Dem Spammer Dr. OZ die Karten gelegt?

alle paar Minuten erhielten wir in allen Mail-Postfächern vom scheinbar weltweit größten Spammer „Dr OZ“ mit seinem „grünen Kaffee“ Spam-Werbung – dies veranlaßte uns dazu, den Spam, wahrscheinlich sogar Scam, mal genauer zu betrachten und zurück zu verfolgen

Warum kein Spamschutz richtig funktionierte?

Offensichtlich verwendete der Spammer „Dr. OZ“ scheinbar ständig neue Absender-Mail-Server, ständig wechselnde Mail-Adressen und ständig neue Domains. Daher war nur eine Filterung auf inhaltliche Wörter möglich.

Warum konnte sich der Spammer „Dr. OZ“ ständig neue Domains leisten?

Der Spammer „Dr. OZ“ holte sich scheinbar ständig neue Domains, die normalerweise Geld kosten, aber hier nutzte dieser, einen genialen Trick, er registrierte sich nämlich über die polnische Domain-Registery Test-Domains, dir nur eine Gültigkeiten von 14 Tagen hatten.

Polnische Registery dns.pl begünstigte Spam/Scam-Domains:

Bei allen Domains, die temporär registriert wurden, war der Domain-Inhaber nicht und noch nicht einmal der Registrar via whois abrufbar. Diese Domains wurden hauptsächlich über die polnische Domain-Registery (dns.pl) ausgegeben! Eine Beschwerde über Mail wurde lapidar zurück gewiesen, man teilte uns mit, wir sollten den Postweg wählen. Die Webseite der polnischen Registery ist im übrigen selbst gestört und läßt sich über diverse Browser nicht abrufen, nur über einen Ninja Proxy gelang es uns, die Seite zu öffnen.

Es ist unverständlich, daß die polnische Domain-Registery (dns.pl), die ja eigentlich nach europäischen Gesetzen handeln sollte, so etwas zulässt und die mißbräuchliche Nutzung von Spam/Scam-Domains, ohne Rückverfolgbarkeit, zugelassen hat und scheinbar auch weiterhin zuläßt!

Auslesen der Information des whois-Server-Providers auf denen die Domain verlinkte:

Hier wurden unterschiedliche Server verwendet: aus China, der Tschechei usw.

Die eigentlichen Inhalte der Webseiten, kamen jedoch von Rackspace aus den USA:

Geladen wurde nur eine HTML-Seite vom Server, der direkt mit der Domain verlinkt war und dann wurden aber die Inhalte der angezeigten Webseiten, überwiegend von dem Betreiber Rackspace nach geladen, wie z.B.

http://6772a713aced91c06f55-d13b3d8f713ba2ba0dae2bc40dab01d3.r39.cf2.rackcdn.com/100_pure_green_coffee.jpg

Den Betreiber von Rackspace haben wir am 31.07. einen Dialog geführt – in einem Support-Chat wurden wir auf den Weg per eMail hingewiesen. Daraufhin haben wir Rackspace gestern eine Abuse-eMail zugesendet, aber keine Antwort erhalten!

Heute morgen am 1. August um 6:00 Uhr haben wir jedoch fest gestellt, daß sowohl die gemeldeten nachgeladenen Inhalte, nicht mehr von Rackspace zur Verfügung gestellt werden – wahrscheinlich gelöscht wurden und Links von ganz neuen Spam-Mails von „Dr. OZ“ offensichtlich ins leere verlaufen mit „Seite kann nicht angezeigt werden“. Wobei zwar auch die neuen Spam/Scam-Domains noch auflösen, aber der Inhalt nicht nachgeladen werden kann!

Es bleibt jetzt abzuwarten, ob nun endlich dem Spammer Dr. OZ die Karten gelegt wurden und dieser Spam endlich aufhört oder man durch neue Tricks versucht, weiter Spam zu betreiben.

Informieren Sie uns bitte, sofern Sie ab heute Spam/Scam von Dr. OZ mit seinem grünen Kaffee erhalten, insbesondere wenn der Domain-Link in der Mail auf eine polnische Domain verweist und hier Spam/Scam-Webseiten angezeigt werden! Nutzen Sie die Kommentar-Funktion in diesem Blog – wir bleiben am Ball!

10 Gedanken zu „Dem Spammer Dr. OZ die Karten gelegt?

  1. Path:
    X-Original-To: [Mail-Adress deleted]
    Delivered-To: [Mail-Adress deleted]
    Received: by vm1.marktplatz06.de (Postfix, from userid 110)
    id 4EF101044082; Mon, 19 Aug 2013 19:28:34 +0200 (CEST)
    X-Original-To: [Mail-Adress deleted]
    Delivered-To: [Mail-Adress deleted]
    X-No-Auth: unauthenticated sender
    X-No-Relay: not in my network
    Received: from rrcs-24-173-191-66.sw.biz.rr.com (rrcs-24-173-191-66.sw.biz.rr.com [24.173.191.66])
    by vm1.marktplatz06.de (Postfix) with ESMTP id AF9A61044067
    for ; Mon, 19 Aug 2013 19:28:33 +0200 (CEST)
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary=“—-msg_border_159F35064b“
    Date: Mon, 19 Aug 2013 12:28:27 -0500
    To: [Mail-Adress deleted]
    From: „OZ Daily News“
    Reply-To: „Oz“
    Subject: The Secret to the Body You Want
    List-Unsubscribe: ,
    X-CSA-Complaints: whitelist-complaints@acbanks.co.uk
    Message-ID:
    X-AntiVirus: checked (incoming) by Avira MailGuard (Version: 13.6.1.1550; AVE:8.2.12.106; VDF:7.11.97.64

    This is a multi-part message in MIME format.

    ——msg_border_159F35064b
    Date: Thu, 15 Aug 2013 10:51:11 -0700
    Content-Type: multipart/alternative; boundary=“—-alt_border_990B8994c857″

    ——alt_border_990B8994c857
    Content-Type: text/plain;
    charset=“utf-8″
    Content-Transfer-Encoding: 7bit

    And I’ll support you every step of the way!“

    No Excuses Allowed!

    JOIN NOW

    Scientists have finally invented and licensed a slimming product that is 100% safe and efficient. It is bound to start a revolution in the slimming world and you will be on the cutting edge of it! Isn't it great to lose 14-17lbs. monthly doing nothing?
    You have always dreamed of the product like that and finally your dream is reality!
    Try the only product that burns fat and gives you natural energy. You eat whatever you like and get thinner round the clock.

    JOIN NOW & START LOSING WEIGHT »

    Copyright © 2013OZ Health Media, LLC. All rights reserved.

    You are receiving this message because you subscribed to or visited anOZ Health newsletter or product. If you no longer wish to have these exclusive offers e-mailed to [Mail-Adress deleted],please unsubscribe from Special Offers.

    Use of OZ Health sites is subject to our terms of service andprivacy policy.

    Mailing address:14 Marshall Street, North Adams, MA 01247

    ——alt_border_990B8994c857
    Content-Type: text/html; charset=“utf-8″
    Content-Transfer-Encoding: quoted-printable

    Untitled=
    Document

    <DIV style=3D"LINE-HEIGHT: 22px; FONT-STYLE: italic; MARGIN: 10px 0px; =
    FONT-FAMILY: Arial, Helvetica, sans-serif; COLOR: #ffffff; FONT-SIZE: =
    16px; FONT-WEIGHT: bold
    I know you have what it takes to LOSE BIG.And I’ll support you every =
    step of the way!“
    No Excuses =
    Allowed!

    =
    JOIN NOW

    Scientists have finally invented and licensed a slimming product that =
    is
    100% safe and efficient. It is bound to start a revolution in the =
    slimming
    world and you will be on the cutting edge of it! Isn't it great to =
    lose
    14-17lbs. monthly doing nothing?
    You have always dreamed of the product like that and finally your dream =
    is
    reality!
    Try the only product that burns fat and gives you natural energy. You =
    eat
    whatever you like and get thinner round the clock. 

    JOIN NOW & START LOSING WEIGHT =
    »

    Copyright © 2013

    OZ Health Media, LLC
    . All rights reserved.
    You are receiving this message because you subscribed to or visited an
    OZ Health newsletter or product. If you no longer wish to have these =
    exclusive offers e-mailed to [Mail-Adress deleted],
    please unsubscribe from Special =
    Offers
    .
    Use of OZ Health sites is subject to our terms of service and
    privacy policy. Mailing address:
    14 Marshall Street, North Adams, MA 01247

    ——alt_border_990B8994c857–

    ——msg_border_159F35064b–

    1. Hallo Herr Pfefferle,

      ja, es war die letzten Tage etwas ruhiger mit der „Dr. OZ“-Spam-Werbung, aber der Spam kommt nun schon wieder über andere Systeme. Immer wieder wechselt dieser wohl weltweit größte Spammer, täglich oder vielleicht auch stündlich seine Domain-Adressen und auch seine Webspace-Server. Grundsätzlich wird der Inhalt jedoch auf der Zielseite von Rackspace nach geladen!

      Wir haben mehrfach den Spam an den Betreiber der Nachladequelle, also Rackspace zugesendet, die haben offensichtlich auch kurze Zeit mal die Inhalte blockiert, aber dann wieder bereit gestellt.

      In Deutschland und daß dürfte wohl auch für Europa zutreffen, ist der Nutznießer von Spam verantwortlich, auch wenn dieser aus einem Land versendet wird, in dem Spam versendet werden darf bzw. in dem es zulässig ist, Spam zu versenden, wenn es nicht Empfänger im eigenen Land stört!

      Sie, wie auch alle anderen können helfen, in dem man sich bei http://www.spamcop.net registriert und dann den Spam als registrierter User dort einkopiert. Absender und Seitenquelle, werden meist relativ schnell in Blacklisten aufgenommen. Die nachgeladene Quelle, die bleibt dabei blöderweise erhalten, so daß wir vielleicht alle gemeinsam folgenden Schritt gehen sollten:

      1 Anzeige beim IC3.GOV (Subabteilung des FBI in den USA) und zwar gegen:

      den Spammer selbst (prüfen Sie, ob Sie in Ihrer Mail den Absender im Klartext finden) / bei uns in den letzten Spam-Mails vorhanden, beide in den USA, mit:

      OZ Health Media, LLC – Mailing address: 14 Marshall Street, North Adams, MA 01247

      in einer anderen:

      DoctorOZ Network, Inc., 56 Ninth Avenue New York, NY 10011, Attn: Marketing Preferences

      und dann gegen – bitte selbst referenzieren, in dem Sie die Spammer-Zielseite öffnen und dann im Explorer sich den Quellcode anschauen, ca ab Zeile 200, wo der HTML-Text beginnt. Hier müssten Sie dann z.B. folgende Nachlade-Links finden, wie:

      6772a713aced91c06f55-d13b3d8f713ba2ba0dae2bc40dab01d3.r39.cf2.rackcdn.com/logos4.jpg

      Hier ist die Domain interessant: rackcdn.com. Diese Domain stammt von:

      Registrant:
      Rackspace US, Inc. (RACKSPAC806)
      5000 Walzem Road

      San Antonio, TX, 78218
      US

      Domain name: rackcdn.com

      Hier ist natürlich die Anzeige gegen den Kunden, der Rackspace als Nachlade-Quelle verwendet, zu richten!

      Wir danken jedem, der mit uns gemeinsam nun weiter gegen „Dr. OZ-Spammer“, vorgeht!

      1. Hello,
        auch ich bekomme ständig Mails von diesem Spammer, mit wechselnden Adressen – jedes Mal (oder fast jedes Mal) melde ich dies bei spamcop … und es geht weiter, heute 2 x …

        1. Hallo Aziz Gouali,

          auch wir melden leiten seit etlichen Tagen diese an Spamcop weiter und irgendwann wird auch die W3C (FBI) so viele Anzeigen vorliegen haben, daß diese den Spammer Dr. Oz bzw. die dahinter stehenden Firmen, verknacken! Es ist nur eine Zeitfrage!

    1. Hallo Herr Pfefferle,

      Harte Worte, aber ja, wir sind alle verärgert und es muß politisch ein Riegel vorgeschoben werden, insbesondere gegen Nicht-EU-Firmen, die uns mit ihren Programmen ausspionieren! Wer dabei erwischt wird, dem müssen so exorbitant hohe Strafen auferlegt werden, am besten so hoch, daß diese daran kaputt gehen! Diese Firmen, die heute „jammern“, sie hätten sich beugen müssen, die hätten doch Ihre Betriebe längst in die EU verlegen können, wie Microsoft und Apple etc. aber nein, die machen hier in der EU irre Milliarden von Umsätze und versteuern nur 3 %, der Rest wird steuerlich so oft durch verschiedene Länder verschoben, daß mindestens 27 % verloren gehen – solche Firmen und Produkte, brauchen wir nicht! Wir sollten diese auch nicht mehr kaufen!

      Wozu noch Windows oder Windows-Server? Unter Kubuntu laufen alle Privat und Geschäfts-PCs besser, schneller und stabiler! Die Internet-Server werden eh zu geschätzt 97 % nur unter Linux betrieben!

  2. Hallo zusammen,

    unser Firmen Account wird regelrecht mit den Mails von Dr. Ozz und nun Health Insider oder WeightLoss Store bombadiert. .

    Junk Mail Filter helfen nicht, da die E-Mail Absender Adresse sich immer wieder ändert.

    Durch das Anlegen einiger Nachrichtenregeln ist uns nun eine Kundenanfrage verloren gegangen.

    Kriminelles Verhalten was da abgezogen wird 🙁

    1. Hallo Dirk,

      ja, daß tut mir leid, wir müssen leider auch die Spam-Mails erst sehen, bevor wir diese verschieben.
      Ich kann nur empfehlen, alle solche Mails auch im SpamCop zu erfassen und ggf. ebenfalls Anzeige zu erstatten, ansonsten wird mit den ja nicht richtig Herr.

      Mit freundlichen Grüßen
      1awww.com – Internet-Service-Provider

      Detlef Bracker

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert