iptruster.com-Spam

Ich analysiere nicht jede Werbemail aber als mich die erste "Ukraine-Bettel-Spam" erreichte, habe ich mir den Absender etwas genauer angeschaut. Spoiler: Wenn sie Geld für Ukraine-Hilfsmittel spenden wollen, dann sicher nicht über diesen "Service".

Ukraine Spam

Es ist schon perfide, das Spammer auch noch Kriege nutzen, um Adressen und Geld abzugreifen.

Der Hyperlink und das Bild werden aber von http://www.kundeninfos.com/link.php?link=xxxxxxxxxxxxxxxxxx abgerufen und ein Blick in den Header zeigt, dass die Mail von einem Server bei OVH eingeliefert wurde

Return-Path: <info@kundeninfos.com>
Authentication-Results:  mqeue002.server.lan; dkim=none
Received: from s2.harznetzwerk.com ([135.125.176.129]) by mx.kundenserver.de
 (mxeue010 [212.227.15.41]) with ESMTPS (Nemesis) id 1N4Pby-1oBRd80Sd4-011TYE
 for <xxxxxxxx@carius.de>; Wed, 09 Mar 2022 15:57:44 +0100
Received: from admin by s2.harznetzwerk.com with local (Exim 4.93)
 (envelope-from <info@kundeninfos.com>)
 id 1nRxl1-0003yW-KX
 for xxxxxxxx@carius.de; Wed, 09 Mar 2022 15:57:43 +0100
To: xxxxx@carius.de
Subject: =?ISO-8859-1?Q?Ukraine=3A=20Spenden=20Sie=20direkt=20wo=20es?=  =?ISO-8859-1?Q?=20ben=F6tigt=20wird?=
From: "Andrea Schmidt" <info@kundeninfos.com>
Date: Wed, 09 Mar 2022 15:57:43 +0100
Message-Id: <xxxxxxxxxxxxx@kundeninfos.com>
X-SWM-BOUNCE: yyyyyyyy
List-Id: <305-39421.localhost>
MIME-Version: 1.0
Content-Type: multipart/alternative; oundary="----=_NextPart_000_A57F_7282B3C9.3C95753D"
Envelope-To: <xxxxx@carius.de>
X-Spam-Flag: NO

Der Wert hinter X-SWM-BOUNCE ist auch im Hyperlink vorhanden und dürfte daher mit meiner ID verbunden sein. Die einliefernde IP-Adresse 135.125.176.129 gehört zum Provider OVH (AS16276 = https://ipinfo.io/AS16276)

Domain kundeninfos.com

Die Domain ist wohl noch nicht lange aktiv und die üblichen "Datenschutzeinstellungen" verhindern weitere direkte Rückschlüsse auf die Inhaber.

Die Webseite ist zumindest am 14. März 2022 auch noch eine Default Seite des Apache und nicht mal verschlüsselt erreichbar:

Das ist vermutlich nur ein Hoster für die Link.php, die dann auf eine andere Seite umleitet.

Verkaufen auch Masken

Am gleichen Tag kam aber noch eine Mail zum Maskenverkauf.

Der Link geht hier aber nun zu einer anderen Webseite http://www.iptruster.com/link.php?link=xxxxx und der einliefernde Mailserver 135.125.177.165 gehört wieder zum Provider OVH (AS16276 = https://ipinfo.io/AS16276).

Return-Path: <info@iptruster.com>
Authentication-Results:  mqeue014.server.lan; dkim=none
Received: from s38.dopetgoo.com ([135.125.177.165]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MMF2U-1nkor40rlG-00JT3s
 for <xxxxxx@carius.de>; Fri, 11 Mar 2022 10:24:52 +0100
Received: from admin by s38.dopetgoo.com with local (Exim 4.93)
	(envelope-from <info@iptruster.com>)
	id 1nSbVz-0005Jr-HL
	for xxxxx@carius.de; Fri, 11 Mar 2022 10:24:51 +0100
To: xxxx@carius.de
Subject: 3G am Arbeitsplatz bleibt - Zahlen steigen enorm
From: "Andreas Heyer" <info@iptruster.com>
Date: Fri, 11 Mar 2022 10:24:51 +0100
Message-Id: <75f9ed02ba2b6d526e4569b657d51e11055668@iptruster.com>
X-SWM-BOUNCE: xxxxxx
List-Id: <309-1877.localhost>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_4CF5_2F895AD3.AD3593D9"
Envelope-To: <xxxx@carius.de>

Auch hier ist der Wert im Feld X-SWM-BOUNCE anscheinend mit meiner ID verbunden.

... und Solaranlagen

Anscheinend klappert der Versender alle Buzz-Words ab, denn

Hier hier ist der Link wieder http://www.iptruster.com/link.php?link=xxxxxxx und der Mailserver ein OVH-Hosting mit Apache Standardseite.

Return-Path: <info@iptruster.com>
Authentication-Results:  mqeue002.server.lan; dkim=none
Received: from s114.dopetgoo.com ([135.125.177.241]) by mx.kundenserver.de
 (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) id 1M9nMb-1nXEek0chJ-005peZ
 for <xxxx@carius.de>; Mon, 14 Mar 2022 09:16:43 +0100
Received: from admin by s114.dopetgoo.com with local (Exim 4.93)
	(envelope-from <info@iptruster.com>)
	id 1nTfsg-0006Ge-N2
	for xxxx@carius.de; Mon, 14 Mar 2022 09:16:42 +0100
To: xxxx@carius.de
Subject: Erinnerung: Solaranlage & Strom zum Nulltarif
From: "Andrea Schneider" <info@iptruster.com>
Date: Mon, 14 Mar 2022 09:16:42 +0100
Message-Id: <d28839375599aa87cdcf0362f8d6403c055668@iptruster.com>
X-SWM-BOUNCE: 1ED_02_04_1F8
List-Id: <313-6899.localhost>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_D769_2D752A32.A323FF55"
Envelope-To: <xxxx@carius.de>

Umleitungsziel

Normalerweise sollten normale Anwender so eine Spam-Mail nicht anklicken und schon gar nicht weitere Daten bereitstellen. Allein durch den Link kann der Spammer ja schon erkennen, dass die Mail "gelesen" wurde. Wobei es sich auch schon bei den Spammern herumgesprochen haben sollte, dass einige Spamfilter den Link folgen um ein Rating vorzunehmen. Wenn ich aber als Spamfilter diesen Check mache, dann habe ich auch schon verraten, dass es den Empfänger schon gibt. "Security by Obscurity" ist bei Mail sowieso ein Irrglaube. Es gibt nicht wirklich eine "geheime" Mailadresse als Spamschutz. Der Zugriff auf den Link leitet den Browser über einen 302 Redirect auf ukr-hilfe.com weiter.

Die Webseite ist recht modern und fehlerarm entwickelt und abgesehen von ein par Google Fonts von https://fonts.gstatic.com/ werden alle Inhalte von der gleichen Webseite, die angeblich von einer "Helping Hands Gemeinschaft" betrieben wird. Sie ist recht ansprechend gestaltet aber es gibt kein Impressum und bei "Unterstützen" wird ein Formular zur Eingabe der eigenen Kontaktdaten angezeigt. Die Daten werden aber nicht mal minimal validiert, selbst 4-stellige Postleitzahlen und ungültige Orte sind erlaubt. Egal was man eingibt, landet man auf einer Ergebnisseite mit einer Bankverbindung der Saalesparkasse und dem Empfänger "EOV.de GmbH". Die dazugehörige Domain ist eine OVH Platzhalterseite und eine kurze Recherche zeigt Firmen aus der Immobilien und Solar-Branche. Die Seite selbst kommt aber von "bestellsys.com"

Ich habe mir hier erlaubt die Sparkasse auf die vermutlich missbräuchliche Nutzung ihrer Dienste hinzuweisen.

Leider hat sich auch nach mehreren Wochen niemand von der Sparkasse gemeldet. Anscheinend reagiert man dort auch nur auf Strafanzeigen, wenn der eigene Ruf gefährdet wird.

bestellsys.com

Die Bestätigungsseite kommt diesmal von "bestellsys.com" und die Webseite selbst leitet auf https://www.officepaket.com/ weiter. Die Seite ist auch wieder interessant. Sie verkauft über die Webseite nur zwei Produkte: Windows 10 Professional (39€) und Office 2019 Professional Plus (69€). Ich bin ziemlich sicher, dass dies kein seriöses Angebot ist und auch die Firmierung als "Doktorando AG GmbH & Co. KG KD" erscheint mir doch recht zweifelhaft. Unter "Über uns" findet sich ein Impressum mit Postanschrift in Bulgarien.

EOV.de

Vielleicht ist die Firma EOV.de tatsächlich seriös auf Spendensammeln unterwegs aber dann würden in meinem Testpostfach nicht mehrere Mails von "Iptruster.com" ankommen und die Firma würde unter ihrer Domain keine OVH-Platzhalterseite betreiben. Ob man dann ein "Bestellsystem" einer Firma in Bulgarien nutzen würde, die selbst nur Windows/Office-Lizenzen vermutlich zweifelhafter Herkunft verkauft, macht es nicht seriöser. Die EOV.de GmbH (HRB 209570 / AG Braunschweig) hießt früher mal „CPI clara pacta Immobilien GmbH“ (HRB 33139  / AG Leipzig) und scheint immer wieder mit Spams aufzufallen. Als Adresse ist auf https://finde-offen.de/braunschweig/eovde-gmbh-4489937 die "Luisenstrasse 5 in Braunschweig" aufgeführt, über die eine Suche im Handelsregister gleich mehrere Firmen an der gleichen Adresse aufführt:.

Name: IL Internet Logistik UG (haftungsbeschränkt) Handelsregister: Amtsgericht Braunschweig HRB 206460
Name: Richconsult UG (haftungsbeschränkt) Handelsregister: Amtsgericht Braunschweig HRB 206179
Name: Richgastro UG (haftungsbeschränkt) Handelsregister: Amtsgericht Braunschweig HRB 206176

Die Firmen sind allesamt nicht ganz unbekannt in der "Anti Spam Szene"

Es könnte natürlich genauso sein, das all diese Spuren von einer ganz anderen Person absichtlich gelegt wurden, um den genannten Personen zu schaden. Für Ermittlungen von Straftaten gibt es die Polizei und vielleicht sollte EOV eine Strafanzeige gegen unbekannt richten. Geht ja einfach über die Onlinewache auf https://www.onlinewache.polizei.niedersachsen.de/. wenn Sie nicht Verursacher sind.

Zwischenstand

Das perfide beim Thema Spam ist hier ja, dass theoretisch alle genannten Firmen selbst Opfer sein könnten. Den eigentlichen Spammer könnte der Hoster ermitteln, wenn er denn eine strenge Identitätsprüfung gemacht hätte. Aber auch dann gibt es Strohmänner und geklaute Credentials. Aber all das funktioniert nur mit Geld und insofern könnten die verschiedenen Zahlungsdienstleister  (Sparkasse als Empfänger, Kreditkartenfirmen bei Raubkopien, etc.) das Geschäftsmodell zumindest erschweren. Anscheinend sind aber die Hürden für eine Beweisführung hoch und die Strafen am Ende niedrig, dass es sich immer noch lohnt. Und dazu gehören auch viele einfältige Internetnutzer, die nicht kritisch genug hinterfragen.

Auch wenn es vermutlich keine direkten Besserungen bringt, habe ich die drei Mails mit der Source-IP an den Hoster OVP über das Abuse-Formular https://www.ovh.com/abuse/#!/ gemeldet. OVH hat laut Ticket innerhalb weniger Stunden die betroffenen Dienste deaktiviert. Ob noch mehr passiert ist, weiß ich nicht.

Es ist anscheinend immer noch sehr einfach, einfach einen virtuellen Server zu mieten und für den Spamversand zu missbrauchen. Microsoft ist hier etwas pfiffiger, indem Sie direkten ausgehende Verbindungen zu Port 25 per Default unterbinden. Amazon bietet seinen Kunden einen "Smarthost" an, auf denen Sie dann wohl auch ausgehende Mails filtern. OVH scheint hier noch etwas freizügiger zu sein, was in Verbindung mit schwacher Identitätsüberprüfung oder auch gehackten Servern und Zugangsdaten zu einem Problem wird. Interessant wird das dann, wenn darüber auch Straftaten verübt werden.

Weitere Links