World Trade Register Spam

Startseite der World Trade Registry
World Trade Registry - Startseite

Ab und an trudeln bei mir E-Mails des World-Trade-Register ein. Heute waren es drei. Die E-Mail Adressen habe ich nie vorher benutzt, (sales@…, port@…, accounts@…) doch dank „catch all“ wird hier alles akzeptiert, was vor dem „@“ steht. Wieso sollte ich eine Newsletter abmelden, für den ich mich nie registriert habe?

Hier der Text der E-Mail:

Dear Madam/Sir,

In order to have your company inserted in the World Trade Register’s 2012/2013 edition, please print, complete and return the enclosed form to the following address:

World Trade Register
P.O. Box 3079
3502 GB Utrecht
The Netherlands

email: register@2business-list.com
Fax: +31 205 248 107
Business Registration 2012/2013

Updating is free of charge!

To unsubscribe, please send an email to remove@2business-list.com
wtr2012.pdf

Terms of World Trade Registry
AGB des World Trade Registy
Angehängt ist ein Formular als PDF-Datei[1] wtr2012.pdf, das nach dem Ausfüllen an eine niederländische Adresse geschickt werden soll, damit man auf der Seite worldtrageregister.net eingetragen wird. Wer das Kleingedruckte in dem Formular übersieht, ist schnell um 2985€ (Ich habe keinen Punkt zwischen der 29 und 85 vergessen!! Siehe Screenshot.) ärmer. „Updating is free of charge!“. Das darf ich bei der Jahresgebühr wohl erwarten.

Warum die doch sehr dürftigen Angaben, die die Datenbank anzeigt, 995€ pro Jahr bei drei Jahren Mindestlaufzeit wert sein sollen, ist mir nicht ersichtlich. Es gibt zu den verschiedenen Themen nur wenige Adressen, bei einigen gibt hinter dem Link keine Web-Seite oder einen Server-Fehler. Meine Suche nach VW, Volkswagen und IBM war erfolglos. Der Suchbegriff Deutschland liefert keine Treffer und Germany nichts in Germany. Die sind wohl noch im Aufbau begriffen.

Die IP-Adresse 203.142.31.51 gehört zu einen Provider in Singapur. Der whois Eintrag der Domain worldtraderegister.net gibt leider nicht viel her, aber eine niederländische Firma, die ihre Domain in Singapur anonym registrieren lässt, erweckt bei mir den Verdacht auf Abzocke oder Betrug.

Registrant Contact:
        Katz Global Domain Name Trust
        Privacy Protected Domain Name Privacy Enhance Service (domaintrust@katzglobal.com)
        32 Maxwell Road #03-07 c/o
        SG, SG, sg 069115
        P: +65.67228356 F: +0.0
  1. [1]Gemäß Virus-Total keine Schadsoftware

Spam von RichVestor und Co

Wie ich in einem früheren Betrag erläutert habe, steht hinter E-Mails der RichVestor GmbH und RS Mobile Marketing GmbH vermutlich die Software von adresspark UG. Heute kam eine Werbung für ein Freundschaftsportal. In dieser Mail war kein direkter Link enthalten, sondern der typische Link über rv-mm.de. Ich möchte meine Adresse nicht auch noch bestätigen und so kann ich im Moment nicht sagen, was sich hinter diesen Links verbirgt.

Da die offenbar reger werden, habe ich mir die Zeit genommen meiner SpamAssassin[1] Konfiguration einen Satz neuer Regeln zu spendieren, die ich hier wiedergebe. Nicht die hohe Kunst, aber ich denke, für eine Weile sind sie wirksam. Die Texte in den Mails lassen sich sehr leicht ändern. Die Serverinfrastruktur ist nicht ganz so einfach geändert. Durch kleine Änderungen wird sich der Bayes Filter sicher nicht täuschen lassen. Für RichVestor und RS Mobile Marketing habe ich keine extra Regeln hinzugefügt. Dies erledigt der Bayes Filter ganz alleine.

# Filter Spam von adresspark.de und freunde

header TA_adresspark_list_01 list-id =~ //i
describe TA_adresspark_list_01 Countains mailing list id "mawuvs.de" from adresspark.de
score TA_adresspark_list_01 10.0

header TA_adresspark_list_02 list-unsubscribe  =~ /http:\/\/rv-mm.de/i
describe TA_adresspark_list_02 Countains mailing list unsubscribe link to RichVestor (rv-mm.de)
score TA_adresspark_list_02 10.0

body TA_adresspark_01 /Dieser Newsletter ist ein unentgeltlicher Service der .* und wurde an Sie versandt, da Sie mit Ihrer E-Mail-Adresse .* an einer von uns oder unseren Partnern veranstalteten Aktion teilgenommen haben./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_01 0.5
 
body TA_adresspark_02 /Da die .* ausschließlich der Versender dieser E-Mail ist, bitten wir Sie sich bei Fragen zum Inhalt der Mail direkt an den Anbieter zu wenden. Regressansprüche gegen die .* sind ausgeschlossen./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_02 0.5

meta TA_m_adresspark_01 ( TA_adresspark_01 + TA_adresspark_02 ) > 1
describe TA_m_adresspark_01 Contains at least two lines standard disclaimer from adresspark.de -spam
score TA_m_adresspark_01 10.0

Den Absender habe ich mit spamassassin –add-addr-to-blacklist=send@richvestor.com der Blacklist hinzugefügt.

PS: Liebe Nora Schneider von der Servicezentrale Freundschaftsanfragen, so wird es nicht mit uns.

  1. [1]SpamAssassin ist ein Spam-Filter für Unix Systeme. Mehr auf der SpamAssassin-Homepage

Hilfe, mein Postfach wird zugemüllt – Spam und kein Ende?

Mein Postfach wird durch Werbung zugemüllt. Was kann ich dagegen tun? Die ist wohl eine der häufigsten Fragen. Und die häufigsten Antworten kommen hier.

Erstmal können Sie gegen echte Spam nichts tun. Sie können sie nur aussortieren. Warum? Die großen Spam Versender schert es wenig, was sie über sie denken. Es geht ihnen nur um ihr Bestes. Ihr Geld. Eine Gegenleistung für ihr Geld dürfen Sie nicht erwarten. Die Geschäfte laufen in einer Grauzone oder sind – zumindest in Deutschland – auf beiden Seiten illegal. Beispiele sind Online-Glücksspiele und verschreibungspflichtige Potenzmittel. Darüber hinaus wollen sie Ihnen Trojaner unterschieben oder Passwörter abgreifen. Die Versender sitzen oft im Ausland und selbst Deutsche operieren getarnt über Scheinfirmen/-adressen über das Ausland. Einmal den Link geklickt und doch gekauft, dann hat es sich gelohnt – für den Versender. Trotz Mahnung den Anhang geöffnet und der Trojaner ist darauf. Die Kosten pro Mail sind minimal meist werden Bot-Netze verwendet. Deren Verwaltung ist zwar nicht umsonst, im Vergleich zur erzielten Geheimhaltung und Rechenleistung aber spottbillig. Auch wenn Sie heute keinen Bedarf an Viagra und Co haben. Wie ist es morgen, übermorgen oder in ein paar Jahren? Egal, ob Mann oder Frau. Für den einen ist es Viagra für den anderen Lovegra. Irgendwann bekommen sie Dich!

Wer auch nur dem „Unsubscribe“ Link einer echten Spam folgt, hat zumindest ein Ziel der Spammer erreicht: Seine Existenz und ein lebendes Postfach bestätigt. Hurra! Der Wert der Adresse ist gestiegen. Und Adressen haben einen Wert. Je mehr – bestätigte – Daten zu einer Adresse passen, desto wertvoller. Ab besten mit Kreditkartennummer. Deshalb die Anfragen der vorgeblicher Kreditinstitute oder angebliche Benachrichtigungen über angebliche Riesengewinne. Unter Hundert Millionen Empfänger finden Sie immer mehrere Trottel. Wäre es anders, wäre der Spuk in wenigen Tagen vorbei. Doch die Dummen wollen nicht aussterben. Es scheint ein Gesetz der Evolution zu sein, dass eine kritische Menge Volltrottel nicht unterschritten werden kann. Es gibt keine Lotterie auf der Welt, bei der Millionen ausgeschüttet werden, und die Lose kostenlos sind. (Legale Online-Gewinnspiele haben einen anderen Sinn. Dazu später.) Geben Sie auch noch ihre PIN und eine Transaktionsnummer an, ist ihr Geld weg, wenn sich die Seite nach dem „Senden-Klick“ neu aufgebaut hat.

Genug der Vorbemerkungen: Was können Sie dagegen tun?

„Hilfe, mein Postfach wird zugemüllt – Spam und kein Ende?“ weiterlesen

Krankenkassen Spam von Maklerwelten und Timo Richert

Noch eine klein Ergänzung: Ich bin mal gespannt, ob mwm-net.com demnächst ausläuft. Laut WHOIS ist das registration-expiration-date der 2012-02-23 00:25:27

Hab lange kein Spam mehr von denen gesehen. Letzte waren ~ Juni 2011

Siehe auch: Antispam-Project

LinkedIn

Immer wieder schreiben mich nette Damen per E-Mail über LinkedIn an, um mit mir Kontakt aufzunehmen. Nur blöde, dass die Mails als SPAM erkannt werden. Worin der Sinn dieser Versuche besteht, war mir bisher nicht ganz einsichtig. Der Aufbau der Mail ist recht trivial. Der Kern besteht aus einem angeblichen Link, der oft folgende Form hat:
<a href=“http://excample.com/~abcd/abcd.html“>http://www.linkedin.com/nus-trk?trkact=viewMemberProfile&pk=member-home&poster=123456789</a>

Anmerkung: Nur was hinter href steht bestimmt, wohin die Reise geht. Was in der Seite angezeigt wird, ist Einerlei.

In einigen Fällen gab es die Datei hinter dem Link. Eine war nur 156 Byte groß und enthielt eine schlichte Umleitung auf eine weitere Seite. Der hier hinter stehende Server war zwar vorhanden, lieferte aber auch nach geraumer Zeit keine Antwort. Im zweiten Fall war die Umleitung etwas aufwändiger (ein paar Zeilen mehr) und es ging direkt um den Kauf von Viagra. Wer JavaScript aktiviert hat, der kommt in den Genuss der automatischen Umleitung und sieht diese Seite nicht. Für diejenigen mit deaktiviertem JavaScript gibt es einen Link zum Weiterkommen. 😉

Die Domain war in Russland registriert, aber es gab keine IP-Adresse mehr zum Namen. Mädels, so wird das nichts mit uns. (Ein WHOIS Eintrag muss nicht unbedingt stimmen.)

Die IP-Adresse von gofrisso.com wechselte während der Prüfung von 31.210.120.75 auf 91.226.78.139 und wieder zurück. Eine Analyse bei McAfee zeigt, dass diese Adresse nicht unbekannt ist. Ein Verweis auf Spamtrackers führt zu einer umfangreichen, wenn auch nicht ganz neuen Analyse.

Genug für heute! Wer mehr wissen will, lese bei SpamTrackers weiter.

Ach ja: Wer bei diesen Apotheken bestellt, sollte sich nicht wundern, wenn er nichts geliefert bekommt oder nur Placebos erhält.

Traumfiguren oder Potenzmittel aus der Online-Apotheke

Ja, in einer Welt haben es Männer schwer und sind zu schwer. Oder einfach: Dick. Was sagte Dr. Eckart von Hirschhausen dazu? Der Mensch hat die Tendenz mit dem Alter zuzunehmen. Er wog mal drei Kilo. Stets und immer können wollen, müssen oder sollen, ist angeblich ein weiteres Problem des zunehmenden Mannes. Gut dass es diese kleinen Helfer aus der Online-Apotheke gibt, schlecht – oder doch eigentlich gut, dass der Gesetzgeber der Beschaffung einige Hürden auferlegt hat. Sieht sich die Wunschbefriedigung gesetzlichen Hürden gegenüber, verhindern die Hürden nicht die Befriedigung der Nachfrage. Schnell finden sich Helfer, die damit Geld machen. Hohe Hindernisse und hoher Bedarf gehen meist einher und versprechen noch höhere Gewinnmargen. Für den möchte-gern Hengst oder König im Bett gibt es Viagra und Co bei der Swiss-Apotheke (www.swiss.apotheke.org) und gleich nebenan, auf dem selben physischen Server, Natur-Med (www.natur-med.net) mit den Pillen Lida Dai-Dai-Hua zum Abnehmen. Auch Wundermittel gegen Rauchen, Haarausfall und … Erektionsmittel für die Frau. Was will man mehr? Aber dies ist nicht mein Thema.

Damit es auch jeder weiß, wo diese Pillchen zu holen sind, beschießt man die Mail-Postfächer aus allen Rohren. Ich verrate daher kein Geheimnis, wenn ich einige Links hier angebe. Wer mehr haben möchte, schaue in seinen SPAM-Ordner.

Mein SPAM Filter hatte heute einen Aussetzer und so kamen diese sonst gut gefilterten Mails durch, was mich dazu veranlasste mal näher hinein zu schauen. Die Swiss-Apotheke und Co ist auf einem Server mit der Adresse 91.207.9.134 zu Hause. Einige Alias Namen dieser Seiten (natur-geheimnis-lida.in,
schlank-heute-mit-lida.info, schlank-jetzt-mit-lida.info, top-schlank-2012.eu) leiten über einen Server mit der IP-Adresse 182.72.138.99 auf den ersten weiter. Zwei der Domains sind zwar registriert, haben im DNS aber keine IP-Adresse hinterlegt. Ein Klick auf die Links führt damit ins Nirwana nicht zum Online-Shop.

Da die Hintermänner etwas für Datenschutz übrig haben ist der whois-Eintrag nicht hilfreich: Die Domains sind WhoisGuard Protected. Laut Impressum handelt es sich hinter den Seiten und eine

Online H.C limited
Avda. Andalucia, 96
26131 , Robres del Castillo
SPAIN

Diese Adresse im Impressum ist nicht als Text geschrieben, sondern als Grafik in die Seite eingebunden, womit es schwierig ist, diese Adresse über Google zu finden. Ein Schelm der Böses dabei denkt. Aber eine kurze Suche ergibt einen Hinweis auf das Lieferverhalten. Der in desem bBericht enthaltene Adresse führt auf einen weiteren Server: 109.123.121.248. Unten auf den Seiten findet sich ein Affiliates Link. Mir scheint, hier verschaffen sich einige Web-Master einen kleinen Zuverdienst – oder glauben es zumindest. Und sicher schreckt so mancher auch nicht davon zurück, das Geschäft mit ein paar SPAM Mails (auch nur eine Google-Suche entfernt) anzukurbeln.

Update:
Der Banner im Impressum kommt bei einigen Seiten von einem Server media.customer-support24.com und ist dort unter /affiliates/templates/impressum_banner.png?lang=de zu finden. Ich vermute, dass dieser Server die Quelle der Clones der WEB-Seiten ist.
End Update

Die Verbereitung der SPAM Mails scheint über ein Bot-Net zu laufen. Der Quelltext der MAils ist wenig aussagekräftig. Die meisten Absender stammen von dynamischen IP-Adressen. Ein Bot adressiert die Empfänger als neun To-Adressaten, eine andere als Blind-Copy.

Was mich etwas stutzig macht ist eine Mail mit drei Absendern, zwei davon mit einer zufälligen Mailadresse (so wie: Natur@___.de, med@___.de, Shop@pop.gmx.net) wobei die Domain ___.de mir gehört, aber mit der GMX-Empfängeradresse, in keiner Verbindung steht. Frage: Was haben die für eine Datenbasis? Oder ist dies Zufall? Dies Mail schafft es sogar den GMX-Spam Filter zu unterlaufen.

Genug für heute. Dem werde ich wohl mal nachgehen.

Kann man mit Glücksspielen reich werden?

Ein kurzer Nachtrag zu Spiel-Casino SPAM:

Natürlich, sehr reich sogar! Auch als Spieler. Dies ist nur sehr unwahrscheinlich. Viel wahrscheinlicher ist es, dass der Veranstalter – die Bank – sehr, sehr reich wird. Banken werden viel häufiger mit Sprengstoff als mit Fortune gesprengt. Spielregeln, insbesondere Grenzen für die Einsätze, sorgen dafür, dass die Bank auf Dauer auch bei hohen Gewinnen nicht Pleite geht. Die staatlichen Lotterien (6 aus 49 und ähnliche) haben es ganz pfiffig gemacht: Erstens zahlt der Spieler eine Grundgebühr für jedes Spiel, zweitens werden nur 50% der Einsätze als Gewinn ausgezahlt. „Sprengen“ der Bank unmöglich.

Wer also mit Glücksspiel reich werden will, muss zwei Dinge beherzigen. Erstens: Immer nur die Bank spielen. Zweitens: Genug Dumme finden, die die Rolle der Spieler übernehmen. Statt selbst die Dummen zu suchen, kann man auch Spiel-Casinos verkaufen.

Spiel-Casino SPAM

SPAM: Machen Sie aus 100 EUR ganze 400 EUR indem Sie sich in unserem lukrativen VegasVirtual anmelden
Ein großer Teil der täglichen SPAM Mails lockt mich Ahnungslosen mit einem Willkommens-Bonus zu einem Online – Spielcasino. Es ist nur ein Casino, wie eine Analyse der Mails Adressen schnell zeigt, auch wenn in den Absendern so schillernde Namen verwendet werden wie:

  • Vegas Virtual Club
  • EuroGaming Palace
  • Premier Players
  • Premier Players Club
  • Vegas Club
  • VegasVirtual
  • Vegas Virtual Club

Hier blinkt nicht die erste Warnleuchte: Finger weg! Aber heute bin ich neugierig. Ich würde gern das „Geschäftsmodell“ etwas genauer verstehen.

„Spiel-Casino SPAM“ weiterlesen