PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : meddax24 spammt für Medizinprodukte



isenaecher
17.02.2020, 12:39
Hallo,

das kam heute über GMX bei mir rein. Der Spamfilter von GMX hat es schon aussortiert. Es sticht aber aus dem täglichen Spamreport von GMX heraus, der sonst fast nur Kreditspam anzeigt.
Return-Path: <info [at] onawave.de>
Received: from srv.onawave.de ([83.171.238.229]) by mx-ha.gmx.net (mxgmx116
[212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
"mich" spamopfer bei gmx; Sun, 16 Feb 2020 xx:xx:xx +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=onawave.de;
h=From:Subject:To:Content-Type:MIME-Version:Date; i=info [at] onawave.de;
bh=zbBtlWpqkVyx0/1GZKev8CYv1pxQcENMFnrQ8r0qk9w=;
b=HfaqrO/bpa0EODE4IKmBu0yrXxRFCZiCwwvmMXjVbnso8KbdMsWIyjrhs0hWiW8nXIzPI94akJY9
w6VELj8t5WdHxkD1MeLpLsgdTNnysRYpOES13cZ/kkQ/n91D12IaY438vvRS+iG+RPymXo5PoZIb
ErYTA4bYVIxbrKRdFVk=
From: "meddax24.de" <info [at] onawave.de>
Subject: Effektive Atemwegstherapie mit Inhalatoren und Produkten von Pari |
meddax24.de
To: "mich" spamopfer bei gmx
Content-Type: multipart/alternative; boundary="1oAeI6tUkeSd2cb9T5zDPTsvmhinOw=_kS"
MIME-Version: 1.0
Date: Sun, 16 Feb 2020 xx:xx:xx +0100
Envelope-To: <poor [at] spamvictim.tld>


NEWSLETTER

Atemwegstherapie zum Kampf gegen Erk=E4ltung

In diesem Newsletter finden Sie eine Auswahl diverser Produkte des Her=
stellers Pari zum Thema Inhalation, sowie Artikel aus eigener Herstell=
ung.

Wir bieten Ihnen eine Zusammenstellung verschiedener Inhalationsger=E4=
te, jeweils an Ihren Bedarf angepasst. Passend dazu finden Sie Zubeh=F6=
r-, sowie Ersatzteile. Damit sind Sie perfekt vorbereitet f=FCr die Po=
llen- und Erk=E4ltungszeit, dank effektiver Atemwegstherapie.

Zum Anderen finden Sie praktische Artikel aus unserer eigenen Produkti=
on.

Sollten Sie gr=F6=DFere Mengen abnehmen wollen unterbreiten wir Ihnen =
gerne ein individuelles Angebot - kontaktieren Sie uns hierzu ganz ein=
fach per E-Mail oder Telefon:

Tel.: +49 (0) 208 / 38 49 XX-X
E-Mail: webshop [at] meddax24.de
Der ganze Text dann nochmal in HTML mit ellenlangen Trackinschwänzen an jedem beworbenen Produktlink.

Das Ganze wird über eine Adresse von onawave.de abgekippt. Die Suche nach onawave.de endete bei cloudflare, aber diese IP-Adresse 83.171.238.229 aus dem Header führte mich zu einem Internetdienstleister.

Droptop GmbH
Am Grashorn 8
14458 Schwielowsee

Vertreten durch: V.-M. K
T5F an MEDDAX24 geht heute noch raus

Arthur
17.02.2020, 12:51
Eine etwas dürftige HP : https://droptop.de/

deekay
17.02.2020, 12:58
Kontaktformular ohne ssl - immer gut :-) Das sieht aus wie eine reine Landingseite, denn man erreicht über das Impressum wohl die Hauptseite linevast

isenaecher
22.02.2020, 17:34
Heute kam sehr zeitnah Antwort auf meinen T5F:

Guten Tag Herr Isenaecher,


wir haben heute Ihr Schreiben bezüglich des unerwünschten Newsletters erhalten.

Zu allererst möchte ich mich bei Ihnen für die Unannehmlichkeiten entschuldigen.

Aktuell haben wir mehrere Beschwerden zum Newsletter erhalten und müssen aktuell von einem technischen Defekt oder Virenproblem eines Fremden ausgehen.

In mehreren aktuellen Fällen wurde unser Newsletter von der Mailadresse info [at] onawave.de oder info [at] mailor.eu versendet - diese Mailadresse ist definitiv nicht von uns.

Wir haben mittlerweile mit unserem Newsletterversanddienstleister Rapidmail zusammen feststellen können, dass der Newsletter, welcher an Sie quasi weitergeleitet wurde ursprünglich an eine @freenet.de Mailadresse einer Kundin rausgegangen ist.Vermutlich hat sich diese Kundin einen Trojaner oder anderen Virus eingefangen, welcher nun unseren Newsletter an uns fremde Mailadressen und Personen versendet.

Inzwischen haben wir auch Kontakt mit freenet.de und das Problem geschildert und darum gebeten, dass das betroffene Postfach umgehend gesperrt wird. Woher die Absendermailadressen stammen ist uns leider immer noch ein Rätsel, vermutlich stammen diese aus dem Trojaner bzw. anderer Schadsoftware.

Wir haben keinerlei Daten von Ihnen gespeichert und Sie sollten auch keinen Newsletter erhalten.

Nichtsdestotrotz habe ich Ihre Mailadresse isenaechers Adresse [at] gmx.de soeben noch vom Versand via Rapidmail ausgeschlossen.

Ich hoffe Sie erhalten nicht noch weitere Mails, ansonsten können Sie diese gerne mit einem kurzen Hinweis an mich weiterleiten.

Mit freundlichen Grüßen

B. S.

Wenn das wirklich so ist, sollte der Herr ganz schnell mal den Herrschaften von onawave.de auf die Finger klopfen.

Nebelwolf †
22.02.2020, 20:17
Meddax aus Oberhausen ist nicht zum ersten Mal aufgefallen, die Forensuche liefert ältere Fälle, dort wurde für ebenfalls von Meddax angebotene Software mittels Spam geworben. Und auch damals schon, hatte man wenig kreative Ausreden.

Nebelwolf

Nebelwolf †
22.02.2020, 22:15
Ein interessantes Spiel spielen Gwen und Alexander. Innerhalb von wenigen Jahren haben drei der von Gwen und Alexander geführten Firmen Pleite gemacht:

meddax GmbH, Oberhausen
Amtsgericht Duisburg HRB 16774
Veränderung: 17.02.2005
Geschäftsführer: H[...], A[...], Mülheim an der Ruhr,
Einzelprokura: K[...], G[...], Oberhausen,
17.01.2012: Durch rechtskräftigen Beschluss des Amtsgerichts Duisburg (61 IN 84/11) vom 18.08.2011 ist die Eröffnung des Insolvenzverfahrens über das Vermögen der Gesellschaft mangels Masse abgelehnt. Die Gesellschaft ist aufgelöst. Von Amts wegen eingetragen.

meddax Distribution GmbH, Oberhausen
Amtsgericht Duisburg HRB 23142
Neueintragung: 08.02.2011
Geschäftsführer: K[...], G[...], Ratingen
Einzelprokura: H[...], A[...], Oberhausen
23.07.2019: Durch Eröffnung des Insolvenzverfahrens über ihr Vermögen ist die Gesellschaft aufgelöst. Von Amts wegen eingetragen.

mediparts24.de GmbH, Oberhausen
Amtsgericht Duisburg HRB 25333
Neueintragung: 28.03.2013
Geschäftsführer: H[...], A[...], Oberhausen & L[...], P[...], Ense
Einzelprokura: K[...], G[...], Oberhausen
04.03.2015: Durch Beschluss des Amtsgerichts Duisburg vom 26.02.2015 (61 IN 174/14) ist das Insolvenzverfahren über das Vermögen der Gesellschaft eröffnet. Die Gesellschaft ist aufgelöst.

mediparts GmbH , Oberhausen
Amtsgericht Duisburg HRB 26872
Neueintragung: 26.09.2014
Geschäftsführer: K[...], G[...], Oberhausen
Einzelprokura: H[...], A[...], Oberhausen
03.05.2016: Postentausch von A[...] und G[...]
Die aktuellen Geschäftszahlen zu der Firma findet Ihr hier:
https://www.northdata.de/mediparts+GmbH,+Oberhausen/Amtsgericht+Duisburg+HRB+26872
( https://www.northdata.de/mediparts+GmbH,+Oberhausen/Amtsgericht+Duisburg+HRB+26872 )

Wir haben es formal mit einer neuen Firma zu tun, deren Produkte in dieser Spammail beworben wurden. Geschäftsführer und Prokurist haben die inzwischen insolvente Meddax GmbH geführt, deren Produkte bereit in den Jahren 2007/2008 mit mehreren Spamläufe beworben wurden. Das angebotene Produktsortiment und der Markenname Meddax sind ebenfalls in die neuen Firmen übernommen worden.

Nebelwolf

Gerlach
23.02.2020, 10:35
Ob Vorsatz oder Fahrlässigkeit der Firma zum Spam-Versand führten spielt meiner Meinung nach für die Haftung keine Rolle. Die Story mit dem Trojaner auf dem Rechner eines rechtmäßigen Empfängers dürfte sich leicht widerlegen lassen ...

isenaecher
23.02.2020, 17:48
Meddax aus Oberhausen ist nicht zum ersten Mal aufgefallen, die Forensuche liefert ältere Fälle, dort wurde für ebenfalls von Meddax angebotene Software mittels Spam geworben. Und auch damals schon, hatte man wenig kreative Ausreden.

Nebelwolf
Naja, die Namens- und Adressgleichheit ist schon auffällig. Aber mittlerweile beschäftigt man sich mit einem anderen Geschäftsfeld (Medizintchnik und nicht mehr Software) und der GF hat auch gewechselt. Die Gesellschafter werden wohl noch die gleichen sein.

Ich denke mal, es wird schwerfallen, denen das Gegenteil, zu dem, zu beweisen, was sie im Antwortbrief geschrieben haben, um sie ggf. beim Landesdatenschutzbeauftragten zu verpetzen. Zumindest ich kann weder onawave.de noch mailor.eu einem deutschen Betreiber zuordnen. Einzig unklar ist die Rolle der Droptop GmbH bei dieser ganzen Sache.


...
Die Story mit dem Trojaner auf dem Rechner eines rechtmäßigen Empfängers dürfte sich leicht widerlegen lassen ...
Wäre interessant zu wissen, wie... Müsste man das im Header sehen?

deekay
23.02.2020, 19:30
Wenn deren Version stimmt, sollten die mal besser Anzeige erstatten....

Ein Trojaner der Marketing betreibt ist mir allerdings auch noch nie untergekommen

hoppala
23.02.2020, 19:48
Eine Variante ist nicht grundsätzlich auszuschließen: Emotet verbreitet sich unter anderem, indem Teile von Mails, die auf dem befallenen Rechner gespeichert sind, an Adressen aus dem Adressbuch verschickt werden, um über die Wahrscheinlichkeit für das Klicken auf die Schadsoftware zu erhöhen. Funktioniert offenbar manchmal, weil die Leite verunsichert sind, wenn ihnen Texte bekannt vorkommen.

Ob das aber hier eine Rolle spielt, kann ich ohne Analyse der Mailinhalte nicht sagen.

hoppala

Hippo
23.02.2020, 20:53
https://www.antispam-ev.de/forum/images/misc/quote_icon.png Zitat von Gerlach
...
Die Story mit dem Trojaner auf dem Rechner eines rechtmäßigen Empfängers dürfte sich leicht widerlegen lassen ...
Wäre interessant zu wissen, wie... Müsste man das im Header sehen?

So vielleicht? Dass man weiss an welche Adresse exakt diese Trackingschwänze gingen?


Der ganze Text dann nochmal in HTML mit ellenlangen Trackinschwänzen an jedem beworbenen Produktlink.

Nebelwolf †
24.02.2020, 01:00
Aber mittlerweile beschäftigt man sich mit einem anderen Geschäftsfeld (Medizintchnik und nicht mehr Software) und der GF hat auch gewechselt.

Auf der Website Meddax24.de wird weiterhin Software verkauft (und gegen Windows 7 gehetzt). Geschäftsführer und Prokurist waren zum Zeitpunkt der Spamläufe identisch. Im Jahr 2016 haben Gwen und Alexander die Posten getauscht. Sowohl bei den Spamläufen 2007/2008, als auch beim aktuellen Spam war Alexander der Geschäftsführer und Gwen Prokurist.

Wenn ein Wurm wie Emotet einen fremden Text übernimmt, dann hängt immer eine Datei an der Mail, die Emotet enthält. Das wäre Dir aber aufgefallen.

Nebelwolf

isenaecher
24.02.2020, 01:26
Sorry,

das mit dem GF Wechsel war ein Lesefehler von mir. Der T5F-Beantworter, B.S. ist wahrscheinlich nur ein Mitarbeiter bei denen. Datei hing definitiv nicht dran. Und wenn der GMX Virusfilter was abschneidet, würde da sicherlich eine Info dazu zu finden sein, Oder? Betriebssysteme verkaufen die wirklich noch (sogar Windows XP:facepalm:)


So vielleicht? Dass man weiss an welche Adresse exakt diese Trackingschwänze gingen?
Trackingschwänze gingen an Meddax24. Es ist ja eine regulärer Newsletter von denen, den ich ja angeblich nicht erhalten sollte:confused:

Hippo
24.02.2020, 01:30
Die Schwänze hingen dran und waren personalisiert...
So war mein Gedankengang. Und wenn Du das Ding im Original an deinen T5F gepappt hast könnten Die dann so den Originalempfänger feststellen.
Ist aber nur so eine Idee

isenaecher
24.02.2020, 21:04
Die Treckingschwänze habe ich nicht an den T5F gepappt. Das Problem ist nur, ich weiß darüber zu wenig bescheid. Hier im Forum habe ich gelernt, dass man es tunlichst unterlassen sollte, die Dinger zu öffnen, weil dann der Empfänger zugeordnet werden kann. Mit den Mechanismen dahinter bin ich aber überfragt. Ich weiß auch nicht, ob es sinnvoll ist, im T5F solche Dinge preiszugeben.

Ich denke der Schlüssel liegt woanders. In meinem Spamordner habe ich eine E-Mail gefunden, die zwei Tage später hier eingetroffen ist. Es ist ein „Newsletter“ von Namecheap (dürfte hier bekannt sein) für Internethosting.
Return-Path: <info [at] onawave.de>
Received: from mta4.onawave.de ([83.171.237.96]) by mx-ha.gmx.net (mxgmx015
[212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
<Mein E-Mail-Skip bei gmx>; Tue, 18 Feb 2020 xx:xx:xx +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=onawave.de;
h=From:Subject:To:Content-Type:MIME-Version:Date; i=info [at] onawave.de;
bh=sH+OJhOl54+RG8o8ppk+FmCs/mVkkO4LmjPcANspYwk=;
b=SbiQ/gz4/cXs3Z/yXWZo/h3HdQtDjpCL06Cdmv7vcAJSrqGoKFv6Pwptg6xLb5iMroMbECDtu2gW
TD/MkHga4Y9lCheoHYAdoSc3mKIKfKmNWJUHHA2TwKTDH9CYkfxAL9sEGrD+Di+1LFp+g1/k79gd
I1uZh01+EJmzocixyWM=
From: "Namecheap" <info [at] onawave.de>
Subject:
=?iso-8859-1?B?RG9uJ3QgTWlzcyBPdXQhIC0gVHJhbnNmZXIgV2VlayBTYWxlIEVuZHMgU29vbg==?=
To: "Mein E-Mail-Skip" <Mein E-Mail-Skip bei gmx>
Content-Type: multipart/alternative; boundary="iEnn=_g7yywAkygw9zVeeG1QlmIwcdm37G"
MIME-Version: 1.0
Date: Tue, 18 Feb 2020 xx:xx:xx +0100
Envelope-To: Mein E-Mail-Skip bei gmx
Leerzeilen durch mich entfernt.

Transfer Week Sale Ends Soon!
There's still time to save up to
45%
when you transfer a domain. Plus, get up to 70% off when you buy Shared Hosting.

Shop the Deals

Ends 11:59 PM ET on February 17.

Better Service, Best Support

Transfer to Namecheap for better service, support, and savings. Mix and match up to 200 domain transfers. Sale ends at 11:59 PM on February 17.

Shop the Deals

Follow Namecheap

4600 East Washington Street, Suite 305, Phoenix, AZ 85034, USA

Copyright 2020 Namecheap.com

We are an ICANN accredited registrar.
Serving customers since 2001.

Disclaimer | Unsubscribe
Jetzt fragt man sich, was hat der Header im Eingangspost mit diesem hier zu tun.
Das hier

onawave.de

Wenn man diese Schreibweise bei Central ops.net durchlaufen lässt, kommt man auf Cloudflare; also eine Sackgasse.

Nimmt man aber mta4.onawave.de bzw. die IP-Adresse 83.171.237.96 kommt man auf dieselbe Firma wie schon im Eingangspost.
So richtig kann ich mir da noch keinen Reim drauf machen. Vielleicht hat einer von Euch eine Idee, warum eine deutsche Firma für eine US-Firma "Newsletter" verschickt.