Heute Abend dachte ich mir, ich versuche mal eine Spammail zurückzuverfolgen und zu analysieren. Das dies sich nicht als einfach gestaltet, hatte ich zu Anfang nicht gedacht, denn alles dreht sich im Kreis.
Das ist ein Header, wie man ihn in den meisten Emails wiederfinden sollte. Zunächst habe ich mir die IP-Adresse, welche als Absender gelistet wird, angeschaut. Diese zeigt auf eine Domain, welche
sponsortraffic.net 95.130.121.163
lautet. Diese ist bei einem Domainregistrar bzw. bei einem Internetservice in Panama registriert, was schon mal etwas komisch aussieht. Die IP-Adresse gehört jedoch zu einem Hostinganbieter in Österreich, welcher sich Xidras GmBh nennt.
Dieser ist unter folgender URL zu erreichen und scheint ein kleiner Hostinganbieter zu sein, welcher seine Server in Österreich zu stehen hat. Nungut, da scheint jemand von einem kleinen Webspace aus Nachrichten verschickt zu haben, denn dessen IP-Range wird von zwei Blacklists geführt.
Schauen wir uns jetzt mal die Domain an, an welche die Mail zurückgehen soll. Diese lautet loadnext.com und hat ebenfalls den gleichen Domainregistrar, wie sponsortraffic.net
Scheinbar ist das ein Domainregistrar, welcher eine WHOIS-Protection bietet, in dem er sich als Domaineigentümer ausgibt, anstatt der Person, welche diese wirklich besitzt. Diese neue Domain zeigt ebenfalls auf einen Server der o.g. Webhostingfirma in Österreich, also auch wieder nichts verwertbares.
Schauen wir uns nun mal die Domain an, welche in der Mail angepriesen wird: nutze49gleich.de
Auch diese Domain ist ebenfalls bei dem o.g. Domainregistrar, doch zeigt diese diesmal auf einen anderen Webspace, welcher diesmal in den Niederlanden liegt.
Auch der Hoster, der dahinter steckt, scheint ein legales Angebot zu vertreten, und dessen Webseite kann man unter folgendem Link aufrufen.
Nun bleibt nicht mehr viel zu analysieren, außer mal zu schauen, ob denn die Zieldomain schon geblacklisted ist. Was hätte man anders erwartet, diese ist es auch.
Wo der Spammer meine Emailadresse her hat, ist eine gute Frage, von der ich nur vermuten kann, das dieser sich Maillisten in diversen Untergrundforen gekauft hat, oder sich diese mit bestimmten Tools zusammengesammelt hat. Wie man sieht, kann man selbst nicht viel gegen solchen Spam machen, außer diesen nicht zu öffnen, denn der Angreifer könnte über das Nachladen von HTML-Elementen, wie einem Bild mit einer bestimmten Kennung herausfinden, ob eine Adresse noch “lebt”, also jemand die Mails empfängt und öffnet, und damit diese für einen höheren Wert wiederverkaufen oder weiterhin darauf Spam verschicken, oder ob diese Email schon “tot”, demnach ungültig, ist und diese nicht mehr für ihn zu gebrauchen ist.
Man sollte solche Emails entweder dem Spamfilter seines Anbieters überlassen, oder selbst einen eigenen führen. Erst recht sollte man diese Email nicht öffnen, wie ich es oben schon beschrieben habe, einfach löschen.
Bis auf das man die entsprechenden Hoster benachrichtigen kann, dass man Spam über bestimmte Accounts bekommen hat, kann man nicht viel dagegen tun, denn hier sollte man noch wissen, das es technisch Möglich ist, den Absendernamen bzw, -email beliebig zu ändern, und somit eine Identität vorzutäuschen.
Gruß
gehaxelt