Dieses ist eine Kopie der folgenden Nachricht, die an Jane Q. Public via Pension VITIS gesendet wurde:
Dies ist eine Mailanfrage via whois:
[Link nur für registrierte Mitglieder sichtbar. ] von:
qsbxtjmtpa <
[Link nur für registrierte Mitglieder sichtbar. ]>
Hey!
Schau dir meine Fotos an whois:
[Link nur für registrierte Mitglieder sichtbar. ][Zufällig aussehende Buchstaben und Zahlen entfernt]==
Was ist der Sinn auf whois:
[Link nur für registrierte Mitglieder sichtbar. ] zu verweisen? Das ist nicht mal eine gültige URL.
Gruß, Rava
Malware auf Wind-Systemen besser nicht lokal speichern!
Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!
Die leitet dann irgendwann auf google.com um, was damit bezweckt werden soll erschliesst sich mir nicht.
Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
„Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein1879-1955
„Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill1874–1965
"Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826
<script>
var _0x59a1=['location','window.location.href=\x22r.php?email=\x22+strGET','search'];(function(_0x193ed4,_0x59a1a5){var _0x32161a=function(_0x22d5c6){while(--_0x22d5c6){_0x193ed4['push'](_0x193ed4['shift']());}};_0x32161a(++_0x59a1a5);}(_0x59a1,0xce));var _0x3216=function(_0x193ed4,_0x59a1a5){_0x193ed4=_0x193ed4-0x0;var _0x32161a=_0x59a1[_0x193ed4];return _0x32161a;};var strGET=atob(window[_0x3216('0x1')][_0x3216('0x0')]['replace']('?',''));setTimeout(_0x3216('0x2'),0x9c4);
</script>
Ich vermute, dass mein funktionierenden Links (also vermutlich korrekt hinterlegter, dekodierter E-Mail-Adresse) tatsächlich eine Weiterleitung aktiv ist. Dem Txt nach vermutlich für eine Bezahlseite für Pornobildchen oder einen SMS-Chat oder so einen Kram.
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
06: Received: from unknown (HELO m18s4-1-17db.ispgateway.de) (127.0.0.1)
07: by localhost with SMTP; 12 Apr 2020 xx:xx:xx -0000
08: Received: (from u41315 [at] localhost)
09: by m18s4-1-17db.ispgateway.de (8.14.9/8.13.6/Submit) ID: [ID filtered]
10: Sun, 12 Apr 2020 xx:xx:xx +0200
Subject: Kopie von: Hey, wie geht es dir heute?
Dies ist eine Mailanfrage via
[Link nur für registrierte Mitglieder sichtbar. ] von:
<
[Link nur für registrierte Mitglieder sichtbar. ]>
Top burny busty busty chicks nur auf dieser Seite!
Folge dem Link, und es wird dir nicht leid tun -
whois:
[Link nur für registrierte Mitglieder sichtbar. ]...
IP: 104.28.2.148 -> Cloudflare
Ohne Tracking ID landet man wieder bei Tante Gugl.
Die Redirect-Kette:
whois:
[Link nur für registrierte Mitglieder sichtbar. ] Man beachte das r.php, siehe:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 104.31.69.135 -> Cloudflare
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
= whois:vm741013.had.su
server-panel.net, angeblich in den Niederlanden(Server location - Netherlands, Dronten), aber dann: Mahe, Seychelles und ns4.zomro.su (mnt-by: mnt-ua-bord-it-1),
was dann wieder stark auf die Russenmafia in der Ukraine hindeutet.
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Zum Beispiel hier gefahrlos testbar:
[Link nur für registrierte Mitglieder sichtbar. ]
Danke, kannte ich noch nicht die Seite. Sehr hilfreich.
Ich versuche es mal mit einem selbst generiertem beliebigen Code (da ich vermute das die den nutzen um meine Email zu verifizieren um die Adresse noch teurer weiterverkaufen zu können.
[Link nur für registrierte Mitglieder sichtbar. ]
Dennoch, wenn ich zumindest den selbst generierten Code per browserling.com aufrufe gibt es einen redirect und schließlich lande ich bei Google.
Gibt es eine Möglichkeit das was browserling.com anzeigt zu pausieren damit man die Weiterleitung analysieren kann?
Unter Tools habe ich ja Screenshots, aber die beziehen sich nur auf das aktuell sichtbare nicht auf was schon wieder "Vergangenheit" ist.
Gruß, Rava
Malware auf Wind-Systemen besser nicht lokal speichern!
Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!
Lesezeichen