SPAM: Arbeitsangebote.com (3)

Die Adressen der Mail-Server mx.arbeitdeutschland.com und mx.technojobse.com werden zur Zeit nicht mehr aufgelöst. Dafür gibt es eine Neue Mail, diesmal in Englisch in der einen angeblich auf Gibraltar beheimatete Firma nach Finanzagenten sucht. Die E-Mail-Adressen lauten hier:

„SPAM: Arbeitsangebote.com (3)“ weiterlesen

SPAM: Arbeitsangebot arbeitdeutschland.com (2)

Eine kleine Ergänzung zu meinem Artikel SPAM: Arbeitsangebot arbeitdeutschland.com.

Der Mailserver mx.arbeitdeutschland.com ist umgezogen. Ich bekomme jetzt als IP-Adresse die 85.17.188.210, die zum Netz 85.17.188.0/24 eines niederländischen Anbieters LeaseWeb, P.O. Box 93054, 1090BB AMSTERDAM, Netherlands, www.leaseweb.com gehört.

Der Mail Server mx.technojobse.com für die schwedische Variante ist auch dorthin umgezogen.

Sind Deutsch und Schwedisch die einzigen genutzten Sprachen?

SPAM: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben

Zur Zeit flattert eine recht primitiver Pishing Versuch in die Postfächer. Angeblich sollen von meinem Konto bei der Volksbank, das ich im übrigen nicht habe, 950€ abgeschrieben werden. Die Mail selbst ist ungefährlich. Gefahr geht nur von dem Link in der Mail aus, der auf eine Datei Informationen.html auf verschiedenen Server verweist. Alle gefundenen Links folgen dem Muster http://<server-name>/Informatioen.html.

From: Eigene Adresse
To: Eigene Adresse
Subject: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben

Sehr geehrter Kunde,

Wir haben die Anfrage auf die Abschreibung von 950.00 Euro von Ihrem Bankkonto in VOLKSBANK für die Begleichung der Anlieferung von Dokumenten bekommen.
Die Abschreibung von Geldmitteln und weitere Sendung von Dokumenten erfolgen in 24 Stunden.

Vgl. Angaben des Auftrages

Mit freundlichen Grüßen,
Kundenunterstützungsdienst der Bank VOLKSBANK.

Weitere Betreff-Zeilen sind:
„SPAM: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben“ weiterlesen

Mobile TAN per E-Mail?

Heute erhielt ich über einen Honigtopf eine Mail mit dem Betreff: message Die mobileTAN für Ihre Überweisung

Nun, ich nutze nur ein HBCI-Karte mit Kartenleser. Dies ganzen TAN-Verfahren sind mir Suspekt und in den Punkten Nutzerfreundlichkeit und Sicherheit der HBCI-Karte unterlegen. Kann also nur ein Betrugsversuch sein. Der Text der Nachricht lautet:

message Die mobileTAN für Ihre Überweisung über 690,00 Euro auf das Konto 121882982 lautet: 5N8IC3. F:Postbank

Angehängt ist eine ZIP-Datei postpank-message.zip (32784 Byte) mit einem ausführbaren Programm postpank-message.pdf.exe (61440 Byte).

Wie es scheint werden jetzt sämtliche Möglichkeiten ausprobiert, einen Nutzer dazu zu bewegen, diese Anhänge zu öffnen und auszuführen.

Wie üblich wird es von ClamAV noch nicht erkannt. Dies hat mich veranlasst mein ClamAV auf ein paar ältere Anhänge und deren Inhalt Programme anzusetzen. Das Ergebnis macht mich sprachlos.

thomas@x1:~/Documents/Spam/20120903> clamscan *.exe
BlackBerry_ID_Instructions.pdf.exe: OK
Google_Accounts_Alert.exe: OK

----------- SCAN SUMMARY -----------
Known viruses: 1300784
Engine version: 0.97.5
Scanned directories: 0
Scanned files: 2
Infected files: 0
Data scanned: 0.05 MB
Data read: 0.11 MB (ratio 0.50:1)
Time: 2.266 sec (0 m 2 s)

Auch alle anderen werden nicht erkannt. ClamAV erkennt nur den EICAR Test Virus. Seltsam, irgend etwas stimmt hier nicht. Aber das muss bis morgen warten.

HaJo Erzbach: Ein Fake?

In dem Artikel zu den Binary Options Mails habe ich die technische Herkunft der Mails untersucht. Eine bisher vernachlässigte Frage, steht hinter HaJo Erzbach eine reale Person. Diese Frage sollte mit Informationen aus dem Netz zu beantworten sein.

Legen wir los.

„HaJo Erzbach: Ein Fake?“ weiterlesen

Trojaner: Schreiben vom ….

Ich bin gerade meinen SPAM Order durchgegangen. Nachdem es mit DHL Versandmitteilungen nicht mehr richtig funktioniert, kommen jetzt Mahnschreiben mit einem Anhang Buchung 2012.zip. Dort ist eine Datei Daten Buchung 2012.com enthalten. Ich hab es noch nicht geprüft, aber jeder Wette: Trojaner. Offenbar hoffen die Betrüger, dass kaum einer die Endung .copm für DOS Programme noch kennt. Auffällig ist das gute Deutsch und die fehlerfreie Rechtschreibung. Hier war ein Muttersprachler (native speaker) am Werke.

Nun fehlen noch anständige Kundendaten und Kontoverbindung – vielleicht zahlt Wolfgang ja auch ohne Öffnen des Anhangs 😉 Benutzer Wolfgang ist als Anrede wenig überzeugend. In den Mails scheinen stets andere Gegenstände in Rechnung gestellt zu werden.

Der Versender ist ein kleiner Witzbold: Lustig sind die Absenderadressen der Form: patsyscugv@thisisnotmyrealemail.com

(thisisnotmyrealemail = dies ist nicht meine wirkliche E-Mail)

Sehr geehrter Benutzer Wolfgang,

Auf unsere Schreiben ist keine Reaktion von ihnen erfolgt. Bestimmt ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Mahnung verstrichen ist.

Zwischensumme: 990,78 Euro
Stück: 2
Artikel: Nikon Core DG
Artikelnummer: 2910587344738

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 20.- Euro

Falls in den folgenden 5 Tagen der Gesamtbetrag nicht überwiesen wird, sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Schreiben bitte als gegenstandslos, falls sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben sollte.

Anlagen:
– Zahlschein
– Bestellung

Mit freundlichen Grüßen

Schwarz GmbH
Audorfring 50
Hamburg

Telefon: (0180) 734 5309753
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Hamburg
Umsatzsteuer-ID: DE304670492
Geschäftsfuehrer: Mathis Krause

Eine französische Variante – im Anhang eine .pif Datei (kein Tippfehler) – habe ich auch gefunden, die ich nicht vorenthalten möchte:

Nous vous saluons 620004801,

Nous vous savons gré d’avoir commandé sur amazon.fr
ensuite sont présentés les détails du contrat.

ton numéro de l’achat: 138998430005
article Zub Chassis 5310690913 7233,11 Euro
Nom de l’acheteur 620004801

méthode de rémuneration payement à la livraison
vous verrez les coordonnées de livraison et tous les détails du contrat dans la piéce jointe.

le montant a été autorisé et doit être réalisé dans les 3 jours suivants, les détails du payement, vous les trouverez aussi dans le dossier annexé.

votre service commercial.

SNC Steinman
12 PLACE D’Karla
75916 PARIS

Gute Nacht.

SPAM: Delivery Status Notification (1)

Zur Zeit schicken mir zahlreiche Mailserver freundliche Hinweise darüber, dass

  • sie meine Mails nicht ausliefern können und daher zurücksenden.
  • sie versuchen werden meine Mail in den nächsten Tagen oder Stunden erneut zu senden.

Der Betreff (Subject) dieser Mails lautet zum Beispiel:

  • Delayed Mail (still being retried)
  • Delivery Notification: Delivery has failed
  • Delivery Status Notification
  • Delivery Status Notification (Delay)
  • Delivery Status Notification (Failure)
  • Mail delivery failed: returning message to sender
  • Mail Delivery Failure
  • Mail System Error – Returned Mail
  • [POSSIBLE SPAM] Mail delivery failed: returning message to sender
  • Returned mail: see transcript for details
  • Undeliverable: Newsletter
  • Undelivered Mail Returned to Sender
  • Unzustellbar: Newsletter
  • Unzustellbar: [SPAM:] Dear iypagev8114

Ursache ist, dass die Spammer Absenderadressen aus einer meiner Domains generieren.

„SPAM: Delivery Status Notification (1)“ weiterlesen

SPAM: Arbeitsangebote (4)

Derzeit kommt ein kriminelles Arbeitsangebot der folgenden Form in die Postfächer:

SPAM: Arbeistangebot
Kriminelles Arbeitsangebotes

Original HTML-Text:

 
 
 
 
 
Arbeit für Dich!
Gut bezahlte Arbeit

Wir bieten Dir sehr gute Verdienstmöglichkeit! Mit uns wirst Du einfach von 4.000 bis 8.000€ im Monat verdienen.

Die Arbeit bei uns wird nicht mehr als 2-3 Stunden Deiner Zeit 1-2 Mal in der Woche in Anspruch nehmen. Du kannst die Arbeit bei uns mit deiner jetzigen Arbeit vereinbaren. Für Erledigung jeder Aufgabe wirst Du nicht mehr als 3 Stunden aufwenden und dabei verdienst Du von 400 bis 1600 Euro.

   Deine Arbeit wird darin bestehen:

1. Wir überweisen auf Dein Konto in der Bank 2000€ – 8000€.
2. Sobald das Geld auf Dein Konto eingegangen ist, hebst Du
    das Geld ab.
3. 20% von dem Überweisungsbetrag steht Dir zur Verfügung!
     Du hast 400-1600 Euro verdient!

4. Den restlichen Betrag sollst Du uns übermitteln.
5. Falls Du alles richtig gemacht hast, tätigen wir die nächste
    Überweisung auf Dein Konto.

   Die Anzahl und die Höhe der Überweisungen können verschieden sein, alles hängt nur von Deinem Wunsch und von Deinen Möglichkeiten ab! Diese Tätigkeit ist absolut legal und verletzt keine Gesetze der EU und Deutschlands.

   Wenn Du bereit bist, das Geld zu verdienen, schreibe uns auf die E-Mailadresse: de@uin-gruppe.com. Wir kontaktieren Dich schnellstmöglich, schicken Dir ausführliche Information und beantworten alle Deine Fragen.

   Beeile Dich, die Anzahl von Stellenangeboten ist begrenzt!

 
 
 
 
   Ihre E-Mailadresse haben wir aus öffentlichen Quellen genommen. Wir bitten Sie um Entschuldigung, wenn Sie diese E-Mail unerwünscht bekommen haben. Wenn Sie sich von unseren E-Mails in Zukunft abmelden möchten, schicken Sie eine leere E-Mail auf folgende E-Mailadresse: del@uin-gruppe.com

Finger weg!

Ich erspare mir die weitere Analyse. Dazu siehe hier:
Arbeitsangebote
Arbeitsangebote (2)
Arbeitsangebote (3)

PS: Die „Heidt Group“ scheint auch wieder verstärkt aktiv zu sein.

SPAM: Arbeitsangebote (3)

Über die Arbeitsangebote hatte ich schon in zwei früheren Artikeln geschrieben.

  1. Spam: Arbeitsangebote 1
  2. Spam: Arbeitsangebote 2

Hiwer noch ein paar Anmerkungen zum Inhalt der Mails.

Mich würde interessieren, wie das -40 Tage lange Training aussieht. Von dieser Mail waren mehrere mit verschiedenen Absendern mit einem Hotmail Account im Postfach und kamen direkt über Hotmail herein. Einen herzlichen Dank an Microsoft! Alles deutet darauf hin: Da will mich jemand linken.

Guten Tag.

Ich arbeite in einer internationalen Immobilienagentur. Unsere Organisation beschaeftigt sich mit dem An- und Verkauf sowie der Vermietung von teurem Eigentum. Der Taetigkeitsbereich der Organisation umschliesst zurzeit alle Laender der Europaeischen Union.

Wir bieten Ihnen an, unser Partner in Ihrer eigenen Region zu werden. Im Namen unserer Organisation koennen Sie eine Vielzahl an aktuellen Dienstleistungen anbieten, solche, wie zum Beispiel:

-Kauf, Verkauf und Vermietung von Immobilien in den Laendern der Europaeischen Union.

-Vermietung von Industrieflaechen fuer Lager und Werkstaette.

-Abwicklung von allen Arten von Dokumenten, die sich auf den Eigentum beziehen.

-Sofortiger Ankauf von Immobilien zu jedem Preis.

Wenn Sie unser Partner werden, bekommen Sie eine finanzielle und eine juristische Unterstuetzung. Sie bekommen ein Zeugnis des Immobilienmaklers, vom Leiter unserer Organisation persoenlich unterschrieben. Wenn Sie ein kluger Mensch sind, dann werden Sie ohne Muehe viele hochkaraetige Kunden finden. Sie koennen ohne Risiko Geschaefte ueber mehr als 4 Mio. Dollar abwickeln. Um unser Partner zu werden, muessen Sie an einem Training teilnehmen, -40 Tage. Lohn ab 3.000 Euro /Monat, + % von jedem Geschaeft. Ich warte auf Ihren Brief. Wenn Sie interessiert sind, werde ich Ihnen zusaetzliche Information versenden.

In einer leicht abgewandelten Form sieht die Mail dann so aus. Sollte hier mit einem Thesaurus gearbeitet werden, um die Mails ganz leicht zu verändern und so durch die Spam-Filter zu schlüpfen?

Sehr geehrte Damen und Herren.

Ich arbeite in einer internationalen Immobilienagentur. Unsere Firma beschaeftigt sich mit dem Kauf, Verkauf sowie der Vermietung von teurem Eigentum. Der Taetigkeitsbereich der Firma umschliesst zurzeit alle Laender der Europaeischen Union.

Wir bieten Ihnen an, unser Agent in Ihrer eigenen Region zu werden. Im Namen unserer Firma koennen Sie eine Vielzahl an aktuellen Dienstleistungen anbieten, solche, wie zum Beispiel:

-Kauf, Verkauf und Vermietung von Eigentum in den Laendern der Europaeischen Union.

-Vermietung von Industrieflaechen fuer Lager und Werkstaette.

-Abwicklung von allen Arten von Abmachungen, die sich auf den Eigentum beziehen.

-Sofortiger Ankauf von Eigentum zu jedem Preis.

Wenn Sie unser Agent werden, bekommen Sie eine finanzielle und eine juristische Unterstuetzung. Sie bekommen ein Zeugnis des Immobilienmaklers, vom Direktor unserer Firma persoenlich unterschrieben. Wenn Sie ein intelligenter Mensch sind, dann werden Sie ohne Muehe viele grosse Kunden finden. Sie koennen ohne Angst Geschaefte ueber mehr als 6 Mio. Dollar abwickeln. Um unser Agent zu werden, muessen Sie an einem Training teilnehmen, -6 Wochen. Lohn ab 36.000 Euro /Jahr, plus Provision von jedem Geschaeft. Ich warte auf Ihre Antwort. Wenn Sie interessiert sind, werde ich Ihnen zusaetzliche Information schicken.