News items for tag spam - Koos van den Hout

Vorige week bestelde ik wat bij de free record shop. Voor de voortgang was (natuurlijk) een e-mail adres nodig maar ik heb het "ontvang onze nieuwsbrief" vinkje toch echt uitgezet.

Maar toch..

From: Free Record Shop                           
Subject: Beste Koos, je kunt nu ook muziek downloaden via FRS.nl!               

..

Je ontvangt deze e-mail omdat je je hebt aangemeld voor de nieuwsbrief.      

Nee dat heb ik niet. Gelukkig heb ik een weggooibaar e-mail adres gebruikt.

Maar ik had van een bedrijf als freerecordshop beter verwacht. Zaken doen op Internet anno 2010 en dan een e-mail adres gelijk ongewenste e-mail sturen is op z'n zachts gezegd geen reclame.

Bron foto: 08-11-20 + Ophef ﹧ ﹧- GALERIEopWEGLicentie: cc-by-sa

Een absoluut dieptepunt in de geschiktheid van hccnet.nl als e-mail provider:

   ----- Transcript of session follows -----
... while talking to hcc3.schonemail.nl.:
>>> DATA
<<< 554 5.7.1 o54IQsMt007321: Found several indications this message is likely to be spam.
554 5.0.0 Service unavailable

Hetzelfde mailtje sturen zonder pgp-signature gaat ongestoord. Dan hebben ze het ook totaal niet begrepen daar. Gelukkig ben ik niet van ze afhankelijk voor e-mail, dan zou ik een 0900 nummer moeten bellen om uit te leggen dat ze het niet begrepen hebben en mijn uitgaande mail verstoren. Nu is het alleen een ergernis om sommige mensen te kunnen bereiken, die dit zelf ook een goeie aanleiding vinden om eens naar wat anders uit te kijken.

Messages from the Barracuda E-mail filter are quite useless. When you request information about a specific IP being blocked you get the very, very generic story:

We are sorry you have reached this page because an email was blocked based on its originating IP address having a "poor" reputation. The "poor" reputation may have been caused by one of the following reasons:

• Your email server contains a virus and has been sending out spam.
• Your email server may be misconfigured.
• Your PC may be infected with a virus or botnet software program.
• Someone in your organization may have a PC infected with a virus or botnet program.
• You may be utilizing a dynamic IP address which was previously utilized by a known spammer.
• Your marketing department may be sending out bulk emails that do not comply with the CAN-SPAM Act.
• You may have an insecure wireless network which is allowing unknown users to use your network to send spam.
• In some rare cases, your recipient's Barracuda Spam Firewall may be misconfigured.

Which is completely useless when you need information what is causing this listing and whether the spam flow is already stopped. I'm not gambling on trying the 'request removal' link until I know what is causing this.

Barracuda mail filtering: NOT helping solve the spam problem. With some Evil Greedy Corporation conspiracy thinking: really helping stop spam would be bad for business in the long run for Barracuda.

Webmail account phishers sometimes write interesting works of fiction:

We are currently performing maintenance on our Digital webmail Server because it has come to our notice that one or more of our internet subscribers are introducing a very severe virus into our system, thereby hacking into our esteemed customers private data, and this is affecting our network performance by all standards, as well as causing our customers like you so much complications.

.. and after this bit of bad news about the provider their systems seem to be so damaged by the virus they need to ask for the domain name:

In order to ensure you do not experience service interruption, kindly you reply to this email immediately and enter your Domain Name: for example, mail.icb.com.

.. please don't respond to these. Please.

Interesting (for me) new type of account guessing attack: trying smtp accounts. I saw the following in the maillogs:

Apr  5 22:33:59 greenblatt sm-mta[19364]: o35KXpPO019364: [92.241.190.15]: possible SMTP attack: command=AUTH, count=7
Apr  5 22:34:08 greenblatt sm-mta[19082]: o35KVkYF019082: [92.241.190.15] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6

I was wondering what was happening on smtp level and used tcpdump to find out:

220 kzdoos.xs4all.nl ESMTP Sendmail 8.14.2/8.14.2/Debian-2build1; Mon, 5 Apr 2010 20:47:05 +0200; (No UCE/UBE) logging access from: [92.241.190.15](FAIL)-[92.241.190.15]
EHLO jtrmuwev.com
250-kzdoos.xs4all.nl Hello [92.241.190.15], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-EXPN
250-VERB
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
AUTH CRAM-MD5
334 PDI3MjU0Mjc5OC4xMjIwMjEwMkBremRvb3MueHM0YWxsLm5sPg==
MTExIDk5ODY0YTY5YWI3ODIxMmI3YzgxMjhkOGFmNWM4MjUw
535 5.7.0 authentication failed
535 5.7.0 authentication failed
RSET
250 2.0.0 Reset state
AUTH CRAM-MD5
334 PDEyODQ3MDgxMTYuMTIyMDIxMDNAa3pkb29zLnhzNGFsbC5ubD4=
MTExIDU2YmU3OGYwMGE1MTA5ZmI4OWZmMDFhOGRmMDdjMTBh
535 5.7.0 authentication failed
535 5.7.0 authentication failed
RSET
250 2.0.0 Reset state
AUTH CRAM-MD5
334 PDE4OTQxOTc2MS4xMjIwMjEwNEBremRvb3MueHM0YWxsLm5sPg==
MTExIDE4YmEyYWY2M2MyYjA2Y2Q4OWUxMDE4Y2E2NjY3MmM1
535 5.7.0 authentication failed

The base64 encoded bits decode to:

<272542798.12202102@kzdoos.xs4all.nl>
111 99864a69ab78212b7c8128d8af5c8250

<1284708116.12202103@kzdoos.xs4all.nl>
111 56be78f00a5109fb89ff01a8df07c10a

<189419761.12202104@kzdoos.xs4all.nl>
111 18ba2af63c2b06cd89e1018ca66672c5

Which is normal challenge-response for CRAM-MD5 authentication. So my best guess is either trying to find valid accounts for other attacks in a way which does not hit a rate limiter (yet) which would mean a targeted attack or just a way to find an account for relaying spam.

En het is bij IDG uitgevers nogsteeds niet doorgekomen dat ik echt geen spam van ze wil. Na eerdere afmeldpogingen in oktober 2009 zie ik net weer vrolijk nieuwe spam van ze staan, die weer liegt dat ik een relatie met Computer!Totaal zou hebben. Die heb ik niet meer sinds januari 2005, dus langer dan de termijn van twee jaar waarop 'bestaande relatie' een wettelijk geaccepteerde reden is, en ik heb ook al vaker pogingen gedaan van IDG af te komen.
Tijd voor wat klachten naar de juiste adressen, onder andere www.spamklacht.nl en het advies naar de provider van de verzendende mailserver om een kniptang toe te passen om herhaling te voorkomen. En naar de redactie van computer!totaal, misschien willen die eens schrijven over de spam-ergernis die computer!totaal en IDG uitgevers veroorzaken.
Update 2010-03-29 In ieder geval reageert er een redacteur dat de afmelding doorgegeven wordt aan de juiste persoon.

Met alle aankomende wijzigingen op het werk hebben we besloten om de spamfiltering uit te besteden aan de surfnet mailfilter dienst. Die worden er voor betaald om de filtering dagelijks bij te houden en wij hebben er straks minder tijd voor. Totnogtoe was het natuurlijk altijd onze 'eigen' mailsetup en konden we zelf de spamstats bijhouden, en dat verliezen we.
We hebben eerst students.cs.uu.nl omgezet en vanmorgen cs.uu.nl. In de logs van de studentenmailserver viel me opeens op dat de smtpd ratelimiting (anvil) van postfix aansloeg op de surfnet mailfilters dus ik heb de surfnet mailfilter adressen toegevoegd aan de smtpd_client_event_limit_exceptions setting in postfix. Bij cs.uu.nl gebruiken we postfix, al van toen het nog vmailer heette. In sendmail zou ik voor die IP blokken andere ratelimits kunnen zetten maar postfix heeft blijkbaar alleen de opties default en geen ratelimits.

Y2.01K problem: SpamAssassin had a rule since 2006 that e-mail with a date in the 'far future' was likely spam. The 'far future' was defined as 2010-2099. So today that rule started firing, leading to missed e-mail. Documentation for SpamAssassin Rule: FH_DATE_PAST_20XX. Time for an update there...

Sommige mensen blijven zo dom om het e-mail adres van een ander in te vullen op een site om zo van eventuele reclame af te komen. Maar soms kan dat vervelende effecten hebben. Zo kreeg ik net een wel heel duidelijk verdwaald mailtje:

   Beste klant,
   U hebt een opwaardeervoucher besteld bij Lebara NL WEB Reloads op 22
   december 2009 15:00:23 CET.
   Als u deze opwaardeervoucher wilt gebruiken, belt u gratis naar 1244
   met opwaardeercode 27964964967133.

Maar dat heb ik helemaal niet gedaan. Ik denk dat er iemand nu heel boos probeert de klantenservice van Lebara te bellen.

One mailing list hoster, ivillage.com, is still sending me loads of the unwanted mailing list spam and making it quite hard to get rid of it. They have 49 mailing lists, the retaliating spammer signed me up to about 41 of them, and to get rid of them I have to uncheck every one of them to unsubscribe. The 'support' link on the site let me fill in a form which got an autoreply pointing me to the unsubscribe form on the site. So more attempts to get through to them that they need to verify the addresses they get via the site and to get rid of all of their mail in one go. Reporting each and every one of their mails via spamcop has not made much of a difference yet. The acceptable use policy of their provider xo.com prohibits sending mail like this:

A communication may be unsolicited if: (1) recipients' email addresses were not obtained through a personal or customer relationship between recipient and sender, (2) recipients did not affirmatively consent to receive communications from sender, or (3) recipients have opted out of receiving communications from sender when given notice of the opportunity to do so.

I never confirmed receiving their mail, so they break rule 2.

Nadat ik in Juni al last had van spam van idg uitgevers / Computer!Totaal krijg ik vanochtend weer e-mail van ze, dit keer op m'n hccnet adres (de hcc wil perse met je communiceren, dus ik moest mijn hccnet adres activeren om van computer!totaal af te komen toen die optie kwam). Blijkbaar hebben ze besloten bij IDG uitgevers om het ingaan van de nieuwe regels tegen spam in de telecomwet te vieren met een spamrun naar hun oude HCC adressenbestand.
Update 2009-10-06: Niet geheel onverwacht, ook Henk van de Kamer ergert zich aan dezelfde actie van IDG maar heeft de mail blijkbaar net gehad toen het nog 'minder strafbaar' was.

Suddenly I get numerous 'newsletter subscription' mails in my inbox, some declaring I subscribed and some asking me to confirm my subscription.

Samples:

Subject: You've Been Subscribed to iVillage!                                    

You have been subscribed to:

• YourTotalHealth Special Offers • Beauty & Style Top Ten • YourTotalHealth
Community Challenges 

Subject: Mind Tools Newsletter - Please Click Link to Confirm Subscription...   

Thank you for taking the first step in subscribing to the Mind Tools
Newsletter! There's just one more thing to do before your
subscription is activated,

Welcome!                                                       

Dear rty6ry,                                                                    

Welcome and thank you for subscribing to the Food
Reference weekly newsletter.   

Dear fyhfhfg,

Thank you for subscribing to UNESCO's Communication and Information Sector
newsletter.

We have registered your subscription with these details:

First Name ftgrt
Last Name  dggdf

I must have really pissed off some spammer to get some personal attention like this. GOOD. A spammer getting all worked up isn't spamming.
Too bad none of the mails tell me which IP address I 'subscribed' from, although I have a vague idea I need to search in the area of Heerlen / Kerkrade in the Netherlands.

All the subscriptions without confirmations will be reported as spam naturally.

Europees

Blijkbaar 'denken' sommige spammers dat dat iets goeds is, gezien de subject regels van spam de laatste dagen. Voorzover je bij spammers kunt spreken van denken, natuurlijk.

Voor de casino-spammers zie ik het al langer, varianten van:

Subject: Sluit u vandaag aan bij Euro Club Casino
Als u op zoek bent naar een betrouwbare plaats om online te spelen, met een brede selectie aan spelen en Europese betrouwbaarheid, dan is Euro Club Casino de plaats voor u.

Maar eigenlijk zit de gespamde site (www.gold-royal.net) in China, geeft een redirect naar een andere site (keno-topgame.net) in de Ukraine waar een hele website gebouwd is met machine vertalingen. En dan komt geen rekening houden met mensen buiten de US wel heel dom over:

Bel gratis: 1-866-866-6945 / 1-866-546-0445 Internationaal: 1-266-481-2382

Maar nu ook de medicijnen-spammers, met nogsteeds de bar slechte machinevertalingen:

Subject: Top pillen Uit de Top Europese Apotheek
Uw online apotheek met blijvend lage prijzen belifert ze snel en gemakkkelijk. Geniet van het comfort van uw medicijnen Qualtitats comfort van hun woning in orde en 7 dagen per week de klok rond.

Zo op het eerste gezicht machinevertaald amerikaans engels. Willen amerikaanse spammers misschien toch europese medicijnen, en een europese gezondheidszorg?

Het blijft heel moeilijk, omgaan met e-mail voor bedrijven. Ik had bij Eneco aangegeven wel via iDeal te willen betalen (vanwege de acceptgirokosten, en ik weiger automatische incasso categorisch tot dat een keer veiliger gaat worden).

Vandaag zie ik een mailtje wat misschien van Eneco is:

Subject: Uw nieuwe Eneco nota staat online                                      

U ontvangt deze email omdat u heeft gekozen voor de betaalwijze online betalen. 
                                                                                
Uw nieuwe Eneco nota staat online

Geachte mevrouw, heer,

Er staat een nieuwe nota voor u klaar op Mijn Eneco. U vindt deze nota          
bovenaan in het notaoverzicht. Door op de nota te klikken, krijgt u             
uitgebreide informatie over deze nota. U kunt de nota direct betalen            
door op de iDEAL-button achter de nota te klikken.

Direct mijn nota betalen
http://public.tripolis.com/r/9VZEywtA1Zi[...]

Geen idee wat tripolis.com is, maar ik ga niet zomaar op een 3e partij link klikken voor een betaling. Mensen proberen naar een hele andere site te sturen en dan geld te laten betalen heet 'phishing'.

Ook de headers van het mailtje geven geen vertrouwen:

Received: by outbound1.tripolis.com (PowerMTA(TM) v3.5r13) id hm7fqm0j2qks for  
        <xxxxx@yyyyyyyyyyyyy>; Thu, 17 Sep 2009 09:05:09 +0200 
        (envelope-from )                          

Geen Eneco server. Geen verwijzing naar een Eneco site. De 'echte' Eneco site gebruikt https met een EV certificaat.

Met wat zoeken in de 'mijn eneco' omgeving ontdek ik wel de openstaande betalingen. Ik verwachtte dat na het inloggen gelijk een 'u heeft een betaling openstaan' melding zichtbaar zou zijn, maar ik moest even zoeken.

Direct maar een melding achtergelaten op de Eneco site:

Ik heb aangegeven Eneco via iDeal te willen betalen, maar nu ontvang ik een mailtje wat pretendeert van Eneco te zijn voor de betaling, maar de link 'Direct mijn nota betalen' wijst naar een 3e partij - tripolis.com - waar ik niets mee te maken heb en die geen https met (EV) certificaat gebruiken. Ook blijkt uit de headers dat de mail niet afkomstig is van servers van Eneco. Elke phisher kan dit soort e-mails namaken en een mooie eigen fake-betaal site bouwen.

Gelukkig kan ik - na het nodige zoeken - ook in de wel-beveiligde omgeving van mijn eneco een verwijzing naar de betaling vinden, dus ik ben in staat om de rekening te betalen zonder de verdachte link te gebruiken.

Ik vraag Eneco om zo snel mogelijk de teksten in de e-mail berichten aan te passen zodat elke schijn van misleiding vermeden wordt en klanten uit te nodigen naar de eneco website te gaan om daar binnen de beveiligde omgeving de betaal-verwijzing te kunnen vinden. Hiervoor zou het ook handig zijn als de url https://mijn.eneco.nl/ werkt, mijn eerste gok van de 'mijn eneco' website.

Anders ben ik genoodzaakt weer terug te schakelen naar betaling per acceptgiro EN bezwaar te maken tegen eventuele acceptgiro-kosten, zie http://blog.iusmentis.com/2009/08/31/kosten-bij-acceptgiro-onredelijk-bezwarend/ .

Ik ben benieuwd naar de reactie.

Update 2009-09-17: Even opgezocht: tripols.com noemt zichzelf E-mail marketing software & delivery. Een van hun 'solutions' is dat ze zich specialiseren in 'deliverability' van business e-mails ondanks spam filters. Ruikt als een spammer, dus.

Het zou veel meer helpen als Eneco gewoon zelf deze e-mail berichten zou verzenden, zonder derde partij tracking link en met een geldige en verifieerbare digitale handtekening middels PGP of S/MIME.

Update 2009-10-06: Nog geen reactie van Eneco behalve de bevestiging van mijn bericht. Ik heb maar eens een reminder gestuurd.

Update 2009-10-08: Antwoord: ze begrijpen de verwarring met het gebruik van het domein tripolis.com en gaan er binnen Eneco naarkijken of het beter kan.

One downside of a weblog such as the hcc!pc netwerkgroep website is 'trackbacks' being tried for linkspam. So serendipity is configured to accept trackbacks but keep them all for verification, so visitors don't see all the linkspam left by criminals. The 'score' of about one week of linkspam:

serendipity=> delete from serendipity_comments where status='pending';
DELETE 337

Nice sample in the spam of what is in Dutch called acquisitiefraude (aquisition fraud?). Trying to make companies pay for being in some 'register' where nobody looks. From the spam e-mail:

In order to have your company inserted into the registry of World Company Directory for 2009/2010, please print, complete and return the enclosed form (PDF file) to the following address:

With the detail:

Updating is free of charge!

Well, updating may be free, insertion isn't when reading the small print in the PDF:

I HEREBY ORDER A SUBSCRIPTION WITH SERVICE PROVIDER WORLD BUSINESS DIRECTORY LTD. I WILL HAVE AN ENTRY INTO ITS DATABASE FOR THREE YEARS. THE PRICE PER YEAR IS EUR 980.

Spammers and frauds nicely working together, not a surprise.

"World Company Directory" melding bij steunpunt acquisitiefraude

A spammer on the block named Facebook. And I'm not talking about spamming in facebook, I'm talking about spam from facebook in my mailbox, disguised as an 'invitation'. From the e-mail:

I set up a Facebook profile where I can post my pictures, videos and events and I want to add you as a friend so you can see it. First, you need to join Facebook! Once you join, you can also create your own profile.

PREMIER SITE DE RENCONTRE 100% GRATUIT. chat,envoie de mails,inscription,photos, envoie de vos coordonnées personnel aux autres membres .......tous les services sont GRATUITS sur notre site de rencontre

Some French-language website (on facebook? redirecting somewhere else? I have to register with facebook to find out: no way). And, at the bottom:

******@ruu.nl was invited to join Facebook by Azza Ava. If you do not wish to receive this type of email from Facebook in the future, please click on the link below to unsubscribe.

That e-mail address points at a role-account here (and given the fact that the @ruu.nl version is used means a really old spammer list is used too). So it has never been subscribed to anything from Facebook. No need to unsubscribe, this is pure spam. According to whois for the sender-IP:

NetRange:   69.63.176.0 - 69.63.191.255 
CIDR:       69.63.176.0/20 
OriginAS:   AS32934
NetName:    TFBNET2
NetHandle:  NET-69-63-176-0-1
Parent:     NET-69-0-0-0-0
NetType:    Direct Assignment
NameServer: DNS04.SF2P.TFBNW.NET
NameServer: DNS05.SF2P.TFBNW.NET
Comment:    Contact abuse@facebook.com with issues.
RegDate:    2007-02-07
Updated:    2009-03-04

I am not fully convinced their abuse department is going to change their system not to annoy random e-mail accounts with invitation-spam. Time to notify uplink providers too that there is a spammer in the house.
Update: the nice autoreply from abuse at facebook tells me all about privacy on facebook and stuff like that. Bzzzzt, wrong answer! I'm from the non-facebook world and I don't want your invitations. I'll discuss this with your uplink providers. They have the wire-cutters to really deal with the problem.
Update^2: According to the facebook abuse department the mail was faked and not really from facebook. I disagree: the headers show an outgoing facebook mail server.

Ooit, lang geleden toen ik nog het blad Computer!Totaal onvermijdelijk kreeg bij het HCC lidmaatschap heb ik op het bijbehorende forum begin 2004 wat reacties gepost over artikelen. Vandaag kreeg ik om 13:03 ineens e-mail op het adres van de forum registratie over het Grote Merkenonderzoek van ComputerTotaal.
Daar was die forumregistratie niet voor, dus ik volg gelijk de link om geen e-mail meer te ontvangen, een typische link met cryptografische hash. Op de site (waar het goeie e-mail adres staat, dus de link was inderdaad gepersonaliseerd) blijken 4 categorieën te zijn waarin je e-mail kunt krijgen waarvan 2 aangevinkt. Ik wilde niets meer te maken hebben met Computer!Totaal of IDG dus heb ik ze gelijk uitgevinkt. Dan krijg je een nieuwe link in je e-mail om die wijzigingen te bevestigen.. waarom? Zijn ze bang dat iemand anders de link misbruikt om hun e-mail te stoppen? Een beetje overkill na die eerdere link met cryptografische hash. Die bevestiging natuurlijk gedaan om 13:24.
Vervolgens krijg ik om 16:01 weer mail, dit keer voor het 'Tips & Trucs forum' wat graag een nieuwsbrief kwijt wil. De link om mijn 'voorkeuren voor het onvangen van e-mail van Tips & Trucs te wijzigen' levert op dat daar weer 4 categorieën zijn waarvan 2 aangevinkt. Dus nog meer spam e-mail uit die hoek.
Dan vraag ik het niet meer lief, blijkbaar zijn Computer!Totaal / IDG uitgevers / Tips & Trucs gewoon spammers. Ok, daar kan ik gewoon een klacht over indienen, dat is ook een stuk minder werk.

Vandaag weer phishing mail in krom Nederlands, maar met het beter lopende Engelstalige origineel er vlak achter. Dat maakt vergelijken leuk:

Subject: UNIVERSITAIR UTRECHT WEBMAIL: Werk Uw E-mai lRekening bij

De beste E-mail Gebruiker,

 om uw proces van de Controle van de Rekening te voltooien, u moet
antwoorden en dit bericht uw Gebruikersbenaming en Wachtwoord
respectievelijk in de ruimte ingaan die onder deze e-mail wordt
verstrekt. U moet dit vóór volgende 48hrs van ontvangstbewijs van deze
e-mail doen, of uw postRekening zal van ons Gegevensbestand worden
gedesactiveerd en worden gewist. Uw rekening kan ook worden
geverifi�ërd bij:

gaat Gebruikersbenaming in (         )
Ga Wachtwoord in (         )

Dank u voor het gebruiken van UNIVERSITAIR UTRECHT WEBMAIL

versus

Subject: UNIVERSITY UTRECHT WEBMAIL : Update Your Email Account

Dear E-mail User,

To complete your Account Verification process, you are to reply  this
message and enter your Username and Password respectively in the space
provided below this email.You are required to do this before the next
48hrs of  receipt of this e-mail, or your mail Account will be
de-activated and erased from our Database. Your account can also be
verified at:

Enter Username (         )
Enter Password (         )

Thank you for using  UNIVERSITY UTRECHT WEBMAIL

Iemand enig idee welke automatische vertaler dit gedaan kan hebben?

In the category spammers will try anything that looks like an e-mail address I repeatedly find variations on this message in the system logs:

greenblatt sm-mta[12385]: n4RAsgSa012385: <8006@idefix.net>... No such user in domain

Where they get that idea? Simply: On the Asterisk podcast per telefoon page is a sip url for sip:8006@idefix.net. It looks like an e-mail address: spam it!