Archive for april, 2013

Scam spam är alltid kul

2013/04/30

Tjatja bloggen!
Long time, no see, as usual!
Brukar roa mig med att läsa spam-mail som dimper ner i min mejlbox, generellt sett är de så uppenbara att jag bara garvar.
Men idag trillade det in ett som kunde tas för något hyfsat seriöst, var djävulen i detaljerna som satte dit det om vi säger så.
Klipper in hela mejlet (dock utan formatering och html samt med en maskad mejladress) nedan till allmän beskådan innan jag går lös på det.

From: Jörgen Nilsson (XXXX@tele2.se)
Subject: Nyhetsbrevet April

Hej! Vi hoppas du fått en god start på spelåret 2013 och att du är lika entusiastisk som vi över att fortsätta spelåret och allt det kommer att ge! Glädjande nog kan vi avslöja att 335 av våra spelare vann med Primera-64 i förra omgången
Förändringarna för denna omgången är att spelinstruktionen är mycket enkel att förstå. Även om du aldrig tidigare spelat med system kommer du att på ett enkelt sätt att kunna använda Primera-64

Nyheter år 2013
Under andra kvartalet 2013 kommer vi att bygga ut vår tjänst ytterligare.
Vår nya uppdaterade hemsida kommer då förhoppningsvis att vara klar och utlagd. Vi meddelar adress senare. De nyheter som kommer har vi till stor del dig som kund att tacka för! Vi får mycket bra idéer och önskemål av våra kunder och några av dem kommer att realiseras inom kort. Vi hoppas att Ni fortsätter och mejla in och ge oss fler uppslag. Spelklubben som håller på att bildas fick vi från en av våra kunder

Veckans erbjudande
TIPPA 1 HEMMASEGER OCH VINN MINST 6000 KR INNAN 5 VECKOR! (Garanterat)

GRATIS BONUS längre ner på sidan.

Äntligen!!
Nu har den nya Primera-64 metoden kommit till Sverige.
En nyhet som revolutionerar tippningen.
Med Primera-64 behöver du bara tippa 1 säker hemmamatcher för att uppnå ett snittvärde över på 1*12*+3*11 rätt. Detta ger som regel över 6000 kronor.
Som tillägg kan Primera-64 ge dig 13 rätt nästan varje gång det är från 5 till 10 hemmasegrar på kupongen. Det bästa av allt – detta är möjligt med endast en insats på bara 64 kr per vecka. Men inte nog med det; med Primera-64 har du större möjlighet att vinna 50 miljoner!

Vår oslagbar unik vinstgaranti längre ner på sidan!
Är du bland de första som beställer, får du även tillgång till de bästa programmen för Stryktips, V75, Lotto, Måltips, alla program och hjälpmedel en spelvän behöver.
Det sammanlagda värdet är mer än 800 kr:- UTAN EXTRA KOSTNAD!

OBS! GLÖM INTE DIN GRATIS BONUS (Det kommer en till längre ner!)
Svarar du inom 10 dagar så får du dessutom 5 nykonstruerade V75 system med vår unika vinstgaranti, alla godkända ATG HELT GRATIS!

OBS! GLÖM INTE DIN GRATIS BONUS NR 2
Du får dessutom två spelböcker som lär dig steg förs steg hur man använder spelsystem för stryktipset och V75. Våra absoluta storsäljare (värde 995:-)

VINSTGARANTI!
Vi garanterar , att du efter 5 veckors spel har vunnit minst 6000 kr annars återbetalar vi hela beloppet som du har betalt för systemet.
Garantivillkor: Du måste klara av att tippa dina två hemmamatcher riktigt under garantitiden, samt ha lämnat in kupongerna.
Vi är det enda företaget om lämnar garant!

Ja Tack! Jag vill absolut inte missa chansen att vinna stort!
Jag får därför HELA spelpaketet för introduktionspriset 298 kronor
+ porto (Ord pris 998:- kronor + porto)

Svarar du inom 5 dagar så får du dessutom 5 nykonstruerade V75 system med vår unika vinstgaranti, alla godkända av ATGl HELT GRATIS!
Mejla in din order: Klicka här för att beställa
OBS glöm inte skriva in namn och adress vid beställningen! )

Med vänlig hälsning, och hopp om ett lyckosamt 2013 önskar vi på Nordic Systems

Vänliga hälsningar,
Nordic Systems
Stureplan 2
114 35 Stockholm

Jörgen Nilsson
Marknadsansvarig

To remowe from mejllist just click here: remove@nordicsystems.se

Hoppas alla läste igenom det ordentligt nu; förutom att det verkligen är reklamsnack hela vägen igenom och att jag är tveksamt till hur ett företag som uppenbarligen sysslar med tipset har fått mig som ”kund” (en mer sport-ointresserad person än jag är svårhittad) så en intressan sak som kan upptäckas utan att djupdyka i teknikaliteter:

Den marknadsansvarige använder uppenbarligen en privat mejladress för utskicket, trots att Nordic Systems antingen har en egen MX eller i alla fall någon form av forwarding (remove@nordicsystems.se).

Men förutom den lilla missen så är det väl inget att haka upp sig på?
Förutom den lilla detaljen att en dnskoll mot nordicsystems.se returnerar absolut ingenting! Alltså kan inte mejladressen remove@nordicsystems.se fungera!

Dags för lite mer detaljgranskning av mejlet i fråga, och nu kommer det en hög med utdrag från det oprocessade originalet med start i själva huvudet av mejlet. Mejlet har skickats från Tele2, men avsändaren har enligt mejl-huvudet använt Telenors smtp-servrar (uppgifter har maskats, saker som rör mig har märkts ”NPCOTYG” och övrigt är markerat XXXX):

Received: from smtprelay-h31.telenor.se (smtprelay-h31.telenor.se. [213.150.131.4])
by mx.google.com with ESMTPS id l3si114920lag.109.2013.04.30.12.29.31
for
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Tue, 30 Apr 2013 12:29:31 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning XXXX@tele2.se does not designate 213.150.131.4 as permitted sender) client-ip=213.150.131.4;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning XXXX@tele2.se does not designate 213.150.131.4 as permitted sender) smtp.mail=XXXX@tele2.se
Received: from ipb3.telenor.se (ipb3.telenor.se [195.54.127.166])
by smtprelay-h31.telenor.se (Postfix) with ESMTP id 28AC9C0A3
for ; Tue, 30 Apr 2013 21:29:31 +0200 (CEST)
Message-Id:
X-LISTENER: [smtp.euromail.se]
X-SENDER-IP: [46.194.177.XXXX]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: Apl6ALMagFEuwrE3PGdsb2JhbABSKoIZg1daa4EGgkmlBwGKcoZzBIEVAwEBAQE4NYIyFw8BXxwCJgJFGg8EAYd5AxOTbow4iwaDUCuCFYZRHIkRjF6Ca3ENgQYDjRGGRpgLOjJ9
X-IronPort-AV: E=Sophos;i=”4.87,583,1363129200″;
d=”scan’208,217″;a=”323474023″
Received: from XXXX.cust.telenor.se (HELO XXXX.cust.telenor.se) ([46.194.177.XXXX])
by ipb3.telenor.se with ESMTP; 30 Apr 2013 21:29:30 +0200
From: ”=?UTF-8?B?SsO2cmdlbiBOaWxzc29u?=”

Dock så kan det finnas naturliga förklaringar till ovanstående; t.ex. att personen har ett konto hos Telenor som han använder och har sin mejlklient inställd på, men han vill att ev. svar ska hamna på tele2-adressen eller att den avsändaren ska användas. Jag har ett par, tre olika mejladresser som jag skickar ifrån som kommer visa gmail i header-fälten trots att from visar något helt annat.

Därför kommer lite andra skojiga utdrag från mejlet; t.ex. kan man ta en titt på ”Klicka för att beställa”-delen, som ser ut såhär oprocessat:


‹BR>Mejla in din order ‹/B>: ‹/FONT>‹FONT face=Verdana size=4>
‹A href="mailto:nordsys@swedenmail.com?subject=Best=C3=A4llning av Primera-64">
Klicka h=C3=A4r f=C3=B6r att best=C3=A4lla ‹/A> ‹BR>‹/FONT>

Jag vet att det är svårläst, men ur ovanstående så kan man med viss möda utläsa att beställningsmejlet går till adressen nordsys@swedenmail.com. Det finns två MX till swedenmail.com: mx00.gmx.com och mx01.gmx.com, http://www.swedenmail.com leder till en ganska typisk ”ingen har registrerat denna domänen”-sida med diverse utlänkar. Siten gmx.com å sin sida verkar vara en sida som erbjuder MX-tjänster.

Som avslutning tar jag upp slutklämmen på mejlet:

To remowe from mejllist just click here: ‹/FONT>‹A href=”mailto:returadress@swedenmail.com?subject=Unsubscribe”>‹FONT face=Verdana size=1>remove@nordicsystems.se‹/FONT>

Felstavning på ”remowe” (remove) och ”mejllist” (mailing list) kan diskuteras, varför har man en engelsk (felstavad) avslutning?
Hade man kört på standardinställningarna i t.ex. mailman hade avslutningen varit på engelska och rättstavade.

Nästa sak i avslutningen är att även här används skilda mejladresser mellan vad som visas och vad som kommer stå i mejlklienten.

Summa Summarum
Behöver jag ens nämna att en googling på ”Nordic Systems” ger resultat som inte är relaterade till spel? Kan hinta om att det är garagedörrar och grejer…

Men; reklamsnack rakt igenom mejlet, avsändaradress som ser ut som en privat, skickat från en annan leverantör än den som från-adressen var och länkar som pekar på en tredje mail-leverantör (varav en är uppenbart under falsk flagg då länktexten säger en sak och koden pekar på en annan). I rest my case…

Hoppas du har det bra i fortsättningen bloggen!
Kanske börjar blogga lite mer rutinmässigt igen nån dag, vem vet?