Guten Morgen zusammen, dieser Spam ist hier gestern aufgeschlagen:

Hallo Herr [falscher Nachname],

wir suchen Mitarbeiter für leichte Büro-Arbeiten in Heimarbeit.

Verdienst: bis zu 15 Euro /Stunde

Tätigkeitsfelder:

•Texte abtippen
•Datenerfassen
•Texte korrekturlesen

Interesse? Hier erfahren Sie mehr

Mit freundlichen Grüßen
Supportteam Markt-Nachrichten



Hinweise:

Sie können sich aus diesen Newsletterverteiler selbstverständlich abmelden.
Um sich aus diesem Verteiler auszutragen, klicken Sie bitte auf folgenden Link:
austragen

Sie erhalten diese Information, weil Sie sich bei einem unserer Kooperationspartner-[snip] für
einen Newsletter mit [snip] angemeldet haben.
Sollten Sie hierzu Fragen haben, so können Sie sich an uns wenden
und wir werden hierzu Ihr Anliegen an unseren Partner weiterleiten.

Bei Fragen zu dem beworbenen Produkt wenden Sie sich bitte direkt an den Anbieter.

Die Performance Interactive Marketing Ltd. ist technischer Versender und nicht Inhaber Ihrer Kontaktdaten.
Regressansprüche gegen die Performance Interactive Marketing Ltd. sind ausgeschlossen.

Mit freundlichen Grüßen
- Performance Interactive Marketing Ltd. -

Performance Interactive Marketing Ltd.
483 Green Lanes, London, N13 4BS, Great Britain
Company Number 8520208 Director: U[snip] Z[snip]
Ihr direkter Kontakt zu uns:[WHOIS]www.markt-nachrichten.eu[/WHOIS/contact.html
Alle Links führen über whois: [Link nur für registrierte Mitglieder sichtbar. ]/ auf whois: [Link nur für registrierte Mitglieder sichtbar. ]/?c=[snip]

Dort im Impressum:

WebWorker24 International Services
Monica Adams, CEO and Founder
24 Regent Street
Belize City
Belize
Ja nee, ist klar... Sei es drum. Trägt man jetzt irgendeinen Mumpitz in das Registrationsfeld ein, startet ein ca. 20 Minuten langer Werbefilm: whois: [Link nur für registrierte Mitglieder sichtbar. ]/index2.php?action=praesentation&intId=[snip]&pId=[snip]&c=[snip]

Anstatt sich das Video vollständig anzusehen, reicht auch ein Blick in den Quelltext, um zu sehen, wo die Reise hin führt:

Code:
 $(document).ready(function () {
                                        $('#directOrderBtn').on('click', function (e) {
                                            e.preventDefault();
                                            var priceid = $(this).attr('data-priceid');
                                            var clickId = $(this).attr('data-clickId');
                                            window.open('whois:

[Link nur für registrierte Mitglieder sichtbar. 

]/order.php?prodId=103&priceId=' + priceid + '&clickId=' + clickId);
Ein bisschen Spionage ist selbstredend auch an Bord:

Code:
 <img src="whois:

[Link nur für registrierte Mitglieder sichtbar. 

]/campaign/conversion/3442?t=NjA1" height="1" width="1" border="0" alt="">
            <img src="whois:

[Link nur für registrierte Mitglieder sichtbar. 

]/adclick.php" width="1" height="1" border="0" />
Folgt man nun dem Werbelink landet man bei: whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.php?lp=[snip]&userId=[snip]&prodId=[snip]&priceId=4[snip]&clickId=[snip]

Hier kann man dann einen nicht näher beschriebenen "Sofortzugang" bei WebWorker24 kaufen:

WebWorker24

Lebenslanger VIP-Zugang und Bonus-Infopaket zum einmaligen Sonderpreis.
Sie erhalten Ihre Zugangsdaten sofort, auch wenn es gerade 3 Uhr nachts ist.

Zum Preis von 67,00 €
Ferner gibt es diese Info:

UnitedStores24 ist NICHT der Autor/ Hersteller des Produktes. UnitedStores24 ist die Handelsplattform, über die Sie Ihre Bestellung beziehen, und verantwortlich für die korrekte Zahlungsabwicklung
Dort im Impressum:

UnitedStores24 GmbH
im Technologiezentrum Jülich
Karl-Heinz-Beckurts Str. 13
52428 Jülich

Telefon: 0049 (02461) 70 39 999
Email: [Link nur für registrierte Mitglieder sichtbar. ]
Mag mal jemand den Namen des Geschäftsführers I. G. googlen. Was findet man direkt? Genau AdressButler, die Datensammler vor dem Herrn...

Deutscher Spam, deutsche Zielgruppe, deutscher Spammer (U. Z., wohnst du noch in 19357 Pinnow?), deutscher Zahlungsdienstleister. Aber in Belize, bzw. GB sitzen wollen.

Hier noch der Header:


header:
01: Return-Path: <bounce[BOUNCE filtered]@mailing4.srvb3.net>
02: Received: from smtp10.srv100.srvb3.net ([148.251.224.106]) by mx-ha.gmx.net
03: (mxgmx105) with ESMTP (Nemesis) ID: [ID filtered]
04: Received: from mailserver1 (unknown [89.191.66.119]) by smtp10.srv100.srvb3.net
05: (Postfix) with ESMTP ID: [ID filtered]
06: DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=markt-nachrichten.eu; s=srv100;
07: t=[snip]; bh=[snip]=; h=Date:From:Reply-To:To:Subject:List-Id:From;
08: b=[snip]
09: Date: Mon, 18 Jan 2016 xx:xx:xx +0100 (CET)
10: From: Vermittlungsstelle <info [at] markt-nachrichten.eu>
11: Reply-To: Markt Nachrichten <support [at] markt-nachrichten.eu>
12: To: [snip]
13: Message-ID: [ID filtered]
14: Subject: =?UTF-8?Q?Jobangebot_f=C3=BCr_Sie?=
15: MIME-Version: 1.0
16: Content-Type: text/html; charset="UTF-8"
17: Content-Transfer-Encoding: quoted-printable
18: List-ID: [ID filtered]
19: Envelope-To: <[snip]>
20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
21: X-GMX-Antivirus: 0 (no virus found)

Weitere Infos gibt es auch beim Burrenblog: [Link nur für registrierte Mitglieder sichtbar. ]