#SPAM: Werter Herr Karl Bernhard, bei ihnen stimmt was nicht!

Liebe Leserinnen und Leser,

SpamInACanEs gibt mal wieder was neues aus der Spammer-Ecke. Ich bin da ja schon einiges gewohnt in diese Richtung, aber das Ding hat sogar mich erst einmal sprachlos gemacht. Lest euch das mal durch, den Links könnt ihr allerdings nicht folgen, die wurden von mir mit **** etwas geändert und ungültig gemacht:

Ihre Festplatte wurde gerade durchsucht!

Der Bundesbumsbeauftragte empfiehlt:

-löschen Sie alle mit ihrer IP 199.168.04.1 illegal runtergeladenen Inhalte von ihrer Festplatte

*Um weiterhin erotische Videos im Internet zu nutzen besuchen sie bitte folgende Seite

http://www.nimmsdofort.de/?nls=316_53461320_120_****___7&wm=14571&ag=431&sc=0&pr=Newsletter&ts=newsletter

Mit einem Klick auf den folgenden Link bestätigst du, dass du zukünftig keine Erotik-Newsletter mehr erhalten möchtest:

http://www.nimmsdofort.de/?l=216&w=171B1D49232C3317+6123F+32C+B3F122****017112F3C+1+3361A+E

 

Die genannte IP-Adresse ist natürlich nicht von mir, sie ist in Houston, Texas registriert, die in den Links angegebene Domain in Panama City. Von einem “Bundesbumsbeauftragten” habe ich natürlich auch noch nie etwas gehört, das ist ganz bestimmt ein sehr interessanter Job! Lachersmilie

Eigentlich bin ich ja von Spam nicht unbedingt begeistert, aber in dem Fall konnte ich mir irgendwie das Lachen nicht ganz verkneifen! ;-)

Ich hab da auch gleich mal nachgesehen, woher denn die Mail überhaupt kam. Dazu habe ich einfach nach dem Domainnamen gesucht, in diesem Fall die allseits beliebte “load-next.net”! Passend dafür habe ich auch einen Blogartikel gefunden, den ich euch nicht vorenthalten will. Da hat sich mal wirklich jemand Mühe gegeben, das muß mit einem Link belohnt werden:

Was steckt hinter einer Spammail?

Leider hat Sebastian das Projekt beendet, aber laut Twitter hat er bereits eine neue Domain:

Neue Domain bestellt von gehaxelt

(Ähm… Sorry, aber ich arbeite daran, daß ich Tweets hier direkt einbinden kann! Gibt’s dafür ein Plugin oder einen bestimmten Code?)

Die Domain “load-next.com” ist also ebenfalls in Panama City registriert, was mich zu der Überlegung führen könnte, daß die beiden wohl irgendwie zusammen gehören. Nur hat das den Fehler, daß es sich hier um “load-next.net” handelt. Das wollte ich nun doch genauer wissen und durfte erstaunt feststellen, daß es diese Domain nach einer whois-Abfrage angeblich gar nicht gibt. Seltsam dabei ist jedoch, daß ich sie ohne Probleme aufrufen kann! 8-O Es ist dort allerdings nur ein fast völlig leeres HTML-Dokument, welches einfach eine weiße leere Seite zeigt.

Es sieht also so aus, als ob die angegebene Mail-Adresse wahrscheinlich gefälscht ist. Das wollte ich natürlich genauer wissen, darum ein kurzer Blick in den Header der Mail:

Received: from sdzd126po51.newsletter-enhancer.com ([95.130.126.51]) by

Eine weitere whois-Abfrage ergab:

“newsletter-enhancer.com” ist ebenfalls in Panama City registriert!

Das sind also scheinbar 3 verschiedene Firmen aus Panama City, die bei dieser Sache involviert sind. Ich nehme hier jedoch stark an, daß es sich dabei wohl nur um Scheinfirmen handelt. Da der Absender allerdings einen deutschen Namen trägt, “nimmsdofort.de” eine ebenfalls (in Panama City registrierte!) deutsche Domain ist und die Mail auch in deutsch verfaßt ist steht für mich fest:

Da wurde wohl ein Account gehackt und ein Name mißbraucht!

Aus dem Grund folgender öffentlicher Aufruf:

Werter Herr Karl Bernhard,

bitte prüfen sie alle ihre Accounts und wechseln sie schleunigst sämtliche Passwörter! Überprüfen sie ihren PC auf Viren und anderes Ungeziefer, denn da stimmt etwas ganz und gar nicht bei ihnen! Steigen sie am besten auf ein Linux-System um, das dürfte in ihrer Situation und ihrem Verhalten im Internet nach wohl die sicherste Lösung sein.

Ihre bisherige Konfiguration ist jedenfalls nicht zu gebrauchen, auch wenn sie sich durch eine eventuell vorhandene Security-Suite sicher fühlen! Sie scheinen da ein Problem zu haben, daß sie unbedingt lösen sollten.

Viele Grüße hiermit aus TmoWizard’s Castle zu Augsburg

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 Dieses Werk ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

One Reply to “#SPAM: Werter Herr Karl Bernhard, bei ihnen stimmt was nicht!”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.