Wieder Werbung von GELD.de

Nach langer Zeit fand sich heute wieder eine Werbung aus dem Barfußgäßchen, Leipzig im Postfach. Das Jahresende naht und die Provisionsjäger wollen mich zum Wechsel der Kfz-Versicherung animieren. Wie jedes Jahr gibt es auch diese Jahr den neuen Kfz-Versicherungs-Newsletter, auch wenn ich mich vom alten abgemeldet habe. Diesmal unter der Domäne Kfz-Versicherung-2014.de. Leider hat sich Unister die Domains für die nächsten Jahre (2030) reserviert. Anderseits kann ich ganz beruhigt eine SpamAssassin Regel schreiben, die auf Jahre gültig ist.

## Unister Spam erkennen
## Autor: Thomas Arend
## Stand: 13.10.2014

body TA_Unister_001 /GELD.de GmbH/i
describe TA_Unister_001 Eine Firma des Unister Universum
score TA_Unister_001 0.2

body TA_Unister_002 /04109 Leipzig/i
describe TA_Unister_002 Teil der Adresse des Unister Sitzes
score TA_Unister_002 0.2

body TA_Unister_003 /Barfu.*g.*chen /i
describe TA_Unister_003 Postanschrift Barfussgaesschen in verschiedenen Schreibweisen
score TA_Unister_003 0.2

body TA_Unister_004 /Kfz-Versicherung-20[1-2][0-9].de/i
describe TA_Unister_004 Eine der jährlich wiederkehrenden Kfz-Versicherungen
score TA_Unister_004 3.0

meta TA_Unister TA_Unister_001 + TA_Unister_002 + TA_Unister_003
describe TA_Unister Mehrer Kennzeichen für Unister Spam
score TA_Unister 1.0

SCAM: Michael Bodenheimer hat Krebs

Lieber Michael Bodenheimer,

vielen Dank für Ihr Vertrauen, dass Sie mir entgegenbringen. Gerne wäre ich bei dieser Transaktion behilflich. Leider beruht Ihr Vertrauen nicht auf Gegenseitigkeit. Auch wenn Sie behaupten, aus Deutschland zu sein, klingt Ihr Schreiben sehr nach Google-Translate. Auffällig sind einzelne englische Wörter und völlig unverständliche Sätze. Auch die Verwendung des Zeichensatzes Windows-1251 deutet darauf hin, dass Sie lieber kyrillisch schreiben. Dass Sie eine Reply-To Adresse bodenheimer.mich@mail.com.tr verwenden, zeichnet Sie gegenüber anderen Betrügern aus. Offensichtlich haben Sie sich die Kommentare zu Herzen genommen. Da Sie vorgeben von einer normal erreichbaren GMX-Adresse bodenheimer.mich@gmx.de in Deutschland schreiben, weckt die Verwendung dieser Reply-To Adresse meinen Argwohn. Auch, dass ich nur in Blindkopie adressiert bin und nebenbei offensichtlich ein weitere Thomas Z… adressiert ist, zeigt mir, dass es sich hierbei um den ersten Vorschussbetrug, auch 419 Spam oder Nigerian Spam (auch Scam) genannt, handelt, bei der der Absender behauptet, aus Deutschland zu stammen. Lieber Freund, Sie laufen Gefahr, dass sich jemand mit Ihnen treffen möchte.

Lieber Freund,

Netter Versuch! Gescheitert.

Hier noch die Mail und das Ergebnis von SpamAssassin, nur so zum Lernen. 31 Punkte sind eine sehr gute Leistung.

„SCAM: Michael Bodenheimer hat Krebs“ weiterlesen

Richpro SPAM erkennen

Wer sich die Links (URI) in dem E-Mails der Richpro Internet GmbH genauer anschaut, wird feststellen, dass die letzten Zeichen der Verknüpfungsadresse immer identisch sind. Um SpamAssassin ein wenig auf die Sprünge zu helfen, hilft folgender Regelsatz:

# Erkennung eines Links der Richpro Internet GmbH
uri TA_RichproURI /eindeutige Zeichen$/i

describe TA_RichproURI Mail enthaelt Link, der auf die Richpro Internet GmbH hindeutet

score TA_RichproURI 2.0

Da die eindeutigen Zeichen von Kunde zu Kunde verschieden sein dürften, muss jeder die Zeichen aus seinen E-Mails selbst heraussuchen. Bei mir ist die Zeichenkette fünf Zeichen lang – muss aber nicht jeder wissen, welche Zeichen es sind.

Einen weiteren Hinweis gibt der Link zum Abmelden der E-Mails. Hier ist immer die E-Mailadresse enthalten. Womit folgender Eintrag hilfreich sein könnte:

uri TA_RichproMail /v=[0-9]*&a=thomas%40example.com/i

describe TA_RichproMail Mail enthaelt Link mit meiner E-Mails-Adresse (moeglicherweise Richpro Internet GmbH)

score TA_RichproMail 2.0

Leider ist auch die E-Mail-Adresse sehr individuell.

Genug für heute, gute Nacht

SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung

Word Makro Viren oder Trojaner habe ich schon lange nicht mehr gesehen – ihnen allerdings auch keine große Beachtung geschenkt. Heute haben kam folgende Mail in den Briefkasten:

„SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung“ weiterlesen

Spam: Brauchen Sie mehr Geld, dann ist diese Arbeit für Sie

Heute erreichte dieses dubiose Arbeitsangebot meinen Spam- oder Junk-Ordner. Ich schreiben mir meine Arbeitsangebote nicht selber. Aber die Spammer glauben damit wohl eine Adresse in der Whitelist zu treffen und so eventuell durch den Spam-Filter zu kommen. Aber es gibt in SpamAssassin eine Regel TO_EQ_FROM_DIRECT_MX, die mit 2,6 Punkten zuschlägt. Zusammen mit DAT_IN_FUTUER_96_Q mit 2,9 Punkten schaffen landet der Score locker über 5,0 Punkte und die Mail damit um Müll.

Ich möchte nur ein paar Worte zum Inhalt verlieren. Hier wird offenbar so getan, als hätten Sie mein Profile aus einer Bewerbung oder einer Job-Börse. Nicht völlig unlogisch und wird vielleicht auch häufig zutreffen. Aber in diesem Fall kann ich erwarten mit Namen angeredet zu werden, der sollte in meiner Bewerbung gestanden haben. Im Geschäftsverkehr ist Guten Tag! Fremden gegenüber nicht üblich; hier ist ein Sehr geehrter Herr Example, zu erwarten.

Außerdem wäre eine etwas genauere Beschreibung des Arbeitsangebotes zu erwarten.

From: <thomas@example.com>
To: <thomas@example.com>
Subject: =?utf-?B?QnJhdWNoZW4gU2llIG1laHIgR2VsZCwgZGFubiBpc3QgZGllc2UgQXJiZWl0IGbDvHIgU2ll?=
Date: 19 Jun 2014 22:44:32 +0200
Guten Tag!
Uns hat Ihr Profil gefallen, und wir haben entschieden, dass Sie für die Zusammenarbeit mit unserem Unternehmen interessiert sein können. Wir spezialisieren uns auf die nachhaltige Beratung auf dem Gebiet der Businessleitung.

Wir arbeiten in vielen Ländern weltweit, wir haben auch Kunden in Deutschland, deswegen möchten wir die Anzahl von regionalen Vertreter in Deutschland vergrößern. Der regionale Vertreter kann sowohl den ganzen Tag als auch nur ein paar Stunden pro Tag arbeiten.

Das Gehalt beträgt von 400 bis 2000 Euro pro Monat.

Wenn Sie Interesse haben, dann melden Sie sich per E-Mail Karlheinz@deutsch-job.com und bekommen mehr Information.
Wir freuen uns an Ihre Bewerbung!

Mit freundlichen Grüßen
HR Manager

Auch wenn eine typische Identifikationsnummer in der Mail gehlt, dürfte es sich aufgrund Wahl des Domainnamens deutsch-job.com um eine bestimmte Gruppe der Betrüger handeln. Siehe die Artikel zu: SPAM: Arbeitsangebot arbeitdeutschland.com. Eine Bewerbung dürfte im Moment schwierig sein, da für deutsch-job.com zur Zeit weder eine IP-Adresse noch ein Mail-Server hinterlegt ist.

Genug, mehr über diese Mails kann man in den zahlreichen Artikeln hier nachlesen.

SpamAssassin: Filtern der Arbeitsangebote

Derzeit flattern die Arbeitsangebote, egal ob deutsch oder schwedisch, im Stundentakt und öfter herein. Nicht weiter wild, aber ab und an kommen sie doch noch durch den Spam-Filter von SpamAssassin. Im ersten Schritt habe ich den Bayes-Filter die Mails lernen lassen, so dass er die Mails jetzt mit der Wahrscheinlichkeit >99 % als Spam erkennt. Zwar habe ich für diesen Fall den Score für die Regel BAYES_99 gegenüber dem Default-Wert schon auf 5.0 heraufgesetzt, aber dieser Filter soll trotzdem nur einen Teilbeitrag leisten. Da weiter Mails durch den Filter fallen, habe ich mir die Testergebnisse in den erfolgreich als Spam erkannten Mails genauer angesehen.

Hier eine typische Ausgabe von SpamAssassin:

„SpamAssassin: Filtern der Arbeitsangebote“ weiterlesen

Trojaner: Scan from a Hewlett-Packard ScanJet

Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.

Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350

Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]

Zu dumm, dass ich

„Trojaner: Scan from a Hewlett-Packard ScanJet“ weiterlesen

PayPal: Fortsetzung blockiert (continued)

Vor einiger Zeit hatte ich über die Spams mit dem Betreff „Paypal: Fortsetzung blockiert“ geschrieben. Heute habe ich mir die letzten Mails der letzten Wochen nochmals angesehen und die Server extrahiert, auf denen die gefakten Seiten gehosted werden. Hier eine aktuelle List:

„PayPal: Fortsetzung blockiert (continued)“ weiterlesen

SPAM: Delivery Status Notification (1)

Zur Zeit schicken mir zahlreiche Mailserver freundliche Hinweise darüber, dass

  • sie meine Mails nicht ausliefern können und daher zurücksenden.
  • sie versuchen werden meine Mail in den nächsten Tagen oder Stunden erneut zu senden.

Der Betreff (Subject) dieser Mails lautet zum Beispiel:

  • Delayed Mail (still being retried)
  • Delivery Notification: Delivery has failed
  • Delivery Status Notification
  • Delivery Status Notification (Delay)
  • Delivery Status Notification (Failure)
  • Mail delivery failed: returning message to sender
  • Mail Delivery Failure
  • Mail System Error – Returned Mail
  • [POSSIBLE SPAM] Mail delivery failed: returning message to sender
  • Returned mail: see transcript for details
  • Undeliverable: Newsletter
  • Undelivered Mail Returned to Sender
  • Unzustellbar: Newsletter
  • Unzustellbar: [SPAM:] Dear iypagev8114

Ursache ist, dass die Spammer Absenderadressen aus einer meiner Domains generieren.

„SPAM: Delivery Status Notification (1)“ weiterlesen