Scammer werden immer nachlässiger

Da rollte uns heute morgen doch glatt diese Scammer E-Mail ins Postfach, die einen kuriosen Inhalt hatte:

Beginnen Sie in den nächsten 6 Minuten damit, 
Geld zu verdienen beeilen Sie sich, 
es sind nur noch wenige Plätze verfügbar, 
um mit dieser großartigen Plattform Geld zu verdienen.
Heller announced it was time to leave and retired to the local pilot seat. I dutifully struggled to shut the airlock but my hands werent working. Heller didnt wait. He lifted us from the pad while I dangled out of the open door until someone pulled me in and slammed it shut. 
Die Mitglieder profitieren bereits davon und dies ist Ihre letzte Chance, 
um an Bord zu kommen und es jenen gleich zu tun.
Menschen auf der ganzen Welt verdienen Millionen und nun sind Sie an der Reihe. 
Folgen Sie diesem Link, um sich heute kostenlos anzumelden.


Viele Verpassen Sie es nicht, Walter Herrmann

Jetzt wird nur dummerweise nicht ganz klar, wie man denn dem Link folgen soll 🙂 Ihr werdet es auch nicht schaffen, denn da ist kein Link mitgekommen 😀

…Eine Iteration der Scammer E-Mail später…

fand sich dann dieser Link:

http://lexus-krasnoyarsk-club.ru/pjrucpddzcurz
(der Link wurde zu Ihrem Schutz entschärft)

Diese leitete den User in einer Stafette weiter …

„https://go.info-project-1.ru/go/0e0b1c43-ff12-4481-89fa-2819b6f98b57“
„http://go.2track500.com/aff_c?offer_id=405&aff_id=4434“
„https://woodsilvergold.com/api/v1/flows/198/click?id=1026cf10367efd6611146713838ff1&offer_id=405&affiliate_id=4434&device_brand=Robot&device_model=Bot+or+Crawler&device_os=&ip=37.143.199.61&country_code=DE&advertiser_id=2&source=&aff_sub=&aff_sub2=&aff_sub3=&aff_sub4=&aff_sub5=“

um dann bei

„https://bitcoincodesoftapps.com?click=50743610&mode=optin&api_url=%2F%2Fwoodsilvergold.com%2Fapi%2Fv1&p=woodsilvergold.com%2Fapi%2Fv1%2Fpixels%2F50743610%3Fpixels%3D440&pL=woodsilvergold.com%2Fapi%2Fv1%2Fpixels%2F50743610%3Fpixels%3D441&push=0“

vermutlich einen Clickbetrug zu begehen 🙂 Den Link habe ich dann nicht mehr mitgemacht 😉

Da in letzter Zeit aus Russland echt nur Müll angeschwemmt wurde, hat sich folgende Regel in der Firewall als brauchbar herausgestellt :

REJECT all — 185.254.188.0/22 0.0.0.0/0 reject-with icmp-port-unreachable

Denn auch die ursprüngliche Scammer-Domain liegt in dem Netzwerk. Es besteht der Verdacht, daß das gesamte Netzwerk zu einer Neuauflage des RBN gehört, ergo nur Verbrecherseiten beherbergt.Rate mal welche IP der die letzte Domain in der Kette hat …

bitcoincodesoftapps.com has address 185.254.188.7

und oh Wunder…schaut mal wo der original Link herkommt …

lexus-krasnoyarsk-club.ru has address 185.254.188.162

na sowas aber auch.. welch ein Zufall 😉