Spam-Mails mit interessanten CSS Ressourcen



  • Wer kennt sie nicht, die Spam mails die einem die Russian Bride oder das Geldgeschenk versprechenen. Prinzipiell ist das ein Fall von ungesehen löschen. Interessant wird es, wenn die Mails ungewöhnlich groß sind, aber auf den ersten Blich keine eingebetteten Medieninhalte oder Anderen Ressourcen beinhalten.

    Solche Mails habe ich in den letzten Tagen verstärkt bekommen und habe sie mal unter die Lupe genommen. Das war ich gefunden habe, bringt mich aber zum Rätseln. Vielleicht hat ja jemand so etwas schonmal gesehen und kann mir erklären was das Ziel dieser Spammails ist.

    Meine Vermutung geht in die richtung Click fraud oder Tracking, ich konnte aber auf Chrome, Firefox und Thunderbird keinen diesbezüglichen Traffic registrieren.

    Hier die Details Zum Quelltext der Mails, bitte seht mir nach, dass ich nicht alle 67099 Zeilen der Mail hier poste und einige Daten aus Privacy Gründen weg lasse:

    Der Mail Header

    Return-Path: 
    ...
    From: =?UTF-8?B?VmVyc2FuZHN0YXR1cw==?=
    Subject :Am.a.z.on hat  eine Uberraschun.g -  fur - d i c h!
    ...
    Content-Transfer-Encoding: 7bit
    Content-Type: text/html; charset=UTF-8
    
    

    Der Content

    og/https://www.facebook.com/?ref=tn_tnmnog/	416b26a0-416b26a0-42e-d082-117f8800dcb8
    og/https://www.facebook.com/?ref=tn_tnmnog/	0cf1aa14-0cf1aa14-038-2e43-39f8a9ffeb59
    og/https://www.facebook.com/?ref=tn_tnmnog/	8c89aa6d-8c89aa6d-246-dd9f-a04dd2f2c902
    og/https://www.facebook.com/?ref=tn_tnmnog/	27cc16d0-27cc16d0-c4e-3085-6bef3b6f218f
    og/https://www.facebook.com/?ref=tn_tnmnog/	005639e1-005639e1-4e8-a6b4-d30953fd3088
    og/https://www.facebook.com/?ref=tn_tnmnog/	ba5a4c84-ba5a4c84-c94-04c9-79ffb15f1272
    
    

    7f207001-05f3-4cf3-77cd-08d5208af775
    cheeseburger
    83c62a31-ed00-4a57-a698-08d517ce361e
    deploy

    http://www.foxnews.com/politics/2018/06/18/nj-governor-sees-guns-not-shooters-early-prison-release-as-problem.html________________---|8d11fe35-821b-4f48-54cb-08d5262342df|-----------_______http://video.foxnews.com/v/5798620305001/?#sp=show-clips
    http://www.foxnews.com/politics/2018/06/18/nj-governor-sees-guns-not-shooters-early-prison-release-as-problem.html________________---|Taleo|-----------_______http://video.foxnews.com/v/5798620305001/?#sp=show-clips
    http://www.foxnews.com/politics/2018/06/18/nj-governor-sees-guns-not-shooters-early-prison-release-as-problem.html________________---|44440592-3dee-4a30-4354-08d5279c502f|-----------_______http://video.foxnews.com/v/5798620305001/?#sp=show-clips
    http://www.foxnews.com/politics/2018/06/18/nj-governor-sees-guns-not-shooters-early-prison-release-as-problem.html________________---|5866|-----------_______http://video.foxnews.com/v/5798620305001/?#sp=show-clips
    http://www.foxnews.com/politics/2018/06/18/nj-governor-sees-guns-not-shooters-early-prison-release-as-problem.html________________---|d66c5c18-e64-e64-26a7-311291069dc8|-----------_______http://video.foxnews.com/v/5798620305001/?#sp=show-clips
    
    

    com/7550.gif lectionner.co=3D
    m_______//google.com*****************************=
    youtube.com/mailchimp/739.co=3D mFest.gif_______https://www.google.=
    com/7550.gif lectionner.co=3D
    m_______//google.com*****************************=
    youtube.com/mailchimp/739.co=3D mrode.gif_______https://www.google.=
    com/7550.gif lectionner.co=3D
    m_______//google.com*****************************=
    youtube.com/mailchimp/739.co=3D mcustomizable.gif_______https://www.google.=
    com/7550.gif lectionner.co=3D

    https://www.usatoday.com/story/tech/columnist/save-time-and-quit-swearing-10-tips-setting-upchildrens
    https://www.usatoday.com/story/tech/columnist/save-time-and-quit-swearing-10-tips-setting-uprealt
    https://www.usatoday.com/story/tech/columnist/save-time-and-quit-swearing-10-tips-setting-upfeedback
    https://www.usatoday.com/story/tech/columnist/save-time-and-quit-swearing-10-tips-setting-uprowspan
    
    ```
    Ich hab hier mal 5 Blocke mit URLs und anderem Content herausgegriffen, Die Listen sind natürlich noch deutlich länger und ergeben istgesammt dann die Mailgröße von 5,8 MB.
    
    Erst am Ende der Mail kommt dann in den gewohnten html Tags der sichtbare Teil der Mail, der in diesem Fall, mich über einen Gewinn bei Amazon informiert. Dort ist aber nicht auffälliges drin, außer den üblichen Links die auf eine gefakte Amazonseite leiten.
    
    Eine Frage wäre nun, ob diese URLs von irgend einem MailClient als CSS Ressourcen interpretiert werden. Meine Recherche der HTML und CSS Standards hat ergeben, dass alles in den style tags ignoriert, bzw. nicht interpretiert werden sollte. Auch ein Wiresharp mitschnitt in einer VM mit Chrome, Firefox und Thunderbird hat keinen trafic gezeigt.
    
    Was ist das Ziel dieser Spammail, außer Phishing im sichbaren Teil und einer Menge Datenmüll, der zumindest in meinem Client nicht interpretiert wird?


  • Ich bin auch auf dieses Problem gestoßen. Ich denke, dass es sich bei diesen Informationen um Phishing handelt. In ihrer reinsten Form verstehen Sie die Schemata, nach denen sie funktionieren, einfach nicht ganz.


Log in to reply