SPAM: Dreamcatcher GmbH

SEX FACEBOOK (18+)

SPAM: Amy hat Dich auf einem Foto verlinkt!
SPAM: Amy hat Dich auf einem Foto verlinkt!
Gestern erreichte mich die folgende E-Mail in der Post.

From: Foto-Benachrichtigung <notify@bild-verlinkung.com>
To: thomas@example.com
Subject: Amy hat Dich auf einem Foto verlinkt!
Date: Mon, 19 May 2014 23:42:06 +0200
Hallo Thomas,

Amy hat Dich auf einem Foto verlinkt.

Klicke hier, um das Foto anzusehen:

http://www.bild-verlinkung.com/5cb5…2466/

Beste Grüße,
Dein Serviceteam

Diese E-Mails interessieren mich nicht sonderlich. Sie landen ungelesen im Spam-Ordner; diese schaffte es aber in den Posteingang (SpamAssassin Score 3,9).

Natürlich soll man Links wie http://www.bild-verlinkung.com/5cb5…2466/ nicht folgen. Dadurch wird nur die E-Mail Adresse bestätigt und der Spam nimmt zu. Da über die Adresse so oder so nur Schrott hereinkommt, habe ich diese Weisheit heute bewusst ignoriert.

Aber scheuen wir uns zuerst den Whois-Eintag von bild-verlinkung.com (IP: 46.167.13.34) an. Die Seite wurde am 19. Mai 2014, also gestern, registriert. Registrant ist angeblich eine Mandy Stone, TDN PROJECTS LTD in New York. Mandy Stone ist auch als Admin angegeben, dann wohnt sie aber in Düsseldorf. Erstellt wurde die Domain angeblich um 2014-05-19 18:29:00Z und aufdatiert schon einige Stunden früher (2014-05-19 11:29:45Z). Wie dies geht, weiß ich nicht. Als E-Mail Adresse ist immer info@okt-pkv.de angegeben. okt-pkv.de ergibt folgenden schönen Whois Eintrag:

Domain: okt-pkv.de
Status: redemptionPeriod
Changed: 2014-05-15T16:25:32+02:00

Was ist eine redemptionPeriod? Der Status REDEMPTIONPERIOD wird gesetzt, wenn ein Registrar um die Löschung einer Domain bittet, die nicht mehr innerhalb der Kulanzzeit („Add Grace Period“) ist.[1] Einen Mail Server und eine IP-Adresse zu der Domain gibt es noch nicht / nicht mehr. Sehr geschickt, eine Adresse zu verwenden, an die keine Mail geschickt werden kann.

SEX FACEBOOK (18+)
SEX FACEBOOK (18+)

Also folgen wird dem Link. Dieser führt über eine Umleitung zu http://www.dein-bild-online.com/?r=… (siehe Screenshot), wo ich prompt mit meiner E-Mail Adresse begrüßt werde. Das hab ich nun davon.

Was erfahren wir nun über die Domain dein-bild-online.com? Nichts. Diese Domain wurde gestern über Whois Guard in Panama registriert (Creation Date: 2014-05-19 15:47:00Z). Der Server www.dein-bild-online.com hat die IP-Adresse 91.198.32.251. Schaue ich mir nun die beiden IP-Adressen an, so finde ich einen alten Bekannten: Aquatix IT-Services e.K. Der gute Chris K. hatte mir vor langer Zeit geschrieben, dass er mit dem Geschäft nichts mehr zu tun hätte. Nun taucht er immer noch im whois auf.

Ich habe nicht vor, mich auf dieser dubiosen Seite anzumelden um zu sehen, wie es weitergeht. In sich konsistent ist die Seite nicht. Entweder haben sie eine oder sechs Millionen Mitglieder; offenbar sind auch immer exakt 237.653 Mitglieder davon Online. Also: Finger weg.

Das Impressum der Seite verweist auf folgende Adresse:

Sexbook SL
Paseo de la Castellana, 95
28046 Madrid
Spanien

E-Mail: info@sexbook-18.com

sexbook-18.com ist natürlich erst vor ein paar Tagen (Creation Date: 2014-04-15 23:37:00Z) über Whois Guard registriert worden. IP-Adresse? Fehlanzeige; also auch nicht über E-Mail erreichbar. (Mehr auf Antispam e.V.)

Aber es gibt noch einen kleinen Hinweis auf den Seiten, bei der Anmeldung: Die AGB. Dieser Link führt zur Seite singleflirter.com/agb.php und diese wird – angeblich – von der Dreamcatcher GmbH, Süderstrasse 80, 24955 Harrislee (bei Flensburg) betrieben. singleflirter.com ist tatsächlich auf die Dreamcatcher GmbH registriert. Der Server singleflirter.com steht bei der Hetzner Online AG. Wundert mich das? Nicht wirklich.

Noch ein kurzer Blick in den Quellcode der Seite: Die „Anmeldung“ läuft über einen iframe dessen Inhalt vom Server partner.cash4flirt.com (IP: 185.45.48.100) stammt, der wiederum in Dänemark stehen könnte; diese Domain ist auf die Dreamcatcher GmbH registriert. Nun ist ziemlich klar, wem wir diese Spam verdanken.

Ich könnte mir noch Gedanken über den Weg der E-Mail machen, aber dazu ist es heute zu spät. Sie wurde aus der bild-verlinkung.com Domain über einen Server j4.glaeske.tk verschickt, der trotz der TLD ‚tk‘ offenbar in Deutschland steht.

Auch nett zu lesen: Antispam e.V.: Dreamcatcher GmbH / joyflirter.com spammt bei WKW

Gute Nacht

PS: Hier noch ein Absatz aus dem Impressum bei singleflirter.com:

3. Newsletter

Es gibt schon genug E-Mail Spam auf der Welt,
deshalb hat sich Dreamcatcher GmbH dafür entschieden keine unnützen Mails zu verbreiten.

Update 4. Juni 2014
Weitere Web-Adressen:

  • www.bild-msg.com – 62.93.0.2
  • www.datebook18.com – 91.198.32.251
  • www.treffen-18.com – 46.167.13.34
  • www.bilderdirekt.com – 62.93.0.2

Update 13. Juni 2014

  • www.kommentarzeigen.com – 62.93.0.2
  • www.kommentaranzeige.com – 62.93.0.2

Update 24. Juni 2014

  • www.deinbild-imweb.com – 62.93.0.2

Update 1.Juli 2014 – 62.93.0.2

  • www.dateme-x.com
  1. [1]Siehe Domain Status: Redemption Period; Redemption = Kündigung.

7 Gedanken zu „SPAM: Dreamcatcher GmbH“

  1. Der bekannte „Richvestor“ zahlt in Deutschland keinen Cent Steuern für seine Abzocke und wird von der Justiz nicht belangt.

    Ich empfehle jedem, dem dieser Spam auf den Sack geht, die Steuerfahndung auf die hunderte an Abzockprojekte des „Richvestors“ aufmerksam zu machen.

    Die angeschriebenen Adressen und Nachnamen sind von Timo R. allesamt aus Datenbanken von Online-Shops gehackt worden (K&M, Versandapotheken, usw.). Hierzu empfehle ich auch, die Staatsanwaltschaft über den Datendiebstahl zu informieren.

    1. Zu Absatz 1 und 2 kann ich nichts sagen; ist nicht meine Baustelle. Bisher hat er nach meiner Kenntnis mit GmbH nach deutschem Recht gearbeitet – und sollte daher Steuern zahlen.

      Das die E-Mails aus gehackten Online-Shops stammen , bezweifle ich. Die meisten wurden „redlich“ über Gewinnspiele und möglicherweise Crawler gesammelt. Darüber hinaus gibt es auch einen funktionierenden Adresshandel. Das ist wirtschaftlicher als die Datenbanken einzelner Online-Shops anzugreifen. Ein paar Euro für einen Admin helfen da auch.

  2. Wenn hier meine inzwischen seit 5 Jahren verstorbene Großmutter angespammt wird, für die von uns nur für Bestellungen in einer ganz bestimmten Online-Apotheken eine entsprechend benannte E-Mail-Adresse angelegt wurde und nur von uns im Auftrag für Medikamentenbestellungen genutzt wurde und diese _ausschließlich_ von Timo R. mit seinem PKV-Dreck angespammt wird und sie im Spam mit ihrem Vornamen angeredet wird, der sich nicht aus der Mailadresse ergibt, ist mit 100 %iger Wahrscheinlichkeit von einem gezielten Datendiebstahl auszugehen.

    Außerdem benutzt Timo auf den Websites immer wieder Gesellschaften in Südamerika (Belize, usw.), so dass eine Steuerhinterziehung nicht unwahrscheinlich ist.

  3. Hallo, danke für Eure Recherchen! Ich habe die gleiche Mail bekommen wie Du, Thomas. Was mich an der Mail stutzig gemacht hat, ist, dass der Absender mich mit meinem Vornamen angesprochen hat. Die besagte Mail-Adresse benutze ich ausschließlich für Registrierungen, bei denen ich mit Spams rechnen muss. Und in Verbindung mit meinem richtigen Namen habe ich mich mit dieser Adresse nur bei Ebay, Amazon und Jimdo registriert – ich halte sowas nach. Also muss der Absender seine Daten aus diesen Quellen haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.