News items for tag spam - Koos van den Hout

Met alle aankomende wijzigingen op het werk hebben we besloten om de spamfiltering uit te besteden aan de surfnet mailfilter dienst. Die worden er voor betaald om de filtering dagelijks bij te houden en wij hebben er straks minder tijd voor. Totnogtoe was het natuurlijk altijd onze 'eigen' mailsetup en konden we zelf de spamstats bijhouden, en dat verliezen we.
We hebben eerst students.cs.uu.nl omgezet en vanmorgen cs.uu.nl. In de logs van de studentenmailserver viel me opeens op dat de smtpd ratelimiting (anvil) van postfix aansloeg op de surfnet mailfilters dus ik heb de surfnet mailfilter adressen toegevoegd aan de smtpd_client_event_limit_exceptions setting in postfix. Bij cs.uu.nl gebruiken we postfix, al van toen het nog vmailer heette. In sendmail zou ik voor die IP blokken andere ratelimits kunnen zetten maar postfix heeft blijkbaar alleen de opties default en geen ratelimits.

Y2.01K problem: SpamAssassin had a rule since 2006 that e-mail with a date in the 'far future' was likely spam. The 'far future' was defined as 2010-2099. So today that rule started firing, leading to missed e-mail. Documentation for SpamAssassin Rule: FH_DATE_PAST_20XX. Time for an update there...

Sommige mensen blijven zo dom om het e-mail adres van een ander in te vullen op een site om zo van eventuele reclame af te komen. Maar soms kan dat vervelende effecten hebben. Zo kreeg ik net een wel heel duidelijk verdwaald mailtje:

   Beste klant,
   U hebt een opwaardeervoucher besteld bij Lebara NL WEB Reloads op 22
   december 2009 15:00:23 CET.
   Als u deze opwaardeervoucher wilt gebruiken, belt u gratis naar 1244
   met opwaardeercode 27964964967133.

Maar dat heb ik helemaal niet gedaan. Ik denk dat er iemand nu heel boos probeert de klantenservice van Lebara te bellen.

One mailing list hoster, ivillage.com, is still sending me loads of the unwanted mailing list spam and making it quite hard to get rid of it. They have 49 mailing lists, the retaliating spammer signed me up to about 41 of them, and to get rid of them I have to uncheck every one of them to unsubscribe. The 'support' link on the site let me fill in a form which got an autoreply pointing me to the unsubscribe form on the site. So more attempts to get through to them that they need to verify the addresses they get via the site and to get rid of all of their mail in one go. Reporting each and every one of their mails via spamcop has not made much of a difference yet. The acceptable use policy of their provider xo.com prohibits sending mail like this:

A communication may be unsolicited if: (1) recipients' email addresses were not obtained through a personal or customer relationship between recipient and sender, (2) recipients did not affirmatively consent to receive communications from sender, or (3) recipients have opted out of receiving communications from sender when given notice of the opportunity to do so.

I never confirmed receiving their mail, so they break rule 2.

Nadat ik in Juni al last had van spam van idg uitgevers / Computer!Totaal krijg ik vanochtend weer e-mail van ze, dit keer op m'n hccnet adres (de hcc wil perse met je communiceren, dus ik moest mijn hccnet adres activeren om van computer!totaal af te komen toen die optie kwam). Blijkbaar hebben ze besloten bij IDG uitgevers om het ingaan van de nieuwe regels tegen spam in de telecomwet te vieren met een spamrun naar hun oude HCC adressenbestand.
Update 2009-10-06: Niet geheel onverwacht, ook Henk van de Kamer ergert zich aan dezelfde actie van IDG maar heeft de mail blijkbaar net gehad toen het nog 'minder strafbaar' was.

Suddenly I get numerous 'newsletter subscription' mails in my inbox, some declaring I subscribed and some asking me to confirm my subscription.

Samples:

Subject: You've Been Subscribed to iVillage!                                    

You have been subscribed to:

• YourTotalHealth Special Offers • Beauty & Style Top Ten • YourTotalHealth
Community Challenges 

Subject: Mind Tools Newsletter - Please Click Link to Confirm Subscription...   

Thank you for taking the first step in subscribing to the Mind Tools
Newsletter! There's just one more thing to do before your
subscription is activated,

Welcome!                                                       

Dear rty6ry,                                                                    

Welcome and thank you for subscribing to the Food
Reference weekly newsletter.   

Dear fyhfhfg,

Thank you for subscribing to UNESCO's Communication and Information Sector
newsletter.

We have registered your subscription with these details:

First Name ftgrt
Last Name  dggdf

I must have really pissed off some spammer to get some personal attention like this. GOOD. A spammer getting all worked up isn't spamming.
Too bad none of the mails tell me which IP address I 'subscribed' from, although I have a vague idea I need to search in the area of Heerlen / Kerkrade in the Netherlands.

All the subscriptions without confirmations will be reported as spam naturally.

Europees

Blijkbaar 'denken' sommige spammers dat dat iets goeds is, gezien de subject regels van spam de laatste dagen. Voorzover je bij spammers kunt spreken van denken, natuurlijk.

Voor de casino-spammers zie ik het al langer, varianten van:

Subject: Sluit u vandaag aan bij Euro Club Casino
Als u op zoek bent naar een betrouwbare plaats om online te spelen, met een brede selectie aan spelen en Europese betrouwbaarheid, dan is Euro Club Casino de plaats voor u.

Maar eigenlijk zit de gespamde site (www.gold-royal.net) in China, geeft een redirect naar een andere site (keno-topgame.net) in de Ukraine waar een hele website gebouwd is met machine vertalingen. En dan komt geen rekening houden met mensen buiten de US wel heel dom over:

Bel gratis: 1-866-866-6945 / 1-866-546-0445 Internationaal: 1-266-481-2382

Maar nu ook de medicijnen-spammers, met nogsteeds de bar slechte machinevertalingen:

Subject: Top pillen Uit de Top Europese Apotheek
Uw online apotheek met blijvend lage prijzen belifert ze snel en gemakkkelijk. Geniet van het comfort van uw medicijnen Qualtitats comfort van hun woning in orde en 7 dagen per week de klok rond.

Zo op het eerste gezicht machinevertaald amerikaans engels. Willen amerikaanse spammers misschien toch europese medicijnen, en een europese gezondheidszorg?

Het blijft heel moeilijk, omgaan met e-mail voor bedrijven. Ik had bij Eneco aangegeven wel via iDeal te willen betalen (vanwege de acceptgirokosten, en ik weiger automatische incasso categorisch tot dat een keer veiliger gaat worden).

Vandaag zie ik een mailtje wat misschien van Eneco is:

Subject: Uw nieuwe Eneco nota staat online                                      

U ontvangt deze email omdat u heeft gekozen voor de betaalwijze online betalen. 
                                                                                
Uw nieuwe Eneco nota staat online

Geachte mevrouw, heer,

Er staat een nieuwe nota voor u klaar op Mijn Eneco. U vindt deze nota          
bovenaan in het notaoverzicht. Door op de nota te klikken, krijgt u             
uitgebreide informatie over deze nota. U kunt de nota direct betalen            
door op de iDEAL-button achter de nota te klikken.

Direct mijn nota betalen
http://public.tripolis.com/r/9VZEywtA1Zi[...]

Geen idee wat tripolis.com is, maar ik ga niet zomaar op een 3e partij link klikken voor een betaling. Mensen proberen naar een hele andere site te sturen en dan geld te laten betalen heet 'phishing'.

Ook de headers van het mailtje geven geen vertrouwen:

Received: by outbound1.tripolis.com (PowerMTA(TM) v3.5r13) id hm7fqm0j2qks for  
        <xxxxx@yyyyyyyyyyyyy>; Thu, 17 Sep 2009 09:05:09 +0200 
        (envelope-from )                          

Geen Eneco server. Geen verwijzing naar een Eneco site. De 'echte' Eneco site gebruikt https met een EV certificaat.

Met wat zoeken in de 'mijn eneco' omgeving ontdek ik wel de openstaande betalingen. Ik verwachtte dat na het inloggen gelijk een 'u heeft een betaling openstaan' melding zichtbaar zou zijn, maar ik moest even zoeken.

Direct maar een melding achtergelaten op de Eneco site:

Ik heb aangegeven Eneco via iDeal te willen betalen, maar nu ontvang ik een mailtje wat pretendeert van Eneco te zijn voor de betaling, maar de link 'Direct mijn nota betalen' wijst naar een 3e partij - tripolis.com - waar ik niets mee te maken heb en die geen https met (EV) certificaat gebruiken. Ook blijkt uit de headers dat de mail niet afkomstig is van servers van Eneco. Elke phisher kan dit soort e-mails namaken en een mooie eigen fake-betaal site bouwen.

Gelukkig kan ik - na het nodige zoeken - ook in de wel-beveiligde omgeving van mijn eneco een verwijzing naar de betaling vinden, dus ik ben in staat om de rekening te betalen zonder de verdachte link te gebruiken.

Ik vraag Eneco om zo snel mogelijk de teksten in de e-mail berichten aan te passen zodat elke schijn van misleiding vermeden wordt en klanten uit te nodigen naar de eneco website te gaan om daar binnen de beveiligde omgeving de betaal-verwijzing te kunnen vinden. Hiervoor zou het ook handig zijn als de url https://mijn.eneco.nl/ werkt, mijn eerste gok van de 'mijn eneco' website.

Anders ben ik genoodzaakt weer terug te schakelen naar betaling per acceptgiro EN bezwaar te maken tegen eventuele acceptgiro-kosten, zie http://blog.iusmentis.com/2009/08/31/kosten-bij-acceptgiro-onredelijk-bezwarend/ .

Ik ben benieuwd naar de reactie.

Update 2009-09-17: Even opgezocht: tripols.com noemt zichzelf E-mail marketing software & delivery. Een van hun 'solutions' is dat ze zich specialiseren in 'deliverability' van business e-mails ondanks spam filters. Ruikt als een spammer, dus.

Het zou veel meer helpen als Eneco gewoon zelf deze e-mail berichten zou verzenden, zonder derde partij tracking link en met een geldige en verifieerbare digitale handtekening middels PGP of S/MIME.

Update 2009-10-06: Nog geen reactie van Eneco behalve de bevestiging van mijn bericht. Ik heb maar eens een reminder gestuurd.

Update 2009-10-08: Antwoord: ze begrijpen de verwarring met het gebruik van het domein tripolis.com en gaan er binnen Eneco naarkijken of het beter kan.

One downside of a weblog such as the hcc!pc netwerkgroep website is 'trackbacks' being tried for linkspam. So serendipity is configured to accept trackbacks but keep them all for verification, so visitors don't see all the linkspam left by criminals. The 'score' of about one week of linkspam:

serendipity=> delete from serendipity_comments where status='pending';
DELETE 337

Nice sample in the spam of what is in Dutch called acquisitiefraude (aquisition fraud?). Trying to make companies pay for being in some 'register' where nobody looks. From the spam e-mail:

In order to have your company inserted into the registry of World Company Directory for 2009/2010, please print, complete and return the enclosed form (PDF file) to the following address:

With the detail:

Updating is free of charge!

Well, updating may be free, insertion isn't when reading the small print in the PDF:

I HEREBY ORDER A SUBSCRIPTION WITH SERVICE PROVIDER WORLD BUSINESS DIRECTORY LTD. I WILL HAVE AN ENTRY INTO ITS DATABASE FOR THREE YEARS. THE PRICE PER YEAR IS EUR 980.

Spammers and frauds nicely working together, not a surprise.

"World Company Directory" melding bij steunpunt acquisitiefraude

A spammer on the block named Facebook. And I'm not talking about spamming in facebook, I'm talking about spam from facebook in my mailbox, disguised as an 'invitation'. From the e-mail:

I set up a Facebook profile where I can post my pictures, videos and events and I want to add you as a friend so you can see it. First, you need to join Facebook! Once you join, you can also create your own profile.

PREMIER SITE DE RENCONTRE 100% GRATUIT. chat,envoie de mails,inscription,photos, envoie de vos coordonnées personnel aux autres membres .......tous les services sont GRATUITS sur notre site de rencontre

Some French-language website (on facebook? redirecting somewhere else? I have to register with facebook to find out: no way). And, at the bottom:

******@ruu.nl was invited to join Facebook by Azza Ava. If you do not wish to receive this type of email from Facebook in the future, please click on the link below to unsubscribe.

That e-mail address points at a role-account here (and given the fact that the @ruu.nl version is used means a really old spammer list is used too). So it has never been subscribed to anything from Facebook. No need to unsubscribe, this is pure spam. According to whois for the sender-IP:

NetRange:   69.63.176.0 - 69.63.191.255 
CIDR:       69.63.176.0/20 
OriginAS:   AS32934
NetName:    TFBNET2
NetHandle:  NET-69-63-176-0-1
Parent:     NET-69-0-0-0-0
NetType:    Direct Assignment
NameServer: DNS04.SF2P.TFBNW.NET
NameServer: DNS05.SF2P.TFBNW.NET
Comment:    Contact abuse@facebook.com with issues.
RegDate:    2007-02-07
Updated:    2009-03-04

I am not fully convinced their abuse department is going to change their system not to annoy random e-mail accounts with invitation-spam. Time to notify uplink providers too that there is a spammer in the house.
Update: the nice autoreply from abuse at facebook tells me all about privacy on facebook and stuff like that. Bzzzzt, wrong answer! I'm from the non-facebook world and I don't want your invitations. I'll discuss this with your uplink providers. They have the wire-cutters to really deal with the problem.
Update^2: According to the facebook abuse department the mail was faked and not really from facebook. I disagree: the headers show an outgoing facebook mail server.

Ooit, lang geleden toen ik nog het blad Computer!Totaal onvermijdelijk kreeg bij het HCC lidmaatschap heb ik op het bijbehorende forum begin 2004 wat reacties gepost over artikelen. Vandaag kreeg ik om 13:03 ineens e-mail op het adres van de forum registratie over het Grote Merkenonderzoek van ComputerTotaal.
Daar was die forumregistratie niet voor, dus ik volg gelijk de link om geen e-mail meer te ontvangen, een typische link met cryptografische hash. Op de site (waar het goeie e-mail adres staat, dus de link was inderdaad gepersonaliseerd) blijken 4 categorieën te zijn waarin je e-mail kunt krijgen waarvan 2 aangevinkt. Ik wilde niets meer te maken hebben met Computer!Totaal of IDG dus heb ik ze gelijk uitgevinkt. Dan krijg je een nieuwe link in je e-mail om die wijzigingen te bevestigen.. waarom? Zijn ze bang dat iemand anders de link misbruikt om hun e-mail te stoppen? Een beetje overkill na die eerdere link met cryptografische hash. Die bevestiging natuurlijk gedaan om 13:24.
Vervolgens krijg ik om 16:01 weer mail, dit keer voor het 'Tips & Trucs forum' wat graag een nieuwsbrief kwijt wil. De link om mijn 'voorkeuren voor het onvangen van e-mail van Tips & Trucs te wijzigen' levert op dat daar weer 4 categorieën zijn waarvan 2 aangevinkt. Dus nog meer spam e-mail uit die hoek.
Dan vraag ik het niet meer lief, blijkbaar zijn Computer!Totaal / IDG uitgevers / Tips & Trucs gewoon spammers. Ok, daar kan ik gewoon een klacht over indienen, dat is ook een stuk minder werk.

Vandaag weer phishing mail in krom Nederlands, maar met het beter lopende Engelstalige origineel er vlak achter. Dat maakt vergelijken leuk:

Subject: UNIVERSITAIR UTRECHT WEBMAIL: Werk Uw E-mai lRekening bij

De beste E-mail Gebruiker,

 om uw proces van de Controle van de Rekening te voltooien, u moet
antwoorden en dit bericht uw Gebruikersbenaming en Wachtwoord
respectievelijk in de ruimte ingaan die onder deze e-mail wordt
verstrekt. U moet dit vóór volgende 48hrs van ontvangstbewijs van deze
e-mail doen, of uw postRekening zal van ons Gegevensbestand worden
gedesactiveerd en worden gewist. Uw rekening kan ook worden
geverifi�ërd bij:

gaat Gebruikersbenaming in (         )
Ga Wachtwoord in (         )

Dank u voor het gebruiken van UNIVERSITAIR UTRECHT WEBMAIL

versus

Subject: UNIVERSITY UTRECHT WEBMAIL : Update Your Email Account

Dear E-mail User,

To complete your Account Verification process, you are to reply  this
message and enter your Username and Password respectively in the space
provided below this email.You are required to do this before the next
48hrs of  receipt of this e-mail, or your mail Account will be
de-activated and erased from our Database. Your account can also be
verified at:

Enter Username (         )
Enter Password (         )

Thank you for using  UNIVERSITY UTRECHT WEBMAIL

Iemand enig idee welke automatische vertaler dit gedaan kan hebben?

In the category spammers will try anything that looks like an e-mail address I repeatedly find variations on this message in the system logs:

greenblatt sm-mta[12385]: n4RAsgSa012385: <8006@idefix.net>... No such user in domain

Where they get that idea? Simply: On the Asterisk podcast per telefoon page is a sip url for sip:8006@idefix.net. It looks like an e-mail address: spam it!

De zoveelste phishing mail vandaag, maar een van de vragen die de phisher stelt aan de gebruiker viel me op als een bijzondere vorm van krom Nederlands, vermoedelijk afkomstig uit een automatische vertaler. Ik raak bijna benieuwd naar de originele bewoordingen hiervan:

Duur van de e-mail wanneer er sprake is zeker:

Maar of alle phishers gebruiken dezelfde originele teksten en vertaler, of ergens is een website waar adviezen en standaard-teksten aan phishers verkocht worden en staat deze tekst als geschikt voor Nederlandstalig.

Issue at work today: our mailserver was a bit overloaded. We run spamassassin in daemon mode to filter incoming mail that made it past the simple smtp checks. I noticed that mail to all staff members caused lots of waiting spamc processes from time to time which made mail pile up. A lot of the spamc processes were killed after a while because maildrop limits the time mail delivery can take. The big fix will be to increase the memory on the mail server, it is now swapping a lot. But the small fix was to tune spamd to not try to kill all its child processes when idle. Starting and stopping spamd child processes is an 'expensive' operation and mails to all staff members trigger a lot of simultaneous spamc calls, so it works better if a mail to a lot of local users finds already running spamd servers. I changed the setting to --max-spare=5 which made the load problem go away. We will still get a memory upgrade, but this simple processing fix also helped.

A first (for me): phishing mail (still from ADMIN at helpdesk.org) which has a web-link to 're-validate your mailbox' which points to a form at emailmeform.com. By the description of the service they will mail it to the form owner, but that owner can be a dropbox like for any phishing mail, just a bit harder to trace. The form asks for username, password and e-mail address.
Update: the phishers will have to do better, emailmeform has blocked the form and the account fast.

Lots of unreadable news about the Conficker/Downadup worm, including the first 'end of the Internet predicted' articles. For a quite readable explanation, go read Downad/Conficker, who’s the April Fool? by Rik Ferguson from Trend Micro and for a more scientific dissection go read An Analysis of Conficker by Phillip Porras, Hassen Saidi, and Vinod Yegneswaran at SRI International.
Source: Final countdown to Conficker 'activation' begins - The Register.

Loads and loads of spam for 'Canadian Pharmacy'. Spam rates are in messages per hour. I noticed that the sending machines are almost all in south-america and the sites pointed at seem to live at IPs in China. But with very short TTL values so they can change any minute. Literally:

;; ANSWER SECTION:
currentneighbor.com.    60      IN      A       203.93.208.87

Other standards like valid SOA records and stuff like that aren't needed, potential customers just have to be able to reach the spamvertised site. I haven't seen a lot of IPs (yet). All running nginx, the choice of spammers and virus-spreaders. Or rather guided by language: the documentation for nginx is in russian so that part of the cybercriminals of this world can read it. Since nginx can do a lot with proxying I guess there is just a proxy at that IP pointing somewhere else where the real processing happens (or maybe that just goes to another proxy). I received 94 of these spams in the last 2 days (sofar). I can't imagine anybody receiving this not seeing that this must be some kind of scam.

Een van mijn e-mail adressen is een adres wat makkelijk bedacht wordt door mensen voor webformulieren. Als gevolg hier van krijg ik regelmatig e-mail van websites die bang zijn dat ze potentiele klanten kwijtraken als ze de ingevoerde e-mail adressen eerst verifieren voor ze hun 'nieuwsbrieven' en dergelijke sturen. Als ik dus in de verkeerde bui ben gaan die mails gelijk door naar het spamklacht.nl klachtenformulier en spamcop.net en als ik in een goeie bui ben probeer ik een keer iets als een 'unsubscribe' link of corrigeer het e-mail adres op de website naar iets als info@afzenderdomain.
Vandaag een bijzondere verdwaalde e-mail:

Geachte mevrouw Slotboom,
Hartelijk dank voor het inzenden van uw pasfoto voor uw OV-chipkaart.
U ontvangt uw nieuwe Voordeelurenabonnement op de OV-chipkaart..

Ik heb alleen zeker geen voordeelurenabonnement meer: juist vanwege de invoering van de OV-chipkaart en het absoluut niet goed nadenken over privacy daarbij heb ik mijn voordeelurenabonnement opgezegd. Maar blijkbaar wil de NS nog eens extra aantonen dat ze slecht nadenken over privacy en accepteert dus elk willekeurig e-mail adres ergens in het invoeren van de gegevens. De 'mijn gegevens' link uit het mailtje geeft ook de gegevens zoals die bij de NS geregistreerd staan, dus ik kan nu van deze mevrouw Slotboom adres, geboortedatum en telefoonnummer zien.
Uit de NS privacy policy waarnaar verwezen wordt op de pagina met gegevens:

Om uw persoonlijke gegevens optimaal te beschermen tegen onbevoegde toegang of onbevoegd gebruik, wordt binnen NS steeds de nieuwste beveiligingstechnologie toegepast.

Nou, blijkbaar is die nieuwste beveiligingstechnologie in dit geval een unieke url via een third-party e-mail response bedrijf die gestuurd wordt aan een e-mail adres waarvan niet geverifieerd is dat het klopt met de persoon waar het over gaat.