Finverlag-Spam
Es kommen nur ganz wenige unterwünschte oder Spam-Mails bei mir an aber wenn jemand innerhalb von 24h vier Mails unterschiedlichster Themen bei mir abkippt, dann schaue ich schon mal genauer nach, wer sich vielleicht dahinter verbirgt und welche Plattformen zum Einsatz kommen.
Solche Mails betrachte ich als "Wurfsendung" und keine individuelle Kommunikation, die einem besonderen Briefgeheimnis unterliegen würde. Diese Seite zeigt die technischen Aspekte solcher Mails und Auswertung öffentlicher Informationen und sind nicht mehr polizeilichen Ermittlungen gleichzusetzen. Informationen können gefälscht sein und Teil einer "False Flag"-Operation sein.
Auslöser
Wie schon angedeutet waren es gleich mehrere Mails mit unterschiedlichem "Displaynamen" an ein Postfach mit den üblichen Spamthemen Steuern, Gesundheit, Gewinnspiel, Aktien.
Die verwendete Absenderadresse war jedes mal aber "newsletter@finverlag.com". Nur der Displayname wurde immer angepasst.
Message Tracking
Zuerst habe ich mal geschaut, wen es noch in dem Tenant betroffen hat. Hier taucht sogar noch eine weitere Mail auf, die ich vermutlich schon direkt als Sam gelöscht hatte.
Zu den Mails in meinem Postfach habe ich mir über den Header die einliefernde IP-Adresse besorgt:
2x 198.61.254.206 AS19994 Rackspace Hosting USA 2x 143.55.230.194 AS396479 Mailgun Technologies Inc, USA 2x 143.55.230.192 AS396479 Mailgun Technologies Inc, USA
SPF, DKIM und DMARC finverlag.com
Rein aus Neugier habe es mich interessiert, wie "gut" die Spammer schon diese Verifikationen umsetzen:
- SPF
die Domain "finverlag.com" hat einen SPF. Eintrag, der den Provider "Mailgun" und eine statische IP-Adresse einschließt aber alle anderen auch erlauben würde. Die Adresse "198.61.*.*" ist nicht direkt erreichbar aber gehört ebenfalls zu Mailgun. Das "~all" am Ende verbietet anderen Systemen nicht direkt, mit der Domain zu senden. Allerdings passen die einliefernden IP-Adressen und daher hat der Domain-Inhaber entweder seine DNS-Einträge nicht im Griff oder er ist tatsächlich der Absender.
"v=spf1 include:mailgun.org ip4:69.57.162.9 ~all"
- DMARC
Interessant ist auch, dass die Domain eine "strict" Policy für SPF und DKIM und ein "p=reject" veröffentlicht und forensische Reports erbittet
v=DMARC1;p=reject;sp=reject;pct=100;rua=mailto:admin@finverlag.com;ruf=mailto:admin@finverlag.com;ri=86400;aspf=s;adkim=s;fo=1
Ein Blick in den Header zeigt auch, dass die DKIM-Signaturen vorhanden sind:
Authentication-Results: spf=pass (sender IP is 143.55.230.194) smtp.mailfrom=finverlag.com; dkim=fail (body hash did not verify) header.d=finverlag.com;dmarc=pass action=none header.from=finverlag.com;compauth=pass reason=100 Received-SPF: Pass (protection.outlook.com: domain of finverlag.com designates 143.55.230.194 as permitted sender) receiver=protection.outlook.com; client-ip=143.55.230.194; helo=143.55.230.194; pr=C
Hier noch eine andere Mail:
Authentication-Results: spf=pass (sender IP is 198.61.254.206) smtp.mailfrom=finverlag.com; dkim=fail (body hash did not verify) header.d=finverlag.com;dmarc=pass action=none header.from=finverlag.com;compauth=pass reason=100 Received-SPF: Pass (protection.outlook.com: domain of finverlag.com designates 198.61.254.206 as permitted sender) receiver=protection.outlook.com; client-ip=198.61.254.206; helo=198.61.254.206; pr=C DKIM-Signature: a=rsa-sha256; v=1; c=relaxed/relaxed; d=finverlag.com; q=dns/txt; s=pic; t=1692854471; x=1692861671; h=Message-Id: List-Unsubscribe: To: To: From: From: Subject: Subject: Content-Type: Mime-Version: Date: Sender: Sender; bh=n1xZMRkaX16WaVgUtYKr/wG7Wl3+qACb9rumZd+aE2I=; b=F4o4qP5vQGyEZ9NiDbMHIa3286BlVTnL7GytGsYMiZZzNQWV/GBG35VoY31SZom20MsI5q4gMvFFEHFxduaPW3tcRX2ff8WFGJkqx6Lr1CVuRgUNqs02+DsmCfz8nLckHO3p6XicEM7a36gAt+PEDCRTCKauvo9QoOP34L0UhvE=
Das dürfte aber weniger der Verdienst des Spammers selbst sondern mehr die Leistung von "Mailgun" sein, die natürlich eine zuverlässige Zustellung unterstützen.
Wie können mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass der Domaininhaber von "finverlag.com" auch den Versand zu verantworten hat.
Sie sehen, das SPF, DKIM. DMARC nicht als Spamschutz zählt, sondern nur den Missbrauch einer Domain durch nicht legitimierte Absender verhindert. Es schützt nicht dagegen, dass ein Spammer aller Herausforderungen erfüllt und dennoch Werbung sendet. Ihr Spamfilter darf bei einem SPF=PASS und DKIM=PASS keine Bonuspunkte vergeben. Aber solche Domains lassen sich dann natürlich sperren.
Impressum
Der FIN Verlag hat auf seiner Webseite tatsächlich ein Impressum, was natürlich nicht weiter hilft. Schon der erste Satz, dass der FIN Verlag ein Bereich seiner selbst ist, klingt nach einem Zirkelbezug, den vermutlich Excel schon erkennen dürfte. Die Postadresse in Berlin am Potsdamer Platz klingt gut aber dürfte nur ein virtuelle Büro sein, wie ich gleich noch zeige und die Briefpostanschrift soll in Bayern sein oder vielleicht doch besser in London?
Eine Suche nach "yves reinke finverlag" liefert auch nur ´genau dies eine URL. Es ist sehr unwahrscheinlich, dass jemand in der Position keine weiteren Treffer hat. DAs dürfte also auch nur ein virtuelle Benutzer sein, der an der Adresse "Potsdamer Platz 10, 11785 Berlin" nur ein virtuelles Büro gemietet hat.
Quelle:
https://www.matchoffice.de/mieten/virtual_office/berlin-mitte/potsdamer-platz-65362
Ich vermute nicht, dass hier etwas ladungsfähiges ist. Wenn jemand in Berlin wohnt, kann er ja mal gerne das Klingelschild fotografieren oder schauen, ob da jemand tatsächlich arbeitet.
Webhoster
Dann bleibt ja auch noch die beworbene Webseite, die auf zwei IP-Adressen auflöst.
PS C:\> nslookup -q=a www.finverlag.com Name: www.finverlag.com Addresses: 104.21.3.121, 172.67.130.175
Auch hier zeigt sich wieder, dass die großen kommerziellen Provider auch von diesen Firmen genutzt werden.
104.21.3.121 - Cloudflare, Inc., United States 172.67.130.175 - Cloudflare, Inc., United States
Ich habe nicht ermittelt, ob nun Cloudflare der Hoster oder nur ein vorgeschaltetes Content Delivery Netzwerk ist. Über den Pfad "/WPAdmin", der zwar nicht funktioniert hat, ist zumindest zu sehen, dass die Seite über Wordpress bereitgestellt wird. Aber auch im HTML-Source sind viele Spuren auf wpcontent u.a. Wordpress-typische URLs zu sehen.
- Wordpress: Cron
https://developer.wordpress.org/plugins/cron/
Und anscheinend sogar mit zusätzlichem Schutz, der ausgerechnet beim Zugriff auf den Bereich "Datenschutz" die Auslieferung der gewünschten Daten verhindert hat.
Mailgun Abuse Meldung
Ich bin sicher, dass nicht nur ich diese Mails als "unerwünscht" ansehe, sondern auch der Maildienstleister vielleicht solche Kunden nicht haben möchte. Eine Abuse-Adresse für Mailgun ist schnell gefunden.
Ich habe am Donnerstag gegen 16:57 Uhr eine Mail samt Header gesendet und um 20:51, d.h. in weniger als 4h kam folgende Antwort.
Damit weiß ich nun natürlich nicht genau, was Mailgun mit dem "Kunden" gemacht hat und der Kampf gegen Spam kommt dem Kampf von Don Quijote gegen Windmühlen gleich. Aber es steigert auch den Aufwand bei den Versendern
Payload
Aber das verkauft "FinVerlag" eigentlich? Der Name suggeriert etwas mit "Fintech/Finanzen" aber "Supervitamine" gibt es angeblich auch. Die Links gehen wieder auf die Webseite von https://www.finverlag.com/r50/?omnisendContactID=xxxxxxx, die aber erneut von der "MalCare Firewall" abgefangen wurde. Anscheinend nutzt der Spammer auch die Dienste von https://www.omnisend.com/ zur Verwaltung der "Kontakte".
Aber auch ohne funktionierende Links ist anhand der Mails schon gut zu erkennen, was das eigentliche Ziel dieser Mails ist:
Am Ende wird man wohl eine Software auf den eigenen PC installieren sollen, der "handeln" soll. Möge jeder selbst darüber entscheiden, ob eine Software eines Spammers Zugang zu einem Börsendepot oder Traderplattform unter dem eigenen Namen haben darf oder ob die Software einfach nur Crypto-Währungen schürft oder als Agent für Angreifer auf andere Ziele missbraucht werden darf.
In einer Mal wurde z.B. für Vitamine geworben, über die "Reporter-Ikone Hans Meiser" in seinem Video aufklären würde. Das bedeutet natürlich nicht, dass der früheren RTL-TV-Moderators hier mit involviert ist. Ausgeschlossen ist es aber auch nicht aber es kann auch einfach nur eine Nebelkerze sein
- Vermischung von Journalismus und
Gewinnversprechen
https://kress.de/news/beitrag/131476-vermischung-von-journalismus-und-gewinnversprechen.html - Facebook: Stellungnahme der
BildundTonfabrik zur Internetnebentätigkeit
des "kleinen Mannes" Hans Meiser im
Verschwörungstheoretikermilieu
https://www.facebook.com/bildundtonfabrik/posts/1581948485150220 - Wegen Verschwörungs-Gelaber: Jan
Böhmermanns TV-Firma trennt sich von Hans
Meiser
https://blog.gwup.net/2017/05/16/wegen-verschworungs-gelaber-jan-bohmermanns-tv-firma-trennt-sich-von-hans-meiser/ - Früher RTL-Moderator, heute
Verschwörungstheoretiker? Ein Tag mit Hans
Meiser
https://www.focus.de/panorama/welt/panorama-frueher-rtl-moderator-heute-verschwoerungstheoretiker-ein-tag-mit-hans-meiser_id_10281567.html
Übrigens gehen alle Links in der Mail als auch die eingebetteten IMG-Links über die Domain "soundestlink.com", welche mit Omnisend verbunden ist. Der Versender "trackt" also jeglichen Aufruf oder Anklicken der Links und dagegen hilft dann auch kein VPN oder Tor oder ähnliche Verschleierungstechniken.
Ein direkter Aufruf der URL ohne Parameter liefert dann nur die lapidare Werbeantwort von Omnisend.
Ich habe also am 25. Aug eine entsprechende Mail versendet, die allerdings erst am 30. Aug beantwortet wurde.
FIN Verlag und VNR Verlag
Im Gegensatz zum Impressum auf der Webseite enthält die Mail ein abweichendes Impressum.
Denken Sie immer daran, dass nichts hier stmimen muss und der Absender auch absichtlich falsche Spuren legen und unbeteiligte Firmen schaden kann.
Die einzig verifizierte Information dürfte die Domain "finverlag.com" sein, da diese zum Absender passt und per SPF und DKIM verifiziert wurde. Allerdings gibt es Mitte 2023 noch wenig Bewertungen, was dann wohl für eine relativ "junge" Domain ist
- https://www.antispam-ev.de/forum/showthread.php?42839-Warnung-kryptowehrmann-com-schickt-Malware&p=462654
- https://www.scamadviser.com/de/website-prufen/finverlag.com
Die Domain wurde erst 2023 registriert und natürlich versteckt sich der "Inhaber" hinter einen Anonymisierungsdienst.
https://www.whois.com/whois/finverlag.com
Neu im Impressum ist der angegebene "VNR Verlag" und die Handelsregisternummer. Die HRB 7435 ist in Berlin aber anscheinend gar nicht zugeteilt, wie eine Suche auf https://www.handelsregister.de/ ergibt. Die HRB ist deutschlandweit nur 29 Mal vergeben. Das einzige Unternehmen davon, welches etwas mit einem "Verlag" zu tun hat, ist in Bonn der "FID Verlag GmbH Fachverlag für Informationsdienste".
- FID VERLAG GMBH FACHVERLAG FÜR
INFORMATIONSDIENSTE, Bonn
https://www.northdata.de/FID+Verlag+GmbH+Fachverlag+f%C3%BCr+Informationsdienste,+Bonn/HRB+7435
Eine Suche nach dem VNR-Verlag liefert einen Treffer in Bonn
- VNR Verlag für die Deutsche Wirtschaft
AG, Bonn
https://www.northdata.de/VNR+Verlag+f%C3%BCr+die+Deutsche+Wirtschaft+AG,+Bonn/HRB+8165
Zwischen beiden Firmen gibt es sogar einen Bezug über einen "Verlag Norman Rentrop".
https://www.northdata.de/Verlag+Norman+Rentrop,+Bonn/HRA+2790
So plausibel das scheint, so wenig belastbar sind solche Recherchen, denn wer garantiert, dass die auf Webseite genannte Handelsregisternummer oder die Verlagsnamen tatsächlich stimmen? Nur weil der Spammer einen ähnlichen Namen FIN statt FID und die gleiche HRB-Nummer verwendet und behauptet ein Teil des VNR Verlags zu sein, sind dies keine Tatsachen.
DSGVO-Auskunft
Normalerweise ignoriere ich die seltenen UCE/SPAM-Mails, die sich ab und an in mein Postfach verirren. In diesem Fall war ich aber mal neugierig, ob und wer tatsächlich auf eine Mail an die support-Adresse antwortet. Ich habe nun die Wahl, ob ich mich als "Dummy" ausgeben und Probleme mit der Installation des "Trading-Agenten" habe oder plump eine DSGVO-Auskunft anfordere, da die Firma ja meine Kontaktdaten nutzt und diese sogar bei einem US-Dienstleister (Omnisend) als Kontakt hinterlegt hat und über einen US-Dienstleister (Mailgun) versendet. Da die Firma laut Impressum ja in Berlin, oder Bayreuth oder vielleicht doch Bonn) sitzt, sollte Sie auf eine solche Anfrage reagieren. Daher habe ich am 26.8.2023 13:45 folgende Mail mit Bitte um eine DSGVO-Auskunft an die Adresse support@finverlag.com gesendet:
Mittlerweile sind drei Arbeitstage ohne Rückmeldung vergangen. Anscheinend liest niemand das Postfach oder es dauert einfach länger. Warten wir mal weiter ab.
Weitere Links
- DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?
- Anonyme Umfrage der EU
- Firma zu kaufen gesucht?
- Jooble Spam
- Art. 51 DSGVO - Aufsichtsbehörde
https://dsgvo-gesetz.de/art-51-dsgvo/ - Aufsichtsbehörden und
Landesdatenschutzbeauftragte
https://www.datenschutz-wiki.de/Aufsichtsbeh%C3%B6rden_und_Landesdatenschutzbeauftragte - Landesbeauftragte für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen
http://www.ldi.nrw.de - Landesbeauftragter für den Datenschutz
Sachsen Anhalt
http://www.datenschutz.sachsen.de - Arbeitnehmerhaftung
https://de.wikipedia.org/wiki/Arbeitnehmerhaftung - DSGVO-Bilanz: Erstklassiges Gesetz,
mangelhafte Durchsetzung
https://www.heise.de/newsticker/meldung/DSGVO-Bilanz-Erstklassiges-Gesetz-mangelhafte-Durchsetzung-4320653.html