Pillenspammer aus Berlin
Andreas Kohlbach
Spam Business" heißen. Zumindest dachte ich erst, es sei ein
Kleinspammer. Aber möglicherweise so klein doch nicht...
Da kommt eben deutscher Spam rein, der mal eine deutsche Online Apotheke
bewirbt. Ob das legal ist? Die URL ist
http://www#dein-date.info/pillendienst (leaseweb.com, der wieder bei
Kolido, ist Hoster). Man macht sich keine Mühe, die Links zu
verschleiern, so dass man nach pillendienst.com geht.
Man nutzt die Gunst der Stunde und erwähnt im Spam, dass man so am Zoll
vorbei kommt. Weil man ja in Deutschland ist, und wohl auch von dort die
Ware verschickt. Nur wo kommt die wieder her?
Aber es scheint größer zu sein. folgt man nur dein-date.info sieht man,
dass Spammie auch im Porno-Geschäft die Hände hat. Es sieht sogar so aus
(da mag ich mich irren, werde nächste Woche da mal recherchieren, falls
niemand anderes etwas weiß), als sei er mit sexkontakte-germany
zusammen, oder ist gar der Kopf, die derzeit auch wieder sehr aktiv
sind. Google kennst auch noch extremeteen.de wo lzsoft zumindest im
DNS-Query auftaucht. Naja, das war sicher ein Versehen. Ist sicher der
Spammer selbst.
Nach der "Bestellung" der Hinweis, dass man zwei Emails von
sup...@sysport.de. Man merke sich den FQDN, und mache auch einen whois
darauf. Hier taucht zum ersten Mal "Peter Lenz" und lzsoft.net auf.
Man klickt auf "Rechnung abrufen" und gelangt nach rechnung24.de (man
mache einen whois darauf... :-). Bis hier hin könnte man noch annehmen,
sysport.de und rechnung24.de machen nur zufällig die Abrechnung für den
Spammer. Auch für die Pornoseiten oben erwähnt. Aber er ist der Spammer
selbst, und somit physisch greifbar, wenn man Folgendes beachtet.
Das Bestellformular einer Testbestellung kann man auf
<http://www.silenceisdefeat.com/~ankman/pillendienst.png> ansehen. Das
sollte als Beleg (gar Beweis?) diesen, dass Peter Lenz zumindest in
diesem Fall Nutznießer, somit der Spammer selbst ist. Und macht nicht
nur die Abrechnung für die beteiligten Unternehmen.
Bitte gerne selbst verifizieren (Bestellung aufgeben), wer es nicht glaubt.
Recherchiert man nach lzsoft.net, bekommt man bestätigt, dass das alles
kein Zufall ist. Die Domain lzsoft.net gehört einem Peter Lenz, der nach
den Angaben in 14929 Treuenbrietzen, unweit von Berlin (auch wenn man
seine Bank nicht unbedingt am Ort haben muss, siehe Screenshot). Auf
<http://www.lzsoft.net/referenzen.html> finden sich dann auch einige der
oben erwähnten Dienste, wie sysport.de.
Bedenklich halte ich noch <http://www.lzsoft.net/geschichte.html>, dass
ein Spammer da wohl "Customer-Service für bekannte Firmen" macht.
Überhaupt mit Payment generell.
Und eben, dass Spammer offenbar aus Deutschland heraus ganz ungeniert
spammen. Wie gesagt, der hier (Peter Lenz, denn er hat offenbar unter
diesem Namen einen Bank Account; oder kann man mit falschen Namen
Bankkonten bekommen?) müsste physisch greifbar sein, wenn die
Adressdaten stimmen. Ich mutmaße mal, dass eine Hausdurchsuchung zeigen
würde, dass man keine Software Firma ist, die Programme schreiben,
sondern wohl alle damit beschäftigt, Spam zu formulieren.
Laut Google Groups hat lzsoft in 2002 die Hände auch im Dialer-Geschäft.
Dort ist ein Artikel aus dieser Gruppe zu finden.
In dem Zusammenhang ist vielleicht noch
<http://board.gulli.com/thread/729925-unschuldig-wegen-computerbetrug-angeklagt-was-soll-ich-tun/>
interessant zu lesen.
--
Andreas (PGP Key available on public key servers)
19. hey, what does mkfs do?
--Top 100 things you don't want the sysadmin to say