Stupid spammers…

For some time now, I am receiving about 5 spam messages per day for some weird job offerings that could earn me 22 to 65 Euro’s per day. And all I have to do for this “job” is to answer questions from some health clinic and answer some easy questions. They’d like me to do this about 2 to 12 hours per day and all I have to do to join is send them the following information: name, phone number, age and the city where I live.

Of course, this is spam and most people would just ignore such things but I started to investigate a bit. The sender always seem to be a different person but the domain it originates from is careersholland.com. However, the DNS information for this site is gone which means that you cannot reply anymore. The domain is gone, but the spammer just continues to send these messages.

There is another site, however, that happens to be legitimate and whose domain name looks closely to this spammer. They’ve posted this article to their site to warn people about these spammers. That’s because this is a phishing attack, where the spammer is trying to collect as much information about you for their own criminal intentions. These criminals are looking for “Money mules” and for this they need as much personal information as they can collect from you. Be aware that if you respond to such an email then you can become part of some criminal activities and it will be hard to prove your innocence. And yes, these spammers might even actually pay you for your “services” but in the end, it will cost you a lot more than you’ll earn from this. Worse, if it can be proven that you’re willingly participated to this scheme, you could even end up doing time in jail in the Netherlands, although that would still be very unlikely. It’s more likely that you’ll end up with a huge debt which you’ll have to pay for a very long time.

One of the original spam messages looks like this, and I’ve removed my personal information from it. It’s in Dutch, though. It is targetting Dutch people, mostly.

Delivered-To: helpdesk@example.com
Received: by 10.50.42.196 with SMTP id q4csp8656igl;
        Mon, 27 Aug 2012 23:10:28 -0700 (PDT)
Received: by 10.14.223.9 with SMTP id u9mr5532200eep.10.1346134228048;
        Mon, 27 Aug 2012 23:10:28 -0700 (PDT)
Return-Path: <neuralgiag5@realliving.com>
Received: from [190.43.101.99] ([190.43.101.99])
        by mx.google.com with ESMTP id e9si13429791eep.46.2012.08.27.23.10.23;
        Mon, 27 Aug 2012 23:10:27 -0700 (PDT)
Received-SPF: pass (google.com: domain of neuralgiag5@realliving.com designates 190.43.101.99 as permitted sender) client-ip=190.43.101.99;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of neuralgiag5@realliving.com designates 190.43.101.99 as permitted sender) smtp.mail=neuralgiag5@realliving.com
Received: from apache by qbqgghfhehsvvbsvwi.deltamar.net with local (Exim 4.67)
	(envelope-from <<helpdesk@example.com>>)
	id OWG4MX-L13X05-EZ
	for <helpdesk@example.com>; Tue, 28 Aug 2012 01:10:24 -0500
To: <helpdesk@example.com>
Subject: We nodigen u uit in uw vrije tijd te verdienen
X-PHP-Script: qbqgghfhehsvvbsvwi.deltamar.net/sendmail.php for 190.43.101.99
From: <helpdesk@example.com>
X-Sender: <helpdesk@example.com>
X-Mailer: PHP
X-Priority: 1
Content-Type: text/plain; charset="Windows-1252"
Message-Id: <ANP530-V0ONDJ-VW@qbqgghfhehsvvbsvwi.realliving.com>
Date: Tue, 28 Aug 2012 01:10:24 -0500

Beste dames en heren,

We beiden goedbetaalde baan aan: de website LEZER.

Uw functie:
Bezoeken van de website van een Gezondheidskliniek en daarna eenvoudige vragen te beantwoorden.

Bijvoorbeeld: was het gemakkelijk om een aanvraag te doet, is er niet te veel van de rode kleur,
is de tekst duidelijk op de aanvraagpagina.

We vragen dat om te bepalen of de website gemakkelijk is voor onze klanten.
Dit is zeer belangrijk want een eenvoudige website kan wist ervan 3-5 keer vermeerderen.
U kan dit doen in uw vrije tijd, ongeveer  van 2 tot 12 uur per week.

De prijs is van 25 tot 67 euro per uur, de vaste prijs wordt bepaald naar het interview.
De tewerkstellingperiode is van 3 tot 6 maanden, tijdens de Nederlandstalige website portaal ontwikkeling van de kliniek.
Indien u het goed doet zullen we u uitnodigen voor de andere gelijkaardige projecten.

De betaling gebeurt dagelijks of maandelijks per overschrijving op uw bankrekening van onze vennootschapsrekening.
U kan in uw vrije tijd verdien van 1512 tot 3612 euro per maand.
Als u het verschil kan zien tussen eenvoudige en ingewikkelde website, dan gaat u erin slagen.

Voor de aanvraag, stuur de volgende gegevens op:
1. Uw naam
2. Telefoon nummer
3. Leeftijd
4. Verblijfsstad

Aandacht! De gegevens moeten verstuurd worden op de volgende email:  Jaime@careersholland.com.

Aanvragen die op het andere email worden verstuurd kunnen niet behandeld worden
Zodra ik uw gegevens heb ontvangen neem ik contact met u op.

Met vriendelijke groeten,
Afdeling Personeelsaangelegenheden van “Geincorporeerde Gezondheidsinstellingen”

16 thoughts on “Stupid spammers…

  1. Pingback: Blog spammers | Wim ten Brink

  2. U maakt het zich wel bijzonder gemakkelijk met uw rekensom:

    Ik kan ook zeggen:
    Een spammer ontvangt 150.000 reacties.
    Van 10% daarvan weet hij al dat dat geen serieuze mails zijn omdat die op zijn blacklist staan.
    Blijft over 135.000.
    Daarvan bevatten nog eens 10.000 mailtjes scheldwoorden dus die vallen ook af.
    Blijft over 125.000.
    Door valse telefoonnummers en postcodes en adressen vallen er nog een 15.000 af.
    Dan nog heeft de spammer 110.000 mails te gaan.
    En als die allemaal een normaal woonadres en correct telefoonnummer bevatten, dan heeft hij toch nog een hoop werk te doen.
    En al is zijn filter nog zo intelligent opgebouwd, uiteindelijk zal hij dan toch opgescheept zitten met 110.000 mailtjes die hij stuk voor stuk moet gaan controleren.

    • Prima. Dan is er eerst een rekensom waaruit 110.000 mailtjes uitkomen. Daarvan zijn er dus 10 serieus dus de spammer gaat een volgende stap uitvoeren: een tweede email wordt verzonden naar al die personen om nog even een rekeningnummer of creditcard nummer door te geven. Of om anders het bedrag vast over te maken op een bepaalde rekening.

      Maar bedenk wel dat als mensen een postcode en adres doorgeven in zo’n email, dat deze vrij simpel uit de tekst te filteren is. Voor de postcode kan een Regular expression gebruikt worden die zoekt in de tekst op 4 cijfers gevolgd door twee letters. behulp van een postcode database kan de straatnaam opgezocht worden en indien deze klopt met een adres dat in de email staat dan heeft de spammer in ieder geval 110.000 geldige adresgegevens. De postcode levert ook een bijbehorende plaatsnaam op. En gezien de manier waarop de meeste mensen een adres in een email plaatsen zal de regel voor de straatnaam wel de naam van de persoon bevatten.
      Dan volgt een stap: met de straatnaam, postcode en plaats zou in een adressenlijst (zoals de Gouden Gids) ook nog gecontroleerd kunnen worden of de naam correct is. En omdat ook dit gewoon beschikbaar is als database is ook dit te automatiseren. De spammer heeft dan naam, adres, postcode en woonplaats en een bijbehorend email adres. Voor identiteitsfraude is dit al redelijk wat om te kunnen misbruiken, hoewel het meestal niet genoeg zal zijn.
      De spammer zal deze informatie dan ook gewoon opslaan in een eigen database als zijnde “geverifieerde personen” en kan daar misschien een euro per 1.000 adressen voor krijgen, per persoon die deze database van hem wil kopen. En ondertussen wacht hij de andwoorden af op de tweede email die hij (automatisch) heeft verzonden.

      Spammers zijn vaak meester in het automatiseren van dergelijke taken. Velen van hen hebben ook enorme hoeveelheden data in databases over potentiele slachtoffers, waarbij ze zoveel mogelijk gegevens aan elkaar proberen te knopen. Veel werk is het meestal ook niet omdat de code die ze nodig hebben voor dergelijke automatisering in de meeste gevallen allang bestaat, waarbij deze meestal ook voor legitieme doeleinden wordt gebruikt.
      Bedenk verder dat spammers elkaar meestal wel kennen en onderling gegevens verhandelen. Geldige email adressen zijn een beetje waard. Voeg daar de NAW gegevens aan toe en het wordt al waardevoller. Een foto erbij die b.v. op een facebook profiel wordt gevonden kan ook handig zijn maar informatie zoals rekeningnummers en creditcard nummers maakt het nog iets waardevollers.
      En denk dan even terug aan de hack van de LinkedIn database enkele maanden geleden. Spammers hebben daardoor email adressen kunnen jatten en die worden nu door de spammers misbruikt. Maar erger, via die database kunnen ze email adressen ook koppelen aan LinkedIn accounts en met die gegevens kan van een persoon zijn opleidings-niveau en werkgever worden uitgelezen! (Afhankelijk van de privacy-instellingen.) Als de LinkedIn account ook aan andere sociale media is gekoppeld dan kunnen ook die gevonden worden en kan er meer informatie worden verzameld.

      De spammer verkoopt de informatie door aan een andere hacker, en alles komt uiteindelijk op een bepaald punt waar een crimineel besluit om deze gegevens te misbruiken door b.v. aan enkele bedrijven adreswijzigingen door te geven, inclusief email adres en om vervolgens op naam van iemand anders bankrekeningen te openen, creditcards aan te vragen en allerlei producten te bestellen. Alles op de adressen van katvangers, die veelal verslaafd en bijna bankroet zijn en zo een extra centje verdienen.

      Dus okay, zelfs als de spammer meer dan 100.000 emails moet doornemen, een belangrijk deel kan nog steeds geautomatiseerd en dat levert vaak al extra inkomsten op, zelfs al vergeet de spammer achter die 10 serieuze bestellers aan te gaan.

      En natuurlijk, die personen die reageren op het tweede mailtje en daarbij nog wat meer gegevens vrijgeven worden waardevoller voor de spammer. De rest gaat naar een blacklist, maar zal wel spam blijven ontvangen in de hoop dat ze extra gegevens vrij gaan geven met hun reacties.

      Natuurlijk is een aantal van 150.000 mensen die reageren op een spambericht ook wel overdreven. Als ik de auto-responders niet meereken denk ik dat dit zeker een factor 10 kleiner is. Dit omdat de meesten hebben geleerd om juist niet te reageren, zodat de spammer geen extra gegevens ontvangt.

  3. In ieder geval, als je een spambericht beantwoord en de ontvanger van jouw antwoord heeft verder niets met de spam te maken dan kan jouw bericht als ongewenst en dus als spam beschouwd worden. Want de ontvanger weet niet dat hij de enige is die dit bericht ontvangt. Hij kan dus bij de OPTA (via spamklacht.nl) jouw bericht aanmelden waarna er misschien verder onderzoek volgt om te zien of jij daadwerkelijk een spammer bent. Als een spammer daarbij in het verleden ook jouw email adres heeft misbruikt voor een spamrum dan zal dat zeker extra verwarring opleveren.

    Spammers gebruiken ook regelmatig valse adressen om vanuit te mailen maar plaatsen in de email dan een URL of email adres waarnaar men een antwoord kan sturen.

    Maar goed, er van uit gaande dat je het juiste email adres van de spammer hebt, besef dan dat de spammer zeker een filter zal gebruiken om zijn eigen emails na te kijken. En als software engineer weet ik dat een dergerlijk filter niet moeilijk hoeft te zijn. Ik zeb zelf vaak genoeg gewerkt aan programma’s die een mailbox konden uitlezen en dan eerst een controle uitvoeren op de headers van de email om de afzender op te zoeken in een lijst, waarbij gekeken wordt of de afzender op een blacklist/whitelist staat. Daarna kan automatisch de email worden nagezocht op specifieke trefwoorden en zinsopbouw. Met een beetje programmeerkennis kan een spammer al een vrij eenvoudig filter opzetten. Maar professionele spammers gebruiken gewoon standaard oplossingen voor spammers en hackers die door professionals in elkaar is gezet.

    Bulk processing van email is niet moeilijk. Zaken zoals mailing lists konden dit al ruim 15 jaar geleden, waarbij iedereen via email de mailing list kon aansturen om zichzelf in te schrijven of uit te schrijven, of om andere commando’s uit te voeren. In de tijd dat web pagina’s op het Internet nog vrij statisch waren was email een ideale manier om een server mee aan te sturen. De technieken van toen werken vandaag de dag nog steeds. En die technieken zijn al dusdanig lang bekend dat er erg veel informatie over te vinden is.

    Maar goed, een oplichter krijgt 150.000 reacties waarvan er 10 serieus zijn. De grapjassen die hij al kent (email adres of IP adres afzender) staan op zijn blacklist en worden dus weggefilterd. Blijven er misschien 100.000 over. Dan zijn er nog die mensen die scheldwoorden gebruiken en die vallen ook af. Zijn er nog 50.000 over. Dan wordt de structuur van de email doorzocht op de aanwezigheid van een postcode of telefoonnummer. Denk niet dat de meeste reacties die zullen bevatten dus misschien zijn er dan nog 10.000 over. Bij telefoonnummers kan er weer gekeken worden naar een blacklist en dan vallen er weer een aantal uit. Idem voor postcodes, die ook met een geldige postcode-database vergeleken kan worden. Blijven er 2500 over.
    Bij een geldige postcode kan ook meteen gezocht worden naar een bijbehorende straatnaam via een postcode database. Is de straatnaam bekend dan kan deze worden opgezocht en als de straatnaam in de email staat dan kan het al erg betrouwbaar overkomen. Mogelijk dat de spammer dan uiteindelijk een lijst van 500 adressen overhoudt en misschien dat zijn filter dusdanig streng is dat 4 van de 10 serieuse antwoorden weggefilterd zijn dankzij spelfouten of andere zaken.
    De spammer gaat dan in een speciale email reader gewoon die laatste 500 snel doorkijken en de mailtjes die interessant lijken worden dan geselecteerd. Misschien dat hij dan 20 nep-klanten over heeft en 5 echte klanten. Daar gaat hij mee doorbabbelen en als hij de serieuze klanten weet te overtuigen heeft hij 5×150 Euro verdiend, voor misschien 4 uur werk. En de nepklanten gaan naar de blacklist, net als diegenen die scheldwoorden hebben gebruikt.
    Oh, de spammer kan binnenkomende emails ook even controleren op de afzender om te zien of hij die afzender wel een berichtje heeft gestuurd…

  4. Maar…
    Stel dat iedereen “serieus” op dat soort mailtjes ingaat, en de spammers voorziet van gefantaseerde gegevens, credicardnummers enzovoorts.
    Dan moet de spammer zich door een hele berg antwoorden worstelen voor hij/zij onderhand eens een echt slachtoffer vindt.
    Als iedereen dat zou gaan doen, zou dat als gevolg hebben dat
    1. de spammers zelf een lijst moeten gaan aanleggen van e-mailadressen waar ze te veel tijd aan kwijt zijn en die uiteindelijk niks opleveren.
    2. de lucrativiteit zou verdwijnen.
    3. het hele verschijnsel op den duur zou verdwijnen omdat de verworven informatie zo immens is dat het schier onmogelijk wordt om de serieuze reacties er nog uit te vissen.

    Ikzelf reageerde altijd op die mailtjes en speelde het spelletje een heel eind mee.
    Na 6 maanden werd de spamgolf minder en nu 2 jaar later ontvang ik nog hooguit 1 of 2 mailtjes per maand, die ik dan ook prompt beantwoord.

    • In een deel van de spamberichten is de afzender een nep-adres en mogelijk dat je iemand beantwoordt die helemaal niets met de spam te maken heeft. Dan ben je zelf de spam verder aan het verspreiden.
      Ben je wel antwoord aan het sturen naar de spammer dan haalt die spammer gewoon de binnenkomende email door een speciale mailfilter heen om alle binnengekomen adressen te verzamelen en toe te voegen aan zijn collectie. Als een naam al bestaat in zijn collectie dan krijgt deze een kenmerk dat het een betrouwbaar adres betreft, van een echt persoon.
      De emails worden verder gefilterd op bepaalde trefwoorden die b.v. een autoresponder zouden aanmaken. En eventueel voor extra trefwoorden die een serieus antwoord kunnen bevatten. Die emails lezen ze snel door om persoonlijk te beoordelen en te kijken waar ze misschien meer kunnen behalen. Wie dus NAW gegevens heeft doorgegeven, daar gaan ze verder mee.
      En spammers kunnen verzamelingen aanleggen van grapjassen die hen aan het lijntje houden. Of die mogelijk verwijzen naar honeypots of opsporings-ambtenaren. Wat ze dan doen is een whitelist maken van potentiele slachtoffers en blacklists van “gevaarlijke” adressen.
      En met de miljoenen mensen in Nederland die een email adres hebben kunnen ze nog heel lang blijven vissen naar data. Ik vermoed dat jij nu op een blacklist staat, net zoals een groot deel van mijn domeinnaam. Maar er zijn altijd nog genoeg potentiele slachtoffers over.

      • Helaas moet ik u op enkele van uw punten tegenspreken:
        U schrijft:
        In een deel van de spamberichten is de afzender een nep-adres en mogelijk dat je iemand beantwoordt die helemaal niets met de spam te maken heeft. Dan ben je zelf de spam verder aan het verspreiden.
        De definitie van spam is echter:
        e-mail die ongevraagd en in grote hoeveelheden wordt verzonden door één persoon.
        Één enkel antwoord is dus geen spam.
        Daarnaast heb ik dan de vraag:
        Een spammer gebruikt alleen een vals e-mailadres als hij mensen naar een website wil lokken, maar niet als hij mensen geld wil aftroggelen.
        Verder beschrijft u wat een spammer zou kunnen doen met filters, maar de door u besproken acties hebben geen enkele zin als er massaal op de spam wordt gereageerd.
        Er is geen enkel filter die er de grapjassen uit kan halen.
        De spammer moet uiteindelijk toch het hele traject gaan doorlopen om te ontdekken wie er een serieus slachtoffer is.
        Bovendien wisselen mensen vaak van provider, waardoor er steeds nieuwe e-mailadressen ontstaan, waardoor het voor de spammer moeilijk blijft om de serieuze kandidaten te vinden als er steeds door iedereen op zijn mailtje wordt gereageerd.
        Om het iets duidelijker te stellen:
        Als een oplichter op marktplaats een I-pad aanbiedt voor 150 euro en hij krijgt daar 150.000 reacties op waarvan er misschien 10 serieus zijn, dan heeft hij nog een hoop mail- en belwerk te doen voor hij beet heeft.
        Ik denk nog steeds dat reageren op spam hetzelfde effect heeft.

  5. I did some research and this is the info I found. It is a US based website. If you have a faxmachine you can send them a spam fax in return every day!

    Domain name: careersholland.com

    Registrant Contact:
    Brenda G. Hassel
    Brenda Hassel
    479-432-9364 fax: 479-432-9311
    1940 Green Hill Road
    Little Rock AR 72201
    us

    Administrative Contact:
    Brenda Hassel
    479-432-9364 fax: 479-432-9311
    1940 Green Hill Road
    Little Rock AR 72201
    us

    Technical Contact:
    Brenda Hassel
    479-432-9364 fax: 479-432-9311
    1940 Green Hill Road
    Little Rock AR 72201
    us

    Billing Contact:
    Brenda Hassel
    479-432-9364 fax: 479-432-9311
    1940 Green Hill Road
    Little Rock AR 72201
    us

    DNS:
    ns1.artizoe.net
    ns2.artizoe.net

    Created: 2012-08-26
    Expires: 2013-08-26

    • Hi, your post accidently disappeared in the spam filter. Found it there, though.🙂
      DNS information doesn’t have to be correct though. If you fax-spam them, you might instead be faxing someone who has nothing to do with the original spam.

  6. Ik heb net maar even zo’n 7000 berichtjes terug gezonden met de mededeling dat ik geen mail meer wil ontvangen. Ben benieuwd of het enig effect heeft.

    • Jazeker. Je gaat nu 35.000 extra berichtjes ontvangen omdat die spammers nu weten dat er echt iemand achter jouw email adres zit die de berichtjes leest en er zelfs op reageert. Kijk, als de kans 1 op 1 miljard is dat jij uiteindelijk iets koopt dan nemen zij wel de moeite om je een miljard berichtjes toe te sturen…
      Simpele tip: nooit reageren op spam en bij voorkeur spam ook nooit openen tenzij je denkt dat je spamfilter een “false positive” heeft ontdekt.

  7. Er valt weinig aan te doen, behalve contact opnemen met spamklacht.nl en de betreffende spamberichten doorgeven. Dat vereist enige kennis van hoe email in elkaar zit en enige tijd om hun vragenlijst in te vullen. Maar omdat veel spammers opereren vanuit het buitenland kunnen zij er verder ook niets aan doen.
    Wat wel helpt is een goede spamfilter. Hier zijn veel varianten op maar in het algemeen biedt GMail vrij goede spamfilters op je GMail account. Idem voor Hotmail en Yahoo, overigens. Voor andere email adressen zijn er spamfilters te koop net zoals er virusscanners te koop zijn. Enkelen zijn ook gratis, maar dan krijg je vaak weer reclame in je binnenkomende emails.

    En dat je eigen adres als afzender erbij staat is niets bijzonders. Emails zijn vrij goed te vervalsen door hackers die weten hoe het moet. En hoewel veel mailservers ondertussen de benodigde beveiligingen hebben ingebouwd om dergerlijk misbruik tegen te gaan zijn er nog heel veel mailservers die onbeveiligd zijn en dus vervalste emails gewoon verzenden.

  8. Ik ontvang dit ook, maar dan met mijn eigen adres als afzender!
    Hoe kan dat??!!

Comments are closed.