Spam für Datensammelportal der CEOO Marketing GmbH, Zürich

[truelife]

Hier schlugen auf mehreren Mailkonten verschiedene Spams auf, wonach ich angeblich einen Gutschein der Fluglinie Ryanair gewonnen hätte.

header:

01: X-Account-Key: account1
02: X-UIDL: [UID filtered]
03: X-Mozilla-Status: 0001
04: X-Mozilla-Status2: 00000000
05: X-Mozilla-Keys:                                                                        
06: 	        
07: Return-Path: <return [at] mta152.degitalnotification.live>
08: Received: from mta152.degitalnotification.live ([93.110.184.154]) by
09:  mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) id
10:  1McoeO-1fn7W04BUo-00a0G2 for <*snip*>; Wed, 14 Nov 2018 xx:xx:xx
11:  +0100
12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] mta152.degitalnotification.live>
13: To:*snip*
14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
15: Subject:=?UTF-8?B?SWhyIEZsdWd0aWNrZXQgaXN0IGZlcnRpZyAh?= truelife
16: MIME-Version:1.0
17: Content-Type:multipart/alternative;
18: 	boundary="----=_Part_72064733_243161542.1540199614736"
19: Envelope-To: <*snip*>
20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
21: X-Spam-Flag: NO

&

header:

01: X-Account-Key: account4
02: X-UIDL: [UID filtered]
03: X-Mozilla-Status: 0001
04: X-Mozilla-Status2: 00000000
05: X-Mozilla-Keys:                                                                        
06: 	        
07: Return-Path: <return [at] mta175.degitalnotification.live>
08: Received: from mta175.degitalnotification.live ([93.110.184.177]) by
09:  mx-ha.gmx.net (mxgmx011 [212.227.15.9]) with ESMTP (Nemesis) id
10:  0LtEJ1-1fK9Yg24SZ-012nSI for <*snip*>; Wed, 14 Nov 2018 xx:xx:xx
11:  +0100
12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] mta175.degitalnotification.live>
13: To:*snip*
14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
15: Subject:=?UTF-8?B?SWhyIEZsdWd0aWNrZXQgaXN0IGZlcnRpZyAh?=
16: MIME-Version:1.0
17: Content-Type:multipart/alternative;
18: 	boundary="----=_Part_72064733_243161542.1540199614736"
19: Envelope-To: <*snip*>
20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
21: X-Spam-Flag: NO

&

header:

01: X-Account-Key: account4
02: X-UIDL: [UID filtered]
03: X-Mozilla-Status: 0001
04: X-Mozilla-Status2: 00000000
05: X-Mozilla-Keys:                                                                        
06: 	        
07: Return-Path: <return [at] mta79.degitalnotification.live>
08: Received: from mta79.degitalnotification.live ([93.110.184.81]) by
09:  mx-ha.gmx.net (mxgmx117 [212.227.17.5]) with ESMTP (Nemesis) id
10:  1Mi3WD-1fltgr3pvF-00e58o for <*snip*>; Wed, 21 Nov 2018 xx:xx:xx
11:  +0100
12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] meddevnetwork.com>
13: To:*snip*
14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
15: Subject:=?UTF-8?B?RHJpbmdlbmQhIEJpdHRlIGhvbGVuIFNpZSBJaHIgVGlja2V0IHp1csO8Y2su?=
16: MIME-Version:1.0
17: Content-Type:multipart/alternative;
18: 	boundary="----=_Part_72064733_243161542.1540199614736"
19: Envelope-To: <*snip*>
20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
21: X-Spam-Flag: NO

&

header:

01: X-Account-Key: account1
02: X-UIDL: [UID filtered]
03: X-Mozilla-Status: 0001
04: X-Mozilla-Status2: 00000000
05: X-Mozilla-Keys:                                                                        
06: 	        
07: Return-Path: <return [at] mta80.degitalnotification.live>
08: Received: from mta80.degitalnotification.live ([93.110.184.82]) by
09:  mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) id
10:  1MS37h-1g1u9412tP-00TS3t for <*snip*>; Wed, 21 Nov 2018 xx:xx:xx
11:  +0100
12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] meddevnetwork.com>
13: To:*snip*
14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
15: Subject:=?UTF-8?B?RHJpbmdlbmQhIEJpdHRlIGhvbGVuIFNpZSBJaHIgVGlja2V0IHp1csO8Y2su?=
16: 	truelife
17: MIME-Version:1.0
18: Content-Type:multipart/alternative;
19: 	boundary="----=_Part_72064733_243161542.1540199614736"
20: Envelope-To: <*snip*>
21: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
22: X-Spam-Flag: NO

Alle Mail eenhalten rund 42000 (!!!) Zeilen Unfug, was die Mails auf 1,5 MB aufbläht. Der Mist besteht aus sinnfreien Zeielen innerhalb eines Style-Tags:

Code:

<style>
|zf89pbg3-mul8-3uj-tej-cg96nv32qwse
|d98zw1ou-hi3e-f0k-sax-8o1a7tvwp0f9
|x4omqprv-t3zk-u8a-lh2-scbuq5pkmdhn
|8cshuwdi-t7jh-lcw-b6a-pv4tq5umds9f
|q6js1fon-dzsb-p07-61b-ob2a4jcm657x
|b21yndxr-yc3n-6xo-dao-rycm68p43kjw
|60q2usmn-6hd8-xki-5sx-pnr8g5lqi3eo
|6m7zx4eg-1pnv-adi-fro-zsvn0x6pb4oc
|cvadufbh-fm7o-k79-wmk-4agfy3z09rn8
|f6je47lu-8rs6-zhi-q53-cab967hyumio
[...]
/<style>

Für was auch immer.

Wie man eine hübsche Spammail designt, weiß Spammy offensichtlich nicht. Er hat dazu eine anfür sich legitime Passwort-vergessen-E-Mail von Apple genommen, alles in dieser Nachricht auskommentiert, bis eben auf den Spaminhalt:

Code:

<center>
<img src="https://i.imgur.com/V4Apz84.jpg" usemap="#image-map">

<map name="image-map">
    <area target="" alt="" title="" href="http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/1LkJ2Jch" coords="*snip*" shape="rect">
</map>

Das Spambild liegt beim Hoster Imgur:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Der somit durchaus nützliche Dienst wurde durch den Spammer missbraucht. Warum irgendwo selbst hosten und die Bandweite bezahlen, wenn das auch jemand anderes übernehmen kann?

Das Spambild in voller Pracht:



Link: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

________________________________________

In einer weiteren E-Mail wird ein 750€-Gutschein von amazon beworben. Auch hier alles wieder gleich. Anleihen bei Apple, Bekloppte Style-Zeilen, Bild bei Imgur:

header:

01: X-Account-Key: account1
02: X-UIDL: [UID filtered]
03: X-Mozilla-Status: 0001
04: X-Mozilla-Status2: 00000000
05: X-Mozilla-Keys:                                                                        
06: 	        
07: Return-Path: <return [at] mta184.degitalnotification.live>
08: Received: from mta184.degitalnotification.live ([93.110.184.186]) by
09:  mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) id
10:  1MasqP-1fmBzB1l7b-00cTEs for <*snip*>; Thu, 15 Nov 2018 xx:xx:xx
11:  +0100
12: From:=?UTF-8?B?QW1hem9u?=<appleid [at] mta184.degitalnotification.live>
13: To:*snip*
14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
15: Subject:truelife =?UTF-8?B?SWhyZSBTY2h1bGUgaXN0IGZlcnRpZyEgdm9yIGRlbSAxNy8xMS8yMDE0?=
16: MIME-Version:1.0
17: Content-Type:multipart/alternative;
18: 	boundary="----=_Part_72064733_243161542.1540199614736"
19: Envelope-To: <*snip*>
20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
21: X-Spam-Flag: NO

Code:

<center>
<img src="https://i.imgur.com/mZ4ZCuh.png" usemap="#image-map">

<map name="image-map">
    <area target="" alt="" title="" href="http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/MtJpwtVv" coords="*snip*" shape="rect">
</map>

Das Spambild in voller Pracht:



Link: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[truelife]

Bis zum jeweiligen Ziel gibt es dann ein paar schöne Weiterleitungen:

Ryanair:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 301 Permanent Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 301 Permanent Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 302 Temporary Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 302 Temporary Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 301 Permanent Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 302 Temporary Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Amazon:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 301 Permanent Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 301 Permanent Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 302 Temporary Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 302 Temporary Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
--> 302 Temporary Redirect
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Gespammt hat hier der Affiliate mit der Partner-ID 346. Welches Schweinchen da wohl dahinter steckt?

Die Zielseiten

^whois: [Link nur für registrierte Mitglieder sichtbar. ] bzw.
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

werden laut Impressum betrieben von der:

CEOO Marketing GmbH
Hedwigstrasse 3
8032 Zürich
Schweiz
Email: [Link nur für registrierte Mitglieder sichtbar. ]

Keine Handelsregisternummer, kein Geschäftsführer, kein Telefon. Höchst seriös, liebe CEOO Marketing GmbH. Schauen wir mal ins Schweizer Handelsregister:

CEOO Marketing GmbH, in Zürich, CHE-228.092.990, Gesellschaft mit beschränkter Haftung
Domizil neu:
c/o Exantum Advisory Services Aktiengesellschaft, Hedwigstrasse 3, 8032 Zürich.

bzw.

Eingetragene Personen neu oder mutierend:
S., S., von Luzern, in Stansstad, Gesellschafterin und Geschäftsführerin, mit Einzelunterschrift, mit 200 Stammanteilen zu je CHF 100.00.

Also gibt es den Laden schonmal wirklich. Auch die Domain ^whois: [Link nur für registrierte Mitglieder sichtbar. ] im vorletzten Schritt zeigt auf die CEOO Marketing GmbH.

Die "Sponsoren" sind wieder mal alte Bekannte:

Staatliche Lotterie-Einnahme BOESCHE e.K.
Albert-Schweitzer-Ring 22
22045 Hamburg

Burda Direct GmbH
Hubert-Burda-Platz 2
77652 Offenburg

Dinner for Dogs - CenturyBiz GmbH
Breitengraserstraße 6
90482 Nürnberg

Zarenga GmbH
Pfaffenweg 15
53227 Bonn

um nur ein paar zu nennen. Besonders gefällt mir die Datenschutzerklärung:

1. Verantwortlicher und Kontaktdaten

Der Verantwortliche für die Verarbeitung ist die Firma CEOO Marketing GmbH (nachfolgend Verantwortlicher) und verarbeitet die von dem Betroffenen (nachfolgend Kunde) mitgeteilten Daten gemäß den Bestimmungen der Europäischen Datenschutz-Grundverordnung (nachfolgend DSGVO).

Die Kontaktdaten des Verantwortlichen lauten:
Anschrift: Hedwigstrasse 3 , 8032 Zürich, Schweiz
E-Mail: [Link nur für registrierte Mitglieder sichtbar. ]

Vertreten wird der Verantwortliche innerhalb der EU von:
CEOO Marketing GmbH
Anschrift: Tuchlauben 7a, A – 1010 Wien
Telefon: +43 (1) 43 508 94 - 11
Telefax: +43 (1) 25 300 25 - 25
Mail: [Link nur für registrierte Mitglieder sichtbar. ]

Eine östereichische Büodienstleisteradresse. Echt jetzt?
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[derhub]

Eine östereichische Büodienstleisteradresse. Echt jetzt?
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Wieso nicht. Adrom spannt auch Bürodienstleisterinnen selbst als Geschäftsführer ein (CPX Online Active AG) und hat auch schon Bürodienstleisteradressen in Düsseldorf und Stuttgart genutzt.

[insider]

Neue Spamwelle, dieses Mal mit einem (Fake-)Einkaufsgutschein von Lidl:

header:

01: Return-Path:
02: 	<ga2XPeYLmrOlgNBDoS4AxrsK0w29djhkk98ZdWBpegBkT2O8LIy90QJRcCRgMYqWXoM1adgejHp3A41cDpbu6Kc [at] ny
03: 	mta-124.sailthru.com>
04: Received: from host2.netmarker.eu ([136.144.229.9]) by mx-ha.web.de (mxweb010
05: 	[212.227.15.17]) with ESMTP (Nemesis) ID: [ID filtered]
06: From: =?UTF-8?B?TM2fSc2fRM2fTM2f?=<wi7xi9olx7xdjif [at] wi7xi9olx7xdjif.ihh>

Ziel: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Laut Impressum:

Verantwortlicher und Kontaktdaten
Der Verantwortliche für die Verarbeitung ist die Firma CEOO Marketing GmbH (nachfolgend Verantwortlicher) und verarbeitet die von dem Betroffenen (nachfolgend Kunde) mitgeteilten Daten gemäß den Bestimmungen der Europäischen Datenschutz-Grundverordnung (nachfolgend DSGVO). Die Kontaktdaten des Verantwortlichen lauten:


CEOO Marketing GmbH
Hedwigstrasse 3

Schweiz


E-Mail: ^whois:info(at)ceoo.ch


Vertreten durch:

Geschäftsführer S. S.


Registereintrag:

Eingetragen im Handelsregister.

Registergericht: Handelsregisteramt des Kantons Zürich

Registernummer: CHE-228.092.990



Vertreten wird der Verantwortliche innerhalb der EU von:

CEOO Marketing GmbH

Anschrift: Tuchlauben 7a, A – 1010 Wien

Telefon: +41 43 xxx 94 – 11

Telefax: +41 43 xxx 15 – 17


Mail: ^whois:info(at)ceoo.ch

Quelle: [Link nur für registrierte Mitglieder sichtbar. ]


Versand erfolgte über meine spezielle "Freundin" Evelyn Snyder und ihre diversen Fakes:

[Link nur für registrierte Mitglieder sichtbar. ]


Da dank VPN meine Id immer mal wechselt, macht ihr nichts aus, da scheint sie anpassungsfähig zu sein:

[Link nur für registrierte Mitglieder sichtbar. ]

[kjz1]

Wieder dieselbe Masche, diesmal Media Markt als Köder:

header:

01: Received: from truephantom.org ([87.251.86.63]) by mx-ha.gmx.net (mxgmx014
02:  [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
03:  <x>; Mon, 02 Mar 2020 xx:xx:xx +0100

IP: 87.251.86.63 -> SERVERLUX-NET, RU/ertelecom.ru

Glad to you

Dear Customer,

Well, this is about to change

^whois: [Link nur für registrierte Mitglieder sichtbar. ]...
IP: 84.38.180.38 -> SELECTEL-NET, RU

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 89.191.65.52 -> NovaTrend Services GmbH, CH

Impressum:

CEOO Marketing GmbH

Hedwigstrasse 3

Schweiz

E-Mail: [Link nur für registrierte Mitglieder sichtbar. ]

Vertreten durch:

Geschäftsführer S. S.

Registereintrag:

Eingetragen im Handelsregister.

Registergericht: Handelsregisteramt des Kantons Zürich

Registernummer: CHE-228.092.990

Vertreten wird der Verantwortliche innerhalb der EU von:

CEOO Marketing GmbH

Anschrift: Tuchlauben 7a, A – 1010 Wien

Telefon: +41 43 508 94 – 11

Telefax: +41 43 588 15 – 17

Und:

Unsere Dienstleistungen im Überblick:
E-MAIL MARKETING
Eigene Exklusiv-Adressen und ein hochwertiges Partnernetzwerk mit bis zu 25 Mio. Opt-In Kontakten für erfolgreiches Marketing.

ADRESSGENERIERUNG
Effektive und qualifizierte Neukundengewinnung per Coreg, Co- Sponsoring oder Umfragen. Wir generieren qualitativ hochwertige Leads für Sie.

DISPLAY ADVERTISING
Flexibel und kurzfristig setzen wir innerhalb unseres Netzwerks Ihre Display Kampagnen um. Testen Sie uns ohne Risiko und zu attraktiven Konditionen.

Mit anderen Worten: alles für Spammer aus erster Hand...

[schara56]

header:

01: Received: from fontzowtis.nl ([31.210.106.162]) by mx-ha.gmx.net (mxgmx014
02:  [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
03:  <x>; Thu, 30 Jul 2020 xx:xx:xx +0200

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] ?*schnapp*	whois:45.133.179.173	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /r /*schnapp* / /*schnapp* /*schnapp* /	whois:185.176.222.119 whois:51.222.35.112	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /de,porsche,macan,gts,2020,aff_1471.html ?idPartner=1042 &idCampaignAd=0 &subId=10R &subIdentifier=*schnapp*	whois:130.255.79.239	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /campaign_2354.html ?coyoteAffiliTokenId=393491525 &	whois:130.255.79.239	[ ] ja / [X] nein

Code:

CEOO Marketing GmbH
Hedwigstrasse 3

8032 Zürich

Schweiz

[schara56]

Quelle: [Link nur für registrierte Mitglieder sichtbar. ]

Eine "Gewinnspielaktion" wird derzeit über Viber verbreitet. Das LKA Niedersachsen warnt davor, darauf einzugehen. [...]
In dem dazugehörigen Impressum ist die "CEOO Marketing GmbH" ausgewiesen, die nach eigenen Anhaben ihr Geld mit E-Mail-Marketing, Display Advertising und Adressgenerierung verdient.

"CEOO Marketing GmbH"?
Etwa [Link nur für registrierte Mitglieder sichtbar. ], [Link nur für registrierte Mitglieder sichtbar. ], [Link nur für registrierte Mitglieder sichtbar. ], [Link nur für registrierte Mitglieder sichtbar. ], [Link nur für registrierte Mitglieder sichtbar. ], [Link nur für registrierte Mitglieder sichtbar. ] oder etwa [Link nur für registrierte Mitglieder sichtbar. ]?

[schara56]

header:

01: Received: from its.nimoviag.com ([85.195.99.230]) by mx-ha.gmx.net (mxgmx014
02:  [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
03:  <x>; Thu, 27 May 2021 xx:xx:xx +0200

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /rank.cgi?mode=link &id=1 &url=//3094038640?*schnapp*	whois:219.94.203.120	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /?*schnapp*	whois:184.107.72.112	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /*schnapp* / /*schnapp* /*schnapp*	whois:85.31.96.92	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /de,playstation,5,2020,aff,vertical,optin,popup_1899.html?idPartner=1484 &idCampaignAd=0 &subId=471105 &subIdentifier=*schnapp*	whois:188.95.252.33	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /campaign_3004.html ?coyoteAffiliTokenId=*schnapp* &	whois:188.95.252.33	[ ] ja / [X] nein

Hmmm... [Link nur für registrierte Mitglieder sichtbar. ].

[Arthur]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[Link nur für registrierte Mitglieder sichtbar. ]

[Link nur für registrierte Mitglieder sichtbar. ]

Wieso Trustpilot die Gesamtnote 2,3 (mangelhaft) vergibt bei 7 mal ausschließlich ungenügend bleibt deren Geheimnis.

[schara56]

^whois:schoko-gewinner.com wird offensichtlich von Berlin aus gesteuert. [...

Nicht nur ^whois:schoko-gewinner.com (Bluereen LTD.). Auch die schweizer CEOO Marketing GmbH hat die Leinen nach Berlin.

CEOO Marketing GmbH (^whois: [Link nur für registrierte Mitglieder sichtbar. ])

Performance Switzerland Marketing (^whois: [Link nur für registrierte Mitglieder sichtbar. ])

hold & ing Limited (^whois: [Link nur für registrierte Mitglieder sichtbar. ])
Boast Sales Ltd (^whois: [Link nur für registrierte Mitglieder sichtbar. ])

Bluereen Ltd. (^whois: [Link nur für registrierte Mitglieder sichtbar. ])