01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx107) with SMTP; 02 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
header:
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx009) with SMTP; 02 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123
Das wget sieht ganz interessant aus:
Code:
--2011-11-02 06:18:50-- http://www.couponpark.net/tracker.php?id=123
Auflösen des Hostnamen »www.couponpark.net«.... 95.211.33.77
Verbindungsaufbau zu www.couponpark.net|95.211.33.77|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 301 Moved Permanently
Platz: http://www.sexxy.de[folge]
--2011-11-02 06:18:50-- http://www.sexxy.de/
Auflösen des Hostnamen »www.sexxy.de«.... 62.141.33.174
Verbindungsaufbau zu www.sexxy.de|62.141.33.174|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Im HTML-Teil der Mail wird auch direkt auf whois:
[Link nur für registrierte Mitglieder sichtbar. ] verwiesen.
In den Whois-Daten steht ein gewisser M* K* der hier auch kein ganz unbeschriebenes Blatt ist (auch wenn hier ein "n" zu einem "l" gemacht wurde):
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]
Wie kann man nur noch versuchen über Leaseweb Mail zuzustellen? Das geht doch alles in die Tonne!
[Link nur für registrierte Mitglieder sichtbar. ]
Just my tencents ...
Geändert von schara56 (02.11.2011 um 06:41 Uhr)
Grund: Nachtrag
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx028) with SMTP; 03 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)
header:
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx074) with SMTP; 03 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123 -> weiter zu whois:
[Link nur für registrierte Mitglieder sichtbar. ]
"Abmelden" kann man sich hier: whois:
[Link nur für registrierte Mitglieder sichtbar. ]/index.php?mid=12
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
ich habe diese Mail auch mehrfach(!) erhalten, folgende Details beunruhigen mich:
- zwei völlig verschiedene Mailadressen, die aber beide vom selben Rechner abgerufen werden
- Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen
Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
- Virus/Trojaner? Ich scanne meine Rechner regelmäßig mit der Kaspersky AV-CD und dem Pendant von AVG, mit jeweils aktuellen Signaturen, und bin dabei immer sauber.
- Evtl. ein Exploit über eine Webseite?
- Zufall, und es wurden Daten von verschiedenen Dienstleistern gekauft/geklaut?
- Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen
Wohnst du in der Nähe einer größeren Stadt? Wenn nicht, wären das extrem zufällige Zufälle. Dein Verdacht wäre demnach berechtigt.
Zitat von Jackie78
Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
Das ist aus der Ferne schwer zu beurteilen.
Der einfachste Weg wäre eine HTML-Mail, die einen Webbug enthielt. Wenn Du Deinem Mailprogramm die Ausführung von HTML-Code und das Nachladen externer Inhalte erlaubst, kann ein Webbug wirksam werden. Man sendet Dir eine noch nicht weiter personalisierte Mail, die ein kleines, transparentes Bild enthält, welches mit einem Session-Code bei einem Webserver der Angreifer heruntergeladen wird. Die Session-ID ist Deiner Mailadresse eindeutig zuzuordnen, und der Webserver merkt sich dann noch die IP, über die man mit geeigneten Werkzeugen Deinen Standort mehr oder weniger genau herausfinden kann. Die nächsten Spammails sind dann dementsprechend mit einer Ortsangabe sozialisiert. Man nennt das Social Engineering. Das kann man sogar noch weiter treiben. An einer Uni meiner Heimatstadt wurden Mails aus dem Spamfilter gezogen, in denen ein akademischer Kontext vorgetäuscht wurde, denn alle Mailadressen enden ja auf uni-sonstwas.de. Man erhoffte sich daraus wohl eine höhere Klickrate. Hat aber nicht geholfen, der Spamfilter war schneller.
Ein Schädling kommt natürlich in Frage, dann wäre es nämlich ein Leichtes, den Standort Deines Rechners über die IP, die ja auch der Schädling zum Nach-Hause-Telefonieren nutzt, grob einzugrenzen. Und selbst bei immer aktuellen und meinetwegen auch bezahlten Schutzprogrammen ist ein Schädling nie ganz auszuschließen. Es gibt diverse Schadsoftware, die sich sehr tief ins System einnistet und sich als Bestandteil des Betriebssystems tarnt. Solange letzteres aktiv ist, können Schutzprogramme nichts finden, denn sie können Schädling und Betriebssystem nicht auseinander halten. Ganz sicher geht man deswegen nur durch einen Check, der auf einem inaktiven Betriebssystem gefahren wird, z.B. in dem an einen Virenscanner direkt von CD startet. Bei heise secutity findet sich eine gute, überblicksartige Einführung in die Materie.
Ein Exploit über eine Webseite kann es auch sein, aber dabei ist eher davon auszugehen, dass versucht wird, oben beschriebenen Schädling sehr tief einzupflanzen. Die Sicherheitslücken, die dafür genutzt werden, berühren nämlich mehrheitlich Mängel im Betriebssystemkern, und wenn man einmal dort ran kommen kann, wäre es aus Crackersicht unsinnig, nur ein paar Daten zu entwenden. Bei solchen Exploits wird in der überwiegenden Mehrzahl der Fälle ein Zombieprogramm installiert, über dass man dann irgendwann zum Teil eines Botnetzes wird.
Auch der Datenklau oder -kauf ist natürlich denkbar. Wobei man für die Kombination "Mailadresse - Wohnort" schon vergleichsweise teure Datensätze kaufen müsste. Zum einen wäre der Handel mit dieser Kombination nämlich illegal, zum anderen wird eine Mailadresse häufig nicht direkt mit dem Wohnort verknüpft. Man müsste also schon Stammdaten aus Kundendatenbanken erwerben oder – was ich für wahrscheinlicher halte – entwenden.
Wenn es wirklich eine erkennbare Häufung gibt, liegt für mich der Schädlingsverdacht am nächsten. Der Schädling muss sich auch nicht unbedingt bei Dir eingenistet haben. Es kann auch der Rechner von jemandem kompromittiert worden sein, der sein Adressbuch nicht nur mit Mailadressen füttert, sondern auch mit Anschriftendaten. Da solche Datensätze wertvoll sind, werden sie entsprechend häufig von Schädlingen komplett ausgelesen und an den Heimatrechner weitergegeben. Anderer denkbarer Weg ist ein Hack bei sozialen Netzwerken, bei dem jemand das Passwort eines nahen Bekannten von Dir geknackt hat und dann alle verfügbaren Informationen runter lädt. Oder es wird gleich das gesamte soziale Netzwerksportal angegriffen und man lädt dann Daten im großen Stil runter.
Oder, oder, oder... Ich würde meinen Rechner gründlich auf Schädlinge überprüfen (siehe oben), oder, wenn man kühn genug ist, gleich das ganze System neu aufsetzen. Mehr wirst Du nicht tun können, denn die Spammer wird man nicht so dingfest machen können, dass sie für die Justiz greifbar wären.
Die "arme" Direct2Solutions GmbH kann doch gar nix dafür. Es wird immer über Leaseweb gespamt und darin nicht mal die Seite sexxy.de beworben.
header:
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx094) with SMTP; 06 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Sun, 6 Nov 2011 xx:xx:xx +0100 (CET)
header:
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx093) with SMTP; 06 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Sun, 6 Nov 2011 xx:xx:xx +0100 (CET)
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123
Zitat von Spammy
...] Haben Sie Fragen zu dieser E-Mail?
Wenden Sie sich direkt an unseren Kundenservice.
Kundenservice:
[Link nur für registrierte Mitglieder sichtbar. ]
Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF [...
Zu doof, dass kein MX-Eintrag für diese Domain existiert...ja in der Tat: anscheinend gibt es die Domain nicht oder die Delegierung ist im Eimer.
Code:
> set q=mx
> media-supplies.eu
Server: google-public-dns-b.google.com
Address: 8.8.4.4
*** media-supplies.eu wurde von google-public-dns-b.google.com nicht gefunden: Non-existent domain.
> set q=soa
> media-supplies.eu
Server: google-public-dns-b.google.com
Address: 8.8.4.4
*** media-supplies.eu wurde von google-public-dns-b.google.com nicht gefunden: Non-existent domain.
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Moin, bekomme ich seit Freitag auch. Sehr merkwürdig ist die persönliche Anrede mit richtigem Vornamen (Brett R Zaun).
Da der vollständige Vorname bei mir nur bei bestellungen (mittlerweile habe ich hierfür seit geraumer zeit eine eigene Mail-Domain) verwendet wurde, gehe ich stark davon aus das hier jemand kundendaten entweder verkauft oder gestohlen hat.
Müsste ich dann allerdings mal im Archiv nachsehen wer da evtl. in frage kommt, soviele waren es unter der addy nicht, 3 oder 4..
Lustigerweise wird im Header ja gleich ein Abmelde-Link mitgeschickt
Hallo Leute,
habe heute diese Mail im SPAM-Ordner gefunden:
---------------------------------------------------------------------------------------------------------------------
Hallo , (hier fehlt schon mein Name)
Du hast eine private Nachricht von Lena83 Hennef erhalten.
Klicke einfach nachfolgenden Link und rufe die Nachricht ab.
Jetzt zur Nachricht: http://www.couponpark.net/tracker.php?id=425
Bei uns bleibst du völlig anonym.
---
------
Diese Nachricht wurde durch Media Supplies versendet.
Sie möchten keine weiteren Angebote von uns erhalten?
Klicken Sie folgenden Link zum Abmelden:
http://www.couponpark.net/ whoishttp://www.couponpark.net
-------
Haben Sie Fragen zu dieser E-Mail?
Wenden Sie sich direkt an unseren Kundenservice.
Kundenservice:
[Link nur für registrierte Mitglieder sichtbar. ]
Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF
---------------------------------------------------------------------------------------------------------------------
der Header
header:
01: Received: from [95.211.33.77] (helo=couponpark.net)
02: by mx32.web.de with esmtp (web.de 4.110 #2)
03: ID: [ID filtered]
04: for poor [at] spamvictim.tld; Wed, 02 Nov 2011 xx:xx:xx +0100
05: Received: from localhost.localdomain (localhost [127.0.0.1])
06: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
07: for <poor [at] spamvictim.tld>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
08: Date: Wed, 2 Nov 2011 xx:xx:xx +0100
09: To:poor [at] spamvictim.tld
10: From: Neue Nachricht <nachricht [at] couponpark.net>
Zu doof, dass kein MX-Eintrag für diese Domain existiert...ja in der Tat: anscheinend gibt es die Domain nicht oder die Delegierung ist im Eimer.
[klugscheiss]Besser ist es, den Onkel WHOIS nach einer Domain zu fragen.[/klugscheiss]
Da gibt es die Domain tatsächlich, registriert über Cronon/Vautron - allerdings ohne einen Nameserver. Das ist nicht ganz nach RFC, IIRC. Aber die Telefonnummer von Vautron passt, und die waren früher mal richtig pedantisch mit den WHOIS-Daten.
Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.
Lesezeichen