Blog

#Spam Spam Spam und Spam zurückverfolgen für Anfänger

Spam?Es ist schon ein elendes Thema. Ständig irgendwelche Werbeangebote zu erhalten, die man nicht erhalten will. Heute wieder mal Kedit und Kreditkartenangebote.

Folgender Spam Inhalt:

Guten Tag Klemens Kowalski,

durch unser neues Auszahlungssystem sind nun Auszahlungen bis 50.000 EUR möglich.

– auch bei negativen Merkmalen
– auch für Geringverdiener
– ganz ohne Schufa
– Ihre Hausbank wird nicht informiert

Sie sehen: Auch Ihre Auszahlung kann freigegeben werden. Und als besonderes Angebot erhalten Sie eine goldene hochgeprägte Kreditkarte zu Ihrem Kreditrahmen dazu.

Ohne Risiko in nur einer Minute:

http://www.projektduo.com
Mit freundlichen Grüßen
Ihr Überweisungs Team

So! Was tut man mit so einer eMail? Richtig! Wir verfolgen sie zurück. Dafür nutzen wir unseren beliebten kostenlosen Service: www.spamcop.net. Dort anmelden und den Quelltext der eMail vollständig analysieren lassen. Das Ergebnis ist dann mal nett, weil es eben mal nicht etliche Länder in der Welt beinhaltet:

Ursprung: 

server41.hh.sfip-kundenserver.com

www.projektduo.com (checking ip) = 37.143.56.7

Resolves to 37.143.56.7

Gehostet bei: hostingundmehr.com

Der Versender hat sich noch nicht einmal die Mühe gemacht diese Spuren zu verschleiern. Amateure.

Eine WHOIS-Anfrage über projektduo.com gibt wieder mal nur eine Domainregistrierung in Panama aus. Also anonym. Die Domain wurde erst am 07.Februar 2014 registriert. Also richtig aktuell. Aber: Der SPAM-Versender ist dem Anbieter hostingundmehr.com bekannt. Hostingundmehr.com ist eine deutsche Firma (UG). sfip84 Hosting und mehr UG (haftungsbeschraenkt), Winterhuder Weg 29 in Hamburg. Gleich um die Ecke. Die Adresse sfip-kundenserver.com gehört ebenfalls dazu. Die Webseite von hostingundmehr.com ist ziemlich “nicht schön”.

hostingundmehr

Also, wir haben jetzt den Ursprung der eMail. Wir wissen, dass die Domain über Panama anonym registriert ist, und dass das erst heute am 07.Februar gemacht wurde. Das Wichtigste ist aber, dass das Projekt in Deutschland gehostet wird. Den Fehler machen die wenigsten Spam-Versender. Jetzt geht es weiter.

Wenn wir die Webseite http://www.projektduo.com/ in der Spammail anklicken, sehen wir folgende Seite:

projektduo.com

CredtiEx wiederum passt irgendwie nicht zu projektduo. Also schauen wir uns an was ein Rechtsklick bringt:

rechtsklick_projektduo

Was sehen wir? Richtig. Projektduo bindet CreditEx mit einem Frame ein. Schauen  wir uns deshalb den Quelltext von Projektduo an:

projektduoquelltext

Hier ist im Grunde nur interessant, dass die Betreiber der Webseite projektduo.com über diesen Affiliate-Link ihr Geld verdienen wollen, in dem sie uns diesen Müll zusenden:

http://platinum-partner.de/affiliate/affiliate.php?id=334&group=7

Wer ist also Platinum-Partner.de?

platinumpartner

Platinum Partner ist laut Webseite auf die Firma Veripay B.V., Vogt 21 in 6422 RK Heerlen in den Niederlanden zurückzuführen. In der Datenbank der denic (www.denic.de) wird auch diese Adresse angegeben. Nur der Name des Domaininhabers klingt “very german”. Eine Google-Suche hat aber erstmal nichts gebracht. Der Admin C ist dann sogar ein Deutscher aus Bonn. Dazu gibt es einen Beitrag auf abzocknews.de aus 2009. Der Admin C betreibt einen Treuhandservice, um ausländischen Interessenten die Registrierung einer Domain zu ermöglichen. Laut Abzocknews kann man den Herrn anschreiben und sich über Domains beschweren. Hier kommen wir erstmal nicht weiter. Leider.

Rufen wir aber mal die Affiliate-URL auf. Durch den Frame von projektduo.com, können wir erstmal wenig sehen. Was passiert beim Platinum-Link? Das sehen wir hier:

affiliatelink

 

Über den Platinum-Link wird ein Affiliate-Tracking-Funktion seitens CreditEx aufgerufen. Könnte also sein, dass sie entweder zu platinum-partner.de oder dem Affiliate direkt Verbindung herstellen können.

Wer steht hinter creditex.de? Laut Impressum der Webseite und denic-Datenbank stehen die gleichen Kontakte hinter diesem Projekt, wie für platinum-partner.de.

veripay

 

Veripay aus den Niederlanden betreibt ein eigenes Affiliate-Programm für sein eigenes CreditEx-Angebot. Fehlt also nur noch die Verbindung zu projektduo.com.

Was können wir nun nutzen, um weiter gegen diesen Müll vorzugehen?

Erstmal die Hamburger Firma die projektduo.com hostet. Von dort wurde der Spam versendet. Dass die Domain anonym registriert wurde, interessiert nicht, da ein Vertrag mit einer deutschen Firma besteht. Dort müssen also Daten über die Domaininhaber vorliegen. Also werde ich mal eine Anfrage stellen. Denn eines ist doch wichtig: Woher haben die Spamer meine eMail-Adresse? Meinen Namen? Erinnern wir uns an die BSI-Geschichte mit 16 Millionen gestohlenen Kontaktdaten und Passwörtern. Ich denke da lässt sich was machen. Wir sind doch alle sensibilisiert. Und in Deutschland gibt es die Pflicht sich als Anbieter kenntlich zu machen (Telemediengesetz).

Als weiteren Schritt werde ich eine Anfrage an die deutsche BaFin stellen, um herauszufinden, ob die Kreditangebote rechtmäßig sind. Laufen ja immerhin unter de-Domain. Und diese Antworten müssen wir abwarten.

Das war es erstmal. Schönes Wochenende!

Tagged , , , ,