PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Listwashing?] Gefakter ABCNews/CP/CPA-Newsletter



Mittwoch
02.10.2008, 23:17
Beim Blick in meinen Spam-Ordner fielen mir eine lange Reihe von Mails auf, die alle den gleichen Body-Text hatten:


This message was sent to schnipp [at] schnapp.tld
Unsubscribe | Manage Subscriptions | Privacy Policy
To stop ALL email from ABCNews Newsletters, click here to remove yourself from our lists.
This email was sent by: ABCNews, 7 WEST 66th Street, New York, NY 10023.


Das Gleiche noch mit CP- und CPA-Newslettern, seit letztem Samstag im Stundentakt.

Header erspare ich Euch, denn ich habe knapp 60 Stück davon auf so ziemlich alle meine Adressen erhalten, alle zuverlässig als Spam ermordet.

Der Body ist in HTML, die vermeindlichen Links zum Austragen etc. sind alle in der Form

http://[vermutlich gehackte, immer wechselnde URL]/memberservices/remove.php?recipient=[meine Mailadresse]&SESSID=[in jedem Link in jeder Email andere Nummer]
Spricht also viel für Listwashing. Die Domains und die Session IDs wechseln schneller, als die Polizei erlaubt.

Schönen Gruß
Mittwoch

Goofy
02.10.2008, 23:44
Gegen ein Listwashing spricht aber, dass Anhänge mit versendet werden (hatten wir gestern zumindest so auch auf dem Antispam-Mailserver). Mit einiger Sicherheit dürften das infizierte Dateien gewesen sein, also - Storm-Trojaner wieder mal. Mir war das bloß zu blöd, das überhaupt erst runterzuladen und mit dem Virenscanner zu testen. Viele Storm-Trojaner werden sowieso erst 1 Tag später mit neuen Signaturen erkannt. Also hab ich den Mist gleich gelöscht.

Mittwoch
03.10.2008, 10:56
Also an allen Mails, die ich bekommen habe, hing kein Anhang und der Header gibt auch keinen Hinweis darauf, dass unterwegs ein solcher gelöscht worden sein konnte. Wenn ein Trojaner die Ursache sein sollte, dürfte der äußerst schlampig programmiert worden sein.

Goofy
03.10.2008, 11:39
Wenn kein Anhang drin war, dann hängt der Wurm vielleicht an dem Austragelink (i.d.R. gehackte Webserver).

Mittwoch
03.10.2008, 13:19
Habe mal einige durchgetestet. Bei geänderten Daten erscheint ein "not found", bei nicht geänderten Daten (einer eh schon stark verkohlten Mailadresse) werde ich auf die Startseite der entsprechenden Domain weitergeleitet. Kein Download, kein verdächtiger Java- oder Java-Script-Code.

N.B.: Die verwendeten URL sind alle Kanadische Online-"Apotheken" mit den bekannten Hilfsmitteln zu unschlagbaren Preisen.

Goofy
03.10.2008, 14:16
Tja, vielleicht ist es dann doch Listwashing. Oder ein neuer Versuch, Schniedelpillen-Spam ("Canadian Pharmacy", Polyakov...) an den Spamfiltern vorbeizubringen, indem man ihm das Mäntelchen eines fremden Newsletters umhängt.

alicesophie
03.10.2008, 14:19
[...] indem man ihm das Mäntelchen eines fremden Newsletters umhängt.

Sind sie damit nicht schon bei ihrem Stockspam gewaltig auf die Schnauze gefallen? Die kamen doch auch eine Weile als Newsletter getarnt daher.

Goofy
03.10.2008, 14:41
Ja, letzten Endes erreicht der Spam eine zunehmend geringere Zahl von DAUs, die mit einem Mailprovider arbeiten, der keine bzw. schlechte Filterung einsetzt. Egal, ob Stock-Spam oder Schniedelpillen: das Zeug wird von einem guten Spamfilter zuverlässig erkannt und entsorgt.
Daher probieren die Russkis alles erdenkliche, um irgendwie durch die Filter zu kommen.
Jeder Spammer weiß (und man konnte das auch in einschlägigen Spammerforen schon so nachlesen), dass eine Spam-Mail nur noch mit sehr geringer Wahrscheinlichkeit gelesen wird, wenn sie mal im Junk-Ordner ist. Das schreckt offenbar auch den DAU ab. Es wird nur auf den Spam-Link geklickt, wenn die Mail in der Inbox ist.
Die Spamfilter kosten den Spammern bares Geld. Daher müssen sie noch breiter streuen und immer neue "Mäntelchen" erfinden.

kjz1
03.10.2008, 14:58
Schlägt hier regelmässig von den Russkis ein, Bsp.:

email was sent by: ABCNews, 7 WEST 66th Street, New York, NY 10023

email was sent by: CPA, 524 W. 57th St., Room 514/1, New York, NY, 10019

Der ganz normale Russki-Medz Spam von Yambo (AKA Canadian Pharmacy). Neue Ratware und jetzt halt mit personalisierter URL. Domains alle registriert bei Regtime (AKA webnames.ru). Post hätte da gerne:

alexvasiliev1987 [at] cocainmail.com

Ist auch kein Joe Job.

- kjz

mareike26
03.10.2008, 18:36
Das schlägt bei uns im Ticketsystem auch auf

Sebastian
05.10.2008, 15:49
Heute ist FOX dran:


To stop ALL email from FOX News Network Newsletters, click here to remove yourself from our lists.

This email was sent by: FOX News Network, LLC. 1211 Avenue of the Americas. New York. NY. All Rights Reserved.


IMO kein JoeJob, sondern nur ein Footer wie jeder andere auch, der Filter umgehen soll...