IP 157.97.76.185 = X - Ion GmbH, Hamburg
IP 137.74.87.66 = Schwarzhut OVH in Roubaix, Frankreich
Gespammt wird im Auftrag von Weinhändler Vicampo.
In diesem Fred (an den ich mich nicht dranhängen wollte, da es dort um World of Shopping geht)
[Link nur für registrierte Mitglieder sichtbar. ]
schreibt thomas.gr in #20
Zitat von thomas.gr
Vicampo auch im Mai. Sowohl über Target Team Europe als auch über vitalox Informationssytseme GmbH
Als ich das gelesen habe, hatte ich selbst noch keinen Spam von vitalox Informationssysteme GmbH bekommen und ich habe es für Zufall gehalten, dass Vicampo über zwei verschiedene und, wie ich annahm, voneinander unabhängige Spammerbutzen den Spam verteilt.
Nun, nachdem ich das zweifelhafte „Vergnügen“ habe, die Quelltexte von Target Team Europe und den Quelltext von vitalox Informationssysteme miteinander vergleichen zu können, kann ich nicht mehr an Zufall glauben.
Eine Sache ist zu auffällig und lässt mehr als nur den Verdacht aufkommen, dass da im Hintergrund eine Organisation am Werke ist, die in einem Topf für Target Team Europe und für vitalox die Daten aufbereitet und verwaltet und den Spam organisiert.
(Man sehe mir bitte nach, dass ich, da ich noch an der Sache dran bin, noch keine Details nennen möchte).
Vicampo scheint die Spammerei nötig zu haben.
Meiniger Verlag
[Link nur für registrierte Mitglieder sichtbar. ]
Das, was mir im Quelltext aufgefallen war, waren die Abmeldelinks.
Da mehrere ihren Spam ins Internet hochgeladen haben, konnte ich mit dem, was ich selbst abbekommen habe, nun 43 Spam-Mails (34 verschiedene, 9 Dubletten) von Target Team Europe S. L. (nachfolgend TTE) und vitalox Informationssysteme GmbH (nachfolgend vitalox) aus dem Jahr 2020 vergleichen. *)
Das sieht schon mal verdächtig ähnlich aus für zwei Firmen, die scheinbar nichts miteinander zu tun haben.
Die „9876543210“ ist in Wirklichkeit eine zehnstellige Zahl, die mit 1 anfängt. 2020 bei jedem Abmeldelink von TTE und vitalox die erste und die sechste Zahl, es gibt nie einen Unterschied zwischen erster und sechster Zahl.
Es ist ein weiteres personalisiertes Merkmal, ich nenne es mal die Spamopfernummer.
Ich kann keinerlei Merkmal erkennen, nach welchem System die Spamopfernummern von den Spammern zugeordnet sein könnten. Es sieht so aus, als ob die unabhängig vom jeweiligen Spammer fortlaufend vergeben werden.
Bei TTE und bei vitalox habe ich jeweils eine eigene Spamopfernummer.
Es sieht so aus, als ob es pro Spammer und E-Mail-Adresse eine Spamopfernummer gäbe.
Hier die chronologisch sortierte Tabelle mit den 2. bis 5. Zahlen aus den verschiedenen Abmeldelinks bis Mitte Juli 2020
Datum / Absender /client_id / ?? / campagne_id / message_id
02.04.20 T. T. E 20163 453666 1143936 496241
09.04.20 T. T. E 20163 453666 1145734 505303
12.05.20 T. T. E 20163 453666 1150462 507469
14.05.20 vitalox 20107 453666 1150787 508380
14.05.20 T. T. E 20163 453666 1150893 508461
17.05.20 T. T. E 20163 453666 1151124 508633
22.05.20 vitalox 20107 453666 1150827 508412
30.05.20 vitalox 20107 453666 1152951 509453
01.06.20 vitalox 20107 453666 1152301 509315
02.06.20 vitalox 20107 453666 1152714 509590
02.06.20 T. T. E 20163 453666 1152857 509678
09.06.20 T. T. E 20163 453666 1153954 510210
11.06.20 vitalox 20107 453666 1154174 510490
13.06.20 T. T. E 20163 453666 1154645 510792
17.06.20 vitalox 20107 453666 1154577 510758
18.06.20 vitalox 20107 453666 1155175 510050
19.06.20 vitalox 20107 453666 1154293 510570
21.06.20 vitalox 20107 453666 1153060 509779
22.06.20 vitalov 20107 453666 1154958 510968
23.06.20 T. T. E 20163 453666 1155720 510696
24.06.20 vitalox 20107 453666 1155025 511001
26.06.20 vitalox 20107 453666 1156131 509651
26.06.20 T. T. E 20163 453666 1156203 510210
03.07.20 vitalox 20107 453666 1156504 511852
04.07.20 T. T. E 20163 453666 1157258 511977
08.07.20 vitalox 20107 453666 1156955 512173
13.07.20 vitalox 20107 453666 1158094 512942
Zweite Zahl des Abmeldelinks: Client-ID
Rechnet TTE mit Kundennummer 20163 ab, vitalox mit Kundennummer 20107?
Dritte Zahl des Abmeldelinks, die 453666
Keine Idee, was das sein könnte.
Auffällig und verdächtig ist auf jeden Fall, dass bei zwei (und, siehe unten, noch mehr) verschiedenen Firmen diese Nummer im Abmeldelink auftaucht.
Vierte und fünfte Zahl des Abmeldelinks: campagne_id und message_id
Wie kommt es, dass es gar nicht auffällt, dass es da um zwei verschiedene Firmen geht?
Egal, ob ich das numerisch nach campagne_id sortiere oder numerisch nach message_id, TTE und vitalox sind immer bunt gemischt.
Was eigentlich nur möglich ist bei Absprachen. Oder gar mehr?
Abgeladen wurde das über whois:beyond-mta.de, TTE 12 Mal, vitalox 17 Mal whois:dmp-mta.de, TTE 1 Mal, vitalox 8 Mal whois:bmm1.de, vitalox 4 Mal whois:vwwr.de, vitalox 1 Mal
Benutzt wurden auch IP-Adressen aus dem Bereichen 137.74.87.xxx, 51.38.2.208-223 oder 51.89.60.xxx, d. h. die von Beyond Relationship Marketing GmbH, Hamburg
Weitere Funde:
Im November 2015 gab es Spam vom „technischen Versender“ Schloss Werk GmbH (gleicher Geschäftsführer wie TTE) mit diesem Abmeldelink
http:// konsumenten-news .de/U?20105-453666-809558-262430-098765432
Received: from relay62.whois:konsumenten-news.de ([78.46.105.xxx])
konsumenten-news .de = Beyond Relationship Marketing GmbH, Hamburg
Das wäre also wohl die Kundennummer 20105. Die Spamopfernummer (hier mit 098765432 neutralisiert) war 2015 bis 2017 noch neunstellig und nur am Schluss des Links. Und da ist sie auch wieder, die mysteriöse Zahl 453666.
TTE hat im Januar 2016 auch schon Spam abgedrückt
http:// tt-europe-mail .com/U??20163-453666-820528-268006-098765432
Received: from smtp6-16.whois:tt-europe-mail.com ([5.196.106.251])
http:// tt-health-mail. com/U?20163-453666-820772-269927-098765432
Received: from smtp6-16.whois:tt-europe-mail.com ([5.196.106.251])
IP 5.196.106.251 = Beyond Relationship Marketing GmbH
Im August 2016 gab es Spam vom „technischen Versender“ Geno Media Circle GmbH mit diesem Abmeldelink
http:// geno-mailings. de/unsubscribe?20116-453666-863156-299913-098765432
Received: from smtp2-60.whois:geno-mailings.de ([144.76.161.xxx])
Kundenummer 20116, die mysteriöse Zahl 453666 und der Rest.
geno-mailings .de = bei CentralOps taucht auch Beyond Relationship Marketing GmbH auf
Hier
[Link nur für registrierte Mitglieder sichtbar. ]
berichtet im Februar 2017 in #1 Rainer von einem Spam, der gut ins Bild passt.
Im Abmeldelink fällt mir die Zahl 20165 auf. Kundennummer der GFOM Ltd.?
Abgekippt war der Spam über IP 78.47.1.241 = Beyond Relationship Marketing GmbH
Im Februar 2017 Spam von Playa Games mit diesem Abmeldelink
http:// mailings.playa-games .com/unsubscribe?20131-453666-901969-327708-098765432
Received: from smtp1-87.mailings.whois:playa-games.com ([138.201.100.xxx])
Kundennummer 20131, die mysteriöse 453666 und der Rest.
Laut Internetseite von Beyond Relationship Marketing ist, zumindest aktuell, Playa Games Kunde von denen.
Anfang Mai 2020 gab es Spam von der im Forum bekannten red lemon media GmbH, Eschborn
https: //byrlmdsoone. de/unsubscribe?20154-453666-1149388-507605-9876543210
Received: from smtp10-189.whois:beyond-mta.de ([51.89.60.xxx])
Kundennummer 20154, die mysteriöse 453666, auch der Rest passt, allerdings steht die Spamopfernummer hier nur am Schluss des Links, während sie 2020 bei TTE und vitalox auch am Anfang steht. whois:byrlmdsoone.de = bei CentralOps taucht auch Beyond Relationship Marketing GmbH auf
Mitte Dezember 2019 gab es Spam vom im Forum bekannten Versender Better Mail Media GmbH für smava whois:
[Link nur für registrierte Mitglieder sichtbar. ]/austragen.php?20237-453666-1717915-1635804-9876543210
Received: from smtp10-107.beyond-mta. de ([51.89.60.xxx])
Kundennummer 20237, die mysteriöse 453666.
ABER:
Die campagne_id passt nicht.
Die message_id passt gar nicht, die ist hier siebenstellig, ansonsten sind die generell sechsstellig.
Die Spamopfernummer passt zwar, steht hier aber nur am Schluss da
Im März und im April 2020 gab es jeweils Spam von Advice Global ltd, Malta
https:// news.skriber. de/unsubscribe?20247-453666-1742804-1655024-9876543210
Received: from smtp10-127.whois:beyond-mta.de ([51.89.60.xxx])
https: //news.skriber. de/unsubscribe?20247-453666-1776652-1681434-9876543210
Received: from smtp10-054.whois:beyond-mta.de ([51.89.60.xxx]) whois:news.skriber.de = bei CentralOps taucht auch Beyond Relationship Marketing GmbH auf
Kundennummer 20247, die mysteriöse 453666.
ABER:
Die campagne_id passen nicht.
Die message_id passen gar nicht, die sind hier siebenstellig.
Andererseits sind campagne_id und message_id aber passend zu denen von Better Mail Media.
Die Spamopfernummern passen zwar, stehen hier aber nur am Schluss da.
Alles nur Zufall? Oder zufällig das Ergebnis exzellenter Zusammenarbeit?
Bleiben also noch einige Fragen:
- Wer ist das, mit wem die genannten Kundennummern abrechnen?
(Möglicherweise muss ich, um der Antwort näher zu kommen, den Burger 21 bal auf der straße Wenden.)
- Sind es zwei, die teils parallel, teils zusammen arbeiten?
- Wer vergibt die Spamopfernummern?
- Wer vergibt campagne_id und message_id?
- Wer stellt die Details der Abmeldelinks zusammen und fügt die in den Spam ein?
- Wer hat die Daten? „Nur“ die Spammer oder auch die im Hintergrund?
*) Nutzniesser bzw. Auftraggeber des Spams waren:
Vicampo .de GmbH, smava GmbH (sehr aktiv), be Around GmbH (sehr aktiv, für Photovoltaik, Solaranlage, Alarmanlagen, Miet-Kaffeevollautomaten, Fenster, Treppenlift), Check24 GmbH Kreditkarte, Roland Rechtsschutz, Vinos, StayFriends GmbH, ebrosia GmbH & Co. KG, druckerpatronen. de (besonders aktiv), VerbraucherRitter, seguras Media GmbH & Co. KG, Finanzcheck. de, DFV-Zahnschutz, Lottohelden, Hello fresh und die liebe Advanzia-Bank
Das, was mir im Quelltext aufgefallen war, waren die Abmeldelinks.
Aktuelle SPAM Welle im Februar 2021 von
[Link nur für registrierte Mitglieder sichtbar. ] über vitalox Server mit technischem Versender Vipads Ltd (siehe dazu
[Link nur für registrierte Mitglieder sichtbar. ] ).
Auch hier tauchen die uminösen Abmeldelinks auf: http:// v-advertising .de/unsubscribe?20287-453666-1230108-555935-1420216330-4
Auftraggeber der Spams waren u.a. smava, Lottoland, ECR European Consumer Rights GmbH.
Neuer Versender für Vicampo: unitedbase Vertriebsgesellschaft mbH Kurfürstendamm 199 10719 Berlin
vicampo hat jetzt schnell eine UE abgegeben und die Kosten aus dem Streitwert von 500 Euro bezahlt (90,96 Euro). Das ist ein günstiger Preis für einen Schutzengel.
Lesezeichen