Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Selbstmord/Mord-Drohungen per Mail?

0 views
Skip to first unread message

Gabriela Salvisberg

unread,
Aug 4, 2008, 11:34:44 PM8/4/08
to
Hi, Leute

Sind euch heute bzw. gestern irgendwelche Mails mit angeblicher Schweizer
Absenderadresse untergekommen, die einen Selbstmord/Mord ankündigten?

Ich kenne den mutmasslich ge-Joe-Jobten Absender nicht, aber es scheint
ihn zu geben. Angebliche CH-Absenderdomain und beworbene CH-Domain gibt
es; beide sind auf die zuunterst gesnippte Person registriert.

Unten mal ein Exemplar, das ich anonymisiert (schnippi) habe, da ich
nicht weiss, was der Mist soll.

Gaby


Return-Path: <schnippi[at]bottin.com>
Delivered-To: mich@schnippi
Received: (qmail 7113 invoked from network); 5 Aug 2008 01:57:49 +0200
Received: from 75-30-163-181.wimax.prhmnv.sbcglobal.net (75.30.163.181)
by avitus.sui-inter.net with SMTP; 5 Aug 2008 01:57:49 +0200
Received: from [75.30.163.181] by in2.smtp.messagingengine.com; Mon, 4
Aug 2008 15:57:49 -0800
Date: Mon, 4 Aug 2008 15:57:49 -0800
From: "schnippiAngeblicherSelbstmörder" <seinname@schnippi>
X-Mailer: The Bat! (v3.60.07) Professional
Reply-To: schnippi[at]bottin.com
X-Priority: 3 (Normal)
Message-ID: <372489168.44...@bottin.com>
To: meineadresse
Subject: Selbstmord...
MIME-Version: 1.0
Content-Type: text/plain;
charset=Windows-1252
Content-Transfer-Encoding: 7bit

Hallo Leute,
ich muss es jemandem sagen - mein Leben hat kein Sinn mehr.
Alles was ich muhesam aufgebaut habe, woran ich gearbeitet und geliebt
habe ist weg... Ich habe uber meine Homepage www.schnippi(eine CH-Domain)
gegen russische Internet Kriminalitat gekapmft, aber die haben trotzdem
gewonnen.... Das beste ist naturlich dass ich manche Tricks von den
Betruger ubernommen habe, z.B. habe zigtausende CHF ins Ausland von
"armen" UBS Kunden transferiert, aber das war mehr fur die Finanzierung
meiner Kampagne. Fur gute Sachen braucht man halt viel Geld.
Wendepunkt dieser Geschichte ist es wegen meiner Freundin, ich habe
Sie mit meinem besten Kumpel im Bett gefasst.... unglaublich... hier paar
Pics von dieser schlampe http://www.schnippi(andereCHdomain)/sensation07/
imagepages/image1.html.
Kurz gesagt, ich will nicht mehr bei euch bleiben, aber ich gehe nicht
allein,
ich werde auch meine Schlampe und ihren Lover mitnehmen, tut mir leid
leut, aber anders kann ich nicht. Wenn ihr diesen email liest ist es
schon passiert, vielen dank fur euer interesse zu meiner person...
Meine personalien:
(Name, Adresse, E-Mail des mutmasslich ge-Joe-Jobten gesnipt)

Stefan Werner

unread,
Aug 5, 2008, 12:22:00 AM8/5/08
to
Ich habe dieselbe Mail bekommen. Sogar zweinal an unterschiedliche
meiner Mailadressen.

-stef

Gabriela Salvisberg schrieb:

Vito Corti

unread,
Aug 5, 2008, 2:10:39 AM8/5/08
to
On 05.08.08 05:34:44 Gabriela Salvisberg <sal...@gmx.ch> wrote:
>
>Sind euch heute bzw. gestern irgendwelche Mails mit angeblicher Schweizer
>Absenderadresse untergekommen, die einen Selbstmord/Mord ankündigten?

Ja, 5 Stück an 4 verschiedene *.ch Adressen (eine Adresse wurde 2x bedient).

Stefan Werner

unread,
Aug 5, 2008, 2:27:53 AM8/5/08
to
Gabriela Salvisberg schrieb am 05.08.2008 05:34:

> Sind euch heute bzw. gestern irgendwelche Mails mit angeblicher Schweizer
> Absenderadresse untergekommen, die einen Selbstmord/Mord ankündigten?

Eben sind nochmal zwei auf zwei weiteren E-Mail-Adressen eingeschlagen.
Übrigens auch mit unterschiedlichen reply-to Headern.

Ich frage mich, ob man dieses Phänomen nicht für Spamfilter ausnützen
könnte: Wenn dieselbe Mail mit unterschiedlichen reply-to oder Absendern
an mehrere Adressen geht, darf man mit grosser Wahrscheinlichkeit davon
ausgehen, dass es Spam ist.

Gibt es fertige Spamfilter, die diesen Zusammenhang schon ausnützen?

-stef

s. maeder

unread,
Aug 5, 2008, 3:43:11 AM8/5/08
to
On 5 Aug 2008 03:34:44 GMT, Gabriela Salvisberg <sal...@gmx.ch> wrote:

>Hi, Leute
>
>Sind euch heute bzw. gestern irgendwelche Mails mit angeblicher Schweizer
>Absenderadresse untergekommen, die einen Selbstmord/Mord ankündigten?

Habs auch bekommen, eine ganze Handvoll davon. Das an verschiedene
Adressen ging, hab ichs automatisch gelöscht ohne zu lesen...

Was mich irritiert ist, dass im Nachnamen der Umlaut korrekt
ausgeschrieben wird, in der Adresse nur o steht ohne e.

Beide angegebenen WebSites tun nicht (mehr) bzw. nicht als
www.domäne.ch.

Ich tipp auf Racheakt, Mundtotmachen oder ähnliches seitens von
Spammern, da auch DNSBL im Spiel ist - wird das www der ersten
angegebenen Adresse durch dnsbl ersetzen. Hat auch einen Multi
RBL-Check drauf.

Die zweite Domain-Adresse wurde im Zusammenhang mit der radioaktiven
Kontamination des angeblich explodierten AKWs in Genf verwendet Anfang
Jahr, deren Mail ein Trojaner transportierte.

Auch etwas ratlos
Susanne

Matthias Leisi

unread,
Aug 5, 2008, 4:33:14 AM8/5/08
to
Stefan Werner schrieb:

> Ich frage mich, ob man dieses Phänomen nicht für Spamfilter ausnützen
> könnte: Wenn dieselbe Mail mit unterschiedlichen reply-to oder Absendern
> an mehrere Adressen geht, darf man mit grosser Wahrscheinlichkeit davon
> ausgehen, dass es Spam ist.

Wenn es unterschiedliche Reply-To:-, To:- oder From:-Header hat, sind es
unterschiedliche Mails, vom technischen Standpunkt aus gesehen.

Es gibt ein paar Möglichkeiten um "ähnliche" Mails zu erkennen (DCC,
Razor/Pyzor); diese Tools haben eine durchzogene Erfolgsgeschichte, sind
aber in gängigen Tools wie SpamAssassin und den darauf basierenden
Derivaten und Appliances durchwegs verfügbar.

-- Matthias

Stefan Werner

unread,
Aug 5, 2008, 5:13:35 AM8/5/08
to
Matthias Leisi schrieb am 05.08.2008 10:33:

> Es gibt ein paar Möglichkeiten um "ähnliche" Mails zu erkennen (DCC,
> Razor/Pyzor); diese Tools haben eine durchzogene Erfolgsgeschichte, sind
> aber in gängigen Tools wie SpamAssassin und den darauf basierenden
> Derivaten und Appliances durchwegs verfügbar.

Ich hab einen SpamAssassin auf meinem Sammel-Posteingang, aber ich finde
irgendwie die Option nicht, mehrere Mailboxen vergleichend auf ähnliche
Mails zu prüfen. Hast Du mir einen Ausgangspunkt zum Weiterlesen?

-stef

Matthias Leisi

unread,
Aug 5, 2008, 5:38:15 AM8/5/08
to
Stefan Werner schrieb:

Das ganze passiert, bevor die Mails in deiner Mailbox ankommen,
zuständig dafür ist das DCC Plugin [1] respektive die Pyzor- [2] und
Razor-Plugins [3]. Das funktioniert dann nicht nur auf deine eigenen
Inboxen, sondern über die "unscharfen Prüfsummen" quasi weltweit.

-- Matthias

[1]
http://spamassassin.apache.org/full/3.2.x/doc/Mail_SpamAssassin_Plugin_DCC.html
[2]
http://spamassassin.apache.org/full/3.2.x/doc/Mail_SpamAssassin_Plugin_Pyzor.html
[3]
http://spamassassin.apache.org/full/3.2.x/doc/Mail_SpamAssassin_Plugin_Razor2.html

Stefan Werner

unread,
Aug 5, 2008, 6:00:35 AM8/5/08
to
Matthias Leisi schrieb am 05.08.2008 11:38:

> Das ganze passiert, bevor die Mails in deiner Mailbox ankommen,
> zuständig dafür ist das DCC Plugin [1] respektive die Pyzor- [2] und
> Razor-Plugins [3]. Das funktioniert dann nicht nur auf deine eigenen
> Inboxen, sondern über die "unscharfen Prüfsummen" quasi weltweit.

Ah ok. Vielen Dank für die Infos

-stef

Benoit Panizzon

unread,
Aug 7, 2008, 11:00:00 AM8/7/08
to
Das ganze war ja zur Genüge in den Medien.

Interessant ist dass die adressen von Webseiten geharvested wurden.

Diese hier hat meine Spam-Trap erwischt:

191005.055510@[...]

Die IP wurde also am 19. Oktober 2005 um 05:55:10 von meiner Webseite
geharvested. Leider hab ich so lang zurück keine Logs mehr und kann daher
nicht sagen woher.

Gruss
-Benoit-

0 new messages