PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Fakeshopspam - yourmailinglistprovider.com - ymlp.com - efox-shop.com



Nebelwolf †
27.10.2011, 13:54
Hallo zusammen,

mehrere meiner Postfächer werden in den letzten Monaten vom belgischen Spammer YMLP massiv mit Werbung für Fake-Webshops und anderen dubiosen Angeboten bombardiert. Heute ist diese Spymail mehrfach mit bei eBay geernteten Adressen eingeschlagen:


From - Wed Oct 26 [...] 2011
Return-Path: <mailreturn [at] smtp.ymlp53.net>
Delivery-Date: Wed, 26 Oct 2011 [...] +0200
Received-SPF: pass (mxeu2: domain of smtp.ymlp53.net designates 87.237.13.70 as permitted sender) client-ip=87.237.13.70; envelope-from=mailreturn [at] smtp.ymlp53.net; helo=smtp.ymlp53.net;
Received: from smtp.ymlp53.net (smtp.ymlp53.net [87.237.13.70])
by mx.kundenserver.de (node=mxeu2) with ESMTP (Nemesis)
ID: [ID filtered]
Received: (qmail 27901 invoked by UID: [UID filtered]
Date: Wed, 26 Oct 2011 [...] +0200
To: [...]
From: "toprc.de" <service [at] toprc.de>
Subject: neue Produkte!! Topseller empfehlen!!
Message-ID: [ID filtered]
Reply-To: service [at] toprc.de
X-YMLPcode: 8p5m+165+256667
List-Unsubscribe: <http://ymlp288.net/unsub_[...].php>


Die Spammail ist mit vielen Webbugs verwanzt, daher auf keinen Fall auf Links klicken oder Bilder nachladen lassen! Die Links in der Spymail weisen auf die Domains toprc.de, ymlp288.net und myefox.fr.

Auf den Domains toprc.de und myefox.fr befinden sich Webshops der efox-Bande, die gelegentlich tatsächlich Ware ausliefert, dann aber offensichtlich C-Qualitäten oder Plagiate, die mit der Produktbeschreibung wenig gemein haben. Google liefert reichlich Hilferufe von Geschädigten:

Dubiose Online Shops (http://dubioseonlineshops.blogspot.com/2010/08/efox-shopcom.html)
( http://dubioseonlineshops.blogspot.com/2010/08/efox-shopcom.html )
Facto24 - efox-shop.com Vorsicht bei diesem shop ! (http://facto24.de/2011/02/19/efox-shop-com-vorsicht-bei-diesem-shop/)
( http://facto24.de/2011/02/19/efox-shop-com-vorsicht-bei-diesem-shop/ )
In den Kommentaren wird auf ein Gerichtsverfahren vor dem LG Hamburg hingewiesen, in dem es um "Markenfälschung, Steuerhinterziehung und illegaler Beschäftigung sowie Sozialmißbrauch" geht.

Auf efox-shop.com habe ich viele deutschsprachige Betrugswarnungen gelesen, der deutsche Statthalter scheint derzeit handlungsunfähig.

Bei der Denic für toprc.de eingetragen sind eine Omens-GmbH und Christoph G. aus der Junkerstraße 22 in Bonn. Eine Omens-GmbH ist in keinem der von mir abgefragten Handelsregister zu finden. G. ist mir seit Jahren als Admin-C diverser Abofallen bekannt. Besonders entlarvend ist dieser Satz:

Preise und Versand

1. Innehalb Deutschland wird die Ware per GLS aus Deutschland zu Ihnen geschickt.

Quelle: www.toprc.de/shippinginfo.html
Eine .de-Domain, eine Niederlassung in Deutschland, aber ordnungsgemäßes Impressum, keine gültige Widerrufsbelehrung, keine Steuernummer und ein Bankkonto in China. Da könnten mißtrauische Menschen schon mal Geldwäsche und Steuerhinterziehung vermuten.

Die Domains yourmailinglistprovider.com und ymlp.com gehören zum belgischen Spammer selbst:
YMLP
Patrick V. A.
P.O. BOX 25
Ieperstraat 85
8970 Poperinge
Belgium

Der vom Spammer benutze IP-Bereich läßt sich hier ermitteln:
IP 87.237.13.66 (http://whois.domaintools.com/87.237.13.66)
( http://whois.domaintools.com/87.237.13.66 )
IP 87.237.8.214 (http://whois.domaintools.com/87.237.8.214)
( http://whois.domaintools.com/87.237.8.214 )

Folglich sind folgende IP-Bereiche in die Blacklists einzufügen:
87.237.8.192 - 87.237.8.255
87.237.13.64 - 87.237.13.95

Nebelwolf

TheDoctor
27.10.2011, 21:35
Efox ist hier schon vorher aufgefallen:29797

nospam_me
27.01.2013, 02:12
Ich habe am 24.1.2013 ein Spam von efox-shop.com bekommen. Ich habe gesehen, dass es hier bereits ein paar Einträge dazu gibt, aber die sind alle recht alt und dort ging es um einen Drittversender. Ich habe zuerst gedacht, das ware so einer der Shops auf denen ich mal etwas für meine Frau gekauft habe, die unbedingt ein Geschenk für weiss-nicht-wen haben wollte. Ich habe darum alle meine Emails seit 1993 durchsucht und konnte aber nur ein einziges weiteres Email mit "efox" irgendwo im Text finden, also hatte ich bestimmt noch nie Kontakt mit denen. Dieses frühere Email war vom 22.11.2012 und war eine GMX Spamfilter Benachrichtigung:
Analyse: [H] Briefkopf-Analyzer
Absender: "efox-shop.com" <efox-shop [at] a.efoxde.net>
Betreff: Promotion von Vor-Weihnachten:Millionen Produkte versandkostenfrei ...
Dem habe ich damals natürlich keine Beachtung geschenkt, wenn mir das GMX so schön wegfiltert.
Das Mail diese Woche aber ist durchgekommen. Eines der ganz ganz wenigen Spam-Emails die durch die Filter kommen und erst noch deutschsprachig. Hat noch jemand das bekommen? Wo reklamiert man da heutzutage? Beim Hoster?

Mail-Header:
---

Return-Path: richmail_*****@news.efox-shop.com
Received: from m5980155-59.news.efox-shop.com ([59.80.155.59]) by
mx-ha.gmx.net (mxgmx111) with ESMTP (Nemesis) ID: [ID filtered]
<*****@gmx.ch>; Thu, 24 Jan 2013 09:07:** +0100
To: *****@gmx.ch
Subject: Promotion:Versand aus Europa,versandkostenfrei,20% Rabatt +Versandfertig in 72 Stunden
Message-ID: [ID filtered]
Date: Thu, 24 Jan 2013 15:34:** +0800
From: "Efox-Shop.com" <newsletter [at] news.efox-shop.com>
Reply-To: cnfrmd.maoyan [at] gmail.com
MIME-Version: 1.0
X-Mailer-LID: [ID filtered]
List-Unsubscribe: <http://link.news.efox-shop.com/rhu/*****>
X-Mailer-RecptID: [ID filtered]
X-Mailer-SID: [ID filtered]
X-Mailer-Sent-By: 2
Content-Type: multipart/alternative; charset="UTF-8"; boundary="*****"
Content-Transfer-Encoding: 8bit
Envelope-To: <*****@gmx.ch>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:***12charsofbase64***:***22charsofbase64***
***25linesof71charsofbase64***
***lastlinewith19charsofbase64***

Interessante Details:

Absender ist 59.80.155.59, also ein Server mit Namen efox-shop.com, also kein Drittversender
offenbar wird Rich Mailer client verwendet
Wenn man auf den Unsubscribe Link geht (nur Domäne, ohne Parameter), so wird man auf http://aukey.richdm.com/admin/index.php weitergeleitet. Das ist eine chinesische RichMail Seite.
Die Reply-To Email ist bei gmail. Ich gehe davon aus, da ist nicht meine ID: [ID filtered]
Die "Über uns"-Seite des Shops sagt, der Shop sei in Hong-Kong mit "mehr als 300 Mitarbeitern".


Frage:
Kann man diesen efox Leuten nicht das Handwerk legen? Wieso sind die immer noch im Spam-Business aktiv?

schara56
27.01.2013, 12:02
Efox hat hier schon eine Patientenakte:

https://www.antispam-ev.de/forum/showthread.php?32603-Fakeshopspam-yourmailinglistprovider.com-ymlp.com-efox-shop.com [x] drangetackert
https://www.antispam-ev.de/forum/showthread.php?29797-Spam-von-efox-shop.com-%FCber-mit-cleverreach.de

Mittwoch
27.01.2013, 13:39
Kann man diesen efox Leuten nicht das Handwerk legen? Wieso sind die immer noch im Spam-Business aktiv?
Für diese Spammer gilt (leider) das Gleiche wie für alle Spammer, d.h. denen ist wegen des länder- und rechtsgrenzenübergreifenden Internet kaum beizukommen. Ein paar Tipps bekommt man im Antispam-Spammer verfolgen. Allzu große Hoffnung, denen das Handwerk legen zu können, würde ich nicht hegen. Einfach fleißig den Spamfilter füttern; dass ab und zu mal was durchkommt, ist normal.

Schönen Gruß
Mittwoch