Finverlag-Spam

Es kommen nur ganz wenige unterwünschte oder Spam-Mails bei mir an aber wenn jemand innerhalb von 24h vier Mails unterschiedlichster Themen bei mir abkippt, dann schaue ich schon mal genauer nach, wer sich vielleicht dahinter verbirgt und welche Plattformen zum Einsatz kommen.

Solche Mails betrachte ich als "Wurfsendung" und keine individuelle Kommunikation, die einem besonderen Briefgeheimnis unterliegen würde. Diese Seite zeigt die technischen Aspekte solcher Mails und Auswertung öffentlicher Informationen und sind nicht mehr polizeilichen Ermittlungen gleichzusetzen. Informationen können gefälscht sein und Teil einer "False Flag"-Operation sein.

Auslöser

Wie schon angedeutet waren es gleich mehrere Mails mit unterschiedlichem "Displaynamen" an ein Postfach mit den üblichen Spamthemen Steuern, Gesundheit, Gewinnspiel, Aktien.

Die verwendete Absenderadresse war jedes mal aber "newsletter@finverlag.com". Nur der Displayname wurde immer angepasst.

Message Tracking

Zuerst habe ich mal geschaut, wen es noch in dem Tenant betroffen hat. Hier taucht sogar noch eine weitere Mail auf, die ich vermutlich schon direkt als Sam gelöscht hatte.

Zu den Mails in meinem Postfach habe ich mir über den Header die einliefernde IP-Adresse besorgt:

2x 198.61.254.206 AS19994    Rackspace Hosting USA  
2x 143.55.230.194 AS396479   Mailgun Technologies Inc, USA
2x 143.55.230.192 AS396479   Mailgun Technologies Inc, USA

SPF, DKIM und DMARC finverlag.com

Rein aus Neugier habe es mich interessiert, wie "gut" die Spammer schon diese Verifikationen umsetzen:

  • SPF
    die Domain "finverlag.com" hat einen SPF. Eintrag, der den Provider "Mailgun" und eine statische IP-Adresse einschließt aber alle anderen auch erlauben würde. Die Adresse "198.61.*.*" ist nicht direkt erreichbar aber gehört ebenfalls zu Mailgun. Das "~all" am Ende verbietet anderen Systemen nicht direkt, mit der Domain zu senden. Allerdings passen die einliefernden IP-Adressen und daher hat der Domain-Inhaber entweder seine DNS-Einträge nicht im Griff oder er ist tatsächlich der Absender.
"v=spf1 include:mailgun.org ip4:69.57.162.9 ~all"
  • DMARC
    Interessant ist auch, dass die Domain eine "strict" Policy für SPF und DKIM und ein "p=reject" veröffentlicht und forensische Reports erbittet
v=DMARC1;p=reject;sp=reject;pct=100;rua=mailto:admin@finverlag.com;ruf=mailto:admin@finverlag.com;ri=86400;aspf=s;adkim=s;fo=1

Ein Blick in den Header zeigt auch, dass die DKIM-Signaturen vorhanden sind:

Authentication-Results: spf=pass (sender IP is 143.55.230.194)
 smtp.mailfrom=finverlag.com; dkim=fail (body hash did not verify)
 header.d=finverlag.com;dmarc=pass action=none
 header.from=finverlag.com;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of finverlag.com designates
 143.55.230.194 as permitted sender) receiver=protection.outlook.com;
 client-ip=143.55.230.194; helo=143.55.230.194; pr=C

Hier noch eine andere Mail:

Authentication-Results: spf=pass (sender IP is 198.61.254.206)
 smtp.mailfrom=finverlag.com; dkim=fail (body hash did not verify)
 header.d=finverlag.com;dmarc=pass action=none
 header.from=finverlag.com;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of finverlag.com designates
 198.61.254.206 as permitted sender) receiver=protection.outlook.com;
 client-ip=198.61.254.206; helo=198.61.254.206; pr=C
DKIM-Signature: a=rsa-sha256; v=1; c=relaxed/relaxed; d=finverlag.com;
 q=dns/txt; s=pic; t=1692854471; x=1692861671; h=Message-Id: List-Unsubscribe:
 To: To: From: From: Subject: Subject: Content-Type: Mime-Version: Date:
 Sender: Sender; bh=n1xZMRkaX16WaVgUtYKr/wG7Wl3+qACb9rumZd+aE2I=;
 b=F4o4qP5vQGyEZ9NiDbMHIa3286BlVTnL7GytGsYMiZZzNQWV/GBG35VoY31SZom20MsI5q4gMvFFEHFxduaPW3tcRX2ff8WFGJkqx6Lr1CVuRgUNqs02+DsmCfz8nLckHO3p6XicEM7a36gAt+PEDCRTCKauvo9QoOP34L0UhvE=

Das dürfte aber weniger der Verdienst des Spammers selbst sondern mehr die Leistung von "Mailgun" sein, die natürlich eine zuverlässige Zustellung unterstützen.

Wie können mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass der Domaininhaber von "finverlag.com" auch den Versand zu verantworten hat.

Sie sehen, das SPF, DKIM. DMARC nicht als Spamschutz zählt, sondern nur den Missbrauch einer Domain durch nicht legitimierte Absender verhindert. Es schützt nicht dagegen, dass ein Spammer aller Herausforderungen erfüllt und dennoch Werbung sendet. Ihr Spamfilter darf bei einem SPF=PASS und DKIM=PASS keine Bonuspunkte vergeben. Aber solche Domains lassen sich dann natürlich sperren.

Impressum

Der FIN Verlag hat auf seiner Webseite tatsächlich ein Impressum, was natürlich nicht weiter hilft. Schon der erste Satz, dass der FIN Verlag ein Bereich seiner selbst ist, klingt nach einem Zirkelbezug, den vermutlich Excel schon erkennen dürfte. Die Postadresse in Berlin am Potsdamer Platz klingt gut aber dürfte nur ein virtuelle Büro sein, wie ich gleich noch zeige und die Briefpostanschrift soll in Bayern sein oder vielleicht doch besser in London?

Eine Suche nach "yves reinke finverlag" liefert auch nur ´genau dies eine URL. Es ist sehr unwahrscheinlich, dass jemand in der Position keine weiteren Treffer hat. DAs dürfte also auch nur ein virtuelle Benutzer sein, der an der Adresse "Potsdamer Platz 10, 11785 Berlin" nur ein virtuelles Büro gemietet hat.


Quelle: https://www.matchoffice.de/mieten/virtual_office/berlin-mitte/potsdamer-platz-65362

Ich vermute nicht, dass hier etwas ladungsfähiges ist. Wenn jemand in Berlin wohnt, kann er ja mal gerne das Klingelschild fotografieren oder schauen, ob da jemand tatsächlich arbeitet.

Webhoster

Dann bleibt ja auch noch die beworbene Webseite, die auf zwei IP-Adressen auflöst.

PS C:\> nslookup -q=a www.finverlag.com

Name: www.finverlag.com
Addresses: 104.21.3.121, 172.67.130.175

Auch hier zeigt sich wieder, dass die großen kommerziellen Provider auch von diesen Firmen genutzt werden.

104.21.3.121   - Cloudflare, Inc., United States
172.67.130.175 - Cloudflare, Inc., United States

Ich habe nicht ermittelt, ob nun Cloudflare der Hoster oder nur ein vorgeschaltetes Content Delivery Netzwerk ist. Über den Pfad "/WPAdmin", der zwar nicht funktioniert hat, ist zumindest zu sehen, dass die Seite über Wordpress bereitgestellt wird. Aber auch im HTML-Source sind viele Spuren auf wpcontent u.a. Wordpress-typische URLs zu sehen.

Und anscheinend sogar mit zusätzlichem Schutz, der ausgerechnet beim Zugriff auf den Bereich "Datenschutz" die Auslieferung der gewünschten Daten verhindert hat.

Mailgun Abuse Meldung

Ich bin sicher, dass nicht nur ich diese Mails als "unerwünscht" ansehe, sondern auch der Maildienstleister vielleicht solche Kunden nicht haben möchte. Eine Abuse-Adresse für Mailgun ist schnell gefunden.

Ich habe am Donnerstag gegen 16:57 Uhr eine Mail samt Header gesendet und um 20:51, d.h. in weniger als 4h kam folgende Antwort.

Damit weiß ich nun natürlich nicht genau, was Mailgun mit dem "Kunden" gemacht hat und der Kampf gegen Spam kommt dem Kampf von Don Quijote gegen Windmühlen gleich. Aber es steigert auch den Aufwand bei den Versendern

Payload

Aber das verkauft "FinVerlag" eigentlich? Der Name suggeriert etwas mit "Fintech/Finanzen" aber "Supervitamine" gibt es angeblich auch. Die Links gehen wieder auf die Webseite von https://www.finverlag.com/r50/?omnisendContactID=xxxxxxx, die aber erneut von der "MalCare Firewall" abgefangen wurde. Anscheinend nutzt der Spammer auch die Dienste von https://www.omnisend.com/ zur Verwaltung der "Kontakte".

Aber auch ohne funktionierende Links ist anhand der Mails schon gut zu erkennen, was das eigentliche Ziel dieser Mails ist:

Am Ende wird man wohl eine Software auf den eigenen PC installieren sollen, der "handeln" soll. Möge jeder selbst darüber entscheiden, ob eine Software eines Spammers Zugang zu einem Börsendepot oder Traderplattform unter dem eigenen Namen haben darf oder ob die Software einfach nur Crypto-Währungen schürft oder als Agent für Angreifer auf andere Ziele missbraucht werden darf.

In einer Mal wurde z.B. für Vitamine geworben, über die "Reporter-Ikone Hans Meiser" in seinem Video aufklären würde. Das bedeutet natürlich nicht, dass der früheren RTL-TV-Moderators hier mit involviert ist. Ausgeschlossen ist es aber auch nicht aber es kann auch einfach nur eine Nebelkerze sein

Übrigens gehen alle Links in der Mail als auch die eingebetteten IMG-Links über die Domain "soundestlink.com", welche mit Omnisend verbunden ist. Der Versender "trackt" also jeglichen Aufruf oder Anklicken der Links und dagegen hilft dann auch kein VPN oder Tor oder ähnliche Verschleierungstechniken.

Ein direkter Aufruf der URL ohne Parameter liefert dann nur die lapidare Werbeantwort von Omnisend.

Ich habe also am 25. Aug eine entsprechende Mail versendet, die allerdings erst am 30. Aug beantwortet wurde.

FIN Verlag und VNR Verlag

Im Gegensatz zum Impressum auf der Webseite enthält die Mail ein abweichendes Impressum.

Denken Sie immer daran, dass nichts hier stmimen muss und der Absender auch absichtlich falsche Spuren legen und unbeteiligte Firmen schaden kann.

Die einzig verifizierte Information dürfte die Domain "finverlag.com" sein, da diese zum Absender passt und per SPF und DKIM verifiziert wurde. Allerdings gibt es Mitte 2023 noch wenig Bewertungen, was dann wohl für eine relativ "junge" Domain ist

Die Domain wurde erst 2023 registriert und natürlich versteckt sich der "Inhaber" hinter einen Anonymisierungsdienst.


https://www.whois.com/whois/finverlag.com

Neu im Impressum ist der angegebene "VNR Verlag" und die Handelsregisternummer. Die HRB 7435 ist in Berlin aber anscheinend gar nicht zugeteilt, wie eine Suche auf https://www.handelsregister.de/ ergibt. Die HRB ist deutschlandweit nur 29 Mal vergeben. Das einzige Unternehmen davon, welches etwas mit einem "Verlag" zu tun hat, ist in Bonn der "FID Verlag GmbH Fachverlag für Informationsdienste".

Eine Suche nach dem VNR-Verlag liefert einen Treffer in Bonn

Zwischen beiden Firmen gibt es sogar einen Bezug über einen "Verlag Norman Rentrop".


https://www.northdata.de/Verlag+Norman+Rentrop,+Bonn/HRA+2790

So plausibel das scheint, so wenig belastbar sind solche Recherchen, denn wer garantiert, dass die auf Webseite genannte Handelsregisternummer oder die Verlagsnamen tatsächlich stimmen? Nur weil der Spammer einen ähnlichen Namen FIN statt FID und die gleiche HRB-Nummer verwendet und behauptet ein Teil des VNR Verlags zu sein, sind dies keine Tatsachen.

DSGVO-Auskunft

Normalerweise ignoriere ich die seltenen UCE/SPAM-Mails, die sich ab und an in mein Postfach verirren. In diesem Fall war ich aber mal neugierig, ob und wer tatsächlich auf eine Mail an die support-Adresse antwortet. Ich habe nun die Wahl, ob ich mich als "Dummy" ausgeben und Probleme mit der Installation des "Trading-Agenten" habe oder plump eine DSGVO-Auskunft anfordere, da die Firma ja meine Kontaktdaten nutzt und diese sogar bei einem US-Dienstleister (Omnisend) als Kontakt hinterlegt hat und über einen US-Dienstleister (Mailgun) versendet. Da die Firma laut Impressum ja in Berlin, oder Bayreuth oder vielleicht doch Bonn) sitzt, sollte Sie auf eine solche Anfrage reagieren. Daher habe ich am 26.8.2023 13:45 folgende Mail mit Bitte um eine DSGVO-Auskunft an die Adresse support@finverlag.com gesendet:

Mittlerweile sind drei Arbeitstage ohne Rückmeldung vergangen. Anscheinend liest niemand das Postfach oder es dauert einfach länger. Warten wir mal weiter ab.

Weitere Links