Spam: Massen-Gang-Bang mit April?

Gestern meinten sechs Leute mich an ihrer schlaflosen, heißen Nacht mit April teilhaben lassen zu müssen.

Hello thomas,

This night was THE NIGHT! I didn’t sleep at all; I couldn’t have enough of my hot April! The male power pills I ordered online http://thomas.expressjusthar.ru/?… really work – you do not have to doubt any more. Talk to you later in person for more detail.

Thanks again!

On Tue, 21 Oct 2014 09:33:13 +0100, thomas@example.com mailto:thomas@example.com wrote:
Purchase#: 123

Cal Poly students (Schnipp … Schnapp)

Hier wird für Potenzpillen geworben, was nicht weiter ungewöhnlich ist und normalerweise schreibe ich über diese E-Mails nicht, ich hätte viel zu schreiben. Allerdings haben diese Spam-Mails Gemeinsamkeiten, die ich mir heute etwas näher angeschaut habe.

Glücklicherweise haben sie ihre Drohung, dass sie mir später mehr über ihre Erfolge bei April erzählen, nicht wahr gemacht. 😉

Ich habe mir die damit gewonnene Zeit genommen, die E-Mails näher anzuschauen.

Vorher noch eine Warnung: Nicht auf den Link in den Mails klicken, über die Parameter des Aufrufs erfahren die Spammer wer ihre Mails liest. Danach kommt nur noch mehr Mist ins Postfach.

„Spam: Massen-Gang-Bang mit April?“ weiterlesen

Traumfiguren oder Potenzmittel aus der Online-Apotheke

Ja, in einer Welt haben es Männer schwer und sind zu schwer. Oder einfach: Dick. Was sagte Dr. Eckart von Hirschhausen dazu? Der Mensch hat die Tendenz mit dem Alter zuzunehmen. Er wog mal drei Kilo. Stets und immer können wollen, müssen oder sollen, ist angeblich ein weiteres Problem des zunehmenden Mannes. Gut dass es diese kleinen Helfer aus der Online-Apotheke gibt, schlecht – oder doch eigentlich gut, dass der Gesetzgeber der Beschaffung einige Hürden auferlegt hat. Sieht sich die Wunschbefriedigung gesetzlichen Hürden gegenüber, verhindern die Hürden nicht die Befriedigung der Nachfrage. Schnell finden sich Helfer, die damit Geld machen. Hohe Hindernisse und hoher Bedarf gehen meist einher und versprechen noch höhere Gewinnmargen. Für den möchte-gern Hengst oder König im Bett gibt es Viagra und Co bei der Swiss-Apotheke (www.swiss.apotheke.org) und gleich nebenan, auf dem selben physischen Server, Natur-Med (www.natur-med.net) mit den Pillen Lida Dai-Dai-Hua zum Abnehmen. Auch Wundermittel gegen Rauchen, Haarausfall und … Erektionsmittel für die Frau. Was will man mehr? Aber dies ist nicht mein Thema.

Damit es auch jeder weiß, wo diese Pillchen zu holen sind, beschießt man die Mail-Postfächer aus allen Rohren. Ich verrate daher kein Geheimnis, wenn ich einige Links hier angebe. Wer mehr haben möchte, schaue in seinen SPAM-Ordner.

Mein SPAM Filter hatte heute einen Aussetzer und so kamen diese sonst gut gefilterten Mails durch, was mich dazu veranlasste mal näher hinein zu schauen. Die Swiss-Apotheke und Co ist auf einem Server mit der Adresse 91.207.9.134 zu Hause. Einige Alias Namen dieser Seiten (natur-geheimnis-lida.in,
schlank-heute-mit-lida.info, schlank-jetzt-mit-lida.info, top-schlank-2012.eu) leiten über einen Server mit der IP-Adresse 182.72.138.99 auf den ersten weiter. Zwei der Domains sind zwar registriert, haben im DNS aber keine IP-Adresse hinterlegt. Ein Klick auf die Links führt damit ins Nirwana nicht zum Online-Shop.

Da die Hintermänner etwas für Datenschutz übrig haben ist der whois-Eintrag nicht hilfreich: Die Domains sind WhoisGuard Protected. Laut Impressum handelt es sich hinter den Seiten und eine

Online H.C limited
Avda. Andalucia, 96
26131 , Robres del Castillo
SPAIN

Diese Adresse im Impressum ist nicht als Text geschrieben, sondern als Grafik in die Seite eingebunden, womit es schwierig ist, diese Adresse über Google zu finden. Ein Schelm der Böses dabei denkt. Aber eine kurze Suche ergibt einen Hinweis auf das Lieferverhalten. Der in desem bBericht enthaltene Adresse führt auf einen weiteren Server: 109.123.121.248. Unten auf den Seiten findet sich ein Affiliates Link. Mir scheint, hier verschaffen sich einige Web-Master einen kleinen Zuverdienst – oder glauben es zumindest. Und sicher schreckt so mancher auch nicht davon zurück, das Geschäft mit ein paar SPAM Mails (auch nur eine Google-Suche entfernt) anzukurbeln.

Update:
Der Banner im Impressum kommt bei einigen Seiten von einem Server media.customer-support24.com und ist dort unter /affiliates/templates/impressum_banner.png?lang=de zu finden. Ich vermute, dass dieser Server die Quelle der Clones der WEB-Seiten ist.
End Update

Die Verbereitung der SPAM Mails scheint über ein Bot-Net zu laufen. Der Quelltext der MAils ist wenig aussagekräftig. Die meisten Absender stammen von dynamischen IP-Adressen. Ein Bot adressiert die Empfänger als neun To-Adressaten, eine andere als Blind-Copy.

Was mich etwas stutzig macht ist eine Mail mit drei Absendern, zwei davon mit einer zufälligen Mailadresse (so wie: Natur@___.de, med@___.de, Shop@pop.gmx.net) wobei die Domain ___.de mir gehört, aber mit der GMX-Empfängeradresse, in keiner Verbindung steht. Frage: Was haben die für eine Datenbasis? Oder ist dies Zufall? Dies Mail schafft es sogar den GMX-Spam Filter zu unterlaufen.

Genug für heute. Dem werde ich wohl mal nachgehen.