2019-05-23 9 Minuten

Ich habe die Hintermänner meines Spams gefunden.

Wer schickt mir Spam über Drohnen, Medikamente und den ganzen anderen Blödsinn? Die Spur führt nach Estland.

Ich weiß nicht, was mit meinem Spam los ist. Ich hatte schon Flugsimulator-Spam, und eine arme Frau namens xTracy wurde von ihrem Mann betrogen und hat sich an mich gewendet.

Das alles waren aber eher Einzelfälle. In letzter Zeit häufen sich diese Einzelfälle jedoch. Derzeit stehe ich bei durchschnittlich 8,6 Spam-E-Mails pro Tag.

Was macht man als Tech-Blogger, der sich viel zu leicht zu Detektiv-Geschichten hinreißen lässt?

Man verwendet viel mehr Zeit auf eine Analyse, als einem der Spam jemals nehmen könnte.

Ring frei!

Schritt 1: Information sammeln

Ich mache mir eine neue Mailbox, wo ich ab sofort jeglichen Spam, den ich bekomme hin verschiebe. In den letzten ca. 2 Wochen sind dies 112 Nachrichten, von denen ich 98 Analysiere.

Die Inder, die meine Apps programmieren wollen, lasse ich diesmal aus.

Ich schreibe mir also ganz casual dann ein Tool, das mir

  • Von wem (Name & E-Mail) die E-Mail kommt
  • Den Spam-Score
  • Die IP-Adresse des Absenders
  • Div. Links in der E-Mail

ausspuckt.

Das Ergebnis ist eine riesige Excel, in der ich den Spam einmal – weil es mich interessiert – in Kategorien einteile. Das Ergebnis war einerseits zu erwarten, aber Platz 2 wird dich überraschen!

Drohnen? Really? Ich ahne aber schon, wohin die Reise geht.

Muss man für Spam aus der Kategorie Sex eine Plattform mit Bots usw. aufbauen, und für Gesundheit ein tatsächliches Präparat irgendwo erstellen, kann man sich bei einer Drohne easy ein Angebot von Alibaba holen, und die dann Dropshippen.

Bin gespannt, ob sich meine Ahnung bewahrheitet.

Auch interessant: Der Trend für Flugzeug-Spam scheint zumindest für mich vorüber zu sein. Flugsimulatoren sind so 2018, Bro! Drohnen ist das Business!

Naja, auf jeden Fall habe ich jetzt eine Excel mit 98 unterschiedlichen Spam E-Mails. So sieht das Ganze aus:

Muss man nicht lesen können.

Mein Hoster weist diesen E-Mails allen einen Spam-Score zu. Aus Spaß habe ich diesen auch ausgelesen und muss sagen. WTF. Es scheint, als wäre dieser Spam-Score einfach sinnlos. Auf meiner Firmenmail kommt Spam mit einem Spam Score von 22 (Durchschnitt in dieser Analyse: 3) durch. HostEurope, bitte nachbessern!

Schritt 2: OSINT

So gerne ich diesen Spammern ihre Plattformen abdrehen würde, ich bleibe bei den legalen Taktiken. Es findet sich auch so genug öffentliche Information im Internet.

Zuerst schaue ich mir an, von wo denn die E-Mails versendet werden. Hier greife ich auf die Suchmaschine Shodan zurück (das wird mal ein eigener Artikel), die 1 mal pro Monat das gesamte Internet scannt. Und mir für jede IP direkt die Informationen zur Verfügung stellt.

Da wird es schon interessant:

Viele der Versand-IPs lassen sich auf wenige Organisationen in der Türkei, Italien und den USA zurückführen.

Mit einer gewissen Wahrscheinlichkeit kann ich also entweder sagen,

  • dass der jeweilige Spam (auch unterschiedlicher Kategorien) von einem Akteur kommt,
  • oder aber diese Organisationen (oder ihre Kunden) von mehreren Akteuren gehackt und verwendet werden, um Spam zu versenden.

Mein Spammer hier greift sehr gerne auf .icu-Domains zurück. Die habe ich bisher nicht einmal gekannt.

Auch interessant:

Manche der Spam versendenden Server haben Sicherheitslücken, die 5 bis 10 Jahre alt sind (im Bild bequemerweise in rot dargestellt).

Das “CVE” heißt Common Vulnerabilities and Exposure. Diese Nummern werden bei kritischeren Sicherheitslücken vergeben, um sie eindeutig identifizieren zu können.Heißt: Den Server da oben knackt man sehr wahrscheinlich in ziemlich kurzer Zeit.

Das Bild ist eindeutig: eine Organisation oder ein kleiner Provider im jeweiligen Land ignoriert Updates, wird gehackt, und die Infrastruktur dem Netzwerk der Spammer hinzugefügt.

Ich hab das nochmal kurz in einer Infografik zusammengefügt. Die Anzahl der E-Mails ist nicht repräsentativ. Ich hätte sonst keinen Platz mehr für den Rest der Grafik.

Schritt 3: Auf Spam klicken

Irgendwann muss man sich auch die Finger schmutzig machen. Ich habe also in den letzten Tagen auf sehr viele Spam-E-Mails geklickt. Das würde ich keinem empfehlen (do not try this at home, liebe Kinder), aber eins muss ich sagen:

Ausnahmslos alle Webseiten waren – soweit ich das beurteilen konnte – frei von Schadsoftware.

Natürlich, wenn mir eine unbekannte E-Mail einen PDF-Anhang schickt, mache ich den nur mit entsprechenden Vorsichtsmaßnahmen auf. Ich habe in dieser Recherche nur auf die “KAUFEN SIE” – Spams geklickt.

Was beim Klicken sofort auffällt: man hat den Domain-Dschungel betreten. Jeder Klick hat mehrere Weiterleitungen zur Folge, es wird sehr schnell verwirrend.

Wenn der Browser mit Redirecten fertig ist, landet man dann auf eigentlich hochprofessionellen Seiten. Seiten, die so programmiert wurden, dass man meinen könnte, das wären die News-Seiten echter Business-Publikationen.

Auf diesen Seiten wird dann das eigentliche Produkt verkauft. Und es wird sich aller Sales-Taktiken bedient, die man so kennt (Einziges Negativum der Drohne: nur so lange der Vorrat reicht. Jaja sicher!). In meiner Dschungel-Exkursion habe ich alles gesehen:

  • Gefakete Shark-Tank-Beiträge (das ist das amerikanische „2 Minuten 2 Millionen“)
  • 26 Jährige Billionäre, die eine Pille nehmen, um 100% ihres Gehirns verwenden zu können
  • Drohnen

In Infografik-Form sieht das so aus:

Interessanterweise sind die IPs, von denen der Spam kommt unterschiedlich zu denen im Domain-Dschungel. So kann der Spammer nicht funktionierende (oder gesperrte) Domains / Teile aus seiner Maschinerie sehr leicht auswechseln.

Das ist auch nötig, wie sich in den letzten Tagen gezeigt hat: Die meisten dieser gefundenen Drohnen-Seiten sind 1 Tag später bereits wieder offline.

Spammer agieren hier wie ein Heuschreckenschwarm. Ein Heuschreckenschwarm, der Domains und Verkaufs-Webseiten zuhauf aus dem Boden sprießen lassen kann. Wenn die Spam-Kampagne dann vorbei ist, wird die Domain dann auf Microsoft oder Nestle umgeleitet, um die eigenen Spuren zu verwischen.

Mich interessiert zwar auch, wer die Spams verschickt, und diese Seiten aufbaut – aber die Hintermänner sind dann wohl noch ein wenig interessanter. Vor Allem lässt sich bei denen die Infrastruktur nicht so leicht austauschen.

Die Hintermänner

Jetzt will ich aber wirklich eine dieser Drohnen kaufen:

Auch hier wimmelt es nur so von Sales-Taktiken: Verknappung, Upsells, was auch immer.

Plötzlich finde ich einen Link.

Einen Link, der nicht zu den anderen passt.

Er lautet: “Affiliate-Programm”.

BINGO.

Natürlich entwickelt ein Spammer keine Drohne, das ist ja nicht seine Kernkompetenz. Seine Kernkompetenz ist Menschen UNENDLICH AUF DEN ZEIGER ZU GEHEN.

In all den Spams finde ich also zwei Unternehmen, die den Spammern die Produkte zur Verfügung stellen:

  • h8m8
  • matrix networks

Deren Webseiten sehen ziemlich professionell aus:

Sogar eine Firmenpräsentation gibt es zum Download. Und die erklärt mir endlich das gesamte Geschäftsmodell.

Ich will euch nicht damit langweilen, denn die Präsentation ist erstaunlich fad für eine Firma, die so shady agiert. Aber eins fällt auf:

Sie agieren in “Geos” (ich nehme an, das ist Spammer-Slang für Orte / Märkte), die bisher nicht wirklich bespielt wurden.

Österreich scheint eines dieser bisher unbespielten Geos gewesen zu sein. Betonung auf gewesen.

Die Webseite gibt mir aber noch viel wichtigere Informationen: Namen, E-Mails und reale Business-Adressen.

Die Webseite wurde von einer Agentur gebastelt. Eine Agentur, die

  • Drohnen entwickelt (oder sollte ich sagen, aus China kauft. Es gilt die Unschuldsvermutung.)
  • Eine Plattform für Affiliates bietet
  • Web-Development macht

Diese Agentur hat eine Adresse in Estland. Und sie hat Mitarbeiter. Sie sucht sogar welche:

“E-Commerce ninjas”. Sure. Weil ein Ninja sich in meinem Arbeitsalltag anschleichen würde, nur um mir “KAUF EINE DROHNE” ins Ohr zu rufen, und dann abzuhauen.

Ich habe mich also durch den Domain-Dschungel gekämpft, nur um herauszufinden: es gibt einen noch größeren Fisch.

Was tun?

So weit bin ich in meinen Anti-Spam-Eskapaden noch nie gekommen. Meine Optionen sind nun schon viel mehr, als sie das eingangs waren:

  • Ich kann dem Unternehmen einen Besuch abstatten
  • Da das Unternehmen in der EU ist, kann ich die DSGVO nutzen
  • Ich schreib denen mal

Ich entschließe mich für Option 3, die scheint mir im Moment am angemessensten zu sein.

Ich verwende direkt den Namen des Geschäftsführers. Die sollen merken, dass ich meine Nachforschungen angestellt habe.

Und es kommt eine Antwort! Von “trinity” aus der “m4trix”. Hehe. Clever.

Natürlich kommt sofort die alte “Wir sind eine Plattform und können das nicht kontrollieren”-Ausrede. Aber immerhin.

Ich sende ein paar Infos zum Spammer. Habe aber bis jetzt keine Antwort zurück erhalten. Der Spam kommt nach wie vor.

Fazit

Das Geschäftmodell der Spammer geht definitiv auf. Die kleinstmöglichen Bestellung, die ich so finden konnte, waren bei mindestens 50$. Wenn ich die Gewinnmarge auf 50% schätze (eigentlich eh niedrig geschätzt), sind das 25$ Gewinn pro Verkauf.

Eine .icu Domain kostet 1-2$ pro Jahr. Das wirklich aufwändige ist wohl die Heuschrecken-Aktivität. Immer neue Landingpages zu bauen, die Domaineinstellungen zu machen, und zu schauen, dass alles funktioniert. Ich weiß nicht, wie gut sich das überhaupt automatisieren ließe.

Insgesamt bin ich aber zufrieden. Ich habe ein paar interessante Informationen gefunden, die ich weiter verwenden kann, sollte mein Spam nicht demnächst aufhören. Die haben noch nicht das letzte Wort von mir gehört.

Feedback oder Fragen?

Schreib mir auf Social Media oder E-Mail:

Keine Posts verpassen!

Jetzt eintragen und wöchentlich die Hacks der Woche, sowie neue Blogposts erhalten!

...oder direkt zum Erstgespräch:

Im Erstgespräch lernen Sie mich und meine Philosophie kennen, und wir diskutieren kurz, wie ich Ihnen helfen kann. Damit Sie und Ihr Unternehmen:

  • Sicherer werden
  • Im Extremfall schnell wieder einsatzfähig sind
  • Nicht bei jedem Artikel über Hacking froh sein müssen, dass es diesmal wieder nicht Sie erwischt hat
Jetzt gratis Erstgespräch buchen!

Hacking-
Vorfall?