PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Stockspam] InsiderStocks.net



Mittwoch
03.01.2015, 08:50
Hurra, es gibt ihn noch! Ich dachte schon, der gute alte Stockspam sei ausgestorben, doch heute das hier:

Return-Path: info [at] paypal.com
Received: from DSVR015417.home ([213.171.198.104]) by mx-ha.gmx.net (mxgmx111) with ESMTP (Nemesis) ID: [ID filtered]
Received: from [192.168.85.202] ([127.0.0.1]) by home with MailEnable ESMTP; Fri, 2 Jan 2015 xx:xx:xx +0000
Message-ID: [ID filtered]
Mime-Version: 1.0
From: Insider Aktien <info [at] paypal.com>
To: ***@gmx.de
Reply-To: info [at] aktien.com
Subject: =?iso-8859-1?Q?Insider_Aktien_+_2000%_Marktver=E4nderung_m=F6glich.?=
Date: Fri, 2 Jan 2015 xx:xx:xx +0100
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Envelope-To: <***@gmx.de>
Der Text ist HTML, der Teil zur Telekom zwischen "Anmeldeplätze" und Anrede ist in weißer Schrift auf weißem Grund gehalten, also Spamprosa.


Betreff: Insider Aktien + 2000% Marktveränderung möglich.


Limitierte Anmeldeplätze
Der starke US-Dollar bläht die Schuldenlast der Deutschen Telekom auf. Zwar finanziert sich T-Mobile US durch die Ausgabe von Anleihen selbst, aber auch die Schuldenlast ihrer US-Tochter konsolidiert der deutsche Mutterkonzern in vollem Umfang. Und diese steigt allein schon durch den starken Greenback, der zurzeit neue Jahreshöchststände erreicht.


Liebe Leser ,
[Grafik, nachgeladen von https://staticapp.icpsc.com/icp/loadimage.php/mogile/1531994/30d1b354c587fbb0f25a0ebce675f885/image/png, verknüpft mit einem Link auf http://inlinsec.tk/counter/newsletter/scripty.php?w=***@gmx.de
Die Grafik ist folgender Text:


Sie handeln mit Aktien?
InsiderStocks bietet Ihnen regelmäßig Insider Informationen zu Aktien welche kurz vor
einer Marktveränderung von mindestens +200% stehen.

Freie gratis InsidersStocks Newsletter Plätze 51

Ja ich besitze ein Aktiendepot und möchte kostenlose Informationen zu Insider Aktien
über E-Mail erhalten.
Es bewährt sich einmal mehr die zuverlässige Filterregel, dass ein Satzzeichen am Ende des Betreffs mit hoher Wahrscheinlichkeit für Spam spricht. Außerdem sind 2000% nicht 200%. Und wieso wird mir angeboten, Informationen per Mail zu erhalten, wenn ich diese schon erhalten habe?! :mad:

http://inlinsec.tk/counter/newsletter/scripty.php=> http://insiderstocks.net/, registriert auf eine niederländische Adresse, vermutlich Postkasten. Also alles wie gehabt.

Schönen Gruß
Mittwoch

truelife
03.01.2015, 09:39
Hier ähnlich aufgeschlagen:

In reinem HTML kommt nur noch Grütze an:


InsiderStocks E-mail Information

Nur noch wenige Plätze verfügbar.

[echter Vorname] [falscher Nachname] ,

Mail nach Posteingang verschieben, oder 'Alles anzeigen' über der Überschrift klicken. Um Mailtext zu sehen

Ja ich besitze ein Aktiendepot, und möchte Insider Aktien Informationen über E-mail erhalten.

Die letzte Zeile ist ein Link und führt auf:

http://dotiwkis.tk/counter/newsletter/scripty.php?w=[meine E-Mail-Adresse]

Die Whois-Abfrage von TK-Domains kann man sich schenken, Inhaberinformationen bekommt man nicht.

From - Fri Jan 02 xx:xx:xx 2015
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: info [at] aktien.com
Received: from DSVR015417.home ([213.171.198.104]) by mx-ha.gmx.net (mxgmx003)
with ESMTP (Nemesis) ID: [ID filtered]
02 Jan 2015 xx:xx:xx +0100
Received: from [192.168.85.202] ([127.0.0.1]) by home with MailEnable ESMTP; Fri, 2 Jan 2015 xx:xx:xx +0000
Message-ID: [ID filtered]
Mime-Version: 1.0
From: Insider Aktien <info [at] aktien.com>
To: [snip] <[snip]>
Date: Fri, 2 Jan 2015 xx:xx:xx +0100
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Envelope-To: <[snip]>
Subject: *** GMX Spamverdacht *** =?iso-8859-1?Q?Insider_Aktien_+_2000%_Marktver=E4nderung_m=F6glich.?=
X-GMX-Antispam: 5 (nemesis mail header analyzer); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;[snip]
X-Antivirus: avast! (VPS 150102-1, 02.01.2015), Inbound message
X-Antivirus-Status: Clean

213.171.198.104

Heute Morgen leitete der Link direkt weiter auf http://www.insiderstocks.net auf der IP 185.11.145.79.

Auf der gleichen IP (http://domain-kb.com/ipv4/185.11.145.79) finden sich auch:

http://www.affiliatebonus.net
http://www.affiliatepromo.net
http://www.aktionsact.com
http://www.insiderstocks.net

Diese haben heute Morgen allesamt auf http://www.insiderstocks.net weitergeleitet. Schaut man mal nach, wer die Domains so registriert hat, finden sich die Mailadressen:

fruitybanana [at] gmx.de
info [at] alfan-gmbh.com
melnikavay [at] outlook.de

Interessanterweise ist alfan-gmbh.com gar nicht registriert... Das spricht für Qualität beim Hoster, wenn die Registranten-Mailadressen offensichtlich nicht erreicht werden kann... Interessanterweise fiel die Mailadresse schon mal auf: bei einem Phisher:

z.B.
seecure-unlock.biz
proceschecks.biz

Buddelt man da weiter, finden sich z.B. auch

com-fj55.net
com-hj8.net
com-kg17.net
com-kn48.net
com-xr41.net
com-zj32.net
kunden-information.net
kundenvalidierung.net
nanopayquer.biz
pay-security.biz
paymentinformations.biz
paysecure-ing.biz
personenverification.com
secure-everycheck.com
secure-integateway.biz
viewsecurityoptions.biz

welche allesamt offline sind.


Lara & Paul schreiben Spammy schreibt:


Ich verneige mich vor Ihnen. Ich habe aus 50.000 Euro in weniger als neun Monaten fast eine Million Euro gemacht, indem ich Ihren Empfehlungen gefolgt bin.
Die Domain gibt es erst seit dem 23.12.2014.*pappnase*

ichliebespam
05.07.2015, 18:44
Return-Path: info [at] contra-magazin.com
Received: from server3.hosting4django.net ([148.251.236.139]) by mx-ha.web.de
(mxweb007) with ESMTPS (Nemesis) ID: [ID filtered]
<xyx>; Sun, 05 Jul 2015 xx:xx:xx +0200
Received: from ec2-79-125-9-71.eu-west-1.compute.amazonaws.com (unknown [37.233.38.46])
(Authenticated sender: office [at] ukrainemotors.com)
by server3.hosting4django.net (Postfix) with ESMTPA ID: [ID filtered]
for <xyx>; Sun, 5 Jul 2015 xx:xx:xx +0200 (CEST)
MIME-Version: 1.0
From: "Insider Investment" <info [at] contra-magazin.com>
Reply-To: info [at] insider-stocks.com
To: xyx
Subject: =?windows-1252?B?SGVp32UgSW5mb3JtYXRpb24sIDEwMCUgV2VydGdld2lu?=
=?windows-1252?B?biBpbiAgMiBXb2NoZW4=?=
Content-Type: text/html; charset="windows-1252"
Content-Transfer-Encoding: base64
X-Mailer: Smart_Send_3_1_6
Date: Sun, 5 Jul 2015 xx:xx:xx +0300
Message-ID: [ID filtered]
Envelope-To: <xyx>


VENA RESOURCES (wkn:A1J6EP)

[Symbol: V1RA | ISIN: CA9225893044 | WKN: A1J6EP]


Liebe Leser,


VENA RESOURCES (wkn:A1J6EP) steht kurz vor einer Kursexplosion!

In den nächsten zwei Wochen wird VENA RESOURCES (wkn:A1J6EP) mindestens

100% an Wert Gewinnen.



Informationen:

Startkurs: 0.034 €

Kursziel in zwei Wochen: 0.085 €

Kursziel allgemein: 1.050 €

Börsenkürzel: V1RA


<http://ghcinvests.cf/counter/mailread/scripty.php?w=xyx>

Komische eMail ... Weiterleitung zu http://insiderStocks.net und viel Spam für info [at] insider-stocks.com

schara56
05.07.2015, 20:50
Die Tipps für die Aktien werden ähnliche Qualität haben wie die Konfiguration des Webservers:
http://insiderstocks.net/images/

kjz1
06.07.2015, 12:27
Oh, Pump-and-Dump-Spam:

http://www.antispam-ev.de/wiki/Stockspam

Den habe ich ja seit Jahren nicht mehr gesehen.