Vorgestern ist hier innerhalb von knapp einer Stunde gleich 11 Mal wirrer Spam aus der gleichen Quelle und mit freundlicher Unterstützung durch Microsoft aufgeschlagen. Da ich die personalisierten Links nicht öffne, weiß ich leider nicht, in welche Rubrik dieser Spam letztlich einzuordnen ist: Bitcoin-Spam, Phishing oder vielleicht etwas ganz Anderes.
Deshalb ist mir für den Quatsch, der mir da geschickt wurde, leider auch kein besserer Betreff eingefallen.


Nr. 1

Betreff
DieGebenVerifiziereristverfügbargegenAbstieg EUR7191.99jetzt wlbh

header:
01: Return-Path: <jennt4vo [at] hotmail.com>
02: Received: from APC01-HK2-obe.outbound.protection.outlook.com ([40.92.255.66])
03: by …
04: for <poor [at] spamvictim.tld>; Thu, 29 Oct 2020 xx:xx:xx +0100
05: …
06: …
07: Received: from SG2APC01FT058.eop-APC01.prod.protection.outlook.com
08: (2a01:111:e400:7ebd::51) by
09: SG2APC01HT131.eop-APC01.prod.protection.outlook.com (2a01:111:e400:7ebd::309)
10: with Microsoft SMTP Server (version=TLS1_2,
11: cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID: [ID filtered]
12: 2020 xx:xx:xx +0000
13: Received: from SG2PR03MB4087.apcprd03.prod.outlook.com
14: (2a01:111:e400:7ebd::49) by SG2APC01FT058.mail.protection.outlook.com
15: (2a01:111:e400:7ebd::373) with Microsoft SMTP Server (version=TLS1_2,
16: cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID: [ID filtered]
17: Transport; Wed, 28 Oct 2020 xx:xx:xx +0000
18: Received: from SG2PR03MB4087.apcprd03.prod.outlook.com
19: ([fe80::a070:d993:7bc4:d7d4]) by SG2PR03MB4087.apcprd03.prod.outlook.com
20: ([fe80::a070:d993:7bc4:d7d4%6]) with mapi ID: [ID filtered]
21: xx:xx:xx +0000
22: From: Jenn Tansley <jennt4vo [at] hotmail.com>
23: To: "info [at] xxx.nl" <info [at] xxx.nl>
24: …
25: Accept-Language: en-US
26: Content-Language: en-US
27: …
28: x-ms-publictraffictype: Email
29: x-incomingheadercount: 41
30: x-eopattributedmessage: 0
31: …
32: X-MS-Exchange-CrossTenant-AuthAs: Anonymous
33: X-MS-Exchange-CrossTenant-AuthSource:
34: [color=red]xxx[/color].eop-APC01.prod.protection.outlook.com
35: X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg: 00000000-0000-0000-0000-000000000000
36: X-MS-Exchange-CrossTenant-Network-Message-ID: [ID filtered]
37: X-MS-Exchange-CrossTenant-originalarrivaltime: 28 Oct 2020
38: [color=red]xxx[/color] (UTC)
39: X-MS-Exchange-CrossTenant-fromentityheader: Internet
40: X-MS-Exchange-CrossTenant-ID: [ID filtered]
41: X-MS-Exchange-CrossTenant-rms-persistedconsumerorg: 00000000-0000-0000-0000-000000000000
42: X-MS-Exchange-Transport-CrossTenantHeadersStamped:
43: [color=red]xxx[/color]
44: X-OriginatorOrg: hotmail.com
45: Envelope-To: <meine E-Mail-Adresse>
IP 40.92.255.66 = whois:outlook.com = Microsoft

Inhalt, in Reiner Text und vereinfachtem HTML identisch
Ein Geschenkgutschein mit einer verfügbaren Auszahlung in wenigen Minuten auf jede Karte
/
Call finances - OGJ8
Im Anhang eine PDF-Datei.
Da VirusTotal nichts zu beanstanden hatte, habe ich die geöffnet
TRUST ESPORT

Sie haben eine Zahlungsanweisung erhalten
Ihr Kontostand: EUR11184.83
Nimm Geld
Der Link unter “Nimm Geld” führt zu
whois:ejnffrkgks.porntracker.online/schnapp


Nr. 2

Betreff
DieZuteilungGutscheinistnichtfestgeschriebenfürRückwärts EUR9393.41sofort xxx

header:
01: Return-Path: <sharalyn99m [at] hotmail.com>
02: Received: from NAM02-SN1-obe.outbound.protection.outlook.com ([40.92.5.22]) by …
03: for <poor [at] spamvictim.tld>; Wed, 28 Oct 2020 xx:xx:xx +0100
IP 40.92.5.22 = whois:outlook.com = Microsoft

Inhalt:
Ein Geschenkgutschein mit einer verfügbaren Auszahlung in wenigen Minuten auf jede Karte
/
Exact monetary resource - Buchstaben-Zahlen-Salat
Im Anhang eine PDF-Datei
CIFA Cyprus Investment Funds Association

Sie haben eine Zahlungsanweisung erhalten
Ihr Kontostand: EUR14025.13
Holen Sie sich Geld
Der Link unter „Holen Sie sich Geld“ führt zu
whois:aiwmnju.porntracker.online/schnapp


Nr. 3 bis 11 sind vergleichbar.
Allen gemeinsam ist der Satz „Ein Geschenkgutschein mit einer verfügbaren Auszahlung in wenigen Minuten auf jede Karte“.
Es ist bei allen eine PDF-Datei im Anhang. Der Inhalt dieser PDF-Dateien und der jeweils darin enthaltene Link sind jedoch verschieden.

Andere Links sind z. B.
whois:dweptljio.firmino-adv.online/schnapp
whois:mlbcdogf.mamaya.online/schnapp
whois:jzhoiuqnwy.porntracker.online/schnapp

Text in rot: von mir zensiert