PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Erhöhtes Spamaufkommen - Spammer setzen auf die Langweile der Menschen



deekay
02.04.2020, 15:48
Nur eine kleine Auswahl:


THEMA DES TAGES: Corona virus


Verhindern Sie Langeweile und gewinnen Sie jetzt Ihr Netflix-Abo


Gewinne Desinfektionsprodukte im Wert von 250€


Gewinnen Sie ein MILKA Probierpaket!

Wird immer gleich an zwei meiner Mailadresse abgeworfen

Hilfe für Spamfilter:

Header enthält immer: us-west-2.amazone.com

Ziel des Fake-Abmelde links ist immer 22mars.us

Zielseite immer mit bit.ly verkürzt

schara56
03.04.2020, 18:19
Angeblich ein Milka-Probierpaket
Received: from us-west-2.amazone.com (unknown [89.144.19.241])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Fri, 3 Apr 2020 xx:xx:xx +0200 (CEST)


Beworbene Domain
IP Adresse(n)
Weiterleitung (j/n)


https://t2m.io
/*schnapp*
44.233.158.72
[X] ja / [ ] nein


https://www.trackier3.com
/*schnapp*
/*schnapp*
34.107.214.212
[X] ja / [ ] nein


https://winoffr.com
/?a=6893
&c=23458
&s2=*schnapp*
&s4=1391
52.71.151.128
54.236.164.154
52.7.49.177
[X] ja / [ ] nein


https://gewinndeinengutschein.de
/fpage?country=de
&pub=156
&cam=1186
&service=1234
&a=*schnapp*
&r=*schnapp*
136.144.203.108
[X] ja / [ ] nein


http://gewinnerglueck.de
/redirpage?country=de
&pub=156
&cam=1186
&service=1234
&a=*schnapp*
&r=*schnapp*
&sessionId=*schnapp*
136.144.203.108
[X] ja / [ ] nein


https://gewinnerglueck.de
/redirpage?country=de
&pub=156
&cam=1186
&service=1234
&a=*schnapp*
&r=*schnapp*
&sessionId=*schnapp*
136.144.203.108
[ ] ja / [X] nein

Gerlach
03.04.2020, 18:27
Ich kriege den Spam seit kurzem ebenfalls. Sind das real existierende Firmen oder ist das alles Fake?

Arthur
03.04.2020, 18:47
pixel perfekt z.B. existiert als virtuelle Firma und ist weder persönlich vor Ort noch gibt es
Telefonnummern. Pixel Perfect GmbH versteckt die Kontaktdaten (wenn überhaupt existent) und die
Webseite ist nicht erreichbar.
http://pixel-prfct.com
natürlich anonym registrirt

deekay
03.04.2020, 19:23
https://www.companyhouse.de/Pixel-Perfect-GmbH-Frankfurt-am-Main

Na unter der HGB Nummer kann man schon fündig werden. Aber es stimmt, die Firma sitzt nicht In Frankfurt und Denenkamp nicht in Deutschland

Arthur
03.04.2020, 19:38
http://www.pixelperfect.de/kontakt.html
ACHTUNG - Falls Sie Werbemails erhalten
Wir erhalten in letzter Zeit Anrufe von Betroffenen die von der Pixel Perfect GmbH und von der Domain pixel-prfct.com Werbemails erhalten. Wir sind weder Betreiber dieser Domain noch stehen wir in Verbindung mit dieser GmbH. Wir bitten Sie daher von Anrufen oder eMails abzusehen und sich direkt an dieses Unternehmen zu wenden.
https://www.spam-info.de/12223/milka-probierpaket-gewinnen-achtung-datensammler

deekay
03.04.2020, 20:38
... wer ein Kontaktformular in 2020 ohnr ssl Schutz betreibt wird von mir auch nicht höher in de Seriösitätsskala eingestuft. Eine Datenscutzerklärung kann ich auch nicht bei denen finden

schara56
04.04.2020, 05:32
...] Denenkamp nicht in DeutschlandEgal, ob Pixel Perferct GmbH (https://www.antispam-ev.de/forum/showthread.php?40403-Sammelthread-Sie-haben-gewonnen-Aldi-Edeka-Mediamarkt-und-Co&p=436280&viewfull=1#post436280) oder eine Green Flamingo UG (https://www.antispam-ev.de/forum/showthread.php?40220-Spam-f%FCr-Green-Flamingo-UG-(haftungsbeschr%E4nkt)): die Fäden laufen in den Niederlanden (https://www.antispam-ev.de/forum/showthread.php?40484-niederl%E4ndische-Riesenspams) zusammen.

elfriede8
04.04.2020, 09:46
Green Flamingo gibt vor, nicht zu wissen und nicht feststellen zu können, wer die Werbung von denen verschickt.

Nicht lustig: die Datenschutzbehörde in Holland verlangt eine Übersetzung der gesamten Beschwerde in Holländisch oder englisch, auch wenn die Werbung selbst in deutscher Sprache versendet wurde. Ohne Übersetzung wird sie nicht tätig. Das ist man einen Freibrief für Spam der Holländer.

Sastef
04.04.2020, 09:57
Deepl?

Erftwalk
04.04.2020, 10:03
Lass doch Google übersetzen.

Sastef
04.04.2020, 10:45
Ich meine auch, gelesen zu haben, daß man sich in Auslandsfällen beim Bundesdatenschutzbeauftragten beschweren kann, der nach NL weiterleitet. Möglicherweise entfällt dann ein Übersetzungserfordernis.

schara56
04.04.2020, 11:31
Green Flamingo gibt vor, nicht zu wissen und nicht feststellen zu können, wer die Werbung von denen verschickt. [...Is scho recht, Tschekof.
Warum sind denn bei dem grünen Drecks-Gockel immter zwei Parameter dabei?

&networkid=101698
&publisher=15449Green Flamingo UG weiß genau, wer hier Klick-Provision / Lead-Provision bekommt.

radan
04.04.2020, 11:52
Natürlich wird das alles auf den einen zurückzuführen sein, ich gehe mit Gründen davon aus, das man halt aus allen möglichen und unmöglichen Rohren schießt, um im Beanstandungsfall sagen zu können: "Tut uns leid, unser Name wird missbraucht, wir haben mit dem allem nic zu tun."

Übrigens: Der GF der Green Flamingo UG ist ein Holländer.

elfriede8
04.04.2020, 14:05
&networkid=101698
&publisher=15449


Schara, wo finde ich denn diese ID: [ID filtered]

Gerlach
04.04.2020, 14:40
Diese - aktuell mehrfach täglich einschlagenden - Spams verweisen bei mir oft in der Weiterleitung am Ende auf eine Google-Adresse von der es scheinbar nicht sinnvoll weiter geht, beispielsweise dieser Machart.

Beworbener Link:
https://bit.ly/2JsRSoL

Mit dem Tool https://redirectdetective.com/ bekomme ich dieses finale Ziel:

https://www.google.com/?%3F%3Fkw=ts4931-internationalemail-unsold&fallback=15&group_id=483&cntrl=00000&pid=584&redid=74633&gsid=483&campaign_id=1228&p_id=584&id=XNSX.ts4931%7C%7Cinternationalemail%7C%7Cunsold%3A%3A1586003573.41%7C%7C17215 4577%7C%7C0%7C%7C%3A%3A1391-r74633-t483&impid=67c02ab2-7670-11ea-a3fe-12c26be3c49e

(Ich nehme mal an, dass der Salat nicht personalisiert ist, da der Spammer ansonsten für jeden Empfänger eine Weiterleitung bei bit.ly registrieren müsste.)

Wenn man das dann aufruft, bekommt man die Standard-Google-Maske und sonst nichts.

Liegt das am Redirct-Analyetool oder biegt die Ratware des Spammers auf diese Zieladresse ab, wenn das Redirect-Anaylsetool erkannt wird?

schara56
04.04.2020, 15:07
...] Liegt das am Redirct-Analyetool oder biegt die Ratware des Spammers auf diese Zieladresse ab, wenn das Redirect-Anaylsetool erkannt wird?Es liegt an der Anfragenden IP-Adresse (Geo-Adress-Filter).
Mit eine deutschen IPv4-Adresse sieht das so aus:
Received: from us-west-2.amazone.com (unknown [89.144.19.237])
by mx1.mailerserver.de (Postfix) with ESMTP ID: [ID filtered]
for <x>; Sat, 4 Apr 2020 xx:xx:xx +0200 (CEST)


Beworbene Domain
IP Adresse(n)
Weiterleitung (j/n)


https://bit.ly
/2JsRSoL
67.199.248.11
67.199.248.10
[X] ja / [ ] nein


https://www.trackier3.com
/3857BDD
/BFW1CRQ/
34.107.214.212
[X] ja / [ ] nein


https://winoffr.com
/?a=6893
&c=23458
&s2=*schnapp*
&s4=1391
52.7.49.177
52.71.151.128
54.236.164.154
[X] ja / [ ] nein


https://gewinndeinengutschein.de
/fpage?country=de
&pub=156
&cam=1186
&service=1234
&a=6893_1391
&r=*schnapp*
136.144.203.108
[X] ja / [ ] nein


http://gewinnerglueck.de
/redirpage?country=de
&pub=156
&cam=1186
&service=1234
&a=6893_1391
&r=22778-494568194
&sessionId=*schnapp*
136.144.203.108
[X] ja / [ ] nein


https://gewinnerglueck.de
/redirpage?country=de
&pub=156
&cam=1186
&service=1234
&a=6893_1391
&r=22778-494568194
&sessionId=*schnapp*
136.144.203.108
[ ] ja / [X] nein



Nehme ich beispielsweise eine niederländische IPv4-Adresse ist hier Schluss:
https://www.trackier3.com/3857BDD/BFW1CRQ/ meldet:

Status code: 204 No Content

Gerlach
04.04.2020, 15:59
Auch die Zielseite lässt sich ohne die ganzen Parameter nicht aufrufen. Selbst eine erfundene Session-ID: [ID filtered]

Arthur
04.04.2020, 16:22
https://urlscan.io/result/51c5d1cf-86fd-4e56-a0f5-480c5d390c89

This website contacted 8 IPs in 4 countries across 8 domains to perform 22 HTTP transactions.
The main IP is 136.144.203.108, located in Eindhoven, Netherlands and belongs to TRANSIP-AS Amsterdam, the Netherlands, NL. The main domain is gewinnerglueck.de.

kjz1
04.04.2020, 17:40
Das ist man einen Freibrief für Spam der Holländer.

Und natürlich die dortige politische Vorgabe: Economy first! Es ist wohl kein Wunder, warum RIPE, sehr viele Data Center, Cyberbunker, etc. von den Niederlanden aus operieren...

schara56
06.04.2020, 14:26
...] Schara, wo finde ich denn diese ID: [ID filtered]
Bevor man so einen Link öffnet im Browser Strg + Umschalt-Taste + i aufrufen.
Dort auf "Network" (siehe 1) wechseln und die Haken 2 und 3 setzen.
Dann die URL eintragen und das Ergebnis sich anschauen und ggf. als HAR-Datei speichern.

Die gezeigte Darstellung ist vom Goolge Chrome in Englisch und kann je nach Browser und Sprache davon abweichen.
Mit etwas Hirnschmalz findet man aber auch bei anderen Browsern die notwendigen Einstellungen.

cmds
06.04.2020, 14:41
Erwähnen sollte man noch, das das o.a. Bild nur bei Google Chrome so aussieht, beim Firefox sieht es anders aus und ist bei mir in Deutsch

schara56
06.04.2020, 15:51
Erwähnen sollte man noch, [...Häh? Steht doch drin...
:devil:

Hier sieht man das ganz gut:
https://www.antispam-ev.de/forum/showthread.php?40484-niederl%E4ndische-Riesenspams&p=442375&viewfull=1#post442375

&networkid=102100
&publisher=_BLANK_

https://www.antispam-ev.de/forum/showthread.php?40484-niederl%E4ndische-Riesenspams&p=442376&viewfull=1#post442376

&networkid=102449
&publisher=31_1391
Jetzt aber bei der Portal Leads Ltd.

https://www.antispam-ev.de/forum/showthread.php?40484-niederl%E4ndische-Riesenspams&p=442377&viewfull=1#post442377

&pub=156
&cam=1186
&service=1234
&a=6893_1391
cam könnte Campaign sein und a der Affiliate.

Arthur
06.04.2020, 16:23
Erwähnen sollte man noch, das das o.a. Bild nur bei Google Chrome so aussieht, beim Firefox sieht es anders aus und ist bei mir in Deutsch
Edge sieht nochmal anders aus. (Nicht der Inhalt sondern das Layout)
Ansonsten setze ich nur FF ein.

schara56
06.04.2020, 16:55
Edge sieht nochmal anders aus. [...Ja, und zwar richtig sch...
Ich rufe die bespamte URL direkt auf und alles rattert zu bing.com.