Euphony relay misbruik ivm radar detector spam

ubremoved_2964 · 20 feb 2014, 16:27

In september 2013 heeft een firma in mijn naam honderdduizenden mails gespoofed, waarvan ik alle bounces kreeg.

Afbeelding

Zie ook http://klinktbeter.be/index.php/news/18 ... ikker-spam

Dus de 40.000 bounced mails op een CD gebrand en naar de politie, die de FCCU heeft ingeschakeld.
Ik ben uren met de opkuis bezig geweest gezien de mailbox hierdoor wel wat overload kreeg.
Gedurende zo'n drie dagen is email echt een hell geweest gezien velen mij beschuldigden van feiten die iemand anders gepleegd heeft.
Daarom heb ik het dan ook op onze website gezet.

Vandaag was het opnieuw prijs, maar dan mails in iemand anders naam ( [email protected] ) via dezelfde euphony mail relay relay.euphony.mailprotect.be

Het source IP is opnieuw een Euphony ADSL klant. Ik was vandaag één van de geadresseerden en zag direct in de email headers gelijkaardige feiten als wat mij destijds is overkomen. De mailbox achter [email protected] zal de komende dagen dus ook belaagd worden met vele onbestelbare mails door de acties van deze spammer.

Ik heb vandaag met de FCCU gebeld om dit te melden, gezien ze momenteel mijn klacht behandelen. Ik weet ook dat Combell deze euphony mail relay beheert, ik heb daar een combell ticket nr van. Anderzijds vraag ik me af waarom ze geen limieten implementeren, zodat dit soort spams gewoon onmogelijk wordt.

Want de feiten zijn al sinds 2012 aan de gang en de spammer is duidelijk op de hoogte dat ze via het ADSL netwerk van euphony onbeperkt kunnen spammen via relay.euphony.mailprotect.be

Op http://whocallsme.com/Phone-Number.aspx/08922061140/2 vond ik immers:

Received: from relay.euphony.mailprotect.be ([178.208.44.11])
Subject: Snelheidsboetes? Ik heb de oplossing
Date: Sun, 11 Nov 2012 17:41:52 +0100

Dit is geen simpele kwestie. Kan euphony niet vervolgd worden, omdat ze ondanks eerdere klachten, hun mail relays niet goed beveiligen, en dit soort spams al sinds 2012 doorlaten. Of ligt de schuld enkel bij de spammer, of bij beide.

Als combell / euphony hier niks aan doet, zullen deze spammers steeds Belgische email adressen heel wat overlast bezorgen door in hun naam te spoofen, wat valsheid in geschrifte is en dus strafbaar.

on4bam · 20 feb 2014, 17:16

Het lijkt mij toch eenvoudig voor Euphony om te achterhalen wie de spammer is. Waarschijnlijk draaien de radertjes bij de FCCU wat te traag want ook via die weg zou het eenvoudig moeten zijn om de dader te pakken te krijgen.

Ik zit zelf ook met een soortgelijk probleem. De laatste twee weken krijg ik veel "mail delivery failed" mails met een onbestaand adres @mijndomein. De mails komen niet van mijn mailserver/hosting maar van over de hele wereld. Ik kan daar natuurlijk niets aan doen aangezien ik maar alleen de ontvanger van de failed deliveries ben.

Code: Selecteer alles

Date: Thu, 20 Feb 2014 16:40:02 +0200
From: MyHomePharm <[email protected]>
Reply-To: [email protected]
To: <[email protected]>
Message-ID:
<907CF71F39B511E5275E642FCDCDD40-6FAD64470EF356BB7C06647FE820BD1F@ASKA1>
Subject: User 5a58a1e3 Buy With 65% OFF! MIME-Version: 1.0 Content-Type:
text/html; charset="UTF-8" Content-Transfer-Encoding: 7bit X-Mailer:
WhatCounts ENVID:
WC-3219764226461-FF2FDFE793BC61C78DBEE22034C2BC21-8eb5a6eade0bb4a1aaec38c1
c5571d2c List-Unsubscribe:
<http://email.on4bam.com/u?id=FF2FDFE793BC61C78DBEE22034C2BC21>
X-Unsubscribe-Web:
<http://email.on4bam.com/u?id=FF2FDFE793BC61C78DBEE22034C2BC21>
X-pstn-levels: (S: 0.00000/ 7.84202 CV:99.9000 FC:95.5390 LC:95.5390
R:95.9108 P:95.9108 M:97.0282 C:98.6951 ) X-pstn-dkim: 0
skipped:not-enabled X-pstn-status: off Return-Path: [email protected]

Splitter · 20 feb 2014, 17:25

on4bam: blacklisten van dat adres, geen catch-all gebruiken, honeypot van dat adres maken, ...

@TS; neen, euphony en combell kan je niet verantwoordelijk stellen voor dit misbruik.
ze zouden wel wat betere actie kunnen ondernemen, maar doen ze dat niet.. sja.
wat je wel kan doen is ze melden bij de spam-block instanties zoals spamhaus en dergelijke,
zodat die relay gewoon geblacklist kan worden over het hele net.

en dat hele "valsheid in geschrifte" zaakje, tja, ga jij die dader maar een keer zoeken,
niet altijd zo simpel als je mag denken (mensen kunnen bv "schuldig" zijn door een virus dat ze niets van weten)

EDIT: nog een tip, zet nooit, zoals op je site, het emailadres als een aanklikbare mailto: link!
dat is vragen voor een of andere vorm van misbruik.

tb0ne · 20 feb 2014, 17:33

Ik veronderstel dat je [email protected] en [email protected] al gecontacteerd hebt hierover?

on4bam · 20 feb 2014, 17:55

Splitter schreef:on4bam: blacklisten van dat adres, geen catch-all gebruiken, honeypot van dat adres maken, ...

Het zijn verschillende (niet bestaande) adressen en de catchall is veel te handig... dan hoef ik niet direct een alias aan te maken als ik ergens een adres gebruik (ik gebruik op alle sites en voor alle contacten aparte adressen).
Nu goed, de undeliverables zitten in de catch all en worden gewoon gewist..

ubremoved_2964 · 20 feb 2014, 18:50

tb0ne schreef:Ik veronderstel dat je [email protected] en [email protected] al gecontacteerd hebt hierover?

Net naar klanteninfo gemaild, wat is dat ander adres ?

ubremoved_2964 · 20 feb 2014, 18:57

Splitter schreef: en dat hele "valsheid in geschrifte" zaakje, tja, ga jij die dader maar een keer zoeken,
niet altijd zo simpel als je mag denken (mensen kunnen bv "schuldig" zijn door een virus dat ze niets van weten)

inderdaad, maar stel nu dat ik van kwade wil zou zijn, dan kan ik dat argument gaan inroepen als drogreden

ik stuur maar spam, zorg dat mijn script op een USB stick staat dus niet op de HDD, en zeg dat het een virus was ... en als ze het virus dan niet vinden, zeg je gewoon dat je anti virus scanner iets gevonden heeft en dat opgekuist heeft, maar dat je dit te laat gezien hebt

meestal houdt zo'n scanner zijn logs toch niet eindeloos bij ... en verdwijnt het bewijs alsnog .... dus alibi
sommige scanners quarantainen het bewijs niet maar deleten gewoon het virus

of beter nog: je deed een reinstall van je OS omdat je PC door een virus pokketraag was ... en dan zijn de bewijzen ook weg

er zijn genoeg alibi's die iemand kan verzinnen als ze van kwade wil zijn ....

Wat ook verdacht is, dat in de spam er nooit een direct link staat naar de site van de spammer, maar altijd eerst via een zoekrobot passeert. Duidelijk over nagedacht ....

Trouwens, de firma zelf doet alsog hun neus bloedt:

Deze mailing vindt volledig buiten ons om plaats.

Wij hebben zelf ook last van deze mails. Slecht voor ons imago en de hosting provider accepteert dit uiteindelijk ook niet.
Een product als dat van ons verkoopt zich niet via mailings, een "gefrustreerde" automobilist die teveel bekeuringen heeft gaat emotioneel naar google en vindt ons dan.

We proberen op alle manieren af te komen van dergelijk, voor ons schadelijke, mailings.
Echter het is niet eenvoudig, de mails komen van verschillende locaties en afzenders.....
Men vermoedt dat er een concurrent (of een ontevreden klant) achter zit.

Het spijt ons dat u hier ook last van heeft en wij hopen dat dit zo spoedig mogelijk voorbij is.

Met vriendelijke groet,

ubremoved_2964 · 20 feb 2014, 19:05

Als iemand deze firma schade zou willen aanrichten, dan ga je geen positief woord over deze radarverklikker sturen, maar eerder bvb deze reactie:

Ik ben in het bezit van een dergelijk apparaatje. En zeer ontevreden.
Vorige week ben ik bij een algemene politiecontrole aangehouden met het apparaatjee op mijn dashboard.
Na mijn uitleg dat dit een elektrosmogmeter is werd ik uitgelachen. Boete en inbeslagname..

Gr. Erik

http://valentijn.sessink.nl/?p=422

tb0ne · 20 feb 2014, 19:18

mailprotect.be is blijkbaar eigendom van [email protected], er staan contactgegevens bij, misschien een reseller van combell.
Combell is nogal actief op twitter, hun site staat vol met tevreden twitter referenties.
Dat lijkt een potentieel gevoelige snaar...
Uit de whois van het domein (mailprotect.be) valt misschien ook nog info af te leiden:

http://www.bbc-brussels.be/BabyloneEvents/Contact.htm

En nu begin ik mij precies een Hercule Poirot te voelen...

Splitter · 20 feb 2014, 20:03

ub4b schreef: meestal houdt zo'n scanner zijn logs toch niet eindeloos bij ... en verdwijnt het bewijs alsnog .... dus alibi
sommige scanners quarantainen het bewijs niet maar deleten gewoon het virus

of beter nog: je deed een reinstall van je OS omdat je PC door een virus pokketraag was ... en dan zijn de bewijzen ook weg

zolang je dezelfde harde schijf gebruikt, zou ik daar niet te hard mee roepen.
de fccu heeft wel wat deftige tooltjes in huis om gewiste gegevens op te halen.
overigens is het extreem zeldzaam dat iemand *zelf* gaat beginnen spammen.

spam komt bijna altijd vanuit een georganiseerde hoek, en is bijna altijd te herleiden naar spambots / scripts,
die dan ook nog eens heel vaak gewoon op een onwetende jan met de pet zijn pc staan.
en ja, daar kan je iets mee doen: neem die mensen hun internet af...
maar dan ben je dus aan het discrimineren, en damagni!

ubremoved_2964 · 20 feb 2014, 22:09

klopt inderdaad, als ze weten waar ze op zoek naar zijn, dan zal een simpele reinstall of file deletion dat niet verhinderen

als een virus het zou gedaan hebben, en het is geen simpele string (zegmaar een simpele string zoals eicar) maar een complexe pattern (bvb een regex) wordt de uitdaging al wat lastiger, zeker als ze de file allocation tables van het filesystem ook kwijt zijn (bvb na een volledige reinstall)

heb zelf ooit nog eens een volledige HDD met vakantiebeelden teruggehaald omdat een ex die uit wraak had gedelete, dus moeilijk is dit niet

dat zijn dan makkelijke recoveries gezien je gewoon naar bvb jpeg headers zoekt

als ik de reactie van die radar detector fabrikant lees, dan zijn ze zeer goed in het verzinnen van uitvluchten

dat ze dan nog zouden spammen via geïnfecteerde pc's is dat minstens crimineel te noemen