[vgwort line=“55″ server=“vg05″ openid=“1399e4a334d24486987d3eabac4fe199″]
Speziell zum Vatertag erhielt ich folgendes Angebot unschlagbar günstiges Angebot für ein iPhone 5S.
Received: from 2125114337.croatia-networks.com (2125114337.croatia-networks.com [37.143.51.212])
by h1______.stratoserver.net (Postfix) with ESMTP id 5FE34450A49
for
..
from: „Vater-Special“ <info@vaterphone.com>
reply-to: info@vaterphone.com
mime-version: 1.0
to: Thomas Example<thomas@example.com>
subject: Alle iPhones ohne Vertrag nur 39,00 EUR
date: Thu, 29 May 2014 13:34:50 +0200
nutzen Sie diese Werbeaktion schamlos aus:
Z.B: iPhone 5S, 32 GB ohne Vertrag für 39,00 Euro:
http://vaterphone.com/…
Mit freundlichen Grüssen,
Helge Thomsen
Hier handelt es sich offensichtlich um den Versuch gesammelte Adressen zu betätigen. Folgen wir der Spur.
Wer dem Link vaterphone.com/… folgt (was Sie besser nicht machen, denn hinter dem Buchstabengewirr verbirgt sich wahrscheinlich ein Schlüssel der auf Ihre E-Mail-Adresse hinweist), wird zur Domain www.phone39.com umgeleitet. Nach der Eingabe der Daten in die Abfrage geht es weiter zur Seite www.bestatigung.com/usr/nl.php.
Alle Domains sind mittels WhoisGuard registriert und die IP-Adressen gehören zur Kapitalia AG, die für Spam besonders bekannt ist.
- vaterphone.com – 37.143.52.7
- phone39.com – 37.143.52.2
- bestatigung.com – 37.143.52.2
Vor zwei Jahren war auch die Domain zahlung148.com der Adresse 37.143.52.2 zugeordnet. Zur Zeit sind es bekannte Domains wie: nebenjob-klick.com die wir auch von Cash Trick kennen. Eine Liste gibt es bei VirusTotal.
Im kleingedruckten der Seite steht:
© Copyright 2014, Private Homepage vom Michael Schütz, Pfadacker 3, CH-3033 Wohlen bei Bern, Schweiz, info@phone39.com
Es ist schon verwunderlich, dass jemand privat iPhones für einen derart günstigen Preis anbietet. Gehen Sie davon aus, dass Sie nie ein iPhone 5S erhalten werden. Eine Suche nach Michael Schütz im Schweizer Telefonbuch führt zu keinem Treffer an dieser Adresse. Dies haben auch schon andere festgestellt. Offensichtlich läuft die Aktion schon länger.
Dem Programmierer der Seite ist beim Countdown ein Fehler unterlaufen, deshalb wird nach „Diese Seite wird abgeschaltet in:“ nur ein Semikolon angezeigt. Laut dem JavaScript sollte die Seite bereits am 26. Mai 2014 abgeschaltet werden.
var end = new Date(„May 26, “ + year + “ 21:00:00 GMT“);
Nun haben wir schon den 29. Mai und es werden immer noch Spam Mails versendet. Der Spammer hat offensichtlich vergessen, seine Seite zu aktualisieren. Wird ihm wohl demnächst auffallen.
Die E-Mail wurde von einem Server (2125114337.croatia-networks.com – 37.143.51.212) aus dem Netz der sfip84 Hosting und mehr UG (haftungsbeschraenkt) verschickt. Die Adressen der Kapitalia AG liegen – sicher nicht zufällig – auch in diesem Netzbereich (37.143.48.0/20). croatia-networks.com ist, wie nicht anders zu erwarten, über WhoisGuard registriert.
Ich wünsche noch einen schönen Abend
phone39.com heist jetzt phone49.com!
Zu finden via hvar-house.com (offener Hosenlatz)
Whois- Abfrage zu phone49.com und hvar-house.com zeigt den Inhaber. Man kann sich auch nicht alles merken und muss sich ja auch irgendwo „Eselsbrücken“ bauen 🙂 Macht dabei aber in der eigenen Überheblichkeit auch Fehler….
LG an Mandy Stone 🙂
Gegen Spam
RATM
Danke für den Tipp. Bei mir meldet whois für phone49.com GoDaddy als registrar. phone49.com wird bei mir auf 49phone.com umgeleitet und bietet Smartphones für 49$ pro Monat an, was durchaus ein realistischer Preis ist.
Nur für hvar-house.com findet whois RichVestor und den lieben Timo R. der Eigentümer der Domain.