Ergebnis 1 bis 2 von 2

Thema: Warnung: FINCA ROTANA CORAZON Mallorca, koebe-kommunikation.de, premium-finca.de

  1. #1
    ### nicht streicheln ### Avatar von Nebelwolf
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.646

    Standard Warnung: FINCA ROTANA CORAZON Mallorca, koebe-kommunikation.de, premium-finca.de

    Heute ist bei mir eine Spammail eingetroffen, die ich als gefährlich einstufe. Der Absender einer derartigen Spammail verfolgt möglicherweise kriminelle Ziele, da er mit Hilfe der Mail heimlich Daten ausspäht kann, die die Voraussetzung für einen Angriff auf meine IT-Infrastruktur darstellen. Diesen Angriff hat die c't erst vor ein paar Wochen beschrieben, der Text ist jetzt öffentlich auf heise.de zu lesen:

    Ein Spam-Opfer hackt zurück.
    ( https://www.heise.de/ct/artikel/Ein-Spam-Opfer-hackt-zurueck-4416729.html )


    header:
    01: From - Thu Jun 6 [...] 2019
    02: Delivery-date: Thu, 06 Jun 2019 [...] +0200
    03: Received: from [...] (helo=[...])
    04: by [...] with esmtps (TLSv1.2:[...]:256)
    05: (Exim 4.90_1)
    06: (envelope-from <newsletter [at] companiacorazon.de>)
    07: ID: [ID filtered]
    08: Return-path: <newsletter [at] companiacorazon.de>
    09: X-Envelope-to: [...]
    10: Received: from [134.119.1.181] (helo=mx1.koebe-kommunikation.de)
    11: by [...] with esmtps (TLSv1.2:[...]:256)
    12: (Exim 4.90_1)
    13: (envelope-from <newsletter [at] companiacorazon.de>)
    14: ID: [ID filtered]
    15: for [...]; Thu, 06 Jun 2019 [...] +0200
    16: Received: from [192.168.0.7] (p5DEC44D5.dip0.t-ipconnect.de
    17: [93.236.68.213])
    18: (authenticated bits=0)
    19: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]
    20: for <[...]>; Thu, 6 Jun 2019 [...] +0200
    21: Message-ID: [ID filtered]
    22: Mime-Version: 1.0
    23: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>
    24: From: FINCA ROTANA CORAZON <mail [at] premium-finca.de>
    25: To: [...]
    26: Subject: Genuss-, Wellness- und Erholungstage auf der FINCA ROTANA CORAZON - Mallorca
    27: 2019
    28: Date: Thu, 6 Jun 2019 [...] +0200
    29: X-Received-SPF: none ( [...].de: domain of companiacorazon.de does not provide
    30: an SPF record )

    Schauen wir uns den Weg der Spammail an:
    Abgeschickt wurde die Spammail von der IP-Adresse 93.236.68.213, diese gehört laut Domaintools zu einem Telekom-Anschluß in Reutlingen und paßt gut zu 72805 Lichtenstein.

    Die an der Spamaktion beteidigten Domains und IP-Adressen:
    koebe-kommunikation.de, 137.74.127.233, OVH, NS: domaindiscount24.net
    mx1.koebe-kommunikation.de, 134.119.1.181, domainfactory GmbH, NS: domaindiscount24.net
    premium-finca.de, 217.160.122.105, 1&1, NS: ui-dns
    companiacorazon.de, 217.160.122.105, 1&1, NS: ui-dns

    Die Spammail wurde offenkundig über die Infrastruktur von koebe-kommunikation.de von einem Telekon-Anschluß im Großraum Reutlingen versendet!

    Hier nun der Textkörper, beworben werden die Domains koebe.de, fluege.de und premium-finca.de. Der Quelltext ist gespickt mit sogenannten "Webbugs", die scheinbar personenbezogene Daten an die Website koebe.de übermitteln:

    2 Bonbon-Preise heute für Ihren Sommer- und Herbst-Urlaub 2019
    auf der FINCA ROTANA CORAZON auf Mallorca

    Liebe Finca Urlauber,

    nutzen Sie heute unser Sommer- und Herbst - Special zum Kennenlernen:

    Eine Auszeit nehmen, gutes Essen genießen, Tiefen-Entspannung finden, mal Ausschlafen, zur Ruhe kommen, Schwimmen, einen traumhaften Garten genießen ... dieses und noch mehr bietet Ihnen diese Traum-Finca, die ROTANA CORAZON auf Mallorca.

    [...]

    Flüge finden Sie immer problemlos bei Condor, TUIfly, Eurowings, Germanwings, Ryanair, Easyjet, Vueling, Laudamotion oder www.fluege.de etc.

    Schnell und umfassend können Sie sich auf der Website www.premium-finca.de
    im Detail über das Anwesen informieren.
    Eine kompakte Infobroschüre steht Ihnen hier zum Download zur Verfügung.

    [...]

    Wir freuen uns auf Ihre Anfrage und verbleiben bis dahin
    mit freundlichen Grüßen aus Lichtenstein / Württemberg

    Julia Z[...] + Ulli K[...]
    Das Team der FINCA ROTANA CORAZON

    [...]

    Buchungen, Reservierungen und weitere Informationen unter:
    Tel.: 07129 936 8[...], Compania Corazon oder
    www.premium-finca.de

    © Compania Corazon | mail@premium-finca.de | Impressum
    Gesetzlich vorgeschriebene Pflichtangaben fehlen in dieser Spammail. Alle in der Spammail enthaltenen Links führen auf die Websiten koebe.de und premium-finca.de. Twei typische Beispiele für einen Webbug ist der folgende Code,die [...] ersetzen Ketten mit rund 250 Zeichen:

    <img src=3D"http://www=2Ekoebe=2Ede/data/lm/lm=[...]?tk=[...]&url=3D" height=3D"1" width=3D"1" />
    http://www.koebe.de/data/lm/lm.php?tk=[...]&url=http%3A%2F%2Fwww.premium-finca.de%2Fimpressum.html
    Das auf koebe.de hinterlegte Impressum zeigt merkwürdige VAT-IDs, die zu keinem EU-Staat passen. Der Standort paßt zur oben genannten IP der Telekom aus Reutlingen.

    Nebelwolf

  2. #2
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.860

    Standard

    Die Kasper sind gestern auch bei mir aufgeschlagen. Spamtechnisch der gleich Rotz, anscheinend direkt vom Home-Office am Telekom-Anschluss aus versendet.

    header:
    01: Return-Path: <newsletter [at] companiacorazon.de>
    02: Received: from unknown (HELO mx1.koebe-kommunikation.de) (134.119.1.181)
    03: by meinMX with ESMTPS (DHE-RSA-AES256-SHA encrypted); 7 Aug 2019 14:XX:XX -0000
    04: Received-SPF: none (meinMX: domain at companiacorazon.de does not designate permitted
    05: sender hosts)
    06: Received: from [192.168.0.7] (p5DEC4868.dip0.t-ipconnect.de
    07: [93.236.72.104])
    08: (authenticated bits=0)
    09: by mx1.koebe-kommunikation.de (8.14.4/8.14.4/Debian-4) with ESMTP ID: [ID filtered]
    10: for <me [at] work>; Wed, 7 Aug 2019 16:XX:XX +0200
    11: Message-ID: [ID filtered]
    12: Mime-Version: 1.0
    13: List-Unsubscribe: <mailto:admin [at] koebe-kommunikation.de>
    14: From: U* K* STUDIOS <newsletter [at] companiacorazon.de>
    15: To: "me" <me [at] work>
    16: Reply-To: ulli [at] koebe.de
    17: Subject: Herbstwochen pur - zum Entspannen und Wellnesserholen auf der FINCA ROTANA
    18: CORAZON auf Mallorca
    19: Date: Wed, 7 Aug 2019 16:XX:XX +0200
    20: X-Bounce-Tracking-Info: <NixGibts>
    21: Content-type: multipart/alternative; Boundary="--=X"

    Spamvertized wird whois:www.premium-finca.de, allerdings liegen dahinter Tracking-Links, um den Mailempfänger auszuspionieren. Selbst die Klicks auf "Impressum" oder die angegebene Mailadresse werden getrackt: whois:http://www.koebe.de/data/lm/lm.php?tk=<base64-Geblubber>&url=http%3A%2F%2Fwww.premium-finca.de%2Fimpressum.html
    "tk" enthält einen Fixed-Length-Record mit Realnamen (oder das was Spammy dafür hält, in meinem Fall der Localpart der Mailadresse), Mailadresse, Mail-Subject, eine Nummer, ein etwas missglücktes Sendedatum, ein Bezeichner(?), noch eine Nummer, eine Aktion (bounce, click, ...?) und zwei logische FLags (yes/no).

    admin@koebe-kommunikation.de, mail@premium-finca.de, ulli@koebe.de und newsletter@companiacorazon.de freuen sich über Newsletter-Abmeldungen[TM].

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen