Ergebnis 1 bis 6 von 6

Thema: Velsao spammt für Masken

  1. #1
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    395

    Standard Velsao spammt für Masken

    und das u. a. über eine deutsche Firma.

    Von whois:velsao.com habe ich bisher drei Mal Spam in französischer Sprache für Schutzmasken bekommen.


    header:
    01: Return-Path:
    02: <010101721d3a8fea-cd68510b-be1a-45af-9c55-2c118ab7e823-000000 [at] us-west-2.amazonses.com>
    03: Received: from a27-45.smtp-out.us-west-2.amazonses.com ([54.240.27.45])
    für whois:season.priwand.com/sendy/unterschiedlich/ID1/ID2/ID3


    header:
    01: Return-Path:
    02: <010101725af9cfa6-1a7284eb-0444-43fc-8278-09ae3946f617-000000 [at] us-west-2.amazonses.com>
    03: Received: from a27-31.smtp-out.us-west-2.amazonses.com ([54.240.27.31])
    für whois:all.layeers.com/sendy/unterschiedlich/ID1/ID2/ID3
    Pour assurer la livraison dans votre boîte de réception,
    s'il-vous-plait ajoutez [Link nur für registrierte Mitglieder sichtbar. ]_ <mailto: [Link nur für registrierte Mitglieder sichtbar. ]> à votre carnet d'adresses.
    ©2020 Velsao
    IP 54.240.27.45 und 54.240.27.31 = Amazon Web Services, Inc.
    Beide Male ist ein Tracking-Pixel enthalten.

    Nun ist vorgestern der dritte Spam aufgeschlagen und da lohnt es sich, etwas genauer hinzuschauen.

    header:
    01: Return-Path: <return [at] agecio.com>
    02: Received: from host3.agecio.com ([95.111.244.15]) by ...
    03: for <poor [at] spamvictim.tld>; Wed, 03 Jun 2020 xx:xx:xx +0200
    04: ...
    05: List-Unsubscribe: List-ID: [ID filtered]
    06: ...
    07: Message-ID: [ID filtered]
    08: Date: Wed, 03 Jun 2020 xx:xx:xx +0000
    09: Subject: Masques =?utf-8?Q?=C3=A0?= usage unique
    10: From: Soins de =?utf-8?Q?sant=C3=A9?= <admin [at] agecio.com>
    11: ...
    12: ...
    13: <img width=3D"1" height=3D"1" src=3D"https://agecio .
    14: com/campaigns/ DI der Kampagne /track-opening/ DI für mich"
    Links sehen so aus
    whois:agecio.com/campaigns/ ID der Kampagne /track-url/ ID für mich / ID

    IP 95.111.244.15 = Contabo GmbH, München mit host3.agecio.com
    d. h. der Rotz wurde über eine Firma in München abgeladen.

    whois:agecio.com wurde laut Centralops von der Firma Contabo GmbH registriert und am 15. Mai 2020 aktualisiert.
    Da auch sämtliche Links über agecio laufen sieht es für mich so aus (falls ich mich täusche, bitte korrigieren), als ob der ganze Rotz sogar bei agecio, d. h. bei Contabo GmbH, auf dem Server liegen würde.
    Falls dem so sein sollte, würde Centabo GmbH also einen unseriösen Dreckspammer unterstützen.

    Ruft man agecio . com auf so kommt man zu „Automated Email marketing Setup Tool“.
    Bei „Terms and conditions“ und „Privacy policy“ gibt es als einzige Information „Content coming soon“.
    Macht keinen guten Eindruck. Dass kein Impressum zu finden ist, erst recht nicht.

    Die Seite von velsao . com sieht professionell aus.
    Allerdings hat sie einen entscheidenden Fehler: eine Adresse ist nirgends zu finden.
    Was ist das für eine „Firma“, die Schutzmasken im Geheimen und mittels Spam anbieten muss?

  2. #2
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.430

    Standard

    Die Website schreit nach Fakeshop
    ____
    IANAL

  3. #3
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    395

    Standard

    Zitat Zitat von Ralgert Beitrag anzeigen
    Die Website schreit nach Fakeshop
    vollkommen richtig,
    denn die Bande spammt nun für eine zweite Seite, givolo . com

    header:
    01: Return-Path: <…@eu-west-1.amazonses.com>
    02: Received: from a4-20.smtp-out.eu-west-1.amazonses.com ([54.240.4.20]) by …
    03: Date: Sun, 7 Jun 2020 xx:xx:xx +0000
    04: To: poor [at] spamvictim.tld
    05: From: … <our [at] accept.vedime.com>
    06: Reply-To: =?UTF-8?Q?Soins_de_sant=C3=A9?= <our [at] accept.vedime.com>
    07: Subject: =?UTF-8?Q?Port_du_masque,_reconfinement_possible=E2=80=A6?=
    IP 54.240.4.20 = Amazon Web Services, Inc., man ist also zum Ursprung zurückgekehrt

    Links sehen so aus:
    whois:six.vedime.com/sendy/l/ ID / unterschiedlich / ID

    Werbung wird gemacht für whois:givolo.com
    Dort ist, abgesehen vom Namen, alles identisch wie bei velsao, einschliesslich der nicht auffindbaren Adresse, obwohl es den Laden angeblich seit 2001 geben soll.

  4. #4
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Zitat Zitat von Mindgespammt Beitrag anzeigen
    Werbung wird gemacht für whois:givolo.com
    Dort ist, abgesehen vom Namen, alles identisch wie bei velsao, einschliesslich der nicht auffindbaren Adresse, obwohl es den Laden angeblich seit 2001 geben soll.
    Außer in Analyseseiten gibt es nichts zur Domain.

  5. #5
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    395

    Standard

    Neuer Spam

    header:
    01: Received: from o3.lv30n.shared.sendgrid.net ([167.89.100.226]) by …
    02: for <poor [at] spamvictim.tld>; Sat, 27 Jun 2020 xx:xx:xx +0200
    03: …
    04: Received: by filterdrecv-… with SMTP I d filterdrecv-…
    05: …
    06: Received: from ip-172-31-85-91 (unknown)
    07: by ismtpd….sendgrid.net (SG) with ESMTP …
    08: …
    09: X-Mailer: Sendy (https://sendy.co)
    IP 167.89.100.226 = SendGrid, USA

    whois:sendy.co
    Sendy is a self hosted email newsletter application that lets you send trackable emails via Amazon Simple Email Service (SES). This makes it possible for you to send authenticated bulk emails at an insanely low price without sacrificing deliverability
    (pecunia non olet …)

    Der Spam ist wieder für whois:velsao.com
    Links fangen so an whois:url8959.en.baleds.com und sind rund 92 cm lang

    Dass hinter Velsao = Givolo Abzocke steckt, wird auch hier bei scamdoc vermutet
    [Link nur für registrierte Mitglieder sichtbar. ]

    Dank der Jubelperserin Daisy Wang
    [Link nur für registrierte Mitglieder sichtbar. ]
    weiß ich nun, dass die Bande noch weitere Seiten betreibt
    whois:polloo.com
    whois:ojomask.com
    beide in englisch, vom Inhalt und vor allem von der Gestaltung her jedoch mehr oder weniger identisch mit Velsao und Givolo. (z. B. gibt es bei ojomask zusätzlich „Terms and conditions“, bei polloo und ojomask zusätzlich ein „Zertifikat“ der FDA)
    Bei polloo wird sogar eine Adresse genannt: 248-23 Brookville Blvd Rosedale, NY 11422
    Diese Adresse existiert, es ist ein Lagerhaus und Google erwähnt für diese Adresse die Firma „UNITED GLOBAL DEVELOPMENT INC”.

    Unter der angegebenen Adresse kann man dann auch noch eine fünfte Seite dieser Bande finden
    whois:EXTMedical.com
    Registriert am 20.3.2020. Gibt aber an, seit 2001 zu existieren …

    Da in den 50 Google-Rezensionen zu United Global Development Inc. auch von Masken die Rede ist, wäre ein Zusammenhang mit velsao/givolo/polloo/ojomask möglich.
    Was die Leute in den Rezensionen schreiben, lässt, sagen wir es mal so, auf gewisse Lieferprobleme schliessen.
    Auch bei den in den Kommentaren explizit erwähnten Firmen wäre das Quintett in allerbester Gesellschaft:
    whois:remarkgreen.com gibt keine Adresse an
    whois:skillvanta.com gibt es urplötzlich nicht mehr, die Seite steht zum Verkauf, mehrere warten laut scampulse . com noch auf Lieferung [Link nur für registrierte Mitglieder sichtbar. ]
    whois:polomusk.com die Seite kann nicht aufgerufen werden
    whois:mizinshop.com gibt eine gefakte Adresse an bei der zudem eine PLZ fehlt, die E-Mail-Adresse ist nicht sichtbar

    Inzwischen bin ich sicher, dass hinter dem aktuellen Spam diese Gauner-Bande steckt:
    [Link nur für registrierte Mitglieder sichtbar. ]
    die mich zwischen 9.10.2016 und 22.1.2018 zugespammt hat.
    Gauner, da, wenn es nicht direkt Vorschussbetrug (scam, arnaque / Lettre de Jérusalem) war, zumindest für gefälschte Artikel (contrefaçon) der Marken Pandora, Michael Kors, Longchamp, Christian Louboutin, UGG, Ray Ban, Nike, Adidas und Moncler gespammt wurde.

    Une fois de plus: Merci les escrocs chinois pour votre pourriel / arnaque

  6. #6
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    395

    Standard

    Eben noch entdeckt:

    Auch Jubelperserin Penny ist, unterstützt von mehreren Adlaten, ein Synonym für Marketingabteilung
    [Link nur für registrierte Mitglieder sichtbar. ]

    Auch da wird auf Twitter kräftig die Werbetrommel gerührt für Velsao, Givolo, Polloo und Ojomask.
    Und was ich schon vermutet hatte, die Bande hat auch eine deutschsprachige Seite:
    whois:bellgs.com
    am 5.3.2016 registriert, obwohl es auch bellgs schon seit 2001 geben soll …

    Auf dieser Seite hier vermeldet eine gewisse Daisy Wang, dass sie Masken bei bellgs gekauft hat
    [Link nur für registrierte Mitglieder sichtbar. ]
    daisy wang Před 8 dny

    Aufgrund des Ausbruchs des Virus ist es jetzt schwierig, Masken zu kaufen. Ich habe einige auf bellgs . com gekauft, und wenn ich keine mehr habe, werde ich einige davon selbst ausprobieren
    Das wird doch nicht etwa die liebe Daisy sein, die bei bellgs Masken kaufen muss, obwohl sie laut dem in #5 erwähnten Link als Mitarbeiterin von Velsao/Givolo/Polloo/Ojomask gleich bei vier Anbietern an der Quelle sitzt?
    (Nous avons, Nous fournissons, Nous vendons, veuillez nous contacter, We supply, Contact Us, Our website, …)

    Und sie hat nicht nur gekauft, sie hat sogar viel gekauft
    [Link nur für registrierte Mitglieder sichtbar. ]
    daisy wang

    Sehr interessantes Video. Aufgrund des Virusausbruchs sind die Masken jetzt schwieriger zu kaufen. Ich habe viel auf bellgs . com gekauft.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen