News items for tag spam - Koos van den Hout

2018-05-22 The linkspammers are back, but they are trying to hide it a lot better 5 months ago
Over the years I have ranted several times about linkspammers. About spammers in general too, but linkspammers are a special category.

Most of them, especially the fully automated ones died when google started detecting their deceit. That time there was some amusement to be had reading mails "somehow there is an evil link to my site from your site, please remove it as it affects both our google ranking".

But now they are back, but trying to hide it a lot better. I received several nicey-nicey and helpful mails with really personal suggestions to improve my site, or improve the world in general by adding some link they proposed, complete with the right anchor text.

At first I thought they were personal and answered them telling them the proposed links were wrong, or they had not read the article/post/.. they wanted to change very carefully.

And then a week or two later I'd get another personal mail asking whether I had considered their previous request. And answering with "did you read my answer?" did not change a thing.

My best guess at the moment is that I wasn't looking at a personal mail and that I should add a lot of airquotes about terms like "personal" above. It's a template with 'page X' 'needs link Y' and 'with anchor text Z' and there is software running that checks whether page X has the 'right' link and keeps sending reminders until it does.

As you can imagine (or not), I feel very annoyed by this new scam tactic.

One sample:
Hi pal,

My name is Oliver and I'm writing to share an infographic that aims to educate people about PTSD amongst our veterans and serving military personnel. The infographic is titled "The Silent Enemy: How PTSD Damages Our Soldiers".

You can view the infographic by clicking here: [link]

To spread the word about these issues, I ask if you could add a "weblink" to this infographic from this page on your own website: Note how this page has only a link to 'military' but actually reading it for 4 seconds would let you know that it has no link to PTSD in the military.

I chose this page because you already link to from this page.

If this is possible, you could add the below text to this page on your own websi te:

The Silent Enemy: How PTSD Damages Our Soldiers – An infographic aiming to raise awareness about PTSD in the military.

Alternatively, you could also publish the infographic on your website as a "guest blog post". If this is OK, I can write a unique introduction to go with the infographic. This will save you time and also help to highlight the important issues covered in the infographic.

I really appreciate your time. I know that linking to this infographic will help to build awareness about mental health issues amongst veterans and serving memb ers of the military. I'm sure this is a cause you would like to get behind by adding the above link. I've actually attached the infographic to this email for you to add to your website at either the page I suggest or as a fresh blog post.

Many thanks,

Oliver Clark

Rehab 4 Alcoholism

Please click on Unsubscribe to be unsubscribed from any future communications. P rivacy notice.
The last line is quite a hint that this is from an automated system, the stories are somewhat long so this isn't always very visible.

Now I also wonder whether the link would be to a very commercial rehab organisation.

Tags: , , ,
2018-04-20 Spam van StoryTel 6 months ago
Spam van StoryTel, waarin het me opvalt dat ze de e-mail marketing spam infrastructuur van mandrillapp gebruiken, maar zelfs zonder manieren om uit te schrijven of iets anders wat nog een beetje rekening houdt met de huidige wetgeving op dat gebied.

Zoeken op storytel spam levert niet veel vergelijkbare verhalen op dus blijkbaar is dit een nieuwe aanpak van StoryTel.

Dan maar via alle routes aangemeld als spam, inclusief een complete melding bij Spam melden bij ACM.

Tags: , ,
2018-03-16 Meer spam voor een Belg 7 months ago
Het gaat rustig door, ruim 5 jaar sinds de eerste spam die te herleiden was tot een belgische lijst. Ook vandaag, dit keer spam voor Desvo veilingen die blijkbaar ook dezelfde spamlijst gekocht hebben.

Tot nu toe was alle spam die ik dacht te herleiden naar deze bron nederlands / vlaams. Gericht op inkopers bij bedrijven. Maar nu eentje in het frans, maar uiteindelijk te herleiden tot Fruit at work die tweetalig werkt. En later op dezelfde dag Neopost weer gewoon in het nederlands maar volgens de mail ook via "B2Best Belgique" die op het web niet terug te vinden is.

Eerder, eerder, eerder, eerder, eerder.

Tags: ,
2017-11-07 Spammers using old lists 11 months ago
I'm easily amused by the rejects in the maillog clearly caused by spammers using ancient lists.

For example, I'm still seeing attempts to mail the address that I used for signing up to linkedin. When the first spam came after the linkedin breach in 2012, I changed the address and disabled the original address. But spam for that address still came in this week.

Tags: , ,
2017-10-31 Spammers overdoing it a bit 11 months ago
Dear Professor Epocafe,
Yes, there is an e-mail address that looks like repocafe@ but it's not a person.

Tags: , ,
2017-10-23 De spam voor een Belg gaat maar niet dood 12 months ago
Ondertussen leven we op ruim 5 jaar sinds de eerste spam die te herleiden was tot een belgische lijst maar er kwam er vandaag weer een binnen van een belgisch bedrijf met kenmerken die lijken op de eerste spam die binnenkwam. Dus ook gebruikt spamlijsten. Die ondertussen oud zijn.

En ook Aqua service gebruikt oude spamlijsten. En bijvoorbeeld ook ART-company.

Eerder, eerder, eerder, eerder.

Tags: , ,
2017-06-02 MrKortingscode spam 1 year ago
Je ontvangt deze e-mail omdat je meedoet aan MrKortingscode.
Regel 1 over spammers: spammers liegen. Ik heb nergens een e-mail adres opgegeven. Maar blijkbaar kon een ander wel mijn adres verzinnen en kreeg ik deze mail.

Die pas na twee keer goed lezen een verificatiemail bleek te zijn en niet een 'we gaan je maar spammen' mail. Tijd om je tekst aan te passen naar iets wat meer rekening houdt met de optie dat het verkeerde e-mail adres opgegeven wordt.

Tags: , ,
2017-05-05 Vermakelijke poging om spam persoonlijk te laten lijken 1 year ago
Vandaag in de spambox:
Weet je nog dat ik je een tijdje geleden vertelde dat ik op zoek was naar een date via internet? Jeetje, wat was dat moeilijk, ofwel kwam ik uit op een of andere vrouw die zichzelf voor iemand anders uitgaf, ofwel stond ik daar op een date voor niks! Vorige week dan uiteindelijk via via nog een laatste keer geprobeerd en me aangemeld op deze gratis datingsite
Leuke poging tot aan de tracking-url...

Tags: , ,
2017-04-25 Quest Management Inc (QSMG) pump-and-dump spam 1 year ago
It has been a while since I wrote about pump-and-dump spam (scam) but it's never been completely dead. It does seem there has been some action against it and spamfilters got better at recognizing it.

Today's winner I see is Q like in Quality, S like in Straight, M like Mary and G like Gold. The spammer is sure to never use QSMG directly to avoid spam filters.

The funny part is that a google search for QSMG directly brings me to Pump and dump spam: Quest Management Inc (QSMG) stock - Dynamoo's blog with a complete write-up of the multiple spamruns the last week trying to make some money from this type of fraud.

Tags: , ,
2016-11-18 Trying to scam the spammed 1 year ago
An interesting scam mail received in several of my inboxes:
To: abuse@...
Subject: you've been scammed

Your email abuse@... has been hacked and spam is sent to all your contacts!
If you don't have a lawyer, you may contact me at

Best Regards,
I guess 'Mark' bought the cheapest available list of spammable addresses and is now trying to profit from the people spammed.

The other variation is with
Subject: You are hacked!
But with everything else exactly the same.

Update: I am getting some responses to this post, other people are seeing this spam too. I guess I was just the first one to write a post about it, since I usually like to link to posts showing I am not the only one. Hello visitors puzzling about this spam!

Update II: It's not just me! Also noted at You are hacked or scammed -

Tags: , ,
2016-10-10 How to recognize a job advertisment for money mules 2 years ago
Don't fall for it..

I received spam which translates (to me) very clearly to 'be a money mule':
[..] is looking for a qualified representative, reliable, efficient and dedicated to help facilitate their business transactions in Australia. The work is based on administrative / customer service support improving productivity and above all performing basic banking transactions.

We are located in the London If you are satisfied with all the conditions and wish to register, please contact our Human Resources department at [.. generic webmail account ..]
Alerting items:
  • Unsollicited e-mail (spam) sent to a random address
  • Lots of buzzwords but the work seems to be "basic banking transactions"
  • Doing transactions in Australia but located in London
  • Using a generic webmail account

Tags: , ,
2016-10-03 Discovering new archiving methods... via malware 2 years ago
In the incoming spam this morning:
See attached Bill Of Laden.

[-- Attachment #2: Shipping_Documents.ace --]
I had never heard of .ace files, but I miss some developments. So I asked:
$ file Shipping_Documents.ace
Shipping_Documents.ace: ACE archive data version 20, from Win/32, version 20 to extract, contains AV-String (unregistered), solid
So it is an archiving format, better described at ACE (compression file format) - Wikipedia. There is an unace for linux, and this gave me:
RFQ#0929919882.exe: PE32+ executable (GUI) x86-64 Mono/.Net assembly, for MS Windows
c04e10a084657473828a03a97c82f0a9  RFQ#0929919882.exe
Which is obviously not shipping documents but an executable. Looking at the file showed some dangerous function names.

Tags: , ,
2016-09-29 Not very obfuscated malware code 2 years ago
In the incoming spam I noticed some unsollicited attachments, always a sign of danger. In this case with excel files (application/ so I checked those with olevba, part of the oletools package.

And indeed there was macro code to be run at startup, with multiple warnings about suspicious behaviour, such as usage of "command" which can run PowerShell commands.

Having a look at the code showed very clearly that the macro was up to no good! I am used to quite interesting attempts at obfuscating macro code, so it was funny to see this bit with olevba:
Call Shell("rund" & "ll32.exe " & firmaVENIKOVNETUUUKA & ",qwerty", vbHide)
The url where the malware is downloaded was also quite readable in the macro.

Tags: , ,
2016-08-23 I fell for a malware mail, thankfully aimed at Windows users 2 years ago
Today I saw an incoming e-mail about a voicemail message, while I was expecting a voicemail message. The format was quite similar to the format used by my telephone provider so I tried opening it in thunderbird under Linux. That saved me, it was aimed at opening in Windows, probably only working in Microsoft Outlook.

This is what it looked like in mutt:
Dear koos :
        There is a message for you from 01427157659, on 2016/08/23 15:52:17 .
You might want to check it when you get a chance.Thanks!

[-- Attachment #2: Voicemail sound attachment. --]
[-- Type: audio/x-wav, Encoding: base64, Size: 10K --]

[-- audio/x-wav is unsupported (use 'v' to view this part) --]
The attachment is but with mimetype audio/x-wav. The zip file contains:
  Length      Date    Time    Name
---------  ---------- -----   ----
    30764  2016-08-23 12:18   614007286106.wsf
---------                     -------
    30764                     1 file
With a lot of obfuscated scripting.

What saved me this time was opening it in a mailreader/environment which tries to play an audio/x-wav file with a mediaplayer which complained about something being invalid in it.

Tags: , ,
2016-06-22 Automatische vertalingen helpen niet altijd 2 years ago
Uit de spam mail:
In de link hieronder ontvangt u de factuur van KPN.
Voor uw veiligheid uw botbreuk is wachtwoord protected.Uw wachtwoord is 2hw3DXy .
Ik knipperde even, maar ik realiseerde me dat er vast iets met automatische vertaling is gedaan van factuur/fracture.

Tags: ,
2016-06-14 1dayfly spam 'via lead4cash' 2 years ago
Op een adres wat ik daar niet voor opgegeven heb (en niet voor zou gebruiken) kreeg ik spam van 1dayfly. Opvallend was in de tekst:
U krijgt deze nieuwsbrief omdat wij uit naam van Lead4Cash mailen en u daarmee heeft aangegeven onze nieuwsbrief te willen ontvangen!

We beloven u geen ongevraagde e-mails te sturen! verkoopt of verhuurt nooit haar gegevens aan derden.
1dayfly kan heel veel beweren maar met een naam als 'lead4cash' ga ik al uit van vervuilde marketing bestanden. Als je businessmodel 'lead4cash' oftewel 'geld voor gegevens van consumenten om te benaderen' is kost het alleen maar geld om te controleren of die 'leads' wel benadert willen worden. En dus is het niet opvallend dat er een adres tussen zit wat dat niet wil.

Zoals gebruikelijk: The Rules of Spam.

Update 2016-06-21: Uit een latere mail blijkt ook wel hoe mager de bestanden zijn:
Uw aanbiedingen van dinsdag 21 juni Wilt u een persoonlijke nieuwsbrief? Vul hier uw naam in:
Mijn conclusie is dan dat ze echt alleen maar een bak e-mail adressen ergens vandaan hebben. Dan vraag je ook om spamklachten.

Update 2016-07-26: De spam gaat rustig door, en ik heb toch eens voor de aardigheid de unsubscribe link geprobeerd. De unsubscribe link ziet er uit als:
Als u deze nieuwsbrief niet wilt ontvangen dan kunt u hier klikken:
om u af te melden.
En als ik die link volg heeft de site geen idee welk adres ik zou willen afmelden. Toch knap met naar schatting 88 tekens tracking in de url.

Daar het adres ingevuld en dan blijkt dat de aanmelding gedaan zou zijn vanaf IP op zondag 5 mei 2013 om 16:09. Dat IP is van Tele2:
inetnum: -
netname:        TELE2-CONSUMER-2
descr:          Pop Groningen, Ring Zwolle
country:        NL
admin-c:        RH3392-RIPE
tech-c:         RH3392-RIPE
tech-c:         WvdG7-RIPE
status:         ASSIGNED PA
mnt-by:         AS13127-MNT
created:        2005-06-20T09:14:32Z
last-modified:  2009-10-22T06:15:35Z
source:         RIPE # Filtered

Onder de pagina staat een link naar de dailymailz privacy policy (PDF, vreemd genoeg engelstalig) die er op neer komt dat ze alles mogen doen met de verzamelde gegevens wat ze leuk vinden. Die gegevens controleren ze alleen dus niet goed, dus die zijn aardig waardeloos.

Update 2016-07-28: En als ze beweren dat het meerdere dagen duurt om van alles af te komen dan menen ze dat ook, vandaag weer verse spam. Al heb ik altijd het idee dat 'het duurt meerdere dagen om alle lijsten bij te werken' vooral een excuus is om de zaken niet acuut te hoeven verwerken.

Update 2016-08-30: En de spam gaat gewoon stug door.

Update 2016-09-01: Nog maar eens afgemeld, en nu viel me op dat de afmeldlink op de 1dayfly site zelf uitkwam en niet bij lead4cashunsubscribe. Dus het eerdere afmelden bij lead4cash werd blijkbaar ergens geinterpreteerd als aanmelden bij 1dayfly.

Tags: , ,
2016-06-07 Obfuscated VBA macros in word files 2 years ago
I wanted to look at some suspicious word files to see whether the macros tried anything funny. Some searching showed me oletools which can do this and report. A sample:
Public Sub ZkBWG(ByVal uSHdvTl As String)
Dim RxXFgnMOu As Integer
VOyiBpZDIb.cFRHErvQ OdAkk.VWUUdYKG(553, JocsGn("PlJlXeAhESM.MtxpOizrMccS2W")), _
uSHdvTl, JocsGn("LcxeVxVE")
End Sub
Private Function xcOdDXhiP() As Integer
Dim NJuBRTz As String
Dim RemmeQk As Integer
xcOdDXhiP = 400
End Function
Private Function JocsGn(ByVal gAVndNSJ As String) As String
JocsGn = ZYkwp.kYxFEH(gAVndNSJ)
End Function

| Type       | Keyword        | Description                             |
| AutoExec   | Document_Open  | Runs when the Word document is opened   |
| Suspicious | CreateObject   | May create an OLE object                |
| Suspicious | CallByName     | May attempt to obfuscate malicious      |
|            |                | function calls                          |
| Suspicious | Hex Strings    | Hex-encoded strings were detected, may  |
|            |                | be used to obfuscate strings (option    |
|            |                | --decode to see all)                    |
| Suspicious | Base64 Strings | Base64-encoded strings were detected,   |
|            |                | may be used to obfuscate strings        |
|            |                | (option --decode to see all)            |

Tags: , ,
2016-06-04 Phishing melden aan ICScards is nog lastig 2 years ago
Ik ben geen klant van ICScards maar toch wil ik soms interresante nieuwe phishing pogingen melden bij ze. Volgens Phishing: valse e-mails die in omloop zijn is de manier gewoon via e-mail naar het valse-email@ adres.

Maar helaas lukt het niet:
   ----- The following addresses had permanent fatal errors -----
    (reason: 550 Denied by policy)

   ----- Transcript of session follows -----
... while talking to
>>> DATA
<<< 550 Denied by policy
554 5.0.0 Service unavailable
het valse-email@ adres zit achter mailfilters die blijkbaar duidelijk herkenbare phishing mail blokkeren. Misschien moeten ze dat adres apart behandelen zodat ze dit soort meldingen wel binnenkrijgen...

Tags: , ,
2016-04-29 Virus mail overstressing the mime parser 2 years ago
This does not work as planned in mutt:
Subject: hi prnt
Content-Type: multipart/mixed; boundary=31BE31246BD934D65C63831D7238

Content-Type: multipart/alternative; boundary=31BE31246BD934D65C63831D7238

Content-Type: text/plain; charset=UTF-8

Content-Type: text/html; charset=UTF-8

<div dir="ltr"><br></div>

Content-Type: application/zip; name=""
Content-Disposition: attachment; filename=""
Content-Transfer-Encoding: base64
X-Attachment-Id: f_519392564

Shows as
  I     1                      [text/plain, 7bit, us-ascii, 0K]
  I     2                       [text/plain, 7bit, utf-8, 0.1K]
  I     3                        [text/html, 7bit, utf-8, 0.1K]

Tags: , , ,
2016-03-14 High numbers of e-mails trying to infect systems 2 years ago
The attempts to infect systems via malicous javascript in e-mail are quite high at the moment, all trying to fake some urgency to make me open it without checking. Some recent samples:
Your credit card has been billed for $187,11. For the details about this transac tion, please see the ID: 12824622-12824622 transaction report attached.

NOTE: This is the automatically generated message. Please, do not reply.
Archive:  /tmp/
  Length      Date    Time    Name
---------  ---------- -----   ----
     4055  2016-03-14 13:44   finance_LutQLF.js
---------                     -------
Read the rest of High numbers of e-mails trying to infect systems

Tags: , ,
  Older news items for tag spam ⇒
, reachable as PGP encrypted e-mail preferred.

PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers pgp key statistics for 0x5BA9368BE6F334E4 Koos van den Hout
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews