Ist das Usenet fuer Adress-Sammler interessant? (was: Wie narkive.com am Archivieren meiner Texte hindern?)

5 views
Skip to first unread message

Helmut Waitzmann

unread,
Dec 25, 2021, 4:17:26 PM12/25/21
to
Joerg Lorenz <hugy...@gmx.ch>:

> Aufwand und Ertrag stehen in keinem vernünftigen Verhältnis. Das
> Usenet ist de facto tot. Und ich wiederhole es gerne nochmals: Ich
> habe keinerlei Evidenz, dass noch Harvester im Usenet unterwegs
> sind. Wenn Du welche hast, dann leg sie uns doch offen.

Bitte sehr!


Vorbemerkung:  Ich weiß nicht, woher der Spammer der Nachricht, aus
deren Nachrichtenvorspann ich unten einen Auszug zeige, meine
Adresse hat:  Er kann sie entweder direkt als Usenetnutzer gefischt
haben oder aus im Web zugänglichen Usenet‐Archiven geholt haben. 
Fest steht jedenfalls, dass ich diese Adresse nur im Usenet
verwende.

Hier folgt der angekündigte Auszug aus dem Nachrichtenvorspann:


Received: by mail-wm1-f42.google.com with SMTP id
i12so3915616wmq.4 for <nn.th...@xoxy.net>;
Sat, 18 Dec 2021 11:16:47 -0800 (PST)
Date: Sat, 18 Dec 2021 20:16:34 +0100

Aber das gehört eigentlich nicht nach «de.comp.security.misc».  Ich
mache mal ein Crosspost und Followup-To nach
«de.admin.net-abuse.mail».  Bei Bedarf bitte anpassen.

Helmut Waitzmann

unread,
Dec 25, 2021, 6:19:30 PM12/25/21
to
Andreas Kohlbach <a...@spamfence.net>:
>On Sat, 25 Dec 2021 22:17:16 +0100, Helmut Waitzmann wrote:

>> Vorbemerkung:  Ich weiß nicht, woher der Spammer der Nachricht,
>> aus deren Nachrichtenvorspann ich unten einen Auszug zeige, meine
>> Adresse hat:  Er kann sie entweder direkt als Usenetnutzer
>> gefischt haben oder aus im Web zugänglichen Usenet‐Archiven
>> geholt haben.  Fest steht jedenfalls, dass ich diese Adresse nur
>> im Usenet verwende.
>>
>> Hier folgt der angekündigte Auszug aus dem Nachrichtenvorspann:
>>
>>
>> Received: by mail-wm1-f42.google.com with SMTP id
>> i12so3915616wmq.4 for <nn.th...@xoxy.net>;
>> Sat, 18 Dec 2021 11:16:47 -0800 (PST)
>> Date: Sat, 18 Dec 2021 20:16:34 +0100
>
>Kam über Google? Ich habe derzeit viel Nigeria-Scam, der nicht nur
>über Google (Gmail) kommt, sondern daher auch oft eine oder mehrere
>valide Email-Adresse(n) trägt. Hat er? Teste die Adressen mal gegen
>eine Suchmaschine, ob die schon früher auffiel.

Startpage und DuckDuckGo finden
<https://www.signal-arnaques.com/scam/view/408228>.

Helmut Waitzmann

unread,
Dec 26, 2021, 2:33:18 AM12/26/21
to
Andreas Kohlbach <a...@spamfence.net>:
> On Sun, 26 Dec 2021 00:19:25 +0100, Helmut Waitzmann wrote:
>> Startpage und DuckDuckGo finden
>> <https://www.signal-arnaques.com/scam/view/408228>.
>
> Die dort angegebene Email-Adresse cojp.g...@gmail.com führt
> sonst leider ins Leere (ich finde auch bei Google keine weiteren
> Treffer als die Seite selbst).
>
> War der Spam auf Französisch?
>

Ja.

[…]

> Wenn der Body auf Französisch ist, bringt eine Übersetzung auf
> Deutsch vielleicht zutage, um was es geht.

Es war eine Nachricht, die außer dem französichen Text «Ci-joint
votre convocation.» noch eine JPEG‐Datei mit weiterem französischen
Text – zuviel, alles abzutippen – enthielt.  Als des Französichen
nicht Mächtiger habe ich nicht viel mehr als die Begriffe
Pédopornographie, Pédophilie, Exhibistionnisme, Cyber pornographie,
Trafic sexuel und den Betrag 75000 EUR erkannt.

Unten steht noch dran «Mr. Christian Rodriguez, Directeur général de
la Gendarmeir Nationale» und «Direction centrale de la gendarmerie
brigade de protection des mineurs», und dann sieht man noch Embleme
der Republik Frankreich, der «Police nationale» und der «Gendarmerie
nationale» sowie den Schriftzug «E U R O P O L».

Aber das nur am Rande.  Thema war ja, ob im Usenet verwendete
E‐Mail‐Adressen abgefischt werden, oder nicht.

Karl-Josef Ziegler

unread,
Dec 26, 2021, 11:47:08 AM12/26/21
to
Am 26.12.2021 um 08:33 schrieb Helmut Waitzmann:

> Unten steht noch dran «Mr. Christian Rodriguez, Directeur général de
> la Gendarmeir Nationale» und «Direction centrale de la gendarmerie
> brigade de protection des mineurs», und dann sieht man noch Embleme
> der Republik Frankreich, der «Police nationale» und der «Gendarmerie
> nationale» sowie den Schriftzug «E U R O P O L».

Also der übliche Erpressungs-Scam. Und Email-Adressen-Abfischen aus dem
Usenet habe ich in letzter Zeit auch nicht mehr erlebt, das war vor
vielen Jahren mal Mode.



Michael Pachta

unread,
Dec 26, 2021, 3:00:20 PM12/26/21
to
Am 26.12.2021 um 19:05 schrieb Andreas Kohlbach:
> Leider hat sich ein Spammer beim ISP darüber beschwert, sodass die Seite
> vom Netz genommen wurde.

Was genau war das für eine Seite? Worüber kann ein Spammer sich beschweren?

Thomas Hochstein

unread,
Dec 26, 2021, 3:45:03 PM12/26/21
to
Michael Pachta schrieb:

> Was genau war das für eine Seite?

Eine Seite mit Mailadressen (vermeintlicher und tatsächlicher) Spammer.

> Worüber kann ein Spammer sich beschweren?

Über die Angabe seiner Mailadresse auf einer fremden Webseite (mit dem
expliziten Ziel, sie zu "verbrennen", damit Spam nach dort versandt
wird).

-thh

Michael Pachta

unread,
Dec 27, 2021, 4:19:39 AM12/27/21
to
Am 26.12.2021 um 21:35 schrieb Thomas Hochstein:
> Michael Pachta schrieb:
>> Worüber kann ein Spammer sich beschweren?
>
> Über die Angabe seiner Mailadresse auf einer fremden Webseite (mit dem
> expliziten Ziel, sie zu "verbrennen", damit Spam nach dort versandt
> wird).

Vielen Dank für die Antwort. Ich hätte nicht gedacht, dass ein Spammer
eine öffentlich bekannte E-Mail-Adresse hat bzw. nicht haufenweise
Wegwerf-Adressen, denn früher oder später landet fast jede
E-Mail-Adresse in einem Spam-Verteiler.

Dass ein Spammer sich beschwert über das Harvesting seiner Kollegen,
zeigt, dass die eigene Medizin nicht zu schmecken scheint.

Thomas Hochstein

unread,
Dec 27, 2021, 2:15:03 PM12/27/21
to
Michael Pachta schrieb:

> Ich hätte nicht gedacht, dass ein Spammer
> eine öffentlich bekannte E-Mail-Adresse hat bzw. nicht haufenweise
> Wegwerf-Adressen, denn früher oder später landet fast jede
> E-Mail-Adresse in einem Spam-Verteiler.

Irgendwo wird mit Spam ja mal etwas beworben, und dieses Angebot muss
man wahrnehmen können, also gibt es da auch Kontaktadressen; oder
Adressen, die zur Registrieung von Domains usw. verwendet wurden.

> Dass ein Spammer sich beschwert über das Harvesting seiner Kollegen,
> zeigt, dass die eigene Medizin nicht zu schmecken scheint.

Das ist eine wenig überraschende Erkenntnis.

Andreas Kohlbach

unread,
Jan 7, 2022, 8:52:03 AMJan 7
to
On Sun, 26 Dec 2021 13:05:28 -0500, Andreas Kohlbach wrote:
>
> On Sun, 26 Dec 2021 08:33:16 +0100, Helmut Waitzmann wrote:
>>
>> Aber das nur am Rande.  Thema war ja, ob im Usenet verwendete
>> E‐Mail‐Adressen abgefischt werden, oder nicht.
>
> Dazu habe ich neulich hier ein Posting mit einer Wegwerf-Adresse
> eingestellt. Bisher kam aber kein Spam. Sollte doch, werde ich hier
> berichten.

Kam immer noch nichts. Aber ich habe dem Spammer vor Silvester mit einer
Wegwerf-Adresse auf Französisch geantwortet, dass ich ihm unbedingt das
Geld senden will, um einer Strafverfolgung zu entgehen. Ich habe mich als
M Alfonse ausgegeben.

Gestern kam über cojp.g...@gmail.com eine Antwort, die auch über
Googles Mailserver kam (nicht dass Google sich noch um Beschwerden
kümmern würde). Die Antwort war auch auf Französisch. Der Spammer hat den
Kopf von Hand geschrieben, und dabei "M Alfose" statt "M AlfoNse"
geschrieben. Ich habe die Mail automatisch ins Deutsche übersetzen
lassen:

=======================
Zu Händen von M. Alfose

Wir bestätigen den guten Empfang Ihrer E-Mail.

Sie haben tatsächlich eine Straftat begangen, denn auf pornografischen
und schurkischen Seiten befinden sich auch Minderjährige, die nach
europäischem Recht verboten sind.

Unter den Umständen dieses Auftretens sind wir nicht hier, um Ihnen
Probleme zu bereiten, aber diese Handlung ist auf europäischem Gebiet
offiziell verboten.

Um Abhilfe in dieser Situation zu schaffen und zu verhindern, dass Sie
vor dem stellvertretenden Staatsanwalt des Obersten Gerichtshofs von
Créteil erscheinen und Sie als Sexualstraftäter aufgeführt werden, auf
die Gefahr hin, Ihren Ruf und Ihre Familie zu ruinieren, wollten wir
Ihnen die Wahl lassen vor der Verhandlung, falls erforderlich, sind wir
verpflichtet, das nach dem Gesetz vom März 2007 vorgeschriebene Verfahren
einzuleiten, das besagt, dass wir im Falle eines Erscheinens Ihrerseits
verpflichtet sind, unseren Bericht an Herrn Gérald . zu senden Darmanin,
stellvertretender Staatsanwalt beim Tribunal de grande instance von
Créteil und Spezialist für Cyberkriminalität, um einen Haftbefehl gegen
Sie zu erlassen, an die Ihrem Wohnort nächstgelegene Gendarmerie zur
Festnahme zu übersenden und Sie als Sexualstraftäter aufzuführen.

In diesem Fall werden wir Sie einem Artikel der Justiz unterwerfen, der
es Ihnen durchaus ermöglichen könnte, sich zu entlarven, ohne diese
Angelegenheit öffentlich zu machen und ohne Ihren Beruf oder Ihren Ruf zu
gefährden.
Wir stellen Ihnen folgende Fälle vor:

Option 1: Sie können sich an einen zugelassenen und akkreditierten Anwalt
wenden, und nach diesem Verfahren werden Sie eine Freiheitsstrafe von 2
bis 20 Jahren im Gefängnis und die Medienberichterstattung über diese
schwerfällige Akte verhängen, um alle Menschen davon abzuhalten, sich
solchen Arten hinzugeben von Praktiken.

Option 2: Sie können eine Strafe von 6.879 € zahlen, die in maximal zwei
Raten zahlbar ist, falls Sie nicht in der Lage sind, alles auf einmal zu
zahlen. Wir werden Ihnen ein Kündigungsschreiben zusenden, wenn die
Zahlung der Entlassungsgebühr wirksam wird.

Wir warten immer noch darauf, wieder Empfänge zu erhalten.
===========

Dass der Text brüchig ist, schreibe ich der automatischen Übersetzung zu.

Spammy gab leider nicht an, wie oder wohin man die 6.879 € zahlen
soll. Ich hatte auf ein Konto in der EU gehofft. Eventuell hat man die
Möglichkeit, den Spammer bei seiner Bank als Betrüger zu brandmarken,
dass sie das Konto einfrieren. Man sollte zudem seinen echten Namen
bekommen. Und vielleicht findet eine Suchmaschine dazu noch eine
Postanschrift in Frankreich (oder wo immer der wirklich ist), wo man eine
Flotte schwarzer Kleinbusse senden könnte.

Ich warte auf weiteren Spam, der vielleicht dann sagt, wohin ich senden
kann, wenn ich auch auf Bitcoin oder Paypal als Zahlungsmethode tippe.

Von dieser meiner Aktion unbenommen denke ich weiter, dass auch Adressen
aus dem Usenet gefischt werden, auch wenn ich noch keinen Spam an die
Adresse des Artikels neulich bekam. Das mag Monate dauern.
--
Andreas

https://news-commentaries.blogspot.com/

Michael Pachta

unread,
Jan 7, 2022, 9:18:45 AMJan 7
to
Am 07.01.2022 um 14:52 schrieb Andreas Kohlbach:
> Option 2: Sie können eine Strafe von 6.879 € zahlen, die in maximal zwei
> Raten zahlbar ist, falls Sie nicht in der Lage sind, alles auf einmal zu
> zahlen. Wir werden Ihnen ein Kündigungsschreiben zusenden, wenn die
> Zahlung der Entlassungsgebühr wirksam wird.

Wie viele der Bespammten, die bis hierher gekommen sind, mögen sich
einen solchen Betrag überhaupt leisten können? Anscheinend aber genügend
viele, sonst würde der Spammer dies nicht tun.

Michael Pachta

unread,
Jan 7, 2022, 9:21:17 AMJan 7
to
Am 26.12.2021 um 19:05 schrieb Andreas Kohlbach:
> Leider hat sich ein Spammer beim ISP darüber beschwert, sodass die Seite
> vom Netz genommen wurde. Ich sollte mich mal nach einem kostenlosen
> Provider in China umsehen, um meine Liste anderen Spammern wieder
> verfügbar zu machen. Sie sollte wirklich großen Schaden bei den dort
> gelisteten Spammern anrichten.

Hier würde mich noch interessieren, wie man die Spammer dazu bringt,
eine solche (oder irgendeine andere) Webseite binnen kurzer Zeit zu
harvesten.

Karl-Josef Ziegler

unread,
Jan 7, 2022, 11:16:07 AMJan 7
to
Am 07.01.2022 um 14:52 schrieb Andreas Kohlbach:

> Spammy gab leider nicht an, wie oder wohin man die 6.879 € zahlen
> soll. Ich hatte auf ein Konto in der EU gehofft. Eventuell hat man die
> Möglichkeit, den Spammer bei seiner Bank als Betrüger zu brandmarken,
> dass sie das Konto einfrieren.

Da kommt bestimmt wieder so etwas wie Bitcoin, Moneygram und Konsorten.
Und sollte es ein Bankkonto sein, dann wohl eher von einem unbedarften Muli.


Michael Uplawski

unread,
Jan 8, 2022, 12:11:20 AMJan 8
to
Moin

Andreas Kohlbach:

> Die Seite (nun leider offline) hatte bis zu 100 Besuche pro Tag, die zu
> mehr als 30 % (laut dem Webcounter) von Leuten aus Nigeria, Benin oder
> Togo) besucht wurde. Sie scannen halt das Usenet nach Seiten ab, die
> Email-Adressen haben.

Ich hätte die Elfenbeinküste ganz vorne vermutet
--
l'individu, son émancipation, sa compréhension du monde. Et pour ça il
faut du temps pour lire, s'instruire, se consacrer aux autres.
(Christiane Taubira)

Michael Pachta

unread,
Jan 8, 2022, 6:07:42 AMJan 8
to
Am 08.01.2022 um 11:38 schrieb Andreas Kohlbach:
> Bei Surfern der Cote d'Ivoir war die Seite in der Tat sehr gefragt. Sie
> haben es auf den 5. Platz geschafft, siehe Screenshot von eben
> <http://96.20.145.113/419counter.png> (48 Stunden zur Ansicht).

Zitat: "134 different countries have visited this site."

Meine Güte, da war ja fast jedes Land der Welt zu Besuch.

Chr. Maercker

unread,
Feb 4, 2022, 2:11:44 PMFeb 4
to
Michael Uplawski wrote:
> Ich hätte die Elfenbeinküste ganz vorne vermutet

Ich hatte vermutet, ein Großteil der 419-Spammer säße in .uk. Von dort
kam eine Zeitlang auffallend viel von dem Zeug. In Afrika hätte ich den
kleineren Teil erwartet.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Feb 4, 2022, 2:14:57 PMFeb 4
to
Michael Pachta wrote:
> Hier würde mich noch interessieren, wie man die Spammer dazu bringt,
> eine solche (oder irgendeine andere) Webseite binnen kurzer Zeit zu
> harvesten.

Die Seite von Andreas Kohlbach wurde anscheinend binnen Stunden
entdeckt. Erklären kann ich mir das nur mit den Bots der Suchmaschinen.
Und damit, dass Spammer selbige regelmäßig nach "@" abfragen. Oder
wonach suchen die, um Seiten mit eMailadressen so schnell zu finden?
Eigene Bots betreiben die eher nicht.
--


CU Chr. Maercker.

Chr. Maercker

unread,
Feb 4, 2022, 2:18:08 PMFeb 4
to
Andreas Kohlbach wrote:
> Von dieser meiner Aktion unbenommen denke ich weiter, dass auch Adressen
> aus dem Usenet gefischt werden,

Eher indirekt, also nicht per NNTP, sondern über die blödsinnigen
Archive bei G**gl & Co.

--


CU Chr. Maercker.

Marc Haber

unread,
Feb 5, 2022, 5:17:03 AMFeb 5
to
"Chr. Maercker" <Zwei...@gmx-topmail.de> wrote:
>Andreas Kohlbach wrote:
>> Von dieser meiner Aktion unbenommen denke ich weiter, dass auch Adressen
>> aus dem Usenet gefischt werden,
>
>Eher indirekt, also nicht per NNTP, sondern über die blödsinnigen
>Archive bei G**gl & Co.

Mein Mailserver weist neuerdings zunehmend nicht nur
"kaputtreparierte" Adressen wie usenets...@zugschl.us ab, sondern
auch Adressen in dem von Google obfuskierten Format (irgentwas mit
mh+u...@zugschlus.de) ab, ja.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Karl-Josef Ziegler

unread,
Feb 5, 2022, 5:19:09 AMFeb 5
to
Am 04.02.2022 um 20:11 schrieb Chr. Maercker:

> Ich hatte vermutet, ein Großteil der 419-Spammer säße in .uk. Von dort
> kam eine Zeitlang auffallend viel von dem Zeug. In Afrika hätte ich den
> kleineren Teil erwartet.

Da spielt wohl auch der Brexit eine Rolle. Aus NL und ES kam teilweise
auch viel. Meine Vermutung: man muss auch die bevorzugten
Einwanderungsländer in Betracht ziehen.





Michael Uplawski

unread,
Feb 5, 2022, 7:05:54 AMFeb 5
to
Moin

Ich verstehe die letzte Bemerkung nicht:

Karl-Josef Ziegler:
Einwanderungsländer – von wo nach wo, wenn “bevorzugt”?
Es ist freilich so, dass dort wo der SPAM herkommt, auch die Sprache
gesprochen wird, die hier um mich herum auch stark verbreitet ist. Darum
interessiert mich dieses Detail

« Elfenbeinküste » kam von mir. Es ist außerdem das Land, das hier im
Radio (wahrscheinlich in den « Medien » ganz allgemein) am häufigsten
mit UBE/UCE/Phishing – und was man so hat – in Verbindung gebracht wird.

Unerwünschtes aus NL und ES habe ich so lange nicht gesehen, dass ich
mich nicht erinnere. Da waren die brasilianischen und chinesischen
Phasen (Korea hat lange gedauert) wesentlich einprägsamer.

Sind NL und ES als Ursprungsland ein deutsches Phänomen?

Cheerio...

El Oopso.
(auch lange her)

--
Le progrès, ce n'est pas l'acquisition de biens. C'est l'élévation de

Thomas Hochstein

unread,
Feb 5, 2022, 4:30:03 PMFeb 5
to
Andreas Kohlbach schrieb:

> On Sat, 05 Feb 2022 11:17:02 +0100, Marc Haber wrote:
> > Mein Mailserver weist neuerdings zunehmend nicht nur
> > "kaputtreparierte" Adressen wie usenets...@zugschl.us ab, sondern
> > auch Adressen in dem von Google obfuskierten Format [...]
>
> Obfuskiert?

Ja. GoogleGroups ersetzt im Webinterface den Großteil des Localparts von
Mailadresse (und alles, was es dafür hält) mit "...".

> Google hat ein Design-Flaw (oder ist das Absicht?). Wer *eine*
> Gmail-Adresse hat, kann unter fast unendlichen "anderen" Adressen
> (z.B. wenn "." drin sind) erreicht werden.

Das ist richtig, hat aber nun wirklich gar nichts damit zu tun.

-thh
Reply all
Reply to author
Forward
0 new messages