Hallo zusammen!
Sellerfox und Cleverreach spammen mal wieder mit Rückendeckung von eco und seiner Certified Sender Alliance! Die Daten wurden offensichtlich recht frisch von eBay gestohlen, möglicherweise über Sellerfox und Foxrate.
Ich würde sagen, da haben sich Pest und Cholera zusammengetan. Das ich Cleverreach zu den übelsten deutschen Spammern zähle, dürfte keinem entgangen sein.
Exkurs: Sellerfox und Foxrate
Über Sellerfox wissen die meisten eher wenig, dabei handelt es sich hier um eine geschickt verflochtene Gruppe von in Deutschland tätigen Unternehmen, die sich gerne, in oder besser über Zypern verstecken, da es dort fast unmöglich ist Handelsregisterauszüge zu erhalten. Sellerfox bietet auf eBay dubiose Dienste an, auf die unwissende, leichtgläubige Händler reinfallen. Im Oktober 2012 habe ich ca. 1,9 Mio. mit Foxrate verseuchte Auktionen gefunden:
Zur Anmeldung bei Foxrate muß der Händler seine kompletten eBay-Zugangsdaten, einschließlich des Paßwortes, an Sellerfox übermitteln. Sellerfox hat von diesem Moment an sogar die Möglichkeit die Bankverbindung der Händlers zu ändern! Kauft nun jemand diesem eBay-Händler, so liest Sellerfox/Foxrate alle zur Verfügung stehenden Daten des Kunden aus. Laut der API-Beschreibung von Foxrate sind dies:
Bestellung:
orders_id Bestellnummer INTEGER *
order_date Bestelldatum UNIX_TIMESTAMP *
order_currency Order Währung Iso standard e.g. EUR or USD *
order_language Order Sprache Iso 2 character e.g. en *
Kunde:
customers_id ID des Kunden in der VK DB STRING/INTEGER *
customers_city Wohnort des Kunden STRING *
customers_postcode Postleitzahl des Kunden STRING *
customers_state Bundesland/Region des Kunden STRING
customers_country Land des Kunden STRING *
customers_telephone Telefonnummer des Kunden STRING
customers_email_address Emailadresse des Kunden STRING *
customers_dob Geburtstag des Kunden UNIX_TIMESTAMP
customers_gender Geschlecht des Kunden m – Male w - Female
customers_firstname Vorname STRING *
customers_lastname Nachname STRING *
Bestellte Artikel:
products_id ID des Artikels in der VK DB INTEGER *
products_model Artikelnummer STRING *
products_name Artikelname STRING *
products_image Artikelbild URL (inkl. Domain) URL *
products_url URL zum Artikel (inkl. Domain) Url
final_price Bruttopreis des Artikels STRING *
products_currency Währung 3 Character ISO code z.b. EUR *
categorie_name Name der Kategorie in der sich das Produkt befindet STRING *
products_ean Der EAN-Code des Artikels STRING
Der betroffene Kunde wird nicht gefragt. Aber es kommt noch schlimmer, Foxrate führt anhand von Namen oder eMail Käufe von verschiedenen Quellen (ebay, Webshops, ...) zusammen und erstellt so ungefragt ein Einkaufsprofil der Kunden.
Zurück zur Spammail
header:
01: From - Thu Jul 10 [...] 2014
02: Return-Path: [...]
03: Received: from [212.227.17.175] ([212.227.17.175]) by [...].de
04: (mxeue103) with ESMTP (Nemesis) ID: [ID filtered]
05: <[...]>; Thu, 10 Jul 2014 [...] +0200
06: Received: from mx009.de-mx.crsend.com ([178.77.121.169]) [...].de
07: (mxeue103) with ESMTP (Nemesis) ID: [ID filtered]
08: <[...]>; Thu, 10 Jul 2014 [...] +0200
09: Received: from cron01.crsend.com (cron01.crsend.com [178.77.121.176])
10: by mx009.de-mx.crsend.com (Postfix) with ESMTP ID: [ID filtered]
11: for <[...]>; Thu, 10 Jul 2014 [...] +0200 (CEST)
12: X-DKIM: OpenDKIM Filter v2.6.8 mx009.de-mx.crsend.com [...]
13: DKIM-Signature: [...]
14: Date: Thu, 10 Jul 2014 [...] +0200
15: To: [...]
16: From: Rainer K[...] <kuhn [at] marketing-helfer.de>
17: Subject: [...] nicht auf Facebook gefunden
18: Message-ID: [ID filtered]
19: X-Priority: 3
20: X-Mailer: CR
21: X-client: [...]
22: X-mailing: [...]
23: X-customer: [...]
24: X-email: [...]
25: List-Unsubscribe: <http://[...].seu1.cleverreach.com/rmftlp.php?[UNSUB
26: filtered]>
27: List-ID: [ID filtered]
28: X-CSA-Complaints: <whitelist-complaints [at] eco.de>
Bei Cleverreach hat man dazugelernt, der Quelltext der Spammail ist nun base64-kodiert, damit er nicht so einfach eingesehen , analysiert und der bösartige Schadcode gefunden werden kann.
Zitat von
Text Spammail
Hallo
[mein Vorname, mein Nachname],
ich habe kein einziges Ihrer eBay-Produkte (
[mein eBay-Name]) auf Facebook gefunden. Das bedeutet vermutlich, dass Sie ausschlielich auf eBay verkaufen. Warum? Ich mchte Ihnen dringend empfehlen, die 26 Millionen Facebook-Nutzer (allein in Deutschland!) nicht lnger zu ignorieren. Bringen Sie mit SocialWebshop all Ihre eBay-Auktionen in das grte Netzwerk der Welt. Das erhht Ihren eBay-Traffic - und natrlich Ihre Umstze!
Hier sehen Sie, wie Sie innerhalb von 5 Minuten all Ihre eBay-Produkte zu Facebook bertragen knnen: www.socialwebshop.de
Nutzen Sie die Mglichkeiten, die Facebook eBay-Hndlern bietet. Es lohnt sich wirklich.
Deutschland ist im WM-Finale! Jetzt sind Sie am Ball.
Viel Erfolg Ihnen und natrlich viel Spa am Sonntag, wenn wir die Argentinier nach Hause schicken.
Herzliche Gre,
Ihr Rainer K[...]
----------------------------
Rainer K[...] WA
Marketing-Helfer
Friedrichstrae 90
10117 Berlin
-----------------------------------
Wenn Sie nicht mehr mchten, dass ich Sie anschreibe, klicken Sie bitte hier. [http://[...].seu1.cleverreach.com/rmftlp.php?cid=[...]&mid=[...]&h=[...]]
Entschlüsselt man den base64-Teil der eMail, so findet man wieder den bösartigen Code, der im Hintergrund personenbezogene Daten an die Firma Cleverreach überträgt:
Zitat von
böser Code im Quelltext
img src="http://stats-eu1.crsend.com/stats/[...]" border="0" alt="" height="1" width="1"
Neben den Domains, die zur CleverReach GmbH & Co. KG gehören finden wir zwei weitere Domains in der Spammail, die zu den weiteren Beteidigten an diesem Spamlauf führen:
marketing-helfer.de
IP: 88.198.220.178
Denic:
Domaininhaber und Admin-C sind gleichlautend:
Rainer K[...]
Friedrichstraße 90
10117
Berlin
DE
+49.303546543[...]
info - marketing-helfer.de
Nameserver: ns1.dodns.net, ns2.dodns.net, ns3.dodns.net
socialwebshop.de
IP: 89.31.143.20
Denic:
SELLERFOX EUROPE LTD
Friedrichstraße 90
10117
Berlin
DE
Administrativer Ansprechpartner
Xenia G[...]
SELLERFOX EUROPE LTD
Friedrichstraße 90
10117
Berlin
DE
Technischer Ansprechpartner
Xenia G[...]
SELLERFOX EUROPE LTD
Friedrichstraße 90
10117
Berlin
DE
Telefon: +35.7972484039[...]
Telefax: +35.7972484039[...]
centralmail - sellerfox.com
Nameserver ns1.dodns.net, ns2.dodns.net, ns3.dodns.net
Beide Domains benutzen die gleiche Postadresse und den gleichen Namensserver!
Nebelwolf
Kravn Trbetvbh Envare Xhua
Lesezeichen