PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Sammelthread] Wer harvestet Mail-Adressen in einem ANTISPAM-Forum?



truelife
29.09.2011, 22:48
Liebe Leser,

das Problem dürfte hinlänglich bekannt sein: es gibt sogenannte Harvester, die das Internet nach Mailadressen durchwühlen und die Mailadressen danach in Mailingdatenbanken eintragen. Man sollte nun meinen, dann kämen nur Mails der Nigeria-Connection, der Pillz-Mafia oder der Aktien-Trümmertruppe. Weit gefehl, auch deutsche Versende reihen sich nach einigen Wochen ein. Die angespammten Adressen wurden hier im Forum veröffentlicht - und zwar so, das das menschliche Auge die Mailadresse nicht so einfach lesen kann. Das stört einen Harvester hingegen nicht. Und wer so dämlich ist, ausrerechnet ein Antispam-Forum nach Mailadressen zu durchsuchen, wird nun hier gelistet.

truelife
29.09.2011, 22:52
Wenn dieser Newsletter nicht richtig angezeigt wird, klicken Sie bitte hier.
http://www.patriamail.de/browser.php?key=[schnippschnapp]

Sie erhalten den Newsletter, da Sie sich für diesen angemeldet haben. Sie haben kein Interesse mehr? Den Link zum abmelden finden Sie am Ende des Newsletter. Sie kommen dann auf eine "Blacklist", eine erneute Anmeldung ist dann nur nach telefonischer Absprache möglich. Wir arbeiten mit der "Robinsonliste" zusammen.

Klicken Sie hier um sich aus dem Verteiler abzumelden.

http://www.patriamail.de/nlu.php?key=[schnippschnapp]

Jetzt mit Facebook Geld verdienen

Fanbuy macht den Einstieg einfach und schnell! Bestellen Sie einfach das gewünschte Paket und lehnen Sie sich zurück, entspannen Sie sich und sehen Sie wie Ihre Facebook-Seite beginnt zu wachsen. Wir senden nur echte und aktive Besucher, die auf Ihre Seite besuchen und nur bei gefallen Ihrer Facebook-Seite folgen. Wir bewerben Ihre Seite so lange bis die gebuchte Anzahl an Fans erreicht ist! Die Besucher werden nicht bezahlt oder gar gezwungen sich Ihrer Seite anzuschließen. Es sind alles reale und aktive Facebook-Accounts. Beginnen Sie jetzt Geld zu verdienen!

Warum sollte ich Facebook Fans kaufen?

Facebook ist eines der führenden Social-Networking-Sites mit einer unübertroffenen Zahl von Benutzerkonten, die schnell wachsen und das auch Länder übergreifend. Dies bedeutet ein größeres Potenzial für Ihr Unternehmen und neue schnelle Einkommensquellen.

Die Steigerung Ihrer Facebook-Fans, macht Werbung für Ihre Produkte oder Dienstleistungen einfach! Je größer die Zielgruppe, desto mehr Umsatz können Sie generieren. Der Kunde ist an Ihrem Unternehmen/Produkt interessiert, sonst würde er kein Fan von Ihnen sein, somit können Sie zielgenau werben! Positiver Nebeneffekt ist ein höheres Ranking bei Google, denn Google bewerten die Social-Network-Verbindungen immer mehr!

Servicequalität auf höchstem Niveau ist immer unsere oberste Priorität.

Mit uns, können Sie sofort starten um Ihr Geschäft zum laufen zu bringen. Kein Warten mehr und keine zusätzlichen Kosten. Wir arbeiten nicht mit irgenwelchen illegalen Tricks, wir bewerben Ihre Facebook-Seite so lange bis Sie die gewünschten Anzahl an Fans erreicht haben.

deutsche Fans
alle Fans sind natürliche, reale und aktive Benutzer von Facebook
es handelt sich nicht um "Fake"-Accounts
Vorsicht: Andere Anbieter arbeiten mit illegalen verbotenen Tricks die zum Ausschluß von Facebook führen können. Mit uns kann das nicht passieren!
Sie sind mit uns nicht zufrieden? Geld zurück Garantie ohne wenn und aber!
Fragen? Der Live Support beantwortet Ihre Fragen schnell!


Newsletter-Gutscheincode bei der Bestellung angeben und 5,-€ sparen:

1231-4233-7863-2345

Fanbuy.de
N. P.
Langestr. 14
01796 Pirna
Tel: 03501 / 476987
info [at] fanbuy.de

Wenn Sie diesen Newsletter nicht bestellt haben oder sich abmelden möchten, klicken Sie bitte unten stehenden Link. Sie werden dann auf eine Blackliste gesetzt und erhalten keine Newsletter mehr von uns. Für Fragen, Probleme oder Kritik stehen wir gerne zur Verfügung per LiveSupport oder per Mail an info [at] fanbuy.de

Return-Path: <return [at] patriamail.de>
Delivered-To: GMX delivery to
Received: (qmail invoked by alias); 29 Sep 2011 xx:xx:xx -0000
Received: from s15564870.onlinehome-server.info (EHLO s15564870.onlinehome-server.info) [212.227.20.26]
by mx0.gmx.net (mx091) with SMTP; 29 Sep 2011 xx:xx:xx +0200
Received: from s15564870.onlinehome-server.info (unknown [127.0.0.1])
by s15564870.onlinehome-server.info (Postfix) with ESMTP ID: [ID filtered]
for ; Thu, 29 Sep 2011 xx:xx:xx +0000 (UTC)
Received: by s15564870.onlinehome-server.info (Postfix, from userID: [ID filtered]
ID: [ID filtered]
To:
Subject: =?utf-8?B?SmV0enQgbWl0IEZhY2Vib29rIGFscyBXZXJiZXRyw6RnZXIgZHVy?= =?utf-8?B?Y2hzdGFydGVuIQ==?=
X-PHP-Originating-Script: 10002:Mail_mail.php
MIME-Version: 1.0
From: "fanbuy.de - facebookmarkting mit erfolg" <info [at] patriamail.de>
Reply-To: <info [at] fanbuy.de>
Date: Thu, 29 Sep 2011 xx:xx:xx +0200
Message-ID: [ID filtered]
Status: N
X-SWM-BOUNCE: 01_02_04_11
Content-Type: multipart/related;
boundary="----=_NextPart_000_A169_2C48BFBA.FBA7895C"
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -2 (not scanned, spam filter disabled);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;

truelife
29.09.2011, 22:55
Sehr geehrter Webmaster,

mein Name ist T. K. und ich bin bei der Firma Geeko Promotions als Werbeberaterin tätig. Geeko vertritt renommierte Unternehmen, die im Rahmen ihrer Online-Marketingkampagne auf der Suche nach geeigneten Werbepartnern sind. Da Ihre Webseite passend erscheint, würde ich mich gerne bei Ihnen erkundigen, ob Sie daran interessiert sind gegen Bezahlung passende Werbeformate oder Artikel auf Ihrer Webseite einzubinden. Gerne kann ich Ihnen auf Ihren Wunsch ein konkretes und unverbindliches Angebot zuschicken.

Bei Interesse sende ich Ihnen gerne weiteres Informationsmaterial zu.

Mit freundlichen Grüßen,

T. K.
Werbeberaterin
Business Development Department
Geeko-Promotions
Email:t[...]@geeko-promotions.com
www.geeko-promotions.com
Falls Sie keine weiteren Emails von uns erhalten möchten, senden Sie uns bitte eine leere Email zu. Wir werden Sie dann unverzüglich aus dem Verteiler entfernen.

Return-Path: <triplers [at] cp102.hostingcare.net>
Delivered-To: GMX delivery to
Received: (qmail invoked by alias); 27 Sep 2011 xx:xx:xx -0000
Received: from cp102.hostingcare.net (EHLO cp102.hostingcare.net) [75.125.133.82]
by mx0.gmx.net (mx030) with SMTP; 27 Sep 2011 xx:xx:xx +0200
Received: from triplers by cp102.hostingcare.net with local (Exim 4.69)
(envelope-from <triplers [at] cp102.hostingcare.net>)
ID: [ID filtered]
for ; Tue, 27 Sep 2011 xx:xx:xx -0500
To:
Subject: Vorschlag zur Zusammenarbeit zwischen Geeko Promotions und http://www.antispam-ev.de/
Date: Tue, 27 Sep 2011 xx:xx:xx -0500
From: T. K. <t. [at] geeko-promotions.com>
Message-ID: [ID filtered]
X-Priority: 3
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - cp102.hostingcare.net
X-AntiAbuse: Original Domain -
X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
X-AntiAbuse: Sender Address Domain - cp102.hostingcare.net
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php /home/triplers/public_html/server.php
X-Source-Dir: triplersrich.com:/public_html
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -2 (not scanned, spam filter disabled);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;

Der Laden ist hier schon auffällig geworden: http://www.antispam-ev.de/forum/showthread.php?29968-Geeko-Promotions&highlight=Geeko-Promotions

Arthur
29.09.2011, 23:04
Der Laden spammt schon recht lang > http://anarchiadd.blogsport.de/2008/11/26/auch-das-gibts/
vom 26. November 2008

Solli
04.10.2011, 09:48
Ich habe diesen Thread als Anregung genommen, in meiner Signatur hier im Forum eine eigens dafür eingerichtete E-Mail-Adresse zu bewerben. Am Freitag gegen zehn Uhr habe ich die Signatur geändert, heute um 7:40 Uhr kam die erste Spam-Mail. Knapp vier Tage, die Harvester arbeiten wirklich flott. Nebenbei bemerkt habe ich diese Adresse nirgendwo sonst angegeben, also hat mit 100%iger Sicherheit ein Harvester dieses Forum abgegrast.

Es handelt sich um Paypal-Phishing, hier ein Ausschnitt des Headers:
Received: from mail.dwb.cz (mail.dwb.cz [81.91.82.140])
by e4ward.com;
Tue, 04 Oct 2011 xx:xx:xx -0400 (EDT)
Received: by 4-soft.localdomain (Postfix, from userID: [ID filtered]
ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: Ihr PayPal-Konto wurde begrenzt!
From:PayPal [at] PayPal.de
Content-Type: text/html
Date: Tue, 4 Oct 2011 xx:xx:xx +0000 (UTC)

Solli
13.10.2011, 10:30
Keine Sorge, ich werde jetzt nicht jede Spam-Mail posten, die an die "geharvestete" Adresse geschickt wird. Aber hier noch ein kurzes Update, weil es zeigt, wie die Spammer vorgehen:

Nachdem ich am 4.10. die erste Mail an die hier im Forum beworbene Adresse (ernte [at] ...) bekommen habe, habe ich meine Signatur sofort geändert (in ernte01 [at] ...). Heute bekam ich zwei identische Spam-Mails, an jede Adresse einmal. Scheinbar grast der Harvester das Forum in regelmäßigen Abständen ab und merkt sich die Adressen zur späteren Verwendung.

Ich weiß nicht ob ein Zusammenhang zum Spam vom 4.10. besteht, der Header sieht jedenfalls komplett anders aus:
Received: from 91.215.186.149 (91.215.186.149 [91.215.186.149])
by e4ward.com;
Wed, 12 Oct 2011 xx:xx:xx -0400 (EDT)
Received: (qmail 11233 invoked from network); 12 Oct 2011 xx:xx:xx +0100
Received: from 173-13-19-154-michigan.hfc.comcastbusiness.net (HELO User) (173.13.19.154)
by withington-manor.com with SMTP; 12 Oct 2011 xx:xx:xx +0100
From: "ELLEN MARIA FEB"<info.primitiva [at] europe.com>
Subject: OFFIZIELLE GEWINNBENACHRITIGUNG
Date: Wed, 12 Oct 2011 xx:xx:xx -0400

Den Body spare ich mir. Ich hab irgendwas gewonnen und muss nun alle möglichen Daten angeben, um den Gewinn zu erhalten. Angehängt war auch ein PDF-Dokument, das ich sicherheitshalber nicht geöffnet habe. Vermutlich ist es nur ein Formular, mein Virenscanner hat jedenfalls nichts verdächtiges gefunden.

kjz1
13.10.2011, 13:51
Das dürfte die Madrid-Konnektion der Mugus sein. Die sind völlig merkbefreit und spammen sowieso alles an, was bei drei nicht auf den Bäumen ist.

Solli
27.01.2012, 16:01
Lange hat's gedauert, aber jetzt ist die erste Spam-Mail auf meine "Harvester-geschützte" Spambucket-Adresse eingetroffen. Die Adresse steht als spezial[at]solli.e4ward.com in der Signatur, und offensichtlich wird diese Schreibweise von den meisten Bots nicht als E-Mail-Adresse erkannt. Da die Signatur weiß auf weiß ist schließe ich eine manuelle Sammlung aus.

Der Vollständigkeit halber hier die Mail:
Received: from 67.76.74.101 (67.76.74.101 [67.76.74.101])
by e4ward.com;
Fri, 27 Jan 2012 xx:xx:xx -0500 (EST)
Received: from jamesam1.miniserver.com ([77.73.4.139]) by mail.aimo.com with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 27 Jan 2012 xx:xx:xx -0600
MIME-Version: 1.0
From: "Mohammed Yassar" <mohamed.yassar [at] fairmail.net>
To: poor [at] spamvictim.tld
Subject: Proposal
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable
X-Mailer: SmartSend.2.0.127
Date: Fri, 27 Jan 2012 xx:xx:xx +0000
Message-ID: [ID filtered]

Hello, please confirm if you received the attached proposal in my previous =
email. I will be waiting for your response and reaction to the proposal.

Mohammed Yassar.

Wuschel_MUC
30.01.2012, 12:10
...am 4.10. die erste Mail an die hier im Forum beworbene Adresse (ernte [at] ...) bekommen ...geändert (in ernte01 [at] ...). Heute bekam ich zwei identische Spam-Mails, an jede Adresse einmal. Scheinbar grast der Harvester das Forum in regelmäßigen Abständen abHm. Du hast die Adressen weiß auf weiß in deine Fußzeile gesetzt, und die wird bei all deinen Beiträgen angezeigt.

Wenn du mit einer Zweitidentität pro Adresse genau einen Beitrag erstellst, müsste man doch feststellen können, welche IP-Nummer ohne Login beide Beiträge inspiziert hat. Dann ließe sich u.U. ein Standort für den Harvester finden. Den könnte man sperren, verpfeifen oder outen.:p:skull:

Ginge das oder übersehe ich was?

Wuschel

cmds
30.01.2012, 12:20
...Wenn du mit einer Zweitidentität pro Adresse genau einen Beitrag erstellst, müsste man doch feststellen können, welche IP-Nummer ohne Login beide Beiträge inspiziert hat. ...
Ginge das oder übersehe ich was?

Wuschel

Du übersiehst das scharf geschaltete Doppel Account Sonar :p

dieser Spider hier ist genau jetzt aktiv:
ob der jetzt auch Adressen sammelt weiss ich allerdings nicht

IP-Adresse: 199.16.186.106
Provider: Waveform Technology, LLC
Organisation: Boardreader
Region: Southfield (US)

Wuschel_MUC
30.01.2012, 12:43
Du übersiehst das scharf geschaltete Doppel Account Sonar
Nach Rücksprache könntest du Sollis Tarnadressen bedenkenlos freischalten, oder?:undercvr:

Wuschel

Solli
30.01.2012, 14:13
Ich verzichte gerne freiwillig auf diese Extrawürste. Mir ging es in diesem Experiment nicht darum, die IP-Adressen der Harvester herauszufinden sondern eher ihre Wirkungsweise zu studieren. Fazit: E-Mail-Adressen in "Reinform", evtl. sogar mit mailto-Link werden sofort abgegrast, während die Schreibweise mit [at] ein relativ guter Schutz ist. Ganz sicher vor Erntemaschinen ist man jedoch auch mit letzterem nicht.

Alles weitere überlasse ich gerne den Admins, oder möge es jeder selbst auf eigenen Websites ausprobieren.

kjz1
30.01.2012, 14:27
Wobei Boardreader anscheinend eine Spezialsuchmaschine für Webboards ist und diese deshalb in periodischen Abständen abzugrasen scheint. Tante Google dürfte so etwas auch durchführen.

truelife
30.01.2012, 23:26
Nachtrag aus der letzen Zeit - beides schön im Doppelpack:


Hallo, wie geht es dir?

Was gibt es neues?

Wollte dir etwas zeigen! Ich verdiene ganz einfach von zu Hause aus mein Geld.
Du wirst jetzt sicher denken: "Oh, nein nicht schon wieder so etwas".
Neeeein, dieses mal ist es was anderes. Hцre dir das zumindest mal an ja?
Es ist seriцs und einfach. Du musst auch keinen werben oder irgendwie Werbung machen.
Ich verdiene hiermit monatlich etwa 3500 - 4000 Euro im Monat.
Ich arbeite von Montag bis Freitag und ca 4 Stunden am Tag.
Ich mцchte dir das zeigen, weil es fьr jeden eine gute Chance ist.
Ich verdiene keinen Cent damit, wenn ich es dir zeige. Deine Dankbarkeit reicht mir.
Tue mir den Gefallen und schau dir das mal an. Es ist auch noch fьr kurze Zeit kostenlos.

Gehe mal auf www.geld-im-internet.biz Schau dir das Video an. Du wirst begeistert sein.
Ausprobieren schadet ja nicht oder?

Also bis dann

MFG M.

Return-Path: <geldverdienensofort [at] googlemail.com>
Delivered-To: GMX delivery to
Received: (qmail invoked by alias); 19 Jan 2012 xx:xx:xx -0000
Received: from benman-it.info (EHLO h4386.serverkompetenz.net) [81.169.172.106]
by mx0.gmx.net (mx105) with SMTP; 19 Jan 2012 xx:xx:xx +0100
Received: from User (unknown [217.96.57.76])
by h4386.serverkompetenz.net (Postfix) with ESMTP
ID: [ID filtered]
From: "M. B." <geldverdienensofort [at] googlemail.com>
Subject: – EILMELDUNG – Experten sind schockiert: 1.274 Euro in 17 Stunden!
Date: Thu, 19 Jan 2012 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Message-ID: [ID filtered]
To: undisclosed-recipients:;
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -2 (not scanned, spam filter disabled);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;

___________________________________

Dazu nochmals im Doppelpack unser Facebook-Fan-Spammer mit dem gleichen Text wie zuvor in Post #3:

Return-Path: <return [at] patriamail.de>
Delivered-To: GMX delivery to
Received: (qmail invoked by alias); 24 Jan 2012 xx:xx:xx -0000
Received: from s15564870.onlinehome-server.info (EHLO s15564870.onlinehome-server.info) [212.227.20.26]
by mx0.gmx.net (mx046) with SMTP; 24 Jan 2012 xx:xx:xx +0100
Received: from s15564870.onlinehome-server.info (unknown [127.0.0.1])
by s15564870.onlinehome-server.info (Postfix) with ESMTP ID: [ID filtered]
for ; Tue, 24 Jan 2012 xx:xx:xx +0000 (UTC)
Received: by s15564870.onlinehome-server.info (Postfix, from userID: [ID filtered]
ID: [ID filtered]
To:
Subject: Facebookmarketing: Testen Sie uns kostenlos.
X-PHP-Originating-Script: 10002:Mail_mail.php
MIME-Version: 1.0
From: "Fanbuy.de - Facebookmarketing" <info [at] patriamail.de>
Reply-To: <kontakt [at] fanbuy.de>
Date: Tue, 24 Jan 2012 xx:xx:xx +0100
Message-ID: [ID filtered]
Status: N
List-Unsubscribe: <http://www.patriamail.de/nlu.php?[UNSUB filtered]>
X-SWM-BOUNCE: 01_02_04_1F
Content-Type: multipart/related;
boundary="----=_NextPart_000_841B_EF21381D.81DDD3FB"
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -2 (not scanned, spam filter disabled);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;