Spam: Bestellbestätigung und Zahlungsaufforderung

[vgwort line=“83″ server=“vg05″ openid=“c2915e4ba8174452a49a9fb0714527b2″]
Mein Interesse an Spam Mails ist in den letzten Monaten etwas erlahmt, weil eigentlich nichts Neues auf den Markt kommt. Heute fand ich jedoch mal eine sehr interessante Mail unter den erkannten Spam-Mails. Erkannte sind eigentlich kein großes Ding, aber hier ist es anders.

Ein Hinweis vorweg

Rufen Sie nicht unter der unten angegebenen Nummer an, sonder löschen Sie einfach die Mail. Ich habe die Nummer nur drin gelassen, damit dieser Artikel anhand der Nummer gefunden werden kann. – Falls jemand erst denkt und Google befragt, bevor er wütende Anrufe startet.

Die Original Spam-Mail

Zuerst ein Blick in die Spam Mail, die ich nur leicht verfremdet hier zitiere – hauptsächlich für die Suchmaschinen.

Guten Tag,

seit vielen Jahren biete ich News, Infos und Verbraucherinformationen auf meinem Blog an. In letzter Zeit fehlt mir jedoch das Geld, um mich meiner Mission in angemessenem Umfang widtmen zu können. Da ich jedoch denke, dass meine Mission für jeden meiner Mitmenschen von großer Wichtigkeit ist, geht Ihnen Ihnen hiermit eine

++++++++++++++++++++++++++++++++++++++++++++++++++++++
Bestellbestätigung zur monatlichen Zahlung von 19,90 ?
++++++++++++++++++++++++++++++++++++++++++++++++++++++

für die nächsten 12 Monate zu. Sollten Sie mit der Zahlung NICHT einverstanden sein, dann widersprechen Sie diesem rechtsgültigen Vertrag durch Ausfüllen des Kontaktformulares auf meinem Blog http://antiabzockenet.blogspot.de/ Widersprüchen per E-Mail wird NICHT (!) stattgegeben, es wird in diesem Fall nach 7 Tagen eine rechtsgültige Mahnung per Post folgen!

Nachfolgend Ihre Bestell-Details:

Rechnungsanschrift:
info@xxxxx-xxx.de

Rechnungsnummer: 31016627
Datum: 05..08.2015
IP-Adresse: 79.207.86.46

Artikelnr. Stück Artikeltext Unit Price Total EURO
___________________________________________________________________________________________
——————————————————————————————-
1001 1 Unterstützung antiabzockenet.blogspot.de 19,90 EUR 19,90 EUR
Vertragslaufzeit 12 Monate bis 09/2016
——————————————————————————————–
Summe der Artikel: 238,80 EUR
Versandkosten: 0,00 EUR
Gesamtsumme: 238,80 EUR

Diese Leistung ist umsatzsteuerfrei gemäß §19 (1) Umsatzsteuergesetz

Bitte überweisen Sie den Rechnungsbetrag innerhalb von 7 Tagen nach Erhalt dieser Rechnung entweder per Paypal oder Google Wallet an folgende E-Mail-Adresse:
o.forseti@hotmail.com

Bankdaten erhalten Sie auf Nachfrage per E-Mail.

Verwendungszweck: Unterstützung antiabzockenet.blogspot.de

Nach Bezahlung erhalten Sie noch eine ordentliche Abschlussrechnung
Mit freundlichen Grüßen
O.Forseti

Sie erhalten diese E-Mail aufgrund einer rechtsgültigen Bestellung auf http://antiabzockenet.blogspot.de
Impressum: O. Forseti, Bürgerheimstr. 23, 10365 Berlin
Telefon: (030) 47475582 , Telefax: (030) 47475583
E-Mail: o.forseti@hotmail.com

Das Blog antiabzockenet.blogspot.de gibt es wirklich, doch der letzte Eintrag stammt vom 21.04.2014. Bei dieser Mail handelt es sich wohl um einen etwas verspäteten Racheakt.

Racheakt? Gegen wen?

Die Telefonnummer gehört einem Rechtsanwalt in Berlin, der auch unter der verwendeten Adresse gemeldet ist. Ob sich dieser Racheakt nun gegen den Rechtsanwalt und seine Kanzlei richtet oder gegen die Seite antiabzockenet.blogspot.de kann ich nicht sagen. Die Themen der Kanzlei deuten jedoch daraufhin, dass dieser Anwalt unter „Werbetreibenden“ keine Freunde hat. Zitat aus den Tätigkeitsfeldern: Sie berät und vertritt bundesweit Mandanten insbesondere bei der Abwehr belästigender Werbung (Spam) und Abzocker-Forderungen wie beispielsweise von Adressbuch-Schwindlern oder Internet-Abofallen-Betreibern.

Ich spare mir eine Nachfrage, weil die Kanzlei sicher schon genug mit Anrufen empörter Wutbürger beschäftigt ist, die den Betrugsversuch nicht erkennen.

Außer die postalische Adresse und die Telefonnummer des Rechtsanwaltes weisen alle weiteren Adressdaten nicht auf das Blog antiabzockenet.blogspot.de und dessen Betreiber hin, sondern auf Adressen und Server, die der Absender eingerichtet hat.

Der Betreiber des Blogs hat außer seiner E-Mailadresse nicht viel über sich offenbart, so dass es sehr schwer ist, ihn mit einenm Racheakt zutreffen.

Eine neue Domain für den Betrug

Der Betrüger hat die Domain antiabzockenet-blogspot.com (mit Bindestrich statt „.“, Endung „.com“ statt „.de“) am 2015-08-07T07:05:39Z unter dem Namen des Rechtsanwaltes über InterNetworX Ltd. & Co. KG registriert. Der Rechtsanwalt wird sicher demnächst eine Rechnung erhalten, wenn nicht über ein anderes Konto bereits bezahlt wurde. Interessant ist, dass bei der Registrierung eine E-Mailadresse (info@antiabzockenet-blogspot.com) aus der zu registrierenden Domain angegeben werden kann. Aus Sicht der Sicherheit ist dies keine gute Idee.

DKIM_Signatur

Über diese Domain wird unter anderem versucht eine gültige DKIM-Signature vorzutäuschen, die von SpamAssassin jedoch als gefälscht erkannt wird.

DKIM-Signature: v=1; a=rsa-sha256; s=c; d=antiabzockenet-blogspot.com;
l=2375; t=1438940321; c=relaxed/relaxed;
h=mime-version:content-type:content-transfer-encoding:from:to:subject:message-id:date;
bh=dGkWtM0mNqnLgftOtb3WI13/5vqcl82zOfvk+7r/63I=;
b=i4YMB4R9XsuAvfIDWHk4U68k8AwRxr3vtnM7zAjz2i/V4fOjS2tM6Q3zjos6Bkazgb8l6iHmiU0X
cTsLJM283RTfcsXc7WAGLsiDB/KnZMe1Y3BAkmsSBNYKmUtz8a2cGYs9jQXqH5mgTVC2VzpQjKap
Tw2VIQ1aFRkvhNTq/AA=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=antiabzockenet-blogspot.com;
s=c;
h=mime-version:content-type:content-transfer-encoding:from:to:subject:message-id:date;
b=WIMFGCKSefebTrTO4ed2KjCimRluDcueY0SxYL9QhhfyzDC4d5Tsbt3QSmd8RxItWvnhflJ6IJ6t
PioXXMc+6Dn54eMIdbvoL/jafe1/3SGgDC4Ia5c2jhwwGCHgHQY5DdiASHfdgQQLwf0sCPrBQBk/
wZ3A7veJOWDM5g+rit4=c2jhwwGCHgHQY5DdiASHfdgQQLwf0sCPrBQBk/
wZ3A7veJOWDM5g+rit4=

Meine E-Mail wurde über die IP-Adresse 168.1.101.21 verschickt, die in der SoftLayer Technologies, Inc. zugeordnet werden kann.

antiabzockenet-blogspot.com

Die URL www.antiabzockenetblogspot.com wird zur IP-Adresse 168.1.101.21 aufgelöst, der Server reagiert jedoch nicht, obwohl die Spam-Mail von ihm ausging. In der Spam-Mail findet sich auch Eintrag um eine Mailingliste abzubestellen. Der Server blockiert jedoch entweder die Anfragen oder wurde abgeschaltet.

Absendermailadresse

Die Absenderadresse täuscht als Quelle antiabzockenet.blogspot.de vor, stammt jedoch aus der Domain antiabzockenet-blogspot.com.

From: „antiabzockenet.blogspot.de“
<antiabzockenet.blogspot.de@antiabzockenet-blogspot.com>
List-Unsubscribe: <http://www.antiabzockenet-blogspot.com/abm/vg5XfUL7Nnqv/>,
<mailto:u-vg5XfUL7Nnqv-196@antiabzockenet-blogspot.com>

o.forseti@hotmail.com

Die E-Mail Adresse der Originalseite lautet nicht o.forseti@hotmail.com, sondern o.forseti [ät] gmail.com. Es ist daher nicht ratsam, an diese Adresse Beschwerden zu schicken, da über dieser Adresse möglicherweise auch Adressen gesammelt werden.

Fazit

Für einen reinen Racheakt wird meines Erachtens zu viel Aufwand betrieben. Wahrscheinlich liefert der Racheakt nebenbei auch nützliche Adressdaten liefern. Wer an eine der Adresse antworte oder die Links aufruft, der offenbart, dass er Spam-Mails liest – und nicht durchschaut.

Genug für heute. Ich muss fotografieren gehen.