Tradingspam mit .de-Domains

Wer sind eigentlich die "Idioten", die auf solche Spam-Mails reinfallen. Auch Spammer agieren nicht im luftleeren Raum sondern haben ein "Geschäftsmodell" und wollen reales Geld verdienen. Und solange Sie damit mehr Geld verdienen, als der Betrieb kostet, hört das auch nicht auf. Es zeigt aber, dass auch "DE-Domain immer mehr zu Schmuddel-Domains missbraucht werden.

Die Spam-Mail

Die Mail kam am 29.5.2020 in einem Postfach an.

Eine klassische Text/HTML-Mail mit etwas Text und zwei Links. Nicht mal der Absender ist sonderlich unkenntlich gemacht. Allerdings eben auch mit kaum Ansatzpunkten für einen Content-Scanner

Header

Alle weiteren Informationen sind ein Stück weit anonymisiert bzw. gekürzt, wo es der Verständlichkeit dient. Links auf die Seiten sind nicht anklickbar.

Im Header finden sich auch ganz wenige Informationen, die daraus eine Spam-Mail machen.

Received: from mail8.mlflow.com ([195.12.186.151]) by mx.kundenserver.de
 (mxeue009 [212.227.15.41]) with ESMTPS (Nemesis) id 1MHpAc-1jkey10Xyg-00F2r3
 for <user@carius.de>; Fri, 29 May 2020 12:47:59 +0200
Received: from (127.0.0.1)
 (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (Client CN "mlflow.com", Issuer "mlflow.com" (verified OK))
 by mail8.mlflow.com (Postfix) with ESMTPS id A182E5801FE33
 for <user@carius.de>; Fri, 29 May 2020 13:47:58 +0300 (EEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mlflow.com; s=ml;
 t=1590749278; bh=U+gYrD6g6wZXD2/BEd5PaIgU+PKLACdDzJF5uPfzp3E=;
 h=Date:To:From:Reply-To:Subject:Message-ID:List-Unsubscribe:MIME-Version:Content-Type;
 b=xxxxxxxxxxxxxxxxxxxxxxx
Date: Fri, 29 May 2020 10:47:58 +0000
To: user@carius.de
From: Support-team <info@agentur-plietsch.com>
Reply-To: Support-team <info@agentur-plietsch.com>
Subject: =?utf-8?Q?Abonnement=20ist=20abgeschlossen.=20Herzlich=20willkommen!?=
Message-ID: <7c4d1a0a288e95a3237c887b953e7b18@mlflow.com>
X-Mailer-SubscriberID: 1431788405544457749;u0i4;1c881bfd143dac4662abb4c51872fd2c
X-Mailru-Msgtype: 1c881bfd143dac4662abb4c51872fd2c
Precedence: bulk
Feedback-ID: e0y1k4:1c881bfd143dac4662abb4c51872fd2c:770853323648640305:MailerLite
Sender: =?utf-8?Q?"Support-team"?=<info=agentur-plietsch.com@mlflow.com>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
List-Unsubscribe: <mailto:unsubscribe-1431788405544457749-u0i4-1c881bfd143dac4662abb4c51872fd2c@mlflow.com?body=unsubscribe>,
   <https://click.mlflow.com/link/c/YT0xNDMxNzg4NDA1NTQ0NDU3NzQ5JmM9dTBpNCZlPTAmYj0zNTI1MjExNTQmZD1jN3Mxejll.3fiCN2E3FNzjIBeiUUR1t9yoDjmecYCWWt4mTLgjYG8>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="b1_7c4d1a0a288e95a3237c887b953e7b18"
Envelope-To: <user@carius.de>
X-Spam-Flag: NO

--b1_7c4d1a0a288e95a3237c887b953e7b18
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hallo,

Sie haben einen Newsletter von Support-team erhalten.

Ihre E-Mail-Software kann HTML-E-Mails nicht anzeigen, aber Sie k=C3=B6nn=
en den Newsletter lesen, wenn Sie hier klicken:

https://click.mlflow.com/link/c/YT0xNDMxNzg4NDA1NTQ0NDU3NzQ5JmM9dTBpNCZlP=
TAmYj0zNTI1MjExNTAmZD1iNHAydzhx.4IOUJ-5WtLIFkYJqWTCpbgASbBIglBSVvqqc_gpD9=
k4


Sie haben diese E-Mail erhalten, weil Sie bei Support-team angemeldet sin=
d.

Kein Interesse mehr? Dann klicken Sie hier, um sich abzumelden:
https://click.mlflow.com/link/c/xxxxxxxx=
6g

Die Mail wurde durch einen kommerziellen Mailversender eingeliefert und auch SPF-Record und andere Kriterien sind unverdächtig.

Die Absenderdomain "agentur-plietsch.com" ist nicht mit der Werbeagentur "agentur-plietsch.de" zu verwechseln. Hier macht sich der Spammer auch noch einen schlechten Scherz auf Kosten einer unbeteiligten Firma, denn ein Zugriff auf agentur-plietsch.com liefert eine Weiterleitung auf agentur-plietsch.de

Sie können aber schon anhand der IP-Adresse sehen, dass dies unterschiedliche Provider sind.

Ping wird ausgeführt für agentur-plietsch.com [192.64.119.186] mit 32 Bytes Daten:
Antwort von 192.64.119.186: Bytes=32 Zeit=177ms TTL=56
Ping wird ausgeführt für agentur-plietsch.de [85.13.152.112] mit 32 Bytes Daten:
Antwort von 85.13.152.112: Bytes=32 Zeit=16ms TTL=60

177ms ist ein Zeichen, dass der Server sehr weit entfernt steht.

Mailversender

Auch die Links in der Mail gehen nicht direkt auf eine Malware-Seite sondern sind Tracking-URLs des Dienstleisters, der so seinem Kunden auch berichten kann, welcher Empfänger wann die Links angeklickt hat. Das ist eine übliche Methode um die Erfolgsraten zu messen und insbesondere gültige Mailadressen zu bestätigen. Allerdings kämpfen diese Dienste natürlich auch damit, dass Spamfilter manchmal die Links ansurfen um den Inhalt der Seite auf Malware zu scannen. Das könnte dann eine falsche Bestätigung liefern.

Wie es sich für einen seriösen Mailversender gehärt gibt es auch eine "unsubscribe"-URL, mit der sich der Empfänger austragen kann. Solche Links sein zweischneidig. Wenn der Dienstleister damit die Zieladresse sperrt, ist das OK. Die meisten Mailversender werden aber die Bitte einer Austragung als zusatzservice zur Adressbereinigung an den Auftraggeber weitergeben. Für einen Spammer ist die so "bestätigte" Adresse immer noch mehr wert und kann weiter verkauft werden.

Ich habe dort zumindest einen Spam-Report hinterlassen. Vielleicht ist die Werbung für Hochfrequenzhandel nicht strafbar aber der Versand an eine Adresse, die sich nie eingetragen hat, ist sicher zweifelhaft und nicht im Interesse des Anbieter. Der Anbieter hat auch innerhalb weniger Stunden reagiert:

Was sich nun aber hinter "under investigation" verbirgt, wird sich erst noch zeigen. Nutzt man einen der Links, dann wird der Browser über die Zielseite von "mlflow.com" auf die eigentliche Kundenseite geschickt.

Ziel-Webseite "keten-reaktion"

Auf dem Weg weiter landet man natürlich dann auf der eigentlichen Webseite des "Werbers". Den meisten Lesern dürfte gar nicht auffallen, dass die URL der Webseite etwas abweichend geschrieben ist. In dem Wort "ketten" ist ein "t" entfallen. Das dürfte aber Absicht sein.

Dass ganz oben noch die Logos von VeriSign, TRUSTe und McAfee prominent platziert sind, macht die Seite natürlich nicht vertrauenswürdiger.

Die "Absicherung" per HTTPS erfolgt mit einem kostenfreien Let's Encrypt-Zertifikat.

Weiter unten auf der Seite finden Sie dann noch eine Anzeige der "Gewinne" und einer "Echtzeitzuhr, die aber nur mit einem JavaScript jede Sekunden aktualisiert wird:

Weiter unten kommen dann noch ein paar angebliche Facebook-Likes, Kommentare etc. und die obligatorischen Hinweise auf Datenschutz und Kontakt

Damit kommt über die Mailadresse eine weitere Domain zum Vorschein: lucas@chainreactionpro.de. Es sollte sie nicht verwundern, dass die Webseite hinter der Domain den gleichen Inhalt hat aber hinter einer anderen IP-Adresse beim gleichen Provider (chainreactionpro.de [91.219.237.23]) antwortet.

Hoster

Der einfachste Weg, ohne andere Webseiten zu bemühen, sind die klassischen Kommandozeilen. Ein PING liefert die IP-Adresse und über die Latenzzeit auch etwas zur Region

C:\>ping keten-reaktion.de

Ping wird ausgeführt für keten-reaktion.de [91.219.236.131] mit 32 Bytes Daten:
Antwort von 91.219.236.131: Bytes=32 Zeit=33ms TTL=122

Ein NSLOOKUP der IP-Adresse liefert zumindest bei einem Shared Hosting einen anderen Namen

C:\>nslookup 91.219.236.131
Server:  fritz.box
Address:  fd00::cece:1eff:fe34:3d04

Name:    flavor.sunnoi.bid
Address:  91.219.236.131

Über TraceRoute kann man die Hops und manchmal Carrier erkennen. Leider liefern nicht alle Carrier per ReverseDNS einen Hostnamen mit.

C:\>tracert 91.219.236.131

Routenverfolgung zu flavor.sunnoi.bid [91.219.236.131] über maximal 30 Hops:
  1     2 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2    28 ms     5 ms     5 ms  p3e9bf2dc.dip0.t-ipconnect.de [62.155.242.220]
  3    29 ms    28 ms    30 ms  pd9ef37d2.dip0.t-ipconnect.de [217.239.55.210]
  4    33 ms    33 ms    33 ms  80.157.204.38
  5    32 ms    32 ms    32 ms  81.183.3.55
  6    30 ms    30 ms    30 ms  81.183.3.139
  7    31 ms    31 ms    30 ms  81.183.2.214
  8    32 ms    31 ms    32 ms  84.2.33.200
  9    34 ms    33 ms    39 ms  80.249.165.8
 10    33 ms    33 ms    33 ms  flavor.sunnoi.bid [91.219.236.131]

Das System ist zumindest irgendwo in Europa aber mit dem Domainname sunnoi.bid. Aber die Top-Level-Domain ist für "Auktionen" präferiert

Das Subnetz ist wohl zu einer Firma in Ungarn (HU) zugeordnet und hat wohl bis zu 1022 Hosts.


Quelle: https://apps.db.ripe.net/db-web-ui/query?searchtext=91.219.236.131

Das Video

"Schlaue Leute lesen, alle anderen schauen.. YouTube". Es ist nicht verwunderlich, dass eine zentrale Position ein Video einnimmt, welches von YouTube gestreamt wird.

Wenn man die URL "https://www.youtube.com/embed/w2MvHBdGi1U" durch "https://www.youtube.com/watch?v=w2MvHBdGi1U" umschreibt, dann sehen Sie mehrere Dinge:

  • "Nicht gelistet"
    Das Video kann man nicht über die normale YouTube-Suche finden, da es nicht gelistet ist
  • Nichtssagender Name
    Der Autor hat anscheinend gar kein Interesse gefunden zu werden.
  • 2 Aufrufe in 5 Wochen
    Davon bin vermutlich ich der eine Aufruf. Vermutlich bin ich noch sehr früh in der Spam-Welle denn ich erwarte nicht, dass der Autor gezielt für jeden Adressaten ein eigenes Video veröffentlicht. Allerdings wurde das Video schon am 17.4 hochgeladen.
  • Konto hat nur ein Video
    Wenn Sie sich das Profil https://www.youtube.com/channel/UCYRRwh2z8N8uGOJDklOFHuQ anschaut. sieht auch nur ein Video.
    Der anscheinend russische Name dürfte natürlich auch erfunden sein.

    https://www.deepl.com/translator#ru/de/%D0%94%D0%B0%D1%80%D1%8C%D1%8F%20%D0%AE%D1%82%D1%83%D0%B1%D1%87%D0%B8%D0%BA

Im Video selbst stellt sich der Sprecher als "Lucas Schmidt" vor und warnt sie als Zuhörer vor ähnlichen Webseiten, die von Nachahmern erstellt werden und alle nur an ihr Geld wollte. Das will er "natürlich" nicht und verspricht ihnen 1000€/Tag und natürlich muss man sich mit der Anmeldung beeilen. Der liebe Herr "Lucas Schmidt" würde nämlich gerade ein "Team" aufbauen und nur weil ich das Video sehen würde, sucht er noch "Mitarbeiter".

Dabei spricht er vom "Zuverlässigstes Sicherheitszertifikat", mit dem die Webseite geschützt wäre. Da spielt er wohl auf Let's Encrypt an ohne dies explizit zu erwähnen. Auch behauptet er, es gäbe sehr viele unsichtbare "Wasserzeichen" und man sollte unbedingt prüfen, dass die URL in dem Video mit der URL im Browser übereinstimmt.

Wenn es danach geht, dann sollten sie spätestens jetzt die Webseite schließen. Das wird ihnen dank JavaScript natürlich erschwert.

Sie landen dann nämlich auf https://keten-reaktion.de/exit mit einem Video, welches angeblich von einem "Finanzkritiker" kommt und nochmal nachlegt.

Da brauchen sich seriöse Anbieter nicht zu wundern, wenn Anwender mit NoScript, UMatrix und anderen Browser-Extensions dagegen wehren.

Das zweite Video, was ich ebenfalls nicht aktiv verlinke ist unter https://www.youtube.com/watch?v=Yq3I-Rvlc0U als nicht auffindbares Video auf Youtube verlinkt. Es geht schon als Realsatire durch, denn schmunzeln musste ich z.B. bei dem Satz bei Minute 4:26 (https://youtu.be/Yq3I-Rvlc0U?t=266): "Wenn Sie sich anmelden, werden sie nie einsam sein". Kurz darauf fällt noch der Satz: "... Jonas Wagner, der Partner von Lucas "stellen das Programm für sie ein und helfen ihnen beim Geldverdienen..". Lesen Sie das bitte so, dass ein sicher freundlicher Kollege sich ihres PCs bemächtigt um eine unbekannte Software mit nicht offen gelegter Funktion, die zudem patentrechtlich geschützt sei installiert und "optimiert". Patenschriften kann man beim Patentamt übrigens einsehen.

Bei einer Suche nach "Lucas" und "Software" finden sich nur zwei Einträge, die beide aus dem US-Patentamt stammen und erloschen sind.

Richtig suspekt erscheint mir dann die Argumentation zum Einkommen. Der Redner will ja Transparenz heucheln und beschreibt das Geschäftsmodell so: "von jedem profitablen Gewinn bekommt er 10%". Auch der folgende Satz ist wichtig: "Dabei ist Jonas auch dafür verantwortlich, dass Sie mit Firmen arbeiten, die 100% das Geld auszahlen und eine minimale Kommission....". Jonas und seine Freunde nehmen sich komplett aus der Handelslinie, sondern stehen quasi "nebendran" und steuern mit ihrem Geld und ihrem PC quasi einen Handel.

Lassen Sie sich nicht einwickeln, wenn bei Minute 5:38 gesagt wird"Die Hauptsache ist, dass sie nichts im Voraus zu bezahlen haben...", denn 10! Sekunden später um 5:48 folgt: "Alles was sie tun müssen ist einzuzahlen... denn man brauch eine Startsumme.  in der Regel 250-300€.". Wer es bis hier noch nicht verstanden hat, was da passiert, sollte seine Geschäftsfähigkeit überprüfen lassen. Und nicht dem Rat folgen, auch noch dem Rat folgen und Konten für Familienmitglieder anzulegen.

Im Hauptvideo wird behauptet, dass er über 6 Mio schon verdient haben will und dann im Video einen Postbank-Auszug mit deutlich weniger Guthaben anzeigt.


Quelle: https://youtu.be/w2MvHBdGi1U?t=305

Auch in weiteren Stellen des Videos werden z.B. die Statussymbole von Mercedes (Junge Sterne) u.a. eingeblendet. Richtig krude wird es dann ab Minute 23:38, wo es erst heißt "Sie sind sich ja im Klaren, dass wir legal handeln" und daher Steuern bezahlt werden. Das Bild eines Polizisten wird kommentiert, das man damit ja "... für die Wiederherstellung Deutschlands.." sei.

Das bringt den Redner aber nicht davon ab, über die Abgabenlast von 32% zu jammern. Angeblich habe er erstmalig etwas an die Robert-Bosch-Stiftung gespendet, dessen "Vollzugsdirektor" "Thomas Hoffmann" später kennenlernte. Nun habe er seine eigene "Gemeinnützliche Stiftung" um einen "Spendenrabatt von 20%" zu bekommen nun damit nun vollständig von der Steuerlast befreit sei.

Wenn das so funktionieren würde, dann müssten Firmen nicht mit Konstruktionen in "Steueroasen" arbeiten und 32%-20% sind bei mir immer noch 12%. Ich habe noch nicht gehört, dass eine Stiftung meinen privaten Lebensunterhalt steuerfrei bezahlen würde.

Das Video endet mit dem Hinweis, dass nur 50 Personen angenommen würden, denn mehr könnten "zum Bersten des Finanzmarkts" führen. Damit sollen all die, die das System noch nicht durchschaut haben, noch mal unter Druck gesetzt werden.

Alles Lüge

Sie haben wirklich bis hier gelesen?. Dann fragen Sie sich mal selbst:

  • Wenn es wirklich so einfach wäre und er "nur" die zusätzlichen Identitäten bräuchte
    dann könnte mir die 250-300€ leihen und von meinem ersten Gewinn gleich wieder abziehen.
  • Wenn das Verfahren wirklich so sicher ist,
    dann würde ich die 50 Personen in meinem direkten Umfeld (Familie/Freunde) suchen und denen was Gutes tun
  • Kein Risiko aber Vorkasse?
    Kommt ihnen das nicht irgendwie bekannt vor? Ein Gewinn, den man erst nach Vorleistung einer Bearbeitungsgebühr bekommen kann, haben die südafrikanischen Prinzen schon viele Jahre vorher erfunden

Ich habe mir die Zeit gespart nun noch ein Konto anzulegen und die weiteren Schritte zu analysieren. Es dürfte auf das vielfach beworbene Handeln mit sehr volatilen Produkten, insbesondere Währungskursen gehen, bei dem Sie als "Händler" ein Konto bei einer Handelsplattform auf eigenes Risiko eröffnen und mit einem Guthaben aus ihrem eigenen Geld bestücken. Dann wird auf ihrem PC eine Software installiert, die von den freundlichen Menschen ferngesteuert in ihrem Namen handelt. Wenn er nunr das macht, ist im schlimmsten Fall nur ihr Einsatz weg. So eine Software ist aber eigentlich ein Bot, der auch beliebige andere Dinge machen kann, z.B. Werbebannerbetrug begehen, DDoS-Attacken fahren, Per Keylogger ihre Kennworte ausspähen, Spam-Mails versenden und gegen Ende, wenn Sie den Schwindel durchschauen, mal schnell ihre Daten verschlüsseln.

Ich kann nur davor warnen, solche Geschäfte einzugehen. Die Folgen können bis ins Strafrecht reichen

Für Spamfilter ist es aber nicht einfach solche Mails zu erkennen, insbesondere wenn der Versand über kommerzielle Dienstleister geht, die auch tausende von "guten Kunden" haben. Das Problem dabei ist, dass viele Hoster und Anbieter immer noch "Test-Konten" anbieten und die Anmeldedaten nicht seriös überprüft werden. Es muss ja alles schnell gehen. Kriminelle Kreise haben schon immer Wege gefunden, Waren mit falschen Identitäten zu kaufen und bis der Anbieter letztlich dies bemerkt, ist der Täter schon weiter gezogen.

Aber wie sagte schon mal jemand: "Jeden Morgen steht einer Dummer auf". Heute würde man sagen, dass jedes Jahr viele Tausend Menschen das Internet ohne entsprechende Vorbereitung entdecken. Hoffen wir, dass die Provider auf Beschwerden schnell reagieren und vielleicht unsere Bildungspolitik Dinge wie Recht, Steuern und Internet auf dem Lehrplan mehr Platz einräumen.

Eine gültige DE-Domain einer Webseite ist schon lange kein Qualitätsmerkmal mehr, seitdem der Inhaber sich hinter dem Datenschutz versteckt und über Treuhänder u.a. die Hintermänner- und Frauen unbehelligt ihren Geschäften nachgehen können.