nachname

Bitte besuchen Sie meine Internetseite, um das Geld zu erhalten. Weitere Daten werden nicht benötigt.

Klicken Sie hier:
http://web.meine-zahlung.net/M10xxx/xxx.html

Mir freudlichen Grüssen,

Moritz Ahlborg

Warum fragt Herr Casino Affiliate Spammer (immernoch diese Masche ? Ich hab mir nicht die Mühe gemacht nachzusehen) nach meinem Namen wenn er ihn weiß ?!

Ist es wirklich so schwer eine Mail glaubwürdig zu bekommen und jemanden mit dem Namen anzusprechen und dann wenigstens nach etwas anderem zu fragen ?

Naja Spammer…

Wer genauer wissen will was dahinter steckt sollte sich diesen Artikel mal durchlesen : Überweisung Art. 2338644714

Sorry für den falschen Link ! Ist nun korrigiert.