Springe zum Inhalt

Lange Zeit war es still um ".DE Deutsche Domain" bzw. den Absender deutschedomain.com. Die letzten dokumentierten Fälle stammen aus Oktober und November 2015. Heute jedoch flatterte wieder einer dieser Abzockversuche ins digitale Postfach:

Sehr geehrte Frau / Herr,

Nachfolgend die Einzelheiten zu der Domainregistrierung für 2016 / 2017.

Wir hoffen, Sie ausreichend informiert zu haben.

Mit freundlichen Grüssen

Anna Müller

Kundendienst
DE Deutsche Domain
info@deutschedomain.com

Schon dass hier keine korrekte Anrede verwendet wurde sollte aufhorchen lassen. Im Anhang befindet sich dann ein bemerkenswertes PDF mit Namen "Rechnung 232366.pdf":

Rechnung 232366

Was als erstes an dieser "Rechnung" auffällt: sie ist schlicht an niemanden gerichtet. Ebenfalls unklar ist der Rechnungsgegenstand. Um welche Domain handelt es sich hier? Die bei Rechnungen erforderliche USt-ID oder Steuernummer fehlt ebenfalls.

Der Betrugsversuch wird erst im Kleingedruckten offenbar. Dort ist unter anderem zu lesen:

Dies ist ein angebot und keine rechnung, die zahlung auf dieses angebot hin wird als annahme des angebotes oder auftragsbestätigung verstanden.

Das Ganze ist also mitnichten eine Rechnung, sondern ein (selten dämliches) Angebot, bei dem noch nicht einmal die angebotene Leistung, auch nicht aus dem Kleingedruckten, ersichtlich ist.

Welche Fakten kann man dem PDF noch entnehmen?

  • Die Echtheit der angegebenen Telefonnummer wage ich zu bezweifeln. Nur fünfstellige Telefonnummern in Berlin?
  • Als Kontaktadresse ist nur ein Postfach (also keine ladungsfähige Adresse) in Berlin angegeben.
  • Überwiesen werden soll an eine spanische Bank (zu erkennen an dem Kürzel "ES" am Anfang der IBAN). Die Prüfung der IBAN ergibt, dass das Konto bei der Zweigstelle 0104 der UNICAJA BANCO, S.A., Malaga geführt wird.
  • Dass der PDF-Seitentitel "Página 1" (spanisch für "Seite 1") und der Benutzername "Usuario" (spanisch für "Benutzer") lautet, deutet darauf hin, dass Spanien auch der Ursprungsort des PDFs ist.
  • Zum Erstellen des PDFs wurde anscheinend CorelDRAW X5 verwendet. Dieser Hinweis und die eingebetteten Schriftarten ArialMT und Arial-BoldMT deuten auf einen Windows-Rechner hin.

Was gibt der E-Mail-Header her?

Hier die relevanten Header-Zeilen:

Received: from emea01-db3-obe.outbound.protection.outlook.com (mail-db3on0087.outbound.protection.outlook.com [157.55.234.87])
	by mx1.xxxxxxxxxxxxxxxx (Postfix) with ESMTPS id 1CC7A1607DB
	for <xxxxxxxxxxxxxxx>; Wed, 22 Jun 2016 17:08:33 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=netorgft810459.onmicrosoft.com; s=selector1-deutschedomain-com;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version;
 bh=UnZdiQs+DjMOkpBEYzTHPetqguKBJJhWGiDHDKuXLdk=;
 b=QMUkUfPEOzaQ4YlCFJWSvogzaGNjWMEvIWpkyuUO2KZkGyfXFsE59KJQjKsOpY4TxONWY2ZVLAWOOW23e6Sk8oPLk3mf+LYtsNnJh9iuJEoRoYiJ3P5lkc2BJApAxFV6nA1FbVsyqlFNY6LJG8ASPbu8WRLaZrXwrPpy0cybPr4=
Received: from DB4PR07MB0752.eurprd07.prod.outlook.com (10.242.223.17) by
 DB4PR07MB0750.eurprd07.prod.outlook.com (10.242.223.156) with Microsoft SMTP
 Server (TLS) id 15.1.523.12; Wed, 22 Jun 2016 15:08:28 +0000
Received: from DB4PR07MB0752.eurprd07.prod.outlook.com ([10.242.223.17]) by
 DB4PR07MB0752.eurprd07.prod.outlook.com ([10.242.223.17]) with mapi id
 15.01.0517.014; Wed, 22 Jun 2016 15:08:28 +0000
From: ".DE Deutsche Domain" <info11@deutschedomain.com>
To: ".DE Deutsche Domain" <info11@deutschedomain.com>
Subject: Domainregistrierung 2016 / 2017
Thread-Topic: Domainregistrierung 2016 / 2017
Thread-Index: AQHRzJd7BFty2iqWAE2esWDAagHjbQ==
Importance: high
X-Priority: 1
Date: Wed, 22 Jun 2016 15:08:27 +0000
Message-ID: <DB4PR07MB0752EA922CC0101E71AEFD8DA62C0@DB4PR07MB0752.eurprd07.prod.outlook.com>
Accept-Language: en-GB, en-US
Content-Language: en-GB
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
authentication-results: spf=none (sender IP is )
 smtp.mailfrom=info11@deutschedomain.com; 
x-originating-ip: [132.245.225.101]
x-ms-office365-filtering-correlation-id: 901118ad-2e91-4199-1271-08d39aaf10e2
x-microsoft-exchange-diagnostics: 1;DB4PR07MB0750;6:lzSdY+JQkpRaZDdcOMB05Lmlpqpyk1D1JkrsiiRjN4DqwK8Yn2X+6PM9lroNCF8vXTnurcnI6DL1E0MoeL1PNf3hE6bzpWmXx9H/iWuNu5dJgawWJPvlyGgNhRg9qTdw4TKf+3mJ6jWurzb3Ka3wVQMccyrA07OUwwodkHlkoYhAo2EWXV121l+IBI14BQTk3m+75fmT+hGL6DWMghv9dy1XD45iDe4+BKS854v1r3siPJkB/znvTGpVdAsRSRDaoi7FFcCje/r5iv6HA+DUBeEEdR5z4NNx2eNWWBaiiTGTPgkKwRs0T7JcVa8tjTHj;5:qCNYOOyHwdFfT6+BC3LsFF3FiM/FP/EzAV/lCOT+hC+4BhXiXCso9Fpu9koGouYoF28ObNIQlIr39BbncTkUPs+u3XK/DrEKi0aA9eymGjRo/K79vFAB6k6byb+Yzh4uwxpHNP6pcnyLRgpl69y78w==;24:sftGZ8jmC8gZ2FlheIYLPKq669lGhisU/6dfwI2zmdq3WU3PkOM0IZM8H7IQU2+4Tc+v/kfpjYlvofYt6daSoJbCPvlgOGpdWpBcFLiRffc=;7:CV4V4bVkM00okIx2HupB1wf+wiB5nWpQt9R1vq6aOFghsbO1H2Ys015m/xFyPQa4+686+40BhiGfzff6Upr1WHJG2/+CH7Cs4WRy2rnrTjN0bRGx/ODbj6dg1EF+xIZy7D18N9pV/2FOv0ags4YdCrOM7R26C9zFuZEG5DJyCCG16oE2eMjZO4WVr0lCqLeu8Cv5xvJRxdl4NxGDhGLaBGCxi6Gn7xGWfqvynfH/XGAE5Cy+BQdPcepIZnItQXCW
x-microsoft-antispam: UriScan:;BCL:0;PCL:0;RULEID:;SRVR:DB4PR07MB0750;
x-microsoft-antispam-prvs: <DB4PR07MB07503B8F11E38473B6726D44A62C0@DB4PR07MB0750.eurprd07.prod.outlook.com>
x-exchange-antispam-report-test: UriScan:;
x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID:(102415321)(6040130)(601004)(2401047)(8121501046)(5005006)(10201501046)(3002001)(6041072)(6043046);SRVR:DB4PR07MB0750;BCL:0;PCL:0;RULEID:;SRVR:DB4PR07MB0750;
x-forefront-prvs: 0981815F2F
x-forefront-antispam-report: SFV:NSPM;SFS:(10009020)(6009001)(7916002)(199003)(189002)(106356001)(106116001)(105586002)(87936001)(189998001)(76576001)(33656002)(101416001)(3280700002)(19627405001)(229853001)(66066001)(3660700001)(8666005)(97736004)(4001450100002)(110136002)(107886002)(74316001)(99936001)(10400500002)(50986999)(122556002)(54356999)(81686999)(9686002)(6200100001)(86362001)(11100500001)(8676002)(19625215002)(81166006)(81156014)(586003)(558084003)(19580405001)(2906002)(19580395003)(16236675004)(68736007)(5002640100001)(7696003)(92566002)(7736002)(5003600100003)(7846002)(77096005)(8936002)(3846002)(2900100001)(102836003)(6116002)(7059030);DIR:OUT;SFP:1101;SCL:1;SRVR:DB4PR07MB0750;H:DB4PR07MB0752.eurprd07.prod.outlook.com;FPR:;SPF:None;PTR:InfoNoRecords;A:1;MX:1;LANG:de;
received-spf: None (protection.outlook.com: deutschedomain.com does not
 designate permitted sender hosts)
spamdiagnosticoutput: 1:99
spamdiagnosticmetadata: NSPM
Content-Type: multipart/mixed;
	boundary="_004_DB4PR07MB0752EA922CC0101E71AEFD8DA62C0DB4PR07MB0752eurp_"
MIME-Version: 1.0
X-OriginatorOrg: deutschedomain.com
X-MS-Exchange-CrossTenant-originalarrivaltime: 22 Jun 2016 15:08:27.7593
 (UTC)
X-MS-Exchange-CrossTenant-fromentityheader: Hosted
X-MS-Exchange-CrossTenant-id: a87ceb82-ac57-4031-b8db-3e4f2cb4dd53
X-MS-Exchange-Transport-CrossTenantHeadersStamped: DB4PR07MB0750

Anscheinend wurde die E-Mail direkt über das Webinterface von Microsoft bzw. Live gesendet. Die angegebene x-originating-ip ist einem Netblock von Microsoft zugeordnet. Der Umstand, dass Microsoft eine DKIM-Signatur einfügt und das Setzen der Absenderdomain erlaubt deutet darauf hin, dass ein Benutzerkonto verwendet wurde, welches durch Microsoft auch der Absenderdomain deutschedomain.com zugeordnet werden kann.

Mehr kann den ganzen Microsoft spezifischen Headern wohl nur Microsoft selbst entnehmen.

Die Domain deutschedomain.com

Die Domain wurde über GODADDY registriert. Als Inhaber wurde eine Firma "NL Domein Hosting" in Amsterdam angegeben. Lt. Google Maps gibt es die angegebene Adresse des Domaininhabers nicht. Die angegebene Telefonnumer aus den Niederlanden hat schon eine Ortsvorwahl welche nicht existiert.

Der für diese Domain zuständige Mailserver wird ebenfalls von GODADDY betrieben. Das hilft also auch nicht weiter.

Fazit

Es bleibt nur eins: auf gar keinen Fall zahlen! Evtl. sogar Anzeige gegen Unbekannt bei der Polizei erstatten.

1

Was ich nicht alles so bestelle: eine recht teure Canon-Kamera zusammen mit einem Profi-Objektiv. Das ich das Ganze im "Junli" bestellt haben soll, "inkl. MwSt" nochmal auf den Preis draufgerechnet wird und die AGBs etwas sehr vertraulich zur Kenntnis genommen wurden, fällt gar nicht auf ;) Natürlich führt keiner der gesetzten Links auch nur annähernd in die Nähe von Amazon.

Spam Amazon

1

Was heute im Spamfolder landete ist schon eine Erwähnung wert. Keine "Jetzt kaufen" oder sonstige Angebote zur genitalen Vergrößerung. Nein, ein ziemlich chatty Text mit sogar angehm zu lesender Zeilenlänge:

BABE... i guess your not getting any of my email huh? ive been
tryign to email u so many times but this dam laptop is such a piece of
garbage and keeps freezing.. anyways how u been? 
 
In case u dont know who this is its ME Adriana.. we used to chat a bit on facebook and then
I think u deleted me  haha.. anyways guess what... I got 2 things to
tell u.. both good news.. 1) im single now.. yup me and my bf broke up
about 3 months ago... and 2) guess where im moving? RIGHT EFFING NEAR
U.. lol... ur actually the only person im gonna know there.. well 3
cousins too but i cant chill with them lol..
 
I remember when we chatted u told me u thought i was cute and u wanted to chill so now we finally
can HAHA! im kinda scared to move.. im hoping this email addy is still
the one you use and u can chat with me ebfore i get there.. maybe even
help me move my shit in...are u still on facebook? i cudnt find ui was
soo confused...anyways im gonna need someone to show me the town and
take me out so u better be around bebe...
 
we only chatted a couple times but i remember thinking to myself i wanted to get ot know u
better when i was single..a nd i thoguth u were cute too but cudnt
tell u cause i wasnt single lol...ok so more info about me.. well im
23.. virgo.. love the outdoors and love to socialize, go out for
drinks, restaurants, movies etc.. travel.. i have a lil kitty named
BOO and i luv her to death... uhhh oh im a super horny gurl too but
every gurl is they just wont admit it. so ilove watching p0rn and all
that.. love sex etc blah blah blah...who doesnt..
 
I really hope we get a chance to chat for a bit either online or on the fone before i get
there enxt week.. i hope u remmeber me and still wanna chill and arent
married yet lol.. OH YA also.. i need to find a job when i get there..
 
do u have any hookups or know anybody hiring? id LOVE to work in a bar
or osmehting like that...really anythgin cause my current job is fun
and all.. and technically i CUD keep doign it but i want a change.. i
currently work from home and well thats cool but i need ot be out
meeting people.. oh wait. i dont think i ever actually told u what i
did? hmm shud i......???? ok WELLLL... and dont get all weirded out
on me.. i work on a webcam chat community site and i get paid to chat
with people and get naked HHAHA... BOMB right ? I KNOW.. like i
figure iim horny anyways why not get paid to chat with people and play
with myself heheh...anyways i hope u dont look down on that and NO
THATS NOT WHY IM CONTACTING U RELAX URSELF lol... i actually need help
once i move and i remembered u live there so im reaching out....like i
said before this computer is a complete piece of CRAP and freezes NON
STOP.. ive tried ot send this email to u maybe 3 times already and im
hopign this time i can hit SEND before i run into trouble lol..
 
ANYWAYS.. heres the deal....every month natalie (my boss) gives each
of us 3 VIP codes to give out to whoever we want.. so with this code u
can lgoin to watch me at work for free and dont have to pay like
everyone else... the only way i can give u one of the codes (so we can
chat) is if you absolutey DO NOT give it out to anyone else and u ONLY
USE IT FOR URSELF... i only get 3 a month and she gets pissed if more
than 3 people use them so DONT SHARE IT MISTER... i figured u cud
always email me back instead but my email account doesnt even let me
login half the time.. so the bets palce ot chat me is my chat room...
 
if theres anyone else logged in when u sign in ill boot them out.. but
remember DONT SHARE THIS PASSWORD PLEASE BABE IM BEGGING U.. I TRUST
U... im online most of the day now to try and save money for my move..
also since im in such a huge debt already form my student loan  I
really thingk we need to chat before i get there and make sure u evern
remember me hahha.. anyways ive rambled on and on now and ur probably
soooo annnoyed with me so ill stop now.. im gonna go start work.. i
really hope u come chat me. it wud make my day and releive a lot of my
stress about the move... REALLY i mean that....anyways once i see u in
insdie ill shoot u myc ell number and u can gimme yours.. if u dont
 
wanna come chat i understand but its really the only palce to find me
now days.. if u email me abck ill probably get it once i get there
after my internet is setup so about 2-3 weeks fomr now.. but im hopign
to see u in my chat room.. rmemeber its 100% free with this code im
gonna give u.. just DONT GIVE IT OUT OR ILL KICK U IN THE BALLS
INSTEAD OF LICK U IN THE BALLS WHEN IS EE U hahahahha...k babe im out
for now... chat ya soon.. kisses xoxo Adriana

Den Link am Schluß hab ich mal weggelassen. Obwohl recht nett hats der Spamfilter doch aussortiert ;)

Kommentar-Spam ist nichts Neues. Für fast jedes Content-Managment-System gibt es eine Erweiterung, die mehr oder weniger erfolgreich die Bots abwehrt. Oft wird auch geraten, die IP-Adressen mittels geeigneter Einträge in der Datei .htaccess auszusperren. Bei dieser Lösung muss jedoch immer erst der Webserver den Request behandeln, die Datei .htaccess parsen und anhand der IP-Adresse entscheiden, ob ein Zugriff auf die Webseite erlaubt ist. Eine andere Methode ist der Einsatz von iptables, welches bereits auf Kernelebene den Zugriff von bestimmten IP-Adressen auf den Server verhindern kann. Dadurch wird besonders auf stark frequentierten Webseiten Rechenzeit gespart und bleibt so für die echten Besucher übrig. ...weiterlesen "Spam-Bots mit iptables aussperren"

3

Liebe Kommentar-Spammer,

bitte kommt in ausreichender Anzahl, möglichst bei jedem Artikel dieses Blogs vorbei und hinterlasst dort euren Müll. Das absolut geniale WordPress-Plugin Antispam Bee kümmert sich um euch. Und als sehr schöner Nebeneffekt tragt ihr dazu bei, dass nach einem Leeren des Seitencaches der Cache schnell wieder aufgebaut wird und die Seiten wieder schnell an die eigentlichen Leser ausgeliefert werden können.

Für eure fleißige Arbeit habt ihr euch ein Dankeschön verdient.

Euer Webmaster