Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

'ransom' spam

3 views
Skip to first unread message

Carel

unread,
Nov 30, 2005, 6:54:46 AM11/30/05
to
De inventiviteit van spammers is bijna grenzeloos. De volgende body
kwam hier door de filters heen (ik heb de layout iets opgeschoond):

<html>
<p align="center">
<a href="http://www.geocities.com/janis_janiser/?mexwbzuis=sohnpqu">
<img border="0" src="http://images.google.com/images?q=tbn:AuEHdsXrMYAJ:www.brown.edu/Departments/Philosophy/bears/v-drop.gif">
<img border="0" src="http://images.google.com/images?q=tbn:SWvjOyaxcjUJ:www.ccfi.educ.ubc.ca/publication/insights/v08n02/images/i.gif">
<img border="0" src="http://images.google.com/images?q=tbn:A8-ltLWNfKkJ:www.accesstoinsight.org/lib/authors/bullitt/images/A-big-macron.gif">
<img border="0" src="http://images.google.com/images?q=tbn:MlrKQemkpIkJ:www.pin-cha.org/images/letters/g.gif">
<img border="0" src="http://images.google.com/images?q=tbn:jNpJpG3v15YJ:www.royalcliff.com/images/newwc-r.gif">
<img border="0" src="http://images.google.com/images?q=tbn:aCrNTXs3JEQJ:www.mv.com/webtools/gif/chars/times-medium-i/72/A.gif">
</a>

<br>
<br>

<a href="http://www.geocities.com/chad_chader/?xrrfwiipg=wvnwbypj">
<img border="0" src="http://images.google.com/images?q=tbn:HZxfOghHMnwJ:www.tnellen.com/pics/c-small.gif">
<img border="0" src="http://images.google.com/images?q=tbn:Q7WRCWwHtHYJ:www.zcounsel.com/images/alpha/i.gif">
<img border="0" src="http://images.google.com/images?q=tbn:K_0JMqgoaF8J:www.zcounsel.com/images/alpha/a.gif">
<img border="0" src="http://images.google.com/images?q=tbn:VX9ag6k9FRkJ:www.zcounsel.com/images/alpha/l.gif">
<img border="0" src="http://images.google.com/images?q=tbn:Q7WRCWwHtHYJ:www.zcounsel.com/images/alpha/i.gif">
<img border="0" src="http://images.google.com/images?q=tbn:lhRoElDeovQJ:www.srim.org/IMAGES/S.gif">
</a>
</p>
[random crap weggehaald]
</html>

De images die deze mail uit de Google-cache haalt zijn kleine plaatjes
van letters. Die spellen vervolgens viagra op de eerste regel en
cialis op de tweede. Het geheel ziet er een beetje uit als de
klassieke 'ransom note' die met allerhande letters uit kranten en
tijdschriften inelkaar is geplakt. Voer bovenstaande HTML aan een
browser en je ziet hoe het er uit ziet.

De trend om gratis diensten te misbruiken is hier dus nog iets verder
doorgevoerd. En zo'n bericht slipt natuurlijk door ieder content- en
URL filter heen, tenzij je flink scoort op geocities.com URL's.

De spamvertized website was [random].mothlessbh.com (SBL34434).

Carel

Rejo Zenger

unread,
Nov 30, 2005, 7:09:49 AM11/30/05
to
On 2005-11-30, Carel <ca...@xs4all.nl> wrote:
> De inventiviteit van spammers is bijna grenzeloos. De volgende body
> kwam hier door de filters heen (ik heb de layout iets opgeschoond):
[...]

> tijdschriften inelkaar is geplakt. Voer bovenstaande HTML aan een
> browser en je ziet hoe het er uit ziet.

Voor luie mensen: <http://rejo.zenger.nl/tmp/carel-spam.html>.


--
Rejo Zenger <re...@krikkit.nl> - http://rejo.zenger.nl - PGP 0x75FC50F3

Piet Beertema

unread,
Nov 30, 2005, 7:24:45 AM11/30/05
to
Rejo Zenger wrote:
> Carel wrote:
> > ...

> > Voer bovenstaande HTML aan een browser en je ziet hoe het er uit ziet.
>
> Voor luie mensen: <http://rejo.zenger.nl/tmp/carel-spam.html>.

Je site lijkt down. Misschien even een viagraatje voeren? ;-)

-p

Rejo Zenger

unread,
Nov 30, 2005, 8:20:57 AM11/30/05
to
On 2005-11-30, Piet Beertema <www.godfatherof.nl/@opt-in.invalid> wrote:
>> > Voer bovenstaande HTML aan een browser en je ziet hoe het er uit ziet.
>> Voor luie mensen: <http://rejo.zenger.nl/tmp/carel-spam.html>.
>
> Je site lijkt down. Misschien even een viagraatje voeren? ;-)

Down? Geplanned onderhoud heet dat. Moest even een disc uitwisselen.
Doet het nu gewoon weer.

Dick Wesseling

unread,
Nov 30, 2005, 9:10:50 AM11/30/05
to
In article <slrndor4o6...@zutkooi.joeniks.nl>,

Carel <ca...@xs4all.nl> writes:
> De inventiviteit van spammers is bijna grenzeloos. De volgende body
> kwam hier door de filters heen (ik heb de layout iets opgeschoond):
>
> <html>

...


>
> De trend om gratis diensten te misbruiken is hier dus nog iets verder
> doorgevoerd. En zo'n bericht slipt natuurlijk door ieder content- en
> URL filter heen, tenzij je flink scoort op geocities.com URL's.
>

Gewoon flink scoren op HTML werkt ook heel goed.

Hans Konings

unread,
Nov 30, 2005, 9:15:46 AM11/30/05
to
Carel :

[letterafbeeldingen bij Google opvragen]


> De trend om gratis diensten te misbruiken is hier dus nog iets verder
> doorgevoerd. En zo'n bericht slipt natuurlijk door ieder content- en
> URL filter heen, tenzij je flink scoort op geocities.com URL's.

Dit doorslippen valt te betwijfelen. Zelf heb ik zo'n ding nog niet zien
langskomen, maar ik ben ervan overtuigd dat hij bij mij niet door het
Bayes-filter zou komen. Niet door K9 (MS Windows) en niet door SpamSieve
(OSX). Nog afgezien van het feit dat mijn mail clients geen contact met
Google kunnen maken en uitsluitend mail in plain text tonen.

Maar het spammen blijft een wonderlijke manier van zakendoen. Welke idioot
zou nu zo z'n pillen willen bestellen? Dat kunnen hooguit collega-spammers
zijn die heilig in dit business-model geloven. <g>

--
gr-hk

Dick Wesseling

unread,
Nov 30, 2005, 9:49:54 AM11/30/05
to
In article <0001HW.BFB372A2...@news.xs4all.nl>,

Hans Konings <kam...@xs4all.invalid> writes:
>
> Maar het spammen blijft een wonderlijke manier van zakendoen. Welke idioot
> zou nu zo z'n pillen willen bestellen? Dat kunnen hooguit collega-spammers
> zijn die heilig in dit business-model geloven. <g>
>

Maar slimme zakenlieden moeten het al eeuwen van de idioten hebben. In het
Engels is er al sinds mensenheugenis een gezegde voor: niets is zo makkelijk
van elkaar te scheiden als de dwaas en diens geld.

Jeroen Wijnands

unread,
Nov 30, 2005, 11:15:49 AM11/30/05
to

Carel wrote:
> De inventiviteit van spammers is bijna grenzeloos. De volgende body
> kwam hier door de filters heen (ik heb de layout iets opgeschoond):
>

Da's wel heel apart ja. Hoop niet dat dit aanslaat, kan ik weer aan m'n
filters knutselen.

Jeroen

2Rowdy

unread,
Nov 30, 2005, 12:01:39 PM11/30/05
to
I was reading <news:438da739$0$11062$e4fe...@news.xs4all.nl>,
made by the entity known as Rejo Zenger, that requests spam to be
send to <re...@krikkit.nl>, and I became inspired.

> Doet het nu gewoon weer.

Ja.
--
d:Johan; Certifiable me
http://www.aacity.net Citroen Newsgroup
[rest of sig scrapped due to foul language]

Carel

unread,
Nov 30, 2005, 5:31:23 PM11/30/05
to
Dick Wesseling wrote:
>
> Gewoon flink scoren op HTML werkt ook heel goed.

Dat kan in een privesituatie misschien wel, maar de gemiddelde ISP kan
dat natuurlijk nooit doen.

Carel

Carel

unread,
Nov 30, 2005, 5:34:27 PM11/30/05
to
Hans Konings wrote:
> [letterafbeeldingen bij Google opvragen]
>> De trend om gratis diensten te misbruiken is hier dus nog iets verder
>> doorgevoerd. En zo'n bericht slipt natuurlijk door ieder content- en
>> URL filter heen, tenzij je flink scoort op geocities.com URL's.
>
> Dit doorslippen valt te betwijfelen. Zelf heb ik zo'n ding nog niet zien
> langskomen, maar ik ben ervan overtuigd dat hij bij mij niet door het
> Bayes-filter zou komen. Niet door K9 (MS Windows) en niet door SpamSieve
> (OSX).

Impressive. Ik ben benieuwd op wat voor basis ze de mail dan als spam
zouden aanmerken. Inquiring minds want to know!

> Nog afgezien van het feit dat mijn mail clients geen contact met
> Google kunnen maken en uitsluitend mail in plain text tonen.

Wat bij mij ook het geval is, maar natuurlijk lang niet bij iedereen.

> Maar het spammen blijft een wonderlijke manier van zakendoen. Welke idioot
> zou nu zo z'n pillen willen bestellen? Dat kunnen hooguit collega-spammers
> zijn die heilig in dit business-model geloven. <g>

Tsja, er wordt nog voldoende spam rondgepompt, dus ergens houdt iemand
er geld aan over.

Carel

Carel

unread,
Nov 30, 2005, 5:34:58 PM11/30/05
to
Rejo Zenger wrote:
>
> Voor luie mensen: <http://rejo.zenger.nl/tmp/carel-spam.html>.

Waarvoor dank.

Carel

Hans Konings

unread,
Nov 30, 2005, 5:56:21 PM11/30/05
to
Carel :

> Hans Konings :

>> [letterafbeeldingen bij Google opvragen]
>>> De trend om gratis diensten te misbruiken is hier dus nog iets verder
>>> doorgevoerd. En zo'n bericht slipt natuurlijk door ieder content- en
>>> URL filter heen, tenzij je flink scoort op geocities.com URL's.

>> Dit doorslippen valt te betwijfelen. Zelf heb ik zo'n ding nog niet zien
>> langskomen, maar ik ben ervan overtuigd dat hij bij mij niet door het
>> Bayes-filter zou komen. Niet door K9 (MS Windows) en niet door SpamSieve
>> (OSX).

> Impressive.

Gebaseerd op mijn ervaring met eerdere spamtrucs waarvan menigeen beweerde
dat ze glad door de filters heengingen. Destijds werkte ik nog met MS Windows
en K9 van Robin Keir. Iedere keer zag ik dat dergelijke spam onverbiddelijk
werd tegengehouden door K9, bijv. ook lege testmailtjes. K9 hield en passant
ook virussen tegen. Zelfs de nieuwe, nooit eerder ontvangen varianten werden
direct door K9 herkend en vernietigd.

Sinds ik overstapte op OSX gebruik ik SpamSieve. Dat doet het ook heel
aardig.

> Ik ben benieuwd op wat voor basis ze de mail dan als spam
> zouden aanmerken. Inquiring minds want to know!

Je weet ongetwijfeld hoe een Bayes-filter werkt. Je kunt het trainen. Ik had
na ca. 2 weken heen en weer klikken praktisch geen false positives of false
negatives meer. Na anderhalve maand ofzo had ik er zoveel vertrouwen in
gekregen dat ik K9 ongezien de als spam aangemerkte mail direct liet
vernietigen. Wat een rust.

Maar ik zou bijna zeggen, stuur die spam eens door naar mijn e-mailadres. Dan
laat ik hier wel weten of hij er doorglipte. Dat zou dan nu om SpamSieve
gaan. K9 is hier samen met MS Windows buiten gebruik gesteld. Maar ik zou
willen dat Robin Keir K9 ook eens voor OSX zou programmeren.

--
gr-hk

Dick Wesseling

unread,
Nov 30, 2005, 10:08:53 PM11/30/05
to
In article <slrndosa1q...@zutkooi.joeniks.nl>,

Klopt, maar niet iedereen is ISP. Het probleem met ISPs is dat ze gewoon
te groot zijn... Zelf hanteer ik als postmaster voor een paar honderd
mailboxes de regel HTML zonder text/plain in combinatie met
apnic/lacnic/dul/CmdSpace is reject. Daar komen bijzonder weinig klachten
over. Als ik een paar honderd *duizend* mailboxes had gehad dan zou ik
dat aantal klachten ook met duizend moeten vermenigvuldigen en dan wordt
het een ander verhaal.

Maar een ISP kan natuurlijk gebruikers de mogelijkheid bieden om hun
individuele voorkeuren te configureren, inclusief weigeren van HTML of
ophogen van de relevante SA scores.

En wat betreft mijn privesituatie, ik strip alle HTML uit mp/alternatives
bij het POPen, en als er geen text/plain resteert dan gaat het naar een
spam folder, tenzij je gewhitelist bent, of wanneer from: niet alleen
een email adres bevat maar ook de echte naam van mij of mijn wederhelft.
Ik hoef eigenlijk alleen maar een handjevol hotmail onnozelaars te
whitelisten.
Ik neem aan dat er wel ms-windows software in omloop is waarmee een ieder
die dat wil en niet in staat is zelf wat te hacken een vergelijkbaar
effect kan bereiken.

Carel

unread,
Dec 1, 2005, 8:42:02 AM12/1/05
to
Dick Wesseling wrote:
>>> Gewoon flink scoren op HTML werkt ook heel goed.
>>
>> Dat kan in een privesituatie misschien wel, maar de gemiddelde ISP kan
>> dat natuurlijk nooit doen.
>
> Maar een ISP kan natuurlijk gebruikers de mogelijkheid bieden om hun
> individuele voorkeuren te configureren, inclusief weigeren van HTML of
> ophogen van de relevante SA scores.

Dat heb ik nooit bij een ISP als optie gezien. Vergeet niet dat er ook
heel veel legitieme mail in HTML vorm wordt rondgestuurd. Als HTML
weigeren *de* oplossing was dan had SpamAssassin hogere scores gehad
voor HTML mail en had iedere MUA een HTML-mail-naar-trash functie. Met
diengevolge dat alle spammers hun troep in plaintext gaan sturen.

Carel

Carel

unread,
Dec 1, 2005, 9:24:00 AM12/1/05
to
Hans Konings wrote:
>> Ik ben benieuwd op wat voor basis ze de mail dan als spam
>> zouden aanmerken. Inquiring minds want to know!
>
> Je weet ongetwijfeld hoe een Bayes-filter werkt. Je kunt het trainen. Ik had
> na ca. 2 weken heen en weer klikken praktisch geen false positives of false
> negatives meer. Na anderhalve maand ofzo had ik er zoveel vertrouwen in
> gekregen dat ik K9 ongezien de als spam aangemerkte mail direct liet
> vernietigen. Wat een rust.

Maar wat nu als er geen woorden in staan om mee te Bayes-en? Je ziet
nu al dat heel veel spam geen 'Bayes-buster' teksten meer heeft. De in
de mail genoemde URL's zijn ook niet spammish, hoewel *.geocities.com
tegenwoordig wel een rood lampje moet laten branden.
Het nadeel van Bayes is een beetje hetzelfde als het blokkeren van
HTML: het is niet bruikbaar in een grotere/ISP omgeving. Jij krijgt
vast heel andere mail dan ik. Bepaalde woorden die voor jouw filter
aanleiding zijn om een mail verwijderen zijn bij mij misschien wel
woorden waarop ik juist wil whitelisten.

> Maar ik zou bijna zeggen, stuur die spam eens door naar mijn e-mailadres. Dan
> laat ik hier wel weten of hij er doorglipte. Dat zou dan nu om SpamSieve
> gaan. K9 is hier samen met MS Windows buiten gebruik gesteld. Maar ik zou
> willen dat Robin Keir K9 ook eens voor OSX zou programmeren.

Ik neem aan dat SpamSieve ook naar headers en afleverende IP-adressen
kijkt. Doorsturen heeft dan niet zoveel zin. Het gaat me ook niet om
dat filter x een bepaald stuk spam wel pakt en filter y niet, het gaat
erom dat als dit soort trucs op grote schaal worden toegepast er voor
de grotere mailsetups weinig meer aan te filteren valt, tenzij je
x-procent false positives voor lief neemt.

Carel

Piet Beertema

unread,
Dec 1, 2005, 11:11:20 AM12/1/05
to
Carel wrote:

> Dick Wesseling wrote:
> > Maar een ISP kan natuurlijk gebruikers de mogelijkheid bieden om hun
> > individuele voorkeuren te configureren, inclusief weigeren van HTML
> > of ophogen van de relevante SA scores.
>
> Dat heb ik nooit bij een ISP als optie gezien.

Ik wel. Dat was een uitzonderlijk geval, maar het was een
probaat middel. Goeie ouwe tijd... ;-)

> Vergeet niet dat er ook heel veel legitieme mail in HTML vorm
> wordt rondgestuurd.

Is dat een reden om die bagger te accepteren?

> Als HTML weigeren *de* oplossing was

Het gaat niet over *de* oplossing, maar over *een* oplossing.

> Met diengevolge dat alle spammers hun troep in plaintext gaan sturen.

Dat scheelt weer in mailboxvulling en processing tijd.

-p

Hans Konings

unread,
Dec 1, 2005, 6:00:03 PM12/1/05
to
Carel :

> Hans Konings :

>>> Ik ben benieuwd op wat voor basis ze de mail dan als spam
>>> zouden aanmerken. Inquiring minds want to know!

>> Je weet ongetwijfeld hoe een Bayes-filter werkt. Je kunt het trainen. Ik
>> had na ca. 2 weken heen en weer klikken praktisch geen false positives of
>> false negatives meer. Na anderhalve maand ofzo had ik er zoveel
>> vertrouwen in gekregen dat ik K9 ongezien de als spam aangemerkte mail
>> direct liet vernietigen. Wat een rust.

> Maar wat nu als er geen woorden in staan om mee te Bayes-en?

SpamSieve heeft de optie "Check for message in corpus". Daar komt natuurlijk
geen Bayes aan te pas, maar afdoende is het wel. Ik ben geen technicus, noch
programmeur, dus ik kan je niet vertellen hoe K9 dit aanpakte, maar lege
berichten werden er ook altijd feilloos uitgehaald, zonder dat ik dit hoefde
aan te vinken. Ik heb altijd begrepen dat K9 alles meeneemt in het
leerproces. Headers en body.

> Je ziet nu al dat heel veel spam geen 'Bayes-buster' teksten meer heeft.

Ook spammers leren soms wel iets. Dat Bayes-busting had toch geen enkel
effect op een goed Bayes-filter.

> De in de mail genoemde URL's zijn ook niet spammish, hoewel
> *.geocities.com tegenwoordig wel een rood lampje moet laten branden. Het
> nadeel van Bayes is een beetje hetzelfde als het blokkeren van HTML: het
> is niet bruikbaar in een grotere/ISP omgeving.

Absoluut waar. Bayes-filters zijn vooral geschikt voor eindgebruikers.

> Jij krijgt vast heel andere mail dan ik. Bepaalde woorden die voor jouw
> filter aanleiding zijn om een mail verwijderen zijn bij mij misschien wel
> woorden waarop ik juist wil whitelisten.

Wat bij mij zeker helpt is dat mijn legitieme mail in het Nederlands en het
Spaans binnenkomt en zelden in het Engels. Toch ben ik een tijdje geabonneerd
geweest op legitieme nieuwsbrieven die toch veel spammy jargon gebruikten ('t
waren dan ook komisch bedoelde nieuwsbrieven). Dat zette K9 in het begin wel
op het verkeerde been. Maar een paar keer heen en weer klikken was voldoende
om ook dit in het gareel te krijgen. Op het laatst vergiste K9 zich nooit
meer. Ik hoefde nauwelijks gebruik te maken van blacklists of whitelists, een
mogelijkheid die K9 wel heeft. Ik vond K9 altijd al een wondertje van
programmeertechniek, maar ik besefte pas hoe goed K9 is toen ik op OSX
overstapte en daarmee op Apple's eigen Mail met ingebouwd Bayes-filter. Dat
filter leerde voor mijn gevoel praktisch niks. Maar nog erger was het
ingebouwde filter van Mozilla's Thunderbird. Daar kon ik helemaal geen
leerresultaten waarnemen. Nu gebruik ik Powermail samen met SpamSieve en dat
komt enigszins in de buurt van mijn oude The Bat! en K9. SpamSieve doet het
lang niet slecht. Al blijft het enigszins wrang dat je voor SpamSieve betalen
moet en K9 helemaal gratis ter beschikking gesteld wordt door Robin Keir.

>> Maar ik zou bijna zeggen, stuur die spam eens door naar mijn e-mailadres.
>> Dan laat ik hier wel weten of hij er doorglipte. Dat zou dan nu om
>> SpamSieve gaan. K9 is hier samen met MS Windows buiten gebruik gesteld.
>> Maar ik zou willen dat Robin Keir K9 ook eens voor OSX zou programmeren.

> Ik neem aan dat SpamSieve ook naar headers en afleverende IP-adressen
> kijkt. Doorsturen heeft dan niet zoveel zin.

Och, het valt te proberen. Gewoon voor de test. Jouw afleverend IP-adres zal
hier bij mij niet voor altijd op de zwarte lijst komen te staan. Zoveel
controle heb ik er ook nog wel over. <g>

> Het gaat me ook niet om dat filter x een bepaald stuk spam wel pakt en
> filter y niet, het gaat erom dat als dit soort trucs op grote schaal
> worden toegepast er voor de grotere mailsetups weinig meer aan te filteren
> valt, tenzij je x-procent false positives voor lief neemt.

Begrijp ik. Ik neem aan dat jouw zorg vooral uit naam van een provider is.
Dan praat je over volstrekt andere dimensies.

--
gr-hk

0 new messages