Hallo,
ich bin seit ein paar Tagen an einem größeren Spam-Fall dran, der mit eventuellen Datenlecks bei einem börsennotierten Unternehmen zu tun hat.

Ich frage daher, ob es in unserem Kreis noch weitere Leute gibt, die seit einigen Tagen mehrere deutschsprachige Emails für diverse Casino-Domains erhalten haben, wo der Absendername (also der angezeigte Name hinter der gefakten Absenderadresse) "{%FROM_NAME%}" lautet?

Bitte per PN melden.

Jo - kommt seit einiger Zeit regelmäßig:


Ihre Einzahlungen im Ruby Palace werden verdreifacht, wenn Sie sich jetzt anmelden und beginnen, zu spielen.

Doch damit nicht genug! Eine Auswahl von über 450 Casinospielen in HD garantiert Unterhaltung ohne Ende.

Registrieren Sie jetzt ein neues Konto und wir garantieren Ihnen, eine wahre Flut regelmäßiger Angebote und Bonusse.

Wir bieten jedoch nicht nur erstklassige Angebote! Bei Fragen steht Ihnen unser kompetentes Kundenservice-Team jederzeit zur Verfügung.

Genießen Sie Gaming der Extraklasse im Ruby Palace

http://www.olandrubygrand.com/



Return-Path: <no-reply [at] pldt.net>
Delivery-Date: Fri, 01 Mar 2013 xx:xx:xx +0100
Received: from 124.105.172.62.pldt.net (124.105.172.62.pldt.net [124.105.172.62])
by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis)
ID: [ID filtered]
Date: Fri, 01 Mar 2013 xx:xx:xx +0100
From: {%FROM_NAME%} <no-reply [at] pldt.net>
To: <poor [at] spamvictim.tld>
Cc: <xxx.yyyyyyyyy [at] onlinehome.de>
Subject: Erleben Sie über 450 Casinospiele und Ihre 1. Einzahlung wird verdreifacht
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
X-UI-Loop: V01:/o7MfYgRWRM=:UAgxp8KpsULPTSDVX+smLmDYIsb9NjQ9Htb4cICX3yeJ
j6oGZGU8f5OiDEg/K4bZJY2PG0a4I8+WLFBiOPiL6A==
X-UI-Junk: AutoJunk +342 (BAY);
V01:zNeldN6l:Og3g0tSg+/ToJznZfQBWoWg32uDSaB+1ELLK8gkG0kfEd0SZ7Aq
NNjA9gkdhDDRvgN0wzArSt8Ov6FUBdGdHUl1TE5iNFgnNQFfDzFDWk2UvrxDfPSi
0sukB5cjrvrNtC23kLUFmuGhHWxZp0pxgRQnZaBxK1n03Gz32THUSElB0lvjm0WX
lX6uhp1TDDUTBhqG9fc9CcZLMAj5yngOo5PbnvIrsWfCZdjqg0HiP8zo4QazhTNg
oIRzEjTIjQsOhdUm/kO2PCUVRO3+rMULM8oXwb7I+OeVHg6Z54rx/gpjeV9LhDEV
OF1DptFeQtKFCBmYdAgs94upyrjSN2vL0+S2Dm4/h7H2VjOkvxGfZQ+4sng3/VPv
wpW/kS4BKkfcGGO+qkL3SihmbuRnldL3Js6x7kPmdmEoFDWlcTagiL/c=
X-Nemesis-Spam: rulefilter
Envelope-To: poor [at] spamvictim.tld

MailID: [ID filtered]

------------------------------------------------------------------------
message opened by mailclient 4.6.0.0 (2)

Da könnte man ja glatt hieran denken, oder?
http://heise.de/-1812676
Leider habe ich dort keine individuelle E-Mailadressen benutzt, aber an die üblichen kommt dieser Spam seit einigen Tagen häufiger schubweise.

Also "Groupon" ist es definitiv nicht. Bisher habe ich den "normalen" Casino Spam erhalten, mittlerweile sind es stattdessen Mails nach obigen Muster...

Received: from words4work.co.uk ([185.10.181.59]) by xxx.xxx.xxx
with smtp ID: [ID filtered]
Date: Tue, 19 Feb 2013 xx:xx:xx -0800
From: {%FROM_NAME%} <no-reply [at] words4work.co.uk>
Subject: *SPAM* Wir verdreifachen Ihre Einzahlungen, wenn Sie sich bei uns anmelden
Message-ID: [ID filtered]

Received: from workingwithrails.com ([187.109.60.144]) by mailin50.aul.t-online.de
with smtp ID: [ID filtered]
Date: Mon, 18 Feb 2013 xx:xx:xx -0800
From: {%FROM_NAME%} <no-reply [at] workingwithrails.com>

Wenn es weiterhilft.
Allerdings kann ich auch hier sagen, das es nicht Groupon ist.
Aufgeschlagen auf eine t-online Adresse

Das gibt es schon ewig in x-Variationen und ist kein neuer Spamrun. Da sind schicht einige Server überlastet die infizierten Clients von den Botnet Controllern genannt wurden um von dort To: From: Subject: zu holen..

Ich gehe hier mit GoodReputation konform. Bei mir ist eine E-Mail-Adresse betroffen, die Groupon nicht bekannt sein dürfte - schon alleine aus dem Grunde, weil ich dort nie Mitglied war.

Da könnte man ja glatt hieran denken, oder?
http://heise.de/-1812676
Leider habe ich dort keine individuelle E-Mailadressen benutzt, aber an die üblichen kommt dieser Spam seit einigen Tagen häufiger schubweise.

Du liegst richtig, es geht mir um Groupon. Die haben definitiv ein Problem mit ihren Daten. Bei mehreren, nur bei denen verwandten Emailadressen kommt seit einigen Tagen Casino-Spam an.

Kann ja sein mit Groupon, allerdings bekomme ich den shice auf alle möglichen Adressen, die mit der Datenschleuder Groupon nullkommanix zu tun haben. Das ist ganz odinärer Casinospam.

Gruß Antispam2006

...] Das ist ganz odinärer Casinospam. [...Das sehe ich auch so - meine bespammte Adresse hat nix mit Groupon zu tun. Das schließt aber nicht aus, dass nicht doch ein paar Daten von Groupon stammen. ROKSO-Spammer verlassen sich sicherlich nicht auf eine gehackte Datenquelle.

Received: from lan223-965.elekta.lt ([91.187.165.223]) by mx-ha.gmx.net
(mxgmx007) with ESMTP (Nemesis) ID: [ID filtered]
<x>; Sun, 03 Mar 2013 xx:xx:xx +0100
http://www.eorubypalacemagicnet.pl -> 91.217.52.125 -> http://rubycasinoweb.com/ -> 91.217.52.125
Lt. Robtex laufen auf der IP noch:

*.mainnetrubypalace.com
*.weblinemagicsp.com
acoviplive.com
aspstarsgame.com
crazypandacazino.com
mainnetrubypalace.com
ns1.tailer.ru
ns1.weblinemagicsp.com
ns3.weblinemagicsp.com
ns4.weblinemagicsp.com
rubycrownweb.com
umagicbingoseurodice.com
weblinemagicsp.com
www.mainnetrubypalace.com
ynicegrandpalace.com

Gelistet ist die IP auch bei Spamhaus:

sbl.spamhaus.org link (127.0.0.2)
Direct UBE sources, verified spam services and ROKSO spammers
http://www.spamhaus.org/sbl/query/SBL174804
http://www.spamhaus.org/sbl/listings/fajncom.cz

Hi ich hab das Problem mit den Spam-Mails leider auch schon seit vielen Tagen. Kann ich dagegen irgendetwas tun?
Lg

Edit: bei Groupon bin ich auch nicht angemeldet

Hi ich hab das Problem mit den Spam-Mails leider auch schon seit vielen Tagen. Kann ich dagegen irgendetwas tun?
Den Spamfilter füttern. Mehr ist leider nicht möglich, die Absender sind nach derzeitigen Stand der Erkenntnis nicht greifbar.

Schönen Gruß
Mittwoch

Du liegst richtig, es geht mir um Groupon. Die haben definitiv ein Problem mit ihren Daten. Bei mehreren, nur bei denen verwandten Emailadressen kommt seit einigen Tagen Casino-Spam an.
Bekomme daran seit neustem zumindest Viren an verschiedene E-Mailadressen:
Von: <E-Mailadresse ohne Bezug zu Groupon>
An: <Vorname Nachname> <E-Mailadresse>
Betreff: Vorname Nachname Ihre Goupon Abrechnung

Header habe ich nicht, da GMX die Mails gleich gelöscht hat und nur Benachrichtigungen darüber zustellt.

Bei mir kommt der Casinodreck im Moment mit dem Absender an "%FROM_NAME%". Finde ich schon gut filterbar.

Gruß Antispam2006

Bekomme daran seit neustem zumindest Viren an verschiedene E-Mailadressen:
Von: <E-Mailadresse ohne Bezug zu Groupon>
An: <Vorname Nachname> <E-Mailadresse>
Betreff: Vorname Nachname Ihre Goupon Abrechnung
Trojaner tarnt sich als Groupon-Rechnung (http://www.heise.de/newsticker/meldung/Trojaner-tarnt-sich-als-Groupon-Rechnung-1817699.html)

ist dieser Trojaner:
http://www.trojaner-board.de/119168-verschluesselungstrojaner-neue-welle-14.html
ein unangenemer Zeigenosse

Es ist definitiv Groupon! Bei mir schlagen die Mails auf einer nur dort hinterlegten Adresse (groupon [at] meinedomain.de) auf.
Habe die Mal angeschrieben, bin auf eine Reaktion gespannt ...

Es ist definitiv Groupon! Bei mir schlagen die Mails auf einer nur dort hinterlegten Adresse (groupon [at] meinedomain.de) auf.
Nichts für ungut, ich möchte Groupon auch nicht übermäßig in Schutz nehmen, aber Mailadressen der Form "groupon [at] privatedomain.tld", "facebook [at] privatedomain.tld", "ebay [at] privatedomain.tld" und ähnliche sind sehr gebräuchlich. Man kann daher mit guten Erfolgschancen rechnen, wenn man als Spammer einen Bot damit beauftragt, solche Standards durch zu probieren.

Schönen Gruß
Mittwoch

Naja, ganz offtopic ist es nicht, denn hier geht es um Groupon. Ich bin seit 26.02.2013 an der Sache dran und stehe in Kontakt mit der Rechtsabteilung von Groupon.

Mittlerweile hat auch Groupon aufgrund des Drucks die Notbremse gezogen und sich an die Presse gewandt:
siehe u.a. http://www.spiegel.de/netzwelt/web/spam-e-mails-gefaelschte-groupon-rechnung-hat-trojaner-im-gepaeck-a-887412.html

Man kann daher mit guten Erfolgschancen rechnen, wenn man als Spammer einen Bot damit beauftragt, solche Standards durch zu probieren.
*widersprech*
Ich lege für jede Firma einen Mail-Alias firma [at] meine-domain.tld an. Die einzigen, über die ich dann auch Spam bekommen hab waren diejenigen, denen Hacky und Co. dezentrale Sicherungskopien der Kundendaten angelegt haben (Mindfactory, E-Bug und wie sie alle heißen).

"Definitiv" nicht nur Groupon ;-)
Ich hatte mit Groupon noch nix am Hut und kriege den Mist auf 3 Mailadressen, sowohl auf Freemailer als auch auf die eigene Domain

Ich hatte mit Groupon noch nix am Hut und kriege den Mist...

Gilt für mich genauso. Ständig Werbung auf meine GMX-Adresse

bei mir auch nix mit Groupon, da ich dort nicht angemeldet bin/war.
Die Mails kommen trotzdem (auf einen T-online-Account)

Ich behaupte ja auch nicht, dass nur die von Groupon gekauften/geklauten Adressen bespammt werden. Ich bekomme diesen Mist auch auf anderen Adressen.
Ich behaupte aber, dass einige der bespammten Adressen nur von Groupon stammen können.

Ich behaupte aber, dass einige der bespammten Adressen nur von Groupon stammen können.

Genau das behaupte ich auch. Bei mir sind es mehrere Groupon-Accounts mit eindeutigen, lediglich nur bei Groupon eingesetzten Emailadressen, in meinem Bekanntenkreis finden sich weitere Personen, die in gleicher Art betroffen sind. Entweder wurden Daten von außen gestohlen oder ein MA von Groupon hat sich nen USB-Stick gefüllt.

Die Datenschutz-Aufsichtsbehörde Berlin ist an der Sache dran. Groupon und seine RAin hält sich leider sehr bedeckt, wird aber noch Gelegenheit bekommen, (notfalls zwangsweise) sehr ausführlich Stellung zu den Zuständen in Sachen Datensicherheit zu beziehen.

UPDATE: Während ich diesen Beitrag schrieb, erhielt ich auf eine nur bei Groupon bekannte Addy eine Mail, in der ich mit korrektem Namen angesprochen werde. Anhang: Ein als Rechnung getarnter Trojaner (http://www.golem.de/news/trojaner-mails-groupon-deutschland-oder-seine-partner-gehackt-1303-98077.html). Der Umfang der bei Groupon entwendeten Daten ist also mehr als bedenklich.

Bekommt jemand noch anderen Spam an solche E-Mailadressen?
Hier wohl als Finanzagent und Account stammt noch aus CityDeal Zeiten, also quasi dem Vorläufer in D und später von Groupon übernommen:


Betreff: re: <Vorname Nachname> Ihr Gesuch
Datum: Tue, 12 Mar 2013 xx:xx:xx GMT
Von: <stefano49 [at] gmx.de>
Antwort an: <Arbeitsagentur03 [at] i.ua>
An: <E-Mailadresse verwendet schon bei CityDeal>

verehrte/r <Vorname Nachname>,

mit Zusammenarbeit von Franke Marketing Agentur, können wir Ihnen 15 freie
Tätigkeitsmöglichkeiten
anbieten. Soweit Sie an einer Tätigkeit, gerne als Heimarbeit, interessiert sind, richten Sie bitte Ihre Bewerbungsschreiben an unsere Bewerbungs E-Mail
Arbeitsvermittlung32 [at] i.ua
Vgl. Noch mehr Stellenangebote (http://www.antispam-ev.de/forum/showthread.php?28607-Noch-mehr-Stellenangebote&p=353448&viewfull=1#post353448)

Dieser Ruby Palace Casino Spam ist aber ziemlich umfangreich und regelmäßg seit einiger Zeit:
bekomme ich ausnahmsweise an eigentlich alle zahlreichen E-Mailadressen die mal öffentlich genutzt oder z.B. auch bei Groupon genutzt worden sind.
Das haben bisher glücklicherweise keine anderen Spammer geschafft und ist IMHO schon recht auffällig.

Offizielle Neuigkeiten von Groupon zu dem Thema gibt es wohl auch nicht, oder?

Wer weiß, dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß:
Groupon-Kundendaten: Auf der Suche nach dem Leck (http://www.heise.de/newsticker/meldung/Groupon-Kundendaten-Auf-der-Suche-nach-dem-Leck-1845873.html)

Wer weiß, dass er nichts weiß, weiß mehr als der, der nicht weiß, dass er nichts weiß:
Groupon-Kundendaten: Auf der Suche nach dem Leck (http://www.heise.de/newsticker/meldung/Groupon-Kundendaten-Auf-der-Suche-nach-dem-Leck-1845873.html)

Naja, mir liegt u.a. das Aktenzeichen der Polizei vor, unter dem die Angelegenheit beim LKA 335 in Berlin bearbeitet wird. Aus der Tagebuchnummer der Polizei geht hervor, dass die Anzeige erst am 12.03.2013 bei der Polizei eingegangen/erstattet worden ist. Ich habe Groupon aber bereits am 27.02.2013 unmissverständlich auf den Vorfall mittels meines Schriftsatzes hingewiesen und Recherchen ergaben, dass bereits wenige Tage zuvor andere Betroffene ersten Kontakt zu Groupon gesucht haben.

Soviel also zu Thema "unverzügliches Handeln seitens Groupon"...

Unbedingt sofort (!) bei der Polizei oder Staatsanwaltschaft Strafanzeige wegen Verstoßes gegen das BDSG erstatten UND (!) Strafantrag stellen. Wenn sich im Rahmen der Ermittlungen herausstellen sollte, dass Groupon angegriffen wurde. Für den Strafantrag gilt eine Frist von 3 Monaten ab Kenntnis (!) von diese Strafbarkeit begründenden Tatumständen. Mit Hinweis auf diese Frist wischen Staatsanwaltschaften liebend gern die Strafbarkeit wegen gewerbsmäßigen illegalen Datenhandels vom Tisch, das sollte verhindert werden!

Interessanter Artikel zur Thematik:
Spam mit namentlicher Anrede: Woher kommen die Daten? (http://spam.tamagothi.de/2013/03/08/spam-mit-namentlicher-anrede-woher-kommen-die-daten/)