Ergebnis 1 bis 3 von 3

Thema: Spam für Datensammelportal der CEOO Marketing GmbH, Zürich

  1. #1
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    16.810

    Standard Spam für Datensammelportal der CEOO Marketing GmbH, Zürich

    Hier schlugen auf mehreren Mailkonten verschiedene Spams auf, wonach ich angeblich einen Gutschein der Fluglinie Ryanair gewonnen hätte.


    header:
    01: X-Account-Key: account1
    02: X-UIDL: [UID filtered]
    03: X-Mozilla-Status: 0001
    04: X-Mozilla-Status2: 00000000
    05: X-Mozilla-Keys:
    06:
    07: Return-Path: <return [at] mta152.degitalnotification.live>
    08: Received: from mta152.degitalnotification.live ([93.110.184.154]) by
    09: mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) id
    10: 1McoeO-1fn7W04BUo-00a0G2 for <*snip*>; Wed, 14 Nov 2018 xx:xx:xx
    11: +0100
    12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] mta152.degitalnotification.live>
    13: To:*snip*
    14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
    15: Subject:=?UTF-8?B?SWhyIEZsdWd0aWNrZXQgaXN0IGZlcnRpZyAh?= truelife
    16: MIME-Version:1.0
    17: Content-Type:multipart/alternative;
    18: boundary="----=_Part_72064733_243161542.1540199614736"
    19: Envelope-To: <*snip*>
    20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    21: X-Spam-Flag: NO

    &


    header:
    01: X-Account-Key: account4
    02: X-UIDL: [UID filtered]
    03: X-Mozilla-Status: 0001
    04: X-Mozilla-Status2: 00000000
    05: X-Mozilla-Keys:
    06:
    07: Return-Path: <return [at] mta175.degitalnotification.live>
    08: Received: from mta175.degitalnotification.live ([93.110.184.177]) by
    09: mx-ha.gmx.net (mxgmx011 [212.227.15.9]) with ESMTP (Nemesis) id
    10: 0LtEJ1-1fK9Yg24SZ-012nSI for <*snip*>; Wed, 14 Nov 2018 xx:xx:xx
    11: +0100
    12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] mta175.degitalnotification.live>
    13: To:*snip*
    14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
    15: Subject:=?UTF-8?B?SWhyIEZsdWd0aWNrZXQgaXN0IGZlcnRpZyAh?= svenmayer2
    16: MIME-Version:1.0
    17: Content-Type:multipart/alternative;
    18: boundary="----=_Part_72064733_243161542.1540199614736"
    19: Envelope-To: <*snip*>
    20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    21: X-Spam-Flag: NO

    &


    header:
    01: X-Account-Key: account4
    02: X-UIDL: [UID filtered]
    03: X-Mozilla-Status: 0001
    04: X-Mozilla-Status2: 00000000
    05: X-Mozilla-Keys:
    06:
    07: Return-Path: <return [at] mta79.degitalnotification.live>
    08: Received: from mta79.degitalnotification.live ([93.110.184.81]) by
    09: mx-ha.gmx.net (mxgmx117 [212.227.17.5]) with ESMTP (Nemesis) id
    10: 1Mi3WD-1fltgr3pvF-00e58o for <*snip*>; Wed, 21 Nov 2018 xx:xx:xx
    11: +0100
    12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] meddevnetwork.com>
    13: To:*snip*
    14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
    15: Subject:=?UTF-8?B?RHJpbmdlbmQhIEJpdHRlIGhvbGVuIFNpZSBJaHIgVGlja2V0IHp1csO8Y2su?=
    16: svenmayer2
    17: MIME-Version:1.0
    18: Content-Type:multipart/alternative;
    19: boundary="----=_Part_72064733_243161542.1540199614736"
    20: Envelope-To: <*snip*>
    21: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    22: X-Spam-Flag: NO

    &


    header:
    01: X-Account-Key: account1
    02: X-UIDL: [UID filtered]
    03: X-Mozilla-Status: 0001
    04: X-Mozilla-Status2: 00000000
    05: X-Mozilla-Keys:
    06:
    07: Return-Path: <return [at] mta80.degitalnotification.live>
    08: Received: from mta80.degitalnotification.live ([93.110.184.82]) by
    09: mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) id
    10: 1MS37h-1g1u9412tP-00TS3t for <*snip*>; Wed, 21 Nov 2018 xx:xx:xx
    11: +0100
    12: From:=?UTF-8?B?UnlhbkFpcg==?=<appleid [at] meddevnetwork.com>
    13: To:*snip*
    14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
    15: Subject:=?UTF-8?B?RHJpbmdlbmQhIEJpdHRlIGhvbGVuIFNpZSBJaHIgVGlja2V0IHp1csO8Y2su?=
    16: truelife
    17: MIME-Version:1.0
    18: Content-Type:multipart/alternative;
    19: boundary="----=_Part_72064733_243161542.1540199614736"
    20: Envelope-To: <*snip*>
    21: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    22: X-Spam-Flag: NO

    Alle Mail eenhalten rund 42000 (!!!) Zeilen Unfug, was die Mails auf 1,5 MB aufbläht. Der Mist besteht aus sinnfreien Zeielen innerhalb eines Style-Tags:

    Code:
    <style>
    |zf89pbg3-mul8-3uj-tej-cg96nv32qwse
    |d98zw1ou-hi3e-f0k-sax-8o1a7tvwp0f9
    |x4omqprv-t3zk-u8a-lh2-scbuq5pkmdhn
    |8cshuwdi-t7jh-lcw-b6a-pv4tq5umds9f
    |q6js1fon-dzsb-p07-61b-ob2a4jcm657x
    |b21yndxr-yc3n-6xo-dao-rycm68p43kjw
    |60q2usmn-6hd8-xki-5sx-pnr8g5lqi3eo
    |6m7zx4eg-1pnv-adi-fro-zsvn0x6pb4oc
    |cvadufbh-fm7o-k79-wmk-4agfy3z09rn8
    |f6je47lu-8rs6-zhi-q53-cab967hyumio
    [...]
    /<style>
    Für was auch immer.

    Wie man eine hübsche Spammail designt, weiß Spammy offensichtlich nicht. Er hat dazu eine anfür sich legitime Passwort-vergessen-E-Mail von Apple genommen, alles in dieser Nachricht auskommentiert, bis eben auf den Spaminhalt:

    Code:
    <center>
    <img src="https://i.imgur.com/V4Apz84.jpg" usemap="#image-map">
    
    <map name="image-map">
        <area target="" alt="" title="" href="http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/1LkJ2Jch" coords="*snip*" shape="rect">
    </map>
    Das Spambild liegt beim Hoster Imgur:

    whois:https://i.imgur.com/V4Apz84.jpg

    Der somit durchaus nützliche Dienst wurde durch den Spammer missbraucht. Warum irgendwo selbst hosten und die Bandweite bezahlen, wenn das auch jemand anderes übernehmen kann?

    Das Spambild in voller Pracht:



    Link: whois:http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/1LkJ2Jch

    ________________________________________

    In einer weiteren E-Mail wird ein 750€-Gutschein von amazon beworben. Auch hier alles wieder gleich. Anleihen bei Apple, Bekloppte Style-Zeilen, Bild bei Imgur:


    header:
    01: X-Account-Key: account1
    02: X-UIDL: [UID filtered]
    03: X-Mozilla-Status: 0001
    04: X-Mozilla-Status2: 00000000
    05: X-Mozilla-Keys:
    06:
    07: Return-Path: <return [at] mta184.degitalnotification.live>
    08: Received: from mta184.degitalnotification.live ([93.110.184.186]) by
    09: mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) id
    10: 1MasqP-1fmBzB1l7b-00cTEs for <*snip*>; Thu, 15 Nov 2018 xx:xx:xx
    11: +0100
    12: From:=?UTF-8?B?QW1hem9u?=<appleid [at] mta184.degitalnotification.live>
    13: To:*snip*
    14: Message-ID:<243157567.72064735.1540199614736.JavaMail.email [at] email.apple.com>
    15: Subject:truelife =?UTF-8?B?SWhyZSBTY2h1bGUgaXN0IGZlcnRpZyEgdm9yIGRlbSAxNy8xMS8yMDE0?=
    16: MIME-Version:1.0
    17: Content-Type:multipart/alternative;
    18: boundary="----=_Part_72064733_243161542.1540199614736"
    19: Envelope-To: <*snip*>
    20: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    21: X-Spam-Flag: NO

    Code:
    <center>
    <img src="https://i.imgur.com/mZ4ZCuh.png" usemap="#image-map">
    
    <map name="image-map">
        <area target="" alt="" title="" href="http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/MtJpwtVv" coords="*snip*" shape="rect">
    </map>
    Das Spambild in voller Pracht:



    Link: whois:http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/MtJpwtVv
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    16.810

    Standard

    Bis zum jeweiligen Ziel gibt es dann ein paar schöne Weiterleitungen:

    Ryanair:
    whois:http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/1LkJ2Jch
    --> 301 Permanent Redirect
    whois:https://t2m.io/1LkJ2Jch
    --> 301 Permanent Redirect
    whois:http://degitalnotification.live/8459qj0oa13440wy38406kg2739id6834rr
    --> 302 Temporary Redirect
    whois:http://swps.rocks/?a=2720&c=12621&s1=53/8459/0
    --> 302 Temporary Redirect
    whois:http://gewinn-ometer.com/de,ryanair,2018,ceoo,aff_1001.html?idPartner=346&idCampaignAd=0&subId=2720&subIdentifier=12515-265310531
    --> 301 Permanent Redirect
    whois:https://gewinn-ometer.com/de,ryanair,2018,ceoo,aff_1001.html?idPartner=346&idCampaignAd=0&subId=2720&subIdentifier=12515-265310531
    --> 302 Temporary Redirect
    whois:https://flugR.1a-gewinner.de/campaign_1412.html?coyoteAffiliTokenId=288492792&

    Amazon:
    whois:http://click.dictionary.com/click/hq0591?clksite=dyn&clkpage=&clkld=&clkmod=dynhdrmb&clkdest=https://t2m.io/MtJpwtVv
    --> 301 Permanent Redirect
    whois:https://t2m.io/MtJpwtVv
    --> 301 Permanent Redirect
    whois:http://degitalnotification.live/8465it0dm13441jr38407ie2740mc6834rr
    --> 302 Temporary Redirect
    whois:https://swps.rocks/?a=2720&c=9954&s1=53/8465/0
    --> 302 Temporary Redirect
    whois:https://gewinn-ometer.com/de,amazon,750,2017,ceoo,aff,v2_808.html?idPartner=346&idCampaignAd=0&subId=2720&subIdentifier=9871-265310226
    --> 302 Temporary Redirect
    whois:https://750ama.1a-gewinner.de/campaign_962.html?coyoteAffiliTokenId=288492534&

    Gespammt hat hier der Affiliate mit der Partner-ID 346. Welches Schweinchen da wohl dahinter steckt?

    Die Zielseiten

    whois:https://750ama.1a-gewinner.de bzw.
    whois:https://flugR.1a-gewinner.de

    werden laut Impressum betrieben von der:

    CEOO Marketing GmbH
    Hedwigstrasse 3
    8032 Zürich
    Schweiz
    Email: info@ceoo.ch
    Keine Handelsregisternummer, kein Geschäftsführer, kein Telefon. Höchst seriös, liebe CEOO Marketing GmbH. Schauen wir mal ins Schweizer Handelsregister:

    CEOO Marketing GmbH, in Zürich, CHE-228.092.990, Gesellschaft mit beschränkter Haftung
    Domizil neu:
    c/o Exantum Advisory Services Aktiengesellschaft, Hedwigstrasse 3, 8032 Zürich.
    bzw.

    Eingetragene Personen neu oder mutierend:
    S., S., von Luzern, in Stansstad, Gesellschafterin und Geschäftsführerin, mit Einzelunterschrift, mit 200 Stammanteilen zu je CHF 100.00.
    Also gibt es den Laden schonmal wirklich. Auch die Domain whois:https://gewinn-ometer.com im vorletzten Schritt zeigt auf die CEOO Marketing GmbH.

    Die "Sponsoren" sind wieder mal alte Bekannte:

    Staatliche Lotterie-Einnahme BOESCHE e.K.
    Albert-Schweitzer-Ring 22
    22045 Hamburg

    Burda Direct GmbH
    Hubert-Burda-Platz 2
    77652 Offenburg

    Dinner for Dogs - CenturyBiz GmbH
    Breitengraserstraße 6
    90482 Nürnberg

    Zarenga GmbH
    Pfaffenweg 15
    53227 Bonn
    um nur ein paar zu nennen. Besonders gefällt mir die Datenschutzerklärung:

    1. Verantwortlicher und Kontaktdaten

    Der Verantwortliche für die Verarbeitung ist die Firma CEOO Marketing GmbH (nachfolgend Verantwortlicher) und verarbeitet die von dem Betroffenen (nachfolgend Kunde) mitgeteilten Daten gemäß den Bestimmungen der Europäischen Datenschutz-Grundverordnung (nachfolgend DSGVO).

    Die Kontaktdaten des Verantwortlichen lauten:
    Anschrift: Hedwigstrasse 3 , 8032 Zürich, Schweiz
    E-Mail: kontakt@ceoo.ch

    Vertreten wird der Verantwortliche innerhalb der EU von:
    CEOO Marketing GmbH
    Anschrift: Tuchlauben 7a, A – 1010 Wien
    Telefon: +43 (1) 43 508 94 - 11
    Telefax: +43 (1) 25 300 25 - 25
    Mail: kontakt@ceoo.ch
    Eine östereichische Büodienstleisteradresse. Echt jetzt?
    whois:https://goldenesquartier.com/working-and-living/collection-unique-business-centres/
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  3. #3
    Mitglied
    Registriert seit
    09.12.2017
    Beiträge
    50

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Eine östereichische Büodienstleisteradresse. Echt jetzt?
    whois:https://goldenesquartier.com/working-and-living/collection-unique-business-centres/
    Wieso nicht. Adrom spannt auch Bürodienstleisterinnen selbst als Geschäftsführer ein (CPX Online Active AG) und hat auch schon Bürodienstleisteradressen in Düsseldorf und Stuttgart genutzt.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen