News items for tag spam - Koos van den Hout

2019-09-04 Meer spam voor een Belg, ondertussen uit een antiek adressenbestand 2 months ago
Ook inktbestellen.be gebruikt het ondertussen antieke adressen spam bestand wat ik voor het eerst zag in 2012: Want to pay 199 Euro for a worthless spamlist? Email-Packs makes it possible.

Eerder, Eerder, eerder, eerder, eerder, eerder, eerder.

En zelfs inktbestellen.be spamt met de aanhef Beste Maes-Swerts/A.. Dat was dus al fout in 2012.

Tags: ,
2019-07-15 Still SMTP floods from 185.222.211.x addresses 4 months ago
Cybercriminal A month later I'm still seeing SMTP floods from 185.222.211.11 and adjacent addresses. I activated the sendmail-reject filter ruleset in fail2ban which keeps several addresses in that range blocked most of the time.

Given reports like 185.222.211.238 | Cloud Core LP | AbuseIPDB and 185.222.211.243 | Cloud Core LP | AbuseIPDB I'm not the only one seeing abuse from this range.

Tags: , ,
2019-06-08 SMTP floods from 185.222.211.11 5 months ago
Cybercriminal Noticed in the recent logs, lots of variations on:
Jun  6 19:15:41 gosper sm-mta[22475]: x56HFc06022475: <mail@some.domain>... No such user in domain 
Jun  6 19:15:41 gosper sm-mta[22475]: x56HFc06022475: <support@some.domain>... No such user in domain 
Jun  6 19:15:41 gosper sm-mta[22475]: x56HFc06022475: <reply@some.domain>... No such user in domain 
Jun  6 19:15:41 gosper sm-mta[22475]: x56HFc06022475: srv-eml.info [185.222.211.11]: Possible SMTP RCPT flood, throttling.
Jun  6 19:15:41 gosper sm-mta[22466]: x56HFCbH022466: <financeiro@some.domain>... No such user in domain 
Jun  6 19:15:42 gosper sm-mta[22473]: x56HFVoi022473: <biuro@some.domain>... No such user in domain 
Jun  6 19:15:42 gosper sm-mta[22468]: x56HFItg022468: <michael@some.domain>... No such user in domain 
Jun  6 19:15:42 gosper sm-mta[22471]: x56HFPIC022471: <chris@some.domain>... No such user in domain 
Jun  6 19:16:51 gosper sm-mta[22466]: x56HFCbH022466: lost input channel from srv-eml.info [185.222.211.11] to MTA-v6 after rcpt
Jun  6 19:17:16 gosper sm-mta[22475]: x56HFc06022475: <jobs@some.domain>... No such user in domain 
Jun  6 19:17:17 gosper sm-mta[22475]: x56HFc06022475: <wh5gkoxp5wqk@some.domain>... No such user in domain 
Jun  6 19:17:18 gosper sm-mta[22475]: x56HFc06022475: lost input channel from srv-eml.info [185.222.211.11] to MTA-v6 after rcpt
Jun  6 19:17:18 gosper sm-mta[22475]: x56HFc06022475: from=<20tv13b4bu0h2107@europcar.ua>, size=0, class=0, nrcpts=1, proto=ESMTP, daemon=MTA-v6, relay=srv-eml.info [185.222.211.11]
All from the same IP, trying a lot of addresses (and failing), with a retry later trying all those addresses again.

Tags: , ,
2019-04-12 Corel spam 7 months ago
It seems Corel graphics still exists and part of their continued existance is sending out spam to unverified e-mail addresses. With the included lie:
You are receiving this email because you requested to receive information regarding Corel products and special offers or you subscribe to a Corel e-newsletter.
No I haven't.

Tags: , ,
2019-03-13 Scam mail really on the rise 8 months ago
According to “FINAL WARNING” email – have they really hacked your webcam? - Naked Security there is a big flood the last day(s) of "Sextortion" scam mails going around. Don't fall for these. It's all fake.

Tags: , ,
2019-03-12 A stupid extortion attempt: with an embedded image 8 months ago
A new level of stupid in the "I have you on video watching porn" extortion scams: the whole message embedded as an image, including the instructions to carefully cut and paste the bitcoin wallet address.

Links: Report history for 12Vso1cRX7zQovZG4wH7RAz2HqtdW1Lvek - Bitcoin Abuse Database, Bitcoin Address 12Vso1cRX7zQovZG4wH7RAz2HqtdW1Lvek.

Before, before, before.

Tags: , ,
2019-03-08 Another extortion attempt mentioning video 8 months ago
In the inbox this morning, another attempt at extortion.
Subject: IMPORTANT! You have been recorded masturbating! I have Koos Website.mp4!

Hi there,

The last time you visited a porn website with teens,
you downloaded and installed the software I developed.

My program has turned on your camera and recorded
the process of your masturbation.

My software has also grabbed all your email contact lists
and a list of your friends on Facebook.

I have the - Koos Website.mp4 - with you jerking off to teens
as well as a file with all your contacts on my computer.

You are very perverted!

If you want me to delete both the files and keep the secret,
you must send me Bitcoin payment. I give you 72 hours for the payment.

If you don't know how to pay with Bitcoin, visit Google and search.

Send 2.000 USD to this Bitcoin address as soon as possible:

34vKT8SpK2zYAgJUDww9ih1o7Ky3JKmCdP
(copy and paste)

1 BTC = 3,850 USD right now, so send exactly 0.525386 BTC
to the address provided above.
Do not try to cheat me!
As soon as you open this Email I will know you opened it.
I am tracking all actions on your device.

This Bitcoin address is linked to you only,
so I will know when you send the correct amount.
When you pay in full, I will remove both files and deactivate my program.

If you don't send the payment, I will send your masturbation video
to ALL YOUR FRIENDS AND ASSOCIATES from your contact lists I hacked.

Here are the payment details again:

Send 0.525386 BTC to this Bitcoin address:

----------------------------------------
34vKT8SpK2zYAgJUDww9ih1o7Ky3JKmCdP
----------------------------------------


You саn visit police but nobody can help you. I know what I am doing.
I don't live in your country and I know how to stay anonymous.

Don't try to deceive me - I will know it immediately - my spy software is
recording all the websites you visit and all keys you press.
If you do - I will send this ugly recording to everyone you know,
including your family.

Don't cheat me! Don't forget the shame and if you ignore this message your
life will be ruined.

I am waiting for your Bitcoin payment.
You have 72 hours left.

Anonymous Hacker
Given the address it's clear someone managed to visit this website. Actually hacking my computer and removing the webcam cover or installing the webcam is harder!

Bitcoin links: Report history for 34vKT8SpK2zYAgJUDww9ih1o7Ky3JKmCdP - Bitcoin Abuse Database and Bitcoin Address 34vKT8SpK2zYAgJUDww9ih1o7Ky3JKmCdP.

Tags: , ,
2019-02-06 Meer afpersmail met bitcoins 9 months ago
Het blijft actueel: Verschillende afpersmails in omloop - Fraudehelpdesk.

Ik zie ze zelf ook op verschillende plekken. Trap hier niet in.

Dit keer een bitcoin adres waar nog geen transacties in zichtbaar zijn: 12PUa2SHjWAUEpZZUxQNvxa7epab7g2Ksb alleen is mij niet duidelijk of deze site het verschil tussen een echt aangemaakt adres zonder transacties of een willekeurig adres weet.

Toevoeging 2019-02-07: Een bedrag van 808 dollars in bitcoins staat nu in de wallet, in 2 transacties. Gegeven het bedrag in het originele mailtje zijn er dus 2 mensen ingetrapt.

Toevoeging 2019-02-11: Er is nu over de 3000 dollar in bitcoins binnen. Als ik zo naar de transacties kijk lijken er 7 mensen ingetrapt.

Nog meer informatie: Bitcoin Abuse Database for 12PUa2SHjWAUEpZZUxQNvxa7epab7g2Ksb (engelstalig).

Tags: , ,
2019-01-08 Ook in 2019 meer spam voor een Belg 10 months ago
De spammers hebben geen goede voornemens, of voornemens die ik niet als goed zou benoemen, want ook in 2019 gaan ze vrolijk door. Nog steeds spam die gericht is aan een belgisch bedrijf op een .nl adres.

Hetzelfde patroon, nu van Ticket Restaurant Belgie. De advertentietekst is allemaal in het nederlands, de standaard leugens dat ik me geabonneerd zou hebben en dat ik me zo kan uitschrijven zijn in het frans en verwijzen naar NeoPro.

En ook van onlinevisa.eu krijg ik spam, zelfs met de naam "Maes-Swerts/A." er weer eens in. Die had ik een tijd niet gezien!

Ook King Oak VOF gebruikt blijkbaar het zelfde bestand om te spammen. Dat bestand is minstens 7 jaar oud.

Eerder, eerder, eerder, eerder, eerder, eerder.

Tags: ,
2018-12-14 Afpersingsmail die blijkbaar werkt 11 months ago
Ik kreeg een mail zoals deze Afpersingsmail: Bedreiging voor uw veiligheid! ***@*********.nl is gecompromitteerd. - Fraudehelpdesk.

De tekst leest kwa stijl of de auteur niet echt Nederlands kent en deels hulp heeft gehad van een automatische vertaling of van meerdere mensen die stukjes vertaald hebben.

Het volgen van het bitcoin adres in het mailtje (deels gemaskeerd bij fraudehelpdesk) levert een interresant beeld op: dit levert blijkbaar wel wat op. Als ik de bitcoin rekening opzoek op Bitcoin Address 1PRUG1TrBWKLpvMJYfYXhZVSDagSySqXuz zie ik diverse bijschrijvingen in de afgelopen twee dagen en een afschrijving. De eerste drie bijschrijvingen lijken erg op betalingen in de buurt van de genoemde 35 euro. Maar als ik diep in de transacties duik zonder enige voorkennis van bitcoin zie ik allemaal verwarrende dingen.

Opvallend is wel dat dezelfde wallet dus op meer plekken genoemd is. Daarmee is het traceren van degene die betaald heeft onmogelijk, waardoor het verhaal in de afpersingsmail ook compleet ongeldig is.

Tags: , ,
2018-05-22 The linkspammers are back, but they are trying to hide it a lot better 1 year ago
Over the years I have ranted several times about linkspammers. About spammers in general too, but linkspammers are a special category.

Most of them, especially the fully automated ones died when google started detecting their deceit. That time there was some amusement to be had reading mails "somehow there is an evil link to my site from your site, please remove it as it affects both our google ranking".

But now they are back, but trying to hide it a lot better. I received several nicey-nicey and helpful mails with really personal suggestions to improve my site, or improve the world in general by adding some link they proposed, complete with the right anchor text.

At first I thought they were personal and answered them telling them the proposed links were wrong, or they had not read the article/post/.. they wanted to change very carefully.

And then a week or two later I'd get another personal mail asking whether I had considered their previous request. And answering with "did you read my answer?" did not change a thing.

My best guess at the moment is that I wasn't looking at a personal mail and that I should add a lot of airquotes about terms like "personal" above. It's a template with 'page X' 'needs link Y' and 'with anchor text Z' and there is software running that checks whether page X has the 'right' link and keeps sending reminders until it does.

As you can imagine (or not), I feel very annoyed by this new scam tactic.

One sample:
Hi pal,

My name is Oliver and I'm writing to share an infographic that aims to educate people about PTSD amongst our veterans and serving military personnel. The infographic is titled "The Silent Enemy: How PTSD Damages Our Soldiers".

You can view the infographic by clicking here: [link]

To spread the word about these issues, I ask if you could add a "weblink" to this infographic from this page on your own website: https://idefix.net/~koos/newsitem.cgi/1318581406 Note how this page has only a link to 'military' but actually reading it for 4 seconds would let you know that it has no link to PTSD in the military.

I chose this page because you already link to www.af.mil/News/Photos/ from this page.

If this is possible, you could add the below text to this page on your own websi te:

The Silent Enemy: How PTSD Damages Our Soldiers – An infographic aiming to raise awareness about PTSD in the military.

Alternatively, you could also publish the infographic on your website as a "guest blog post". If this is OK, I can write a unique introduction to go with the infographic. This will save you time and also help to highlight the important issues covered in the infographic.

I really appreciate your time. I know that linking to this infographic will help to build awareness about mental health issues amongst veterans and serving memb ers of the military. I'm sure this is a cause you would like to get behind by adding the above link. I've actually attached the infographic to this email for you to add to your website at either the page I suggest or as a fresh blog post.

Many thanks,

Oliver Clark

Rehab 4 Alcoholism

Please click on Unsubscribe to be unsubscribed from any future communications. P rivacy notice.
The last line is quite a hint that this is from an automated system, the stories are somewhat long so this isn't always very visible.

Now I also wonder whether the link would be to a very commercial rehab organisation.

Tags: , , ,
2018-04-20 Spam van StoryTel 1 year ago
Spam van StoryTel, waarin het me opvalt dat ze de e-mail marketing spam infrastructuur van mandrillapp gebruiken, maar zelfs zonder manieren om uit te schrijven of iets anders wat nog een beetje rekening houdt met de huidige wetgeving op dat gebied.

Zoeken op storytel spam levert niet veel vergelijkbare verhalen op dus blijkbaar is dit een nieuwe aanpak van StoryTel.

Dan maar via alle routes aangemeld als spam, inclusief een complete melding bij Spam melden bij ACM.

Tags: , ,
2018-03-16 Meer spam voor een Belg 1 year ago
Het gaat rustig door, ruim 5 jaar sinds de eerste spam die te herleiden was tot een belgische lijst. Ook vandaag, dit keer spam voor Desvo veilingen die blijkbaar ook dezelfde spamlijst gekocht hebben.

Tot nu toe was alle spam die ik dacht te herleiden naar deze bron nederlands / vlaams. Gericht op inkopers bij bedrijven. Maar nu eentje in het frans, maar uiteindelijk te herleiden tot Fruit at work die tweetalig werkt. En later op dezelfde dag Neopost weer gewoon in het nederlands maar volgens de mail ook via "B2Best Belgique" die op het web niet terug te vinden is.

Eerder, eerder, eerder, eerder, eerder.

Tags: ,
2017-11-07 Spammers using old lists 2 years ago
I'm easily amused by the rejects in the maillog clearly caused by spammers using ancient lists.

For example, I'm still seeing attempts to mail the address that I used for signing up to linkedin. When the first spam came after the linkedin breach in 2012, I changed the address and disabled the original address. But spam for that address still came in this week.

Tags: , ,
2017-10-31 Spammers overdoing it a bit 2 years ago
Dear Professor Epocafe,
Yes, there is an e-mail address that looks like repocafe@ but it's not a person.

Tags: , ,
2017-10-23 De spam voor een Belg gaat maar niet dood 2 years ago
Ondertussen leven we op ruim 5 jaar sinds de eerste spam die te herleiden was tot een belgische lijst maar er kwam er vandaag weer een binnen van een belgisch bedrijf met kenmerken die lijken op de eerste spam die binnenkwam. Dus ook Kleurstempel.be gebruikt spamlijsten. Die ondertussen oud zijn.

En ook Aqua service gebruikt oude spamlijsten. En bijvoorbeeld ook ART-company.

Eerder, eerder, eerder, eerder.

Tags: , ,
2017-06-02 MrKortingscode spam 2 years ago
Je ontvangt deze e-mail omdat je meedoet aan MrKortingscode.
Regel 1 over spammers: spammers liegen. Ik heb nergens een e-mail adres opgegeven. Maar blijkbaar kon een ander wel mijn adres verzinnen en kreeg ik deze mail.

Die pas na twee keer goed lezen een verificatiemail bleek te zijn en niet een 'we gaan je maar spammen' mail. Tijd om je tekst aan te passen naar iets wat meer rekening houdt met de optie dat het verkeerde e-mail adres opgegeven wordt.

Tags: , ,
2017-05-05 Vermakelijke poging om spam persoonlijk te laten lijken 2 years ago
Vandaag in de spambox:
Weet je nog dat ik je een tijdje geleden vertelde dat ik op zoek was naar een date via internet? Jeetje, wat was dat moeilijk, ofwel kwam ik uit op een of andere vrouw die zichzelf voor iemand anders uitgaf, ofwel stond ik daar op een date voor niks! Vorige week dan uiteindelijk via via nog een laatste keer geprobeerd en me aangemeld op deze http://track.trqq.us/index.php/campaigns/wl1097ca0152e/track-url/zo129aq31z3j1/12ba15d9a417e1723e8f4327c6cd1e9a3ea34c18 gratis datingsite
Leuke poging tot aan de tracking-url...

Tags: , ,
2017-04-25 Quest Management Inc (QSMG) pump-and-dump spam 2 years ago
It has been a while since I wrote about pump-and-dump spam (scam) but it's never been completely dead. It does seem there has been some action against it and spamfilters got better at recognizing it.

Today's winner I see is Q like in Quality, S like in Straight, M like Mary and G like Gold. The spammer is sure to never use QSMG directly to avoid spam filters.

The funny part is that a google search for QSMG directly brings me to Pump and dump spam: Quest Management Inc (QSMG) stock - Dynamoo's blog with a complete write-up of the multiple spamruns the last week trying to make some money from this type of fraud.

Tags: , ,
2016-11-18 Trying to scam the spammed 2 years ago
An interesting scam mail received in several of my inboxes:
To: abuse@...
Subject: you've been scammed

Your email abuse@... has been hacked and spam is sent to all your contacts!
If you don't have a lawyer, you may contact me at mark.silberman78@gmail.com

Best Regards,
Mark
I guess 'Mark' bought the cheapest available list of spammable addresses and is now trying to profit from the people spammed.

The other variation is with
Subject: You are hacked!
But with everything else exactly the same.

Update: I am getting some responses to this post, other people are seeing this spam too. I guess I was just the first one to write a post about it, since I usually like to link to posts showing I am not the only one. Hello visitors puzzling about this spam!

Update II: It's not just me! Also noted at You are hacked or scammed - hoax.co

Tags: , ,
  Older news items for tag spam ⇒
, reachable as koos+website@idefix.net. PGP encrypted e-mail preferred.

PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers pgp key statistics for 0x5BA9368BE6F334E4 Koos van den Hout
RSS
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews