Ergebnis 1 bis 3 von 3

Thema: Warnung: FINCA ROTANA CORAZON Mallorca, koebe-kommunikation.de, premium-finca.de

  1. #1
    ### nicht streicheln ### Avatar von Nebelwolf
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.657

    Standard Warnung: FINCA ROTANA CORAZON Mallorca, koebe-kommunikation.de, premium-finca.de

    Heute ist bei mir eine Spammail eingetroffen, die ich als gefährlich einstufe. Der Absender einer derartigen Spammail verfolgt möglicherweise kriminelle Ziele, da er mit Hilfe der Mail heimlich Daten ausspäht kann, die die Voraussetzung für einen Angriff auf meine IT-Infrastruktur darstellen. Diesen Angriff hat die c't erst vor ein paar Wochen beschrieben, der Text ist jetzt öffentlich auf heise.de zu lesen:

    Ein Spam-Opfer hackt zurück.
    ( https://www.heise.de/ct/artikel/Ein-Spam-Opfer-hackt-zurueck-4416729.html )


    header:
    01: From - Thu Jun 6 [...] 2019
    02: Delivery-date: Thu, 06 Jun 2019 [...] +0200
    03: Received: from [...] (helo=[...])
    04: by [...] with esmtps (TLSv1.2:[...]:256)
    05: (Exim 4.90_1)
    06: (envelope-from <newsletter [at] companiacorazon.de>)
    07: ID: [ID filtered]
    08: Return-path: <newsletter [at] companiacorazon.de>
    09: X-Envelope-to: [...]
    10: Received: from [134.119.1.181] (helo=mx1.koebe-kommunikation.de)
    11: by [...] with esmtps (TLSv1.2:[...]:256)
    12: (Exim 4.90_1)
    13: (envelope-from <newsletter [at] companiacorazon.de>)
    14: ID: [ID filtered]
    15: for [...]; Thu, 06 Jun 2019 [...] +0200
    16: Received: from [192.168.0.7] (p5DEC44D5.dip0.t-ipconnect.de
    17: [93.236.68.213])
    18: (authenticated bits=0)
    19: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]
    20: for <[...]>; Thu, 6 Jun 2019 [...] +0200
    21: Message-ID: [ID filtered]
    22: Mime-Version: 1.0
    23: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>
    24: From: FINCA ROTANA CORAZON <mail [at] premium-finca.de>
    25: To: [...]
    26: Subject: Genuss-, Wellness- und Erholungstage auf der FINCA ROTANA CORAZON - Mallorca
    27: 2019
    28: Date: Thu, 6 Jun 2019 [...] +0200
    29: X-Received-SPF: none ( [...].de: domain of companiacorazon.de does not provide
    30: an SPF record )

    Schauen wir uns den Weg der Spammail an:
    Abgeschickt wurde die Spammail von der IP-Adresse 93.236.68.213, diese gehört laut Domaintools zu einem Telekom-Anschluß in Reutlingen und paßt gut zu 72805 Lichtenstein.

    Die an der Spamaktion beteidigten Domains und IP-Adressen:
    koebe-kommunikation.de, 137.74.127.233, OVH, NS: domaindiscount24.net
    mx1.koebe-kommunikation.de, 134.119.1.181, domainfactory GmbH, NS: domaindiscount24.net
    premium-finca.de, 217.160.122.105, 1&1, NS: ui-dns
    companiacorazon.de, 217.160.122.105, 1&1, NS: ui-dns

    Die Spammail wurde offenkundig über die Infrastruktur von koebe-kommunikation.de von einem Telekon-Anschluß im Großraum Reutlingen versendet!

    Hier nun der Textkörper, beworben werden die Domains koebe.de, fluege.de und premium-finca.de. Der Quelltext ist gespickt mit sogenannten "Webbugs", die scheinbar personenbezogene Daten an die Website koebe.de übermitteln:

    2 Bonbon-Preise heute für Ihren Sommer- und Herbst-Urlaub 2019
    auf der FINCA ROTANA CORAZON auf Mallorca

    Liebe Finca Urlauber,

    nutzen Sie heute unser Sommer- und Herbst - Special zum Kennenlernen:

    Eine Auszeit nehmen, gutes Essen genießen, Tiefen-Entspannung finden, mal Ausschlafen, zur Ruhe kommen, Schwimmen, einen traumhaften Garten genießen ... dieses und noch mehr bietet Ihnen diese Traum-Finca, die ROTANA CORAZON auf Mallorca.

    [...]

    Flüge finden Sie immer problemlos bei Condor, TUIfly, Eurowings, Germanwings, Ryanair, Easyjet, Vueling, Laudamotion oder www.fluege.de etc.

    Schnell und umfassend können Sie sich auf der Website www.premium-finca.de
    im Detail über das Anwesen informieren.
    Eine kompakte Infobroschüre steht Ihnen hier zum Download zur Verfügung.

    [...]

    Wir freuen uns auf Ihre Anfrage und verbleiben bis dahin
    mit freundlichen Grüßen aus Lichtenstein / Württemberg

    Julia Z[...] + Ulli K[...]
    Das Team der FINCA ROTANA CORAZON

    [...]

    Buchungen, Reservierungen und weitere Informationen unter:
    Tel.: 07129 936 8[...], Compania Corazon oder
    www.premium-finca.de

    © Compania Corazon | mail@premium-finca.de | Impressum
    Gesetzlich vorgeschriebene Pflichtangaben fehlen in dieser Spammail. Alle in der Spammail enthaltenen Links führen auf die Websiten koebe.de und premium-finca.de. Twei typische Beispiele für einen Webbug ist der folgende Code,die [...] ersetzen Ketten mit rund 250 Zeichen:

    <img src=3D"http://www=2Ekoebe=2Ede/data/lm/lm=[...]?tk=[...]&url=3D" height=3D"1" width=3D"1" />
    http://www.koebe.de/data/lm/lm.php?tk=[...]&url=http%3A%2F%2Fwww.premium-finca.de%2Fimpressum.html
    Das auf koebe.de hinterlegte Impressum zeigt merkwürdige VAT-IDs, die zu keinem EU-Staat passen. Der Standort paßt zur oben genannten IP der Telekom aus Reutlingen.

    Nebelwolf

  2. #2
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.877

    Standard

    Die Kasper sind gestern auch bei mir aufgeschlagen. Spamtechnisch der gleich Rotz, anscheinend direkt vom Home-Office am Telekom-Anschluss aus versendet.

    header:
    01: Return-Path: <newsletter [at] companiacorazon.de>
    02: Received: from unknown (HELO mx1.koebe-kommunikation.de) (134.119.1.181)
    03: by meinMX with ESMTPS (DHE-RSA-AES256-SHA encrypted); 7 Aug 2019 14:XX:XX -0000
    04: Received-SPF: none (meinMX: domain at companiacorazon.de does not designate permitted
    05: sender hosts)
    06: Received: from [192.168.0.7] (p5DEC4868.dip0.t-ipconnect.de
    07: [93.236.72.104])
    08: (authenticated bits=0)
    09: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]
    10: for <me [at] work>; Wed, 7 Aug 2019 16:XX:XX +0200
    11: Message-ID: [ID filtered]
    12: Mime-Version: 1.0
    13: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>
    14: From: U* K* STUDIOS <newsletter [at] companiacorazon.de>
    15: To: "me" <me [at] work>
    16: Reply-To: ulli [at] koebe.de
    17: Subject: Herbstwochen pur - zum Entspannen und Wellnesserholen auf der FINCA ROTANA
    18: CORAZON auf Mallorca
    19: Date: Wed, 7 Aug 2019 16:XX:XX +0200
    20: X-Bounce-Tracking-Info: <NixGibts>
    21: Content-type: multipart/alternative; Boundary="--=X"

    Spamvertized wird whois:www.premium-finca.de, allerdings liegen dahinter Tracking-Links, um den Mailempfänger auszuspionieren. Selbst die Klicks auf "Impressum" oder die angegebene Mailadresse werden getrackt: whois:http://www.koebe.de/data/lm/lm.php?tk=<base64-Geblubber>&url=http%3A%2F%2Fwww.premium-finca.de%2Fimpressum.html
    "tk" enthält einen Fixed-Length-Record mit Realnamen (oder das was Spammy dafür hält, in meinem Fall der Localpart der Mailadresse), Mailadresse, Mail-Subject, eine Nummer, ein etwas missglücktes Sendedatum, ein Bezeichner(?), noch eine Nummer, eine Aktion (bounce, click, ...?) und zwei logische FLags (yes/no).

    admin@koebe-kommunikation.de, mail@premium-finca.de, ulli@koebe.de und newsletter@companiacorazon.de freuen sich über Newsletter-Abmeldungen[TM].

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  3. #3
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.877

    Standard Einfühlsamer Barde - das TOM LÜNEBURGER - KONZERT in den ULLI KOEBE DAYLIGHT-STUDIOS

    Der Ulli macht jetzt auf "artgallery reutlingen" - und rotzt mir wieder Spam für einen Jammerlappen rein.
    Denen würd ich am liebsten, passend zum Termin, mal den Krampus vorbeischicken.

    header:
    01: Return-Path: <zielke [at] koebe.de>
    02: Received: from unknown (HELO mx1.koebe-kommunikation.de) (134.119.1.181)
    03: by meinMX with ESMTPS (DHE-RSA-AES256-SHA encrypted); 30 Nov 2019 12:XX:XX -0000
    04: Received-SPF: none (meinMX: domain at koebe.de does not designate permitted sender
    05: hosts)
    06: Received: from [192.168.0.7] (p57A5F877.dip0.t-ipconnect.de
    07: [87.165.248.119])
    08: (authenticated bits=0)
    09: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]
    10: for <uralte [at] mailadresse>; Sat, 30 Nov 2019 13:XX:XX +0100
    11: Message-ID: [ID filtered]
    12: Mime-Version: 1.0
    13: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>
    14: From: DIGI-LOG STUDIOS ULLI KOEBE Lichtenstein <ulli [at] koebe.de>
    15: To: uralte [at] mailadresse
    16: Subject:
    17: =?utf-8?Q?Einf=C3=BChlsamer_Barde_-_das_TOM_L=C3=9CNEBURGER_-_KONZERT__in_den__ULLI__KOEBE__DA
    18: LIGHT-STUDIOS_am_Freitag,_den_6.12.2019?=
    19: Date: Sat, 30 Nov 2019 13:XX:X +0100
    20: X-Bounce-Tracking-Info: *snip*
    Falls die Darstellung der E-Mail nicht möglich ist, klicken Sie bitte hier um eine Browser Version aufzurufen.
    artgallery Reutlingen
      – Adventsabend mit Tom Lüneburger am Nikolaustag - Freitag, den 6.12.2019 –
    TOM LÜNEBURGER

    Sehr verehrte Musikfreunde,
    liebe Kunden,
    liebe Freunde der artgallery-Konzertreihe

    Wir freuen uns Tom Lüneburger wieder bei uns zu einem vorweihnachtlichen Adventsabend in unseren Studios begrüßen zu dürfen. Wir begrüßen diesen Ausnahmemusiker aus Berlin in den Daylight-Loft-Studios in Lichtenstein am

    Freitag, den 6. Dezember 2019

    In unserem heimeligen Ambiente mit Kaminofen freuen wir uns auf neue einfühlsame Songs von Tom.

    Wir starten mit der gewohnten „Saalöffnung" um 18.30 Uhr.
    Das Konzert beginnt um 20.00 Uhr.

    Video zum Song "We are One" - Tom Lüneburger & Stefanie Kloß

    Video zum Song "Losing" - Tom Lüneburger

    whois:www.tomlueneburger.com/
    whois:www.facebook.com/tomlueneburgermusic

    Wir freuen uns riesig auf ein Wiedersehen in bekannter Location + Atmosphäre und auf einen schönen Abend mit
    Tom Lüneburger.

    Bitte informieren Sie uns zur besseren Vorbereitung des Abends durch Ihre Reservierung
    und mit wie vielen Gästen Sie uns besuchen kommen.
    ulli@koebe.de und Tel. 07129 936 888

    Der Eintritt ist kostenfrei.
    Wir wünschen uns von unseren Freunden,
    und unserem Publikum eine angemessene Spende
    in "geräuschloser Euro-Scheinform".

    Vielen, vielen Dank für Euer Kommen.


    U* K*
    artgallery reutlingen
    DAYLIGHT-LOFT-STUDIOS
    Wilhelmstraße 162-164
    72805 Lichtenstein
    Tel.: 07129 / 936 888
    ulli@koebe.de

    © Koebe 2019 | ulli@koebe.de | [whois]www.koebe.de[/wohis]

    artgalleryreutlingen-website erstellt durch die ULLI KOEBE STUDIOS Lichtenstein/Württemberg
    Klar ich fahr 400 km um mir das Geheule anzuhören.

    Die Links sind allesamt tracking-verseucht. B64-codiert werden da Mailadresse, Subject, zwei IDs und "click" sowie "yes" und "no" übergeben. Spammy behält also seine Masche bei.

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen