Ergebnis 1 bis 4 von 4

Thema: Überweiungs-/Auszahlungsspam [ihrgeld2016.com]

  1. #1
    Neues Mitglied
    Registriert seit
    25.01.2017
    Beiträge
    2

    Standard Überweiungs-/Auszahlungsspam [ihrgeld2016.com]

    Hi,

    ich bin neu hier und möchte direkt dazu beitragen Spam anzuprangern, der mir derzeit hartnäckig täglich zugestellt wird.
    Ich habe mich in der Vergangenheit noch nicht viel damit auseinandergesetzt und mich interessieren zu meinem aktuellen Fall Fakten/Infos/Hinweise bzgl. Hintermänner, etc. (habe mich auch mal etwas bei Spamhaus umgesehen, aber nichts gefunden).

    Falls der Beitrag hier nicht passt oder woanders angehängt werden soll, lasst bitte Gnade walten und ich korrigiere das umgehend.

    Folgende Mails flattern derzeit in ähnlichem Wortlaut bei mir ein:

    header:
    01: Return-Path: <antwort [at] ihrgeld2016.com>
    02: Received: from s2.ihrgeld2016.com ([185.145.234.45]) by mx.kundenserver.de
    03: (mxeue108 [217.72.192.67]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <****>; Wed, 25 Jan 2017 xx:xx:xx +0100
    05: Received: by s2.ihrgeld2016.com (Postfix, from userID: [ID filtered]
    06: ID: [ID filtered]
    07: Subject: =?iso-8859-1?Q?Ihre_=DCberweisung_=2325=2E354799_wurde_ausgef=FC?=
    08: =?iso-8859-1?Q?hrt?=
    09: To: "Kunden-Nr. FT-125340" <****>
    10: From: "Pay-Gate" <antwort [at] ihrgeld2016.com>
    11: Reply-To: <antwort [at] ihrgeld2016.com>
    12: Date: Wed, 25 Jan 2017 xx:xx:xx +0100
    13: Message-ID: [ID filtered]
    14: List-Unsubscribe: <http://www.ihrgeld2016.com/go/nlu.php?[UNSUB filtered]>
    15: X-SWM-BOUNCE: 01_02_04_CC0
    16: List-ID: [ID filtered]
    17: MIME-Version: 1.0
    18: Content-Type: multipart/alternative;
    19: boundary="----=_NextPart_000_BD2D_C95A60FB.0FBCB244"
    20: Envelope-To: <****>
    21: X-UI-Filterresults: junk:10;V01:K0:YwVFSamv6aQ=:CY0jykwiQUZjTlmRSsRGGCqvDP9F
    22: 4I9QM54ISUL3bNR8E8dRfc0OTw6izdmyC66fw04Fs4RY80AXpHP9I2ueyzTjLdBKTs6jNqfY2
    23: PmFpE2qyqVIE7O5gFBfO/FakJhtW1dg3LQrQPyY1b50oHChNo/cdlzGeGqb4wFZ+AzEOV0UQI
    24: V5Gnj9Bbaf4kthF8fECL22r5Ivl+QZJ/Oo/EMDzH8Nyq4205CPosPfaQ+JhzYqXRqx3LpVRwm
    25: 4BcnAWKcfF/laD97b21uYFR0tYKQ2rUUDZBffQXf5+ZRHD2Gjvhqiw/x672pmgm92V4mNXsUK
    26: 2Xm5XosVm57MQWw80fWj3ZvZjsw2YlkHsfEcbfs5FXgSmvhCad7tv8vbIYzWDyi9fTxXWrxUh
    27: 08ywyC5wrjOE3snpWh/6dkRrx8M05uzx/RgmTazah77Wa7YxdiClLsbx+DvF5Niz18VEN9I8R
    28: AL70Hh74mg/qL7hyUE2TeH2KLXgSmQQUUEmZNwd93UMCuzeXzZcIhwiCsc/Yk+F8edBnUi1fo
    29: 0V7JhRChjEHX5aZLkwZPnup3kPMIRAInXcmYMiNk8CxnyeO+x4ORgoBwJp/oFFbovAyS7upts
    30: zbF4u0iEEJP+MDLwD+qtF16Io9RaL96fCYUGE+E0EAgk4kLk9VvhmmPLRgWK9qYpO/hwmA5Oe
    31: jR5BQrE8r3w/cNomw9t8UiOSTMx1sbH40aPo/l+1g26uZ2YsF/jur+pU6j5TlF/nEsVJjwCoB
    32: qciyLMVHRz6LTToRpLT8BXG6PjPP0JSNdD7MyoJ1jKfUIhiiRD2HdBSbFjeEolWe/nIt2p0ll
    33: lCf0zjhn1IuH012KWF3Oii9sRvHYkaZSyfewk34gvLooskCuSQC+BrErG7V6i3IkLeGngPkT+
    34: cyPqZNPdBSdrf70AYvilxLWQkAUIodvN2bCRlpW/ilkG73OnDUaCDdyxWaYWO4ZjgcWDY11d+
    35: 7pPkCzCbSzTU+ShsxkhlJhKfALhpusmEOS0JiXvc4+o9+FC5ctEp/rxFI91gtjVF3VnSx0V+Z
    36: KCKNMcl27WJydlGMMSAhNHd5fnJWfWeeTBbRRhrlCltAwApfy/cdcZ1BHO/vDewAH1WVUYmHN
    37: aqf3QeAamQlA9OesEXXAHmX6EioE0FPaJ3c5sns35f8RoWG5IJ295xGJ7MLqv92YIlkW4e2QG
    38: vNJ8EaNSxtvIjWgbEAPQj2JnNaimuDojPDVjWt4fR7r/UP8tha8lD2ve/j07m0g2T9ENZrS5f
    39: xMXlzV+a/a/NClVVWTvQZ7OEfzNUcyvpNuY36bFR05giG0RW56hikLipb13DCR6zOV/UsZNKJ
    40: GptsCeSdzi5qGDMzzzmpBiki4baZiySHdcfr3HXHGdh5o4sNNjEze+2o10dTs7fCzq8Pc5NUK
    41: PKRsN/XEHEku8A4BEHfyech2A+D4ykBbL6Ac6MeZhd5RQArjtYNfk7vzELM/MtU2+XTfdvzk9
    42: FOcNTgcnRejn2JZwQCaxkmb+GXHcMbr8QBSl/hqSqcsv2mCTyjAWaQH2z0WnO09JMvNicMkDd
    43: D5nUKA1prEeRLulmJY=

    This is a multi-part message in MIME format.

    ------=_NextPart_000_BD2D_C95A60FB.0FBCB244
    Content-Transfer-Encoding: quoted-printable
    Content-Type: text/plain; charset="iso-8859-1"

    Sehr geehrte(r) Kunden-Nr. FT-125340,


    bitte schlie=DFen Sie Ihre [Link nur für registrierte Mitglieder sichtbar. ] kostenlose Anmeldung =
    ab, um die
    folgenden vorr. =DCberweisungen zu erhalten:



    =20
    =20
    25.01.2017
    2.263 Euro
    =20
    =20
    26.01.2017
    2.399 Euro
    =20
    =20
    27.01.2017
    2.937 Euro
    =20
    =20

    Folgen Sie einfach den Hinweisen auf whois: [Link nur für registrierte Mitglieder sichtbar. ]unserer Sei=
    te .


    Wir sind nat=FCrlich staatlich gepr=FCft und zertifiziert.


    =20


    Eine sch=F6ne Wochenmitte,=20


    Nora Steichwachs
    Kundencenter
    ------=_NextPart_000_BD2D_C95A60FB.0FBCB244
    Content-Transfer-Encoding: quoted-printable
    Content-Type: text/html; charset="iso-8859-1"

    <html>
    <head><meta http-equiv=3D"content-type" content=3D"text/html; charset=3Diso=
    -8859-1" />
    <title>Ihre =DCberweisung #25.354799 wurde ausgef=FChrt</title>
    </head>
    <body>
    <p><span style=3D"font-family:arial,helvetica,sans-serif">Sehr geehrte(r) K=
    unden-Nr. FT-125340,</span></p>

    <p><span style=3D"font-family:arial,helvetica,sans-serif">bitte schlie&szli=
    g;en Sie Ihre <a href=3D"http://www.ihrgeld2016.com/go/link.php?link=3D01_0=
    2_04_CC0_1_7BBF-22-01-CE10967C80FB12609A71C63C425D89EC-AF864833889FD85C2BF"=
    >kostenlose Anmeldung</a> ab, um die<br />
    folgenden vorr. &Uuml;berweisungen zu erhalten:</span></p>

    <table border=3D"1" cellpadding=3D"1" cellspacing=3D"1" style=3D"width:500p=
    x">
    =09
    <tr>
    <td><span style=3D"font-size:14px"><span style=3D"font-family:arial,helv=
    etica,sans-serif">25.01.2017</span></span></td>
    <td style=3D"text-align:right"><span style=3D"font-size:14px"><span styl=
    e=3D"font-family:arial,helvetica,sans-serif">2.263 Euro</span></span></td>
    </tr>
    <tr>
    <td><span style=3D"font-size:14px"><span style=3D"font-family:arial,helv=
    etica,sans-serif">26.01.2017</span></span></td>
    <td style=3D"text-align:right"><span style=3D"font-size:14px"><span styl=
    e=3D"font-family:arial,helvetica,sans-serif">2.399 Euro</span></span></td>
    </tr>
    <tr>
    <td><span style=3D"font-size:14px"><span style=3D"font-family:arial,helv=
    etica,sans-serif">27.01.2017</span></span></td>
    <td style=3D"text-align:right"><span style=3D"font-size:14px"><span styl=
    e=3D"font-family:arial,helvetica,sans-serif">2.937 Euro</span></span></td>
    </tr>
    =09
    </table>

    <p><span style=3D"font-family:arial,helvetica,sans-serif">Folgen Sie einfac=
    h den Hinweisen auf <a href=3D"http://www.ihrgeld2016.com/go/link.php?link=
    =3D01_02_04_CC0_1_7BBF-22-01-CE10967C80FB12609A71C63C425D89EC-AF864833889FD=
    85C2BF">unserer Seite</a>.</span></p>

    <p><span style=3D"font-family:arial,helvetica,sans-serif">Wir sind nat&uuml=
    ;rlich staatlich gepr&uuml;ft und zertifiziert.</span></p>

    <p>&nbsp;</p>

    <p><span style=3D"font-family:arial,helvetica,sans-serif">Eine sch&ouml;ne =
    Wochenmitte, </span></p>

    <p><span style=3D"font-family:arial,helvetica,sans-serif">Nora Steichwachs<=
    br />
    <span style=3D"font-size:12px">Kundencenter</span></span></p>
    <img src=3D"http://www.ihrgeld2016.com/go/ostat.php?link=3D01_02_04_CC0_7BB=
    F-22-01-CE10967C80FB12609A71C63C425D89EC-AF864833889FD85C2BF" border=3D"0" =
    style=3D"width:1px;height:1px" /></body>
    </html>
    ------=_NextPart_000_BD2D_C95A60FB.0FBCB244--
    Der Link in der Mail lautet:
    http://www [PUNKT] ihrgeld2016 [PUNKT] com/go/link.php?link=01_02_04_CC0_1_7BBF-22-01-CE10967C80FB12609A71C63C425D89EC-AF864833889FD85C2BF

    Anhand dieser und einer anderen Mail entnahm ich die IPs

    185.145.234.45 (185.145.232.0/22) und
    185.182.9.103 (185.182.8.0/22)

    und hab mal einen Whois darauf gemacht

    whois:185.182.8.0/22


    sowie
    whois:185.145.232.0/22

    Wenn ich das richtig verstehe (vollständiger Whois der IPs) dann sind die 2 Netzsegmente auf unterschiedliche (jur.) Personen delegiert?

    Ich hab mir dann mal den Spaß gemacht und auf der Kommandozeile die IPs durch eine Schleife gejagt um zu sehen, auf was der jeweilige Reverse Lookup lautet und komme bisher auf folgende Liste an Domains, von denen ich mutmaße, daß alle der gleichen Person/Gruppe zuzuordnen sind, aber dank Whois-Protection bei enom nicht viel Informationen zu bekommen sind.

    Code:
    05dixi.com
    24ang-wow.com
    24eld.com
    aktiongeld24.com
    angebot91.xyz
    angebot93.xyz
    angebot95.xyz
    angebot97.xyz
    angebot98.xyz
    angebotwow.com
    ansehen-tipp.com
    bester-link.com
    bestesgeld24.com
    ehrlich-gratis.com
    einfachgeld24.com
    geld24int.com
    geld24net.com
    geld4u24.com
    geld-checks.com
    geldeasy24.com
    geldschnell24.com
    gm-web02.xyz
    gm-web03.xyz
    gm-web04.xyz
    gm-web05.xyz
    gm-web07.xyz
    gm-web08.xyz
    gm-web09.xyz
    gm-web11.xyz
    goerfolgo.com
    gratisgeld24.com
    gratis-wow.com
    gweb-gratis.com
    heute-tipp.com
    hierjetzt24.com
    ihrgeld2016.com
    ihrgeldjetzt.com
    intgeld24.com
    intress02.com
    intress03.com
    intress04.com
    iph-tester02.com
    iph-tester03.com
    iph-tester04.com
    iph-tester05.com
    iph-tester06.com
    iuo-server.com
    jetzt234.xyz
    jetzt287.xyz
    jetzt457.xyz
    jetzt892.xyz
    jetzt97.xyz
    jetztihrgeld.com
    memails24.com
    news-aug31.com
    now-ansehen.com
    now-heute.com
    s7works.com
    sendergood24.com
    sept03.com
    silvermailers.com
    supergeld24.com
    tadarius24.com
    tipp-today.com
    topps24.com
    ung-cash.com
    uplink235.com
    uplink643.com
    wow-ang24.com
    wwwgeld24.com
    und

    Code:
    geldnews24.com
    gednews24.com
    geldtops24.com
    geldopti24.com
    cashwelt24.com
    gldnews24.com
    geldneu24.com
    geldenter24.com
    7gofor.com
    geldgoal24.com
    geldnews24.com
    gednews24.com
    geldtops24.com
    geldopti24.com
    cashwelt24.com
    gldnews24.com
    geldneu24.com
    geldenter24.com
    7gofor.com
    geldgoal24.com
    Falls es jemand durch meine Wall of Text durchgeschafft hat: Wie bekannt ist der jeweilige Betreiber/Verursacher und wo kann ich mehr dazu herausfinden?
    Ich werde mich nun weiter durch die Tipps/Hinweise für Neuankömmlinge lesen und bedanke mich schon vorab für die aufgebrachte Geduld.

    Viele Grüße,
    Knurrkator
    Geändert von cmds (25.01.2017 um 18:42 Uhr) Grund: Korrekte Tags gesetzt, whois-Daten entfernt (Foreneregeln beachten)

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Willkommen im Forum. Bitte verwende die vorgesehen Tags, beispielsweise den Whois-Tag für Spammer-URLs. Die Links sind personalisiert, also auch hier aufpassen. Whois-Daten unterliegen dem Copyright, diese bitte nicht posten, dafür hat es auch den Whois-Tag. Für Mailkopfzeilen gibt es den Header-Tag, damit erkennt man einerseits was, anderseits killt diese Funktion auch deine persönlichen Daten im Header, wie z. B. die Empfangsmailadresse oder den Unsub-Link, der nun noch da ist. Aber es ist noch kein Meister vom Himmel gefallen.

    @Mods, bitte einmal tackern und fixen, danke! erledigt - Bitte sehr

    Nachtrag: die Mail müffelt nach dem Braunschweiger Dreck. Zur Erläuterung: Klarnamen sind hier verboten, daher braucht es Nicknames für alle möglichen Spammer. Les mal den Thread 'Braunschweiger Stallgeruch'...

    Beworben werden zumindest bei mir und Zugriff per Tablet 'binäre Optionen'.
    Geändert von cmds (25.01.2017 um 18:43 Uhr) Grund: erledigt
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  3. #3
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Unsere Informationen zu sogenannten "Binären Optionen":
    Binäre Optionen
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  4. #4
    Neues Mitglied
    Registriert seit
    25.01.2017
    Beiträge
    2

    Standard

    Danke für die Aufklärung.
    Ich les' mich mal in die Braunschweig-Ecke ein.

    Gruß,
    K.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen