Spammer testet mich
Von: Andreas Kohlbach (ank@spamfence.net) [Profil]Datum: 20.06.2008 03:53
Message-ID: <871w2s50t8.fsf@usenet.ankman.de>
Newsgroup: de.admin.net-abuse.mail
Ich "bestelle" oft bei diversen Pillen oder Rolex Spammern, meist mit dem
Hinweis, die Bestellung zu ignorieren, falls man einen Kommentar ablassen
kann. Um über die Mechanismen auf dem Laufenden zu sein, die bei einer
Bestellung ablaufen. [1] [2]
Nun kam eine Testmail eines Spammers, der gerade mit
meds[1-9][0-9][0-9].us wirbt. Er schrieb etwa, "Testmail, nicht
antworten" auf englisch, mit einer info@meds260.us z.B. im From und auch
Return-Path, so dass er zum einen sieht, ob es bounct, und auch Antworten
bekommen müsste, so ich antworte. [3] Möglicherweise ist jede Adresse
nach dem Muster von info@meds[1-9][0-9][0-9].us zustellbar. Ob er liest,
ist eine andere Frage.
Sollten jemanden die Header der Mail interessieren, kann ich die mal
posten.
Jedenfalls passt es ihm wohl nicht, dass da jemand mehrfach am Tag
falsche Bestellungen aufgibt. Denn wenn ich richtig informiert bin, muss
er jede Bestellung an einen "High Risk Merchant" weiterleiten, der die
Bestellung prüft (Kreditkartennummer etc.), und ihm meines Wissen für
jede Aktion 5-15 US Cent berechnet. [4]
Endlich mal "Feedback" eines Spammers. :-)
[1] Die "European Pharmacy", die immer noch auf Folgeseiten statt dem
EU-Sternenbanner die Kanadische Flagge hat, stellt langsam auch auf
andere Sprachen um. Ganz langsam - werden auch Unterseiten z.B. auf
Deutsch angepasst, mit lustigen Produktbeschreibungen.
[2] Ein Spammer nutzt z.B. etwas nach seiner Aussage Namens "Infinity
Secure". Es ist unmöglich, über den Tor-Proxy zu "bestellen".
Die IP, die ich in der Regel zum "Bestellen" nehme, ist außerdem
schon in seiner Firewall. Aber erst wenn man die Bestellung endlich
abschickt, bis davor geht es. Obwohl es wohl ein Botnetz ist, muss
erst an einer Stelle dieser Mechanismus greifen. Oder ist es trivial,
auf Bot-Netz-PCs Software zum Erkennen eines Tor Proxies zu
installieren? Und weiß jemand, ob, und wie es möglich ist, dass der
Proxy nicht erkannt werden kann?
Außerdem kann man sonst nur 3 Mal "von normalen" IPs am Tag
bestellen. Heute war das wohl außer Betrieb, und ich konnte mehr üb
er
eine IP absetzen.
[3] Ich habe nicht geantwortet, aber ihn in diverse Newsletter und meine
Sugarplum eingetragen.
[4] Seit Herbst 2007 gibt es heute immer noch funktionierende
Javascripts, die automatisch Bestellungen bei diversen Spammern
("Prestige Replica", "King Replica" und "Express Herbals"
(Penis
Enlargement)) aufgeben können. Diese kommen in einem ZIP Archiv und
enthalten nur HTML und Javascript Dateien, die so auf jedem
javascript-fähigen Browser und jedem Betriebsystem funktionieren. Bei
Interesse mal nach "expressherbalator", "prestigereplicator" oder
"kingreplicator" suchen.
So man die HTML-Seite (runme_automated.html, wenn man es komplett
automatisch haben möchte) im Browser öffnet, hat man ein Formular,
wo
man eine beworbene URL eines aktuellen Spams einträgt, dann auf
"Start" klickt. Wenn alles funktioniert, wird bis zum Klicken auf
"Stop" "bestellt" mit wechselnden Namen, Adressen, Telefon- und
Kreditkartennummern (alles falsch). Man kann im Browser sehen, ob die
"Bestellung" durch ging, also die Seite kommt, wo bestätigt wird, die
Bestellung erhalten zu haben.
Man sollte dazu aber wissen, dass Spammie dann seine IP hat. Spammie
scheint aber nichts zu machen, außer diese nach ein paar Tagen in die
Firewall zu stecken, wie bei einer festen IP von mir. Und weil andere
Leute das auch nutzen, müsste man schon Pech haben, dass wenn der
Spammer überhaupt etwas machen wollte (was will er denn machen, ohne
sich zu entblößen?), Pech haben müsste, wenn es einen selbst
erwischt.
Und nur der "Prestige Rolex" Spammer erlaubt noch das "Bestellen"
über Anon-Proxy, die anderen, wie beschrieben, nicht mehr. Und machen
nach drei "Bestellungen" über die selbe IP eh dicht.
Außerdem sollten Nutzer vom Internet Explorer doch davon absehen. Und
grundsätzlich ist es natürlich in jedem Browser ein gewisses Risiko
(was ich aber seit Jahren mit Firefox und Opera eingehe), auf
irgendwelche Seiten zu gehen, die von "bösen Buben" gemacht wurden,
weil dort mitunter auch Code sein könnte, der Exploits versucht
auszunutzen.
--
Andreas
In a perfect world, spammers would get caught, go to jail, and share a
cell with many men who have enlarged their penisses, taken Viagra and
are looking for a new relationship.
[ Auf dieses Posting antworten ]Antworten
- Sebastian (20.06.2008 08:01)
- Jan Schejbal (20.06.2008 10:41)
- Andreas Kohlbach (21.06.2008 02:37)
- Andreas Kohlbach (22.06.2008 03:34)