PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [IXXO.de] Linktausch



Weissbrot
03.07.2006, 17:43
Der Spam ist zwar auf englisch, aber die beworbene Website ist auf deutsch und die Firma ist aus Deutschland. Deshalb stelle ich das hier mal rein.

Folgende Mail steckte in einer Spam-Falle. Die Mail-Adresse ist innerhalb eines Framesets einer Website im NOFRAME-Bereich versteckt und als "visibility:hidden" markiert. Folglich kann sie nur von einem Mail-Harvester gefunden werden.
From - Thu Jun 29 xx:xx:xx 2006
X-Account-Key: account10
X-UIDL: [UID filtered]
X-Mozilla-Status: 0201
X-Mozilla-Status2: 00000000
Return-path: <www-data [at] webbox734.server-home.net>
Envelope-to: ***@***
Delivery-date: Fri, 30 Jun 2006 xx:xx:xx +1000
Received: from [195.137.212.174] (helo=webbox734.server-home.net ident=postfix)
by sp1.sphosting.net with esmtp (Exim 4.52)
ID: [ID filtered]
for ***@***; Fri, 30 Jun 2006 xx:xx:xx +1000
Received: by webbox734.server-home.net (Postfix, from userID: [ID filtered]
ID: [ID filtered]
To: ***@***
Subject: Link exchange with your site http://***
Date: Thu, 29 Jun 2006 xx:xx:xx +0200
From: IXXO Ltd Webmaster <info [at] ixxo.de>
Reply-To: info [at] ixxo.de
Message-ID: [ID filtered]
X-Priority: 3
X-Mailer: PHPMailer [version 1.72]
Errors-To: info [at] ixxo.de
MIME-Version: 1.0Title: IXXO Internet Solutions
URL: http://www.ixxo.de/
Description: IXXO Internet Solutions focuses on the development and
marketing of innovative and interactive e-commerce solutions that are
specifically designed for small and medium businesses.

Once you've posted the link, let me know the URL of the page that it's on,
by entering it in this form:

http://www.ixxo.de/linkmachine/resources/link_exchange.php?ua=***&site_index=***

You can also use that form to make changes to the text of the link to your
site, if you'd like.

Thank you very much,

IXXO Ltd Webmaster Auf der IXXO-Website wird eine Antispam-Lösung beworben.

Für mich sieht das so aus, also ob die Firma erst einen Mail-Harvester losschickt, dann werden die gewonnenen Adressen bespammt und zum Schluss soll den Opfern ein "Spamschutz" verkauft werden.

Die Firma sitzt in Bergisch Gladbach: http://www.ixxo.de/impressum.html

Nebelwolf †
03.07.2006, 19:31
Glückwunsch Weissbrot,

die hast Du mit heruntergelassener Hose erwischt. Das war offensichtlich nicht der erste Spamlauf dieser Firma:


IXXO-Box ! No more Spam
[...]
Datum: Fr 27 Mai 2005 11:01
[...]
Several copies sent to spamtraps:
Quelle: news.admin.net-abuse.sightings (http://groups.google.de/group/news.admin.net-abuse.sightings/browse_thread/thread/210e28ca192a8824/20a1b495d65a80f7?lnk=st&q=IXXO+spam&rnum=1)

Nur für das Protokoll:
http://www.ixxo.de
http://195.137.212.174
Der Spam ist definitiv über den Firmen-Server gelaufen.

Ich auf die Antwort der spammenden Spamfilter-Firma gespannt, das könnte lustig werden.

Schöne Grüße
Nebelwolf

Weissbrot
03.07.2006, 20:27
Das ist noch nicht alles!

In der Mail war ein verschlüsselter Link (s.o.). Wenn man den anklickt, landet man auf einer fertig ausgefüllten Eingabemaske, in der u.a. die Mailadresse, die Website, der Titel der Website und die Suchmaschinen-Metadaten der Website eingetragen sind.

@Nebelwolf: Ich schicke dir den echten Link zur Ansicht per PN.

Kurz nach diesem Spam, kam eine weitere Spam-Mail und nur! diese.From - Thu Jun 29 xx:xx:xx 2006
Return-path: <seanjones [at] rediffmail.com>
Envelope-to: ***@***
Delivery-date: Fri, 30 Jun 2006 xx:xx:xx +1000
Received: from [217.165.24.115] (helo=coolre42521.com)
by sp1.sphosting.net with smtp (Exim 4.52)
ID: [ID filtered]
for ***@***; Fri, 30 Jun 2006 xx:xx:xx +1000
From: "Mr. Sean Jones" <seanjones [at] rediffmail.com>
Reply-To: seanjones [at] rediffmail.com
To: ***@***
Date: Thu, 29 Jun 2006 xx:xx:xx -0700
Subject:
X-Mailer: Microsoft Outlook Express 5.00.2919.6900 DMEs handelte sich hier bei um einen "Nigerian Fraud Letter". Die betroffene Domain ist aber ausgerechnet eine 419er-Spezialseite. :D

Deshalb können wir sagen, dass einiges an dieser Spam-Mail nicht stimmt:
Die Mail kam unmittelbar nach dem IXXO-Spam, aber danach kam bis heute keine weitere Post.
.
Bei den heutigen Fraud-Lettern ist die Antwortadresse der ersten Mail immer eine andere als die Absenderadresse, um die laufenden Betrügereien nicht zu gefährden. Gespammt wird immer von gesonderten Accounts. Das Opfer antwortet auf die zweite, "nichtspammende" Mailadresse. Selbst wenn der Spam-Account gecancelt wird, gehen die laufenden Geschäfte weiter.
.
Die Absender-Adresse ist gefälscht. Mugus fälschen aber keine Header, sondern benutzen Proxies.
[217.165.24.115] (helo=coolre42521.com) ist gefälscht!
217.165.24.115 = dxb-as33389.alshamil.net.ae und nicht "coolre42521.com"
Dafür ist diese IP als Spammer gelistet: http://www.spamhaus.org/query/bl?ip=217.165.24.115
.
Der Mailtext ist alt und "wohlbekannt": http://tinyurl.com/odh3g Ich behaupte jetzt nicht, dass IXXO diese Mail verschickt hat, um ihrem Angebot mehr Nachdruck zu verleihen, weil ich das nicht beweisen kann.

Fidul
03.07.2006, 20:43
Nein nein nein. Es gibt viele Mugus, die keine gesonderte Antwortadresse benutzen. Die haben dann den Salat, wenn jemand den Stecker zieht, sofern die ihre Opferdaten nicht irgendwo gespeichert haben. Dieser Mugu hier gehört zu der kleinen Minderheit, die ihre ersten "Proposals" nicht per Hand sondern mit einer Spamsoftware herausbläst. Davon kommen der gefälschte Helo und die IP mit dem schönen Listing. Die Masche ist bereits bekannt - ein normaler Mugu mit etwas besserer Ausstattung als gewöhnlich.

Nebelwolf †
03.07.2006, 21:13
Hallo Weissbrot,

ich sehe keine Verbindung zwischen den beiden Mails, ist wohl ein Zufall. IXXO will mit diesem Spamlauf das Suchmaschinen-Ranking bei Google erhöhen. Den Webmastern, die sich anmelden bringt der Eintrag wohl nichts, da zu viele Links in dem Verzeichnis existieren.

Nebelwolf

Weissbrot
04.07.2006, 09:37
Es ist tatsächlich ein echter Mugu gewesen, da mittlerweile ein Bait läuft. Insofern ist die Firma in dieser Hinsicht entlastet.

Dafür wurde der IXXO-Mailharvester auf der Website geloggt. Es hat dieselbe IP wie der Mailserver (s.o.):
Datum: 2006-06-29 xx:xx:xx
Remote-IP: 195.137.212.17 (webbox159.server-home.net)
Real-IP: 195.137.212.174 (webbox734.server-home.net)
Referrer:
User-Agent:
Zugriff: /index.htmlDie Firma hat inwischen ein T5F erhalten. Auf die Antwort bin ich auch gespannt.

Weissbrot
04.07.2006, 10:26
Inzwischen sind die Log-Dateien ausgewertet. Mit dem "Mugu" stimmt tatsächlich etwas nicht. Er stammt möglicherweise aus den Arabischen Emiraten.

Sein Mailharvester wurde ebenfalls geloggt.
Datum: 2006-06-29 xx:xx:xx
Remote-IP: 213.42.2.26
Real-IP: 217.165.24.115 (dxb-as33389.alshamil.net.ae)
Referrer:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) XX
Zugriff: /index.htmlVon derselben IP 217.165.24.115 wurde die obige Mail verschickt. Seine jetzige IP 195.229.241.180 ist auch wieder aus den VAE.

Fidul
04.07.2006, 20:50
Dubai ist ein bekanntes Zentrum für 419-Aktivitäten.

Weissbrot
14.07.2006, 08:13
Die Firma IXXO hat inzwischen geantwortet:
Sehr geehrte***,

im Zuge einer Restrukturierung unserer WebSite wurde versehentlich eine Option unseres Linktauschprogrammes eingeschaltet, die auch Adressen außerhalb des Linktauschprogrammes anschrieb, was zu keiner Zeit von uns gewollt war. Nachdem dieser Fehler bemerkt wurde, wurden die wenigen entsprechend erhaltenen Daten unverzüglich gelöscht.

Außer den E-Mail Adressen, den URLs der jeweiligen Homepages und der dortigen Meta-Daten wurden zu keiner Zeit weitere Informationen gespeichert. Diese Daten wurden ausschließlich für den Aufbau eines Linktausches gespeichert und wurden auch zu keiner Zeit an irgendwelche Dritte Personen weitergegeben.

Wir entschuldigen uns für dieses Versehen und hoffen, dass Ihnen dadurch keine Unannehmlichkeiten entstanden sind.

Mit freundlichen Grüßen
IXXO Internet Solutions Wozu die Firma Mail-Adressen und Meta-Daten von Webseiten "außerhalb des Linktauschprogrammes" harvestet, ist mir schleierhaft. Aber sei's drum.