Niesamowite jest jak czasem bardzo skomplikowany proceder spamowania i próby wyciągnięcia pieniędzy od użytkowników można spotkać w sieci. Otrzymałem od znajomego wiadomość, którą otrzymał na konto w serwisie gmail (co ciekawe znajomy ów jest fanem marki Apple):
From: Twoj-Macbook . pl <macbook-ads@mail-tips . com>
Date: 2012/1/18
Subject: AW: Twój e-mail z dnia 12.01
To: adreskolegi@gmail.comIf you are having trouble viewing this email, please click here to open this in your web browser [WLLAS.COM]
Witaj adreskolegi@gmail.com,
został Ci przypisany numer klienta 927xx.
Mamy przyjemność Cię poinformować, że wybrano Cię jako możliwego zwycięzcę!
Jesteś w gronie możliwych zwycięzców do ostatecznego losowania Apple MacBook?a Air:* lukaszjakistam@gmail.com [WLLAS.COM]
* adreskolegi@gmail.com [WLLAS.COM]
* juliajakastam@yahoo.com [WLLAS.COM]Weź udział w losowaniu i miej szansę wygrać Apple MacBook’a Air:
Zagraj teraz klikając tutaj [WLLAS.COM]
Miłej zabawy i życzymy sukcesu!
Twój Zespół twoj-macbook . pl [WLLAS.COM]
Popatrzmy trochę szerzej:
Wiadomość zawiera nagłówki jakoby była wysłana z listy (z której można się rzekomo wypisać ;): List-Unsubscribe: <http://WLLAS . COM/Contacts/RemoveFromLists.aspx….. I jak możecie zauważyć na obrazku – na pewno mój kolega odwiedził tę stronę i zapisał się na ich listę.
Idąc tropem dalej. Wiadomość została dostarczona do gmaila z serwera z IP: 80.179.142.66 (kimoly102.spd.co.il), który to poprawnie posiadał wpisy SPF dlatego nie wzbudził podejrzeń filtrów spamowych Google:
Authentication-Results: mx.google.com; spf=pass (google.com: domain of res.med.510@wllas.com designates 80.179.142.66 as permitted sender) smtp.mail=res.med.510@wllas.com.
To pierwsze powiązanie – domena wllas.com (62.128.53.246) i adres IP 80.179.142.66. Domena ta w rekordach DNS zezwala na wysyłanie poczty z adresu tego adresu IP:
wllas.com descriptive text “v=spf1 a mx ip4:62.128.58.81 ip4:62.128.59.0/24 ip4:62.128.53.192/26 ip4:62.128.53.246 ip4:80.179.230.0/24 ip4:212.199.184.0/24 ip4:91.228.126.135 ip4:109.201.141.114 ip4:80.179.142.0/24 ip4:192.116.109.0/24 ip4:62.128.51.0/24 ?all”
Następnie zerkając w pole OD znajdziemy adres mail-tips.com o IP 188.121.54.128 i sprawdzając obydwa adresy IP:
80.179.142.66 - 80.179.142.66.static.hosting.spd.co.il.
62.128.53.246 - meserweb.spd.co.il.
Podobne końcówki domen. I sprawdzając dla tych adresów IP ich właścicieli:
route: 62.128.32.0/19
descr: Golden Lines International Communication Services Ltd.route: 80.179.142.0/24
descr: Golden Lines
Ok na razie widać, że wszyscy razem współpracują. Próbując odwiedzić odnośnik, który pomoże mi wygrać (tfu koledze) Macbooka, jesteśmy przekierowani do serwisu hxxp://www.twoj-macbook . pl, który to jest zarejestrowany na firmę: planet49 (company: Henning Munte Planet49 GmbH Oberliederbacher Weg 25,65843 Sulzbach), która to od roku 2001 zajmuje się szeroko pojętym marketingiem internetowym.
I idąc dalej tropem prawie już będącego w garści naszej Macbooka. Wybór koloru sprzętu, podanie danych osobowych, nakłonienie do udziału w grze SMSowej (jest bardzo małe prawdopodobieństwo wygrania ;) i przy okazji reklama firmy Play co jest trochę zaskakujące i podejrzewam, że Play do końca nie wiedział od kogo kupił kampanię reklamową.
Wszystko mocno zawiłe, skomplikowane i jeszcze raz zawiłe. Oczywiście polecam wypełnienie formularzy, udział w grze i wygranie MacBooka Air. PS. Niestety nie da się kliknąć w Anglię – jako organizatora ME 2012 ;]
5 komentarzy do
20 marca, 2012 o godzinie 16:26
właśnie przyszedł do mnie podobny chłam, z nazwą “Twój e-mail z dnia 20.03″ (co ma znaczyć ‘twój’ ze niby do mnie czy że ja wysyłam? skoro nie wysyłam to nie mój, a skoro do mnie to powinien miec inną nazwę) “Witaj [...] został Ci przypisany numer klienta 92770. Mamy przyjemność Cię poinformować, że wybrano Cię jako możliwego zwycięzcę! Jesteś w gronie możliwych zwycięzców do ostatecznego losowania Apple MacBook’a Air:
•Łukasz K.
•[...]
•Julia M.
Weź udział w losowaniu i miej szansę wygrać Apple MacBook’a Air: Zagraj teraz klikając tutaj. Miłej zabawy i życzymy sukcesu! Twój Zespół twoj-macbook.pl”
Zważywszy że nie tylko nie jestem ‘fanem’ ale nawet nie wiem co ów macbook, skąd taki chłam?
20 marca, 2012 o godzinie 17:52
Jakaś firma reklamowa kupiła od kogoś bazę maili, w której widniejesz i spamuje. Warto oznaczać takie wiadomości jako SPAM.
21 marca, 2012 o godzinie 21:44
@ JY
Dostałem maila z portalu 100lat.pl o tej samej treści – nawet nazwiska te same (oprócz środkowego, które zawiera moje dane). Numer klienta oczywiście ten sam. Rejestrację troszku rozpocząłem, ale później poszperałem i doszedłem do tej strony. Tymczasem po zamknięciu okna z rejestracją dostałem maila od Barbary, żebym szybciutko wrócił o dokończył rejestrację. Oczywiście opcja “kosz”
Uważajcie!
22 marca, 2012 o godzinie 19:05
Dotarli już aż do Ukrainy ze swoim spamem. Otrzymałem takiego samego maila o tej samej treści i tym samym numerem klienta. Nigdy nie rejestrowałem na stronach polskich z moim e-mailem domowym od lokalnego dostawcy. Jakoś znaleźli mój adres. Bądźcie ostrożni.
12 kwietnia, 2012 o godzinie 00:43
Też dostaję ten spam ale dzisiaj to chyba przesadzili… zawsze dostawałem mail, gdzie pisało że jestem wśród zwycięzców, tylko że tam był podany mój mail…
W dzisiejszym spamie, nie wiem jakim cudem, znalazło się moje prawdziwe imię i nazwisko! To już jest przegięcie. Nie można się nigdzie bezpiecznie zarejestrować w sieci, nie bojąc się o to, że nasze dane będą gdzieś sprzedane. Wydaje mnie się że narusza to ustawę o ochronie danych osobowych i chyba się tym trochę bardziej zainteresuję.