# 20070610/RZ: Alle verwijzingen naar de postings in nieuwsgroepen in het # archief van Google leveren een foutmelding op omdat Google de manier van # opvragen heeft veranderd. Daar waar mogelijk heb ik het vervangende adres # vermeld. Alle wijzigingen zijn gemarkeerd met "# 20070610/RZ: ", de rest # van de tekst is volledig ongewijzigd. Waarom wij menen dat AkinFranks Speko is. Spamvrij.nl heeft overtuigend bewijs dat Speko achter AkinFranks zit. Dit bewijs is gedurende een lange zoektocht vergaard. De reden dat we niet meteen alles openbaar hebben gemaakt, is dat we een aantal bronnen moeten (en willen) beschermen. Omdat we het belangrijk vinden dat niet alleen de bewering wordt gedaan, maar ook bewijs daarvoor wordt geleverd, hebben we een selectie van die informatie hier beschikbaar gemaakt. Waarom wij denken wat we denken. In het kort: het IP van waaraf Akinfranks zijn forms heeft geupload naar een van de spamvertised websites en het IP adres waarmee een aantal van de spamvertized domains zijn geregistreerd, is 80.100.7.82 en dat IP adres is in gebruik door 123fit.nl / Speko. In het lang: In de tweede helft van april 2004 werden er weer eens de nodige hypotheek-spamruns verstuurd. Deze worden om voor de handliggende redenen toegekend aan 's lands grootste spammer, te weten Akinfranks. Om het geheugen op te frissen, een chronologie van die runs: | Tue, 13 Apr 2004 18:11:08 +0200 | ------------------------------- | | De website die via de redirects op en | werd spamvertised draaide eerst op | , die op 63.246.210.6 (DIGITALIBIZ). | | -> http://groups.google.com/groups?selm=107o48ubiid3r22%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/f3c4ed30d1e0bd15?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1438 | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1439 | | | Wed, 14 Apr 2004 19:32:29 +0200 | ------------------------------- | | Die werd offline gehaald nadat niet alleen | dat ene IP maar het hele DIGITALIBIZ IP space in de SBL werd opgenomen. | | -> http://groups.google.com/groups?selm=107qtdf1a9cbs63%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/edc090a981390af2?dmode=source&hl=en | -> http://groups.google.com/groups?selm=slrnc7qud0.h0j.carel%40zutkooi.joeniks.nl&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/fd100a0ed320c0c7?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1450 | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1449 | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1448 | | | Fri, 16 Apr 2004 12:57:04 GMT | ----------------------------- | | Nieuwe spamrun en spamvertized is weer . | Die verwijst naar (via | de bekende redirects), en die draait op 209.151.65.153 (WEHOST-1). | | -> http://groups.google.com/groups?selm=1082119546.maildrop9.77017%40monitor.nl&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/279f0fc2c26c5187?dmode=source&hl=en | -> http://groups.google.com/groups?selm=107vsbm9n4v5l54%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/3ee80cb2cdff13d5?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1451 | | | Fri, 16 Apr 2004 19:26:59 +0200 | ------------------------------- | | Die interrnet.net is in no-time down. | | -> http://groups.google.com/groups?selm=10805r579tcg0a2%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/22fca57aceec7d4b?dmode=source&hl=en | | | Fri, 16 Apr 2004 21:42:28 +0200 | ------------------------------- | | Site is verplaatst naar | en die draait ook op 209.151.65.153 (WEHOST-1). | | -> http://groups.google.com/groups?selm=lcd0809gjqpn3e2lan1j4ra9260rpbvrj5%404ax.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/60ce470351de363f?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1451 | | | Mon, 19 Apr 2004 10:12:52 -0200 | ------------------------------- | | Spamrun voor dat verwijst, dat via | truckage verwijst naar interrnet.net. | | -> http://groups.google.com/groups?selm=1082373882.maildrop11.95277%40monitor.nl&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik.spam-signalering/msg/1f7dfac54c713919?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1479 | | | Mon, 19 Apr 2004 17:20:52 +0200 | ------------------------------- | | Nieuwe spamrun wordt verstuurd waarbij | wordt spamvertized. Die draait op 219.150.118.20 (CHINATELECOM-ha). De | eigenlijke pagina wordt gehost op , op | 66.194.37.237 (ECU-5). De DNS draait op 64.70.253.142 (AFFIN-1) en | 66.194.37.189 (ECU-5). | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1480 | | | Tue, 20 Apr 2004 17:50:10 -0500 | ------------------------------- | | Nieuwe spamrun wordt verstuurt waarbij | wordt spamvertized. De eigenlijke pagina wordt gehost op | . | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1481 | | | Wed, 21 Apr 2004 03:23:09 +0400 | ------------------------------- | | Nieuwe spamrun wordt verstuurt waarbij | wordt spamvertized. De eigenlijke pagina wordt gehost op | . | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1482 | | | Thu, 22 Apr 2004 00:16:39 +0200 | ------------------------------- | | Nieuwe spamrun wordt verstuurt waarbij | wordt spamvertized. | | -> http://groups.google.com/groups?selm=108dsm8flmd5sd1%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/6b67323c900fdce5?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1488 | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1483 | | | Fri, 23 Apr 2004 00:49:40 +0200 | ------------------------------- | | Later is ook interrnet.net uit de lucht gehaald. | | -> http://groups.google.com/groups?selm=108gj0650l41ace%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/6f1060523cdbb3a6?dmode=source&hl=en | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1489 Het IP adres dat de formulieren naar de interrnet.net en internet04.net uploaden was 80.100.7.82 (rDNS fia82-7-100.dsl.mxposure.nl, NL-HCCNET (ISP DSL-VII). Met andere woorden, er is dus een link tussen 80.100.7.82 en interrnet.net en internet04.net en die hebben op hun beurt een link met akinfranks.com (zie 13 tot 16 april). We weten verder ook dat zowel thehurdle.net als ohnonotagain.net zijn geregistreerd vanaf datzelfde IP 80.100.7.82. Dat is gebeurd via nrw.net aka csl-gmbh.net bij joker.com. Om het geheugen op te frissen, een chronologie van die domains: | Sun, 16 May 2004 | ---------------- | | Spamrun voor op 219.150.118.25 | (CHINATELECOM-ha). | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1559 | | | Mon, 17 May 2004 | ---------------- | | pamrun voor op 219.150.118.25 | (CHINATELECOM-ha). | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1562 | | | Tue, 18 May 2004 | ---------------- | | Spamrun voor op 219.150.118.25 | (CHINATELECOM-ha). | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1563 | | | Fri, 21 May 2004 | ---------------- | | Spamrun voor op 219.150.118.20 | (CHINATELECOM-ha). | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1578 | | | Tue, 25 May 2004 | ---------------- | | Spamrun voor op 219.150.118.20 | (CHINATELECOM-ha). | | -> http://www.spamvrij.nl/lijsten/details.php?spamid=1587 Oke. Daarmee zijn van een paar spamruns bekend aan welk IP ze gekoppeld kunnen worden. In feite heel wat meer, want veel van de spamruns van voor half april en tussen eind april en half mei zijn er genoeg overeenkomsten te vinden. Zie verderop. Nu rest de vraag, van wie is dat IP? Dat is niet erg lastig. Dat behoort namelijk toe aan een Oude Bekende [tm], het IP komt in mijn archief voor in de correspondentie tussen Arjen Jongeling aka Speko aka 123fit.nl aka AJ: | Received: from info@speko.nl by mailhost by uid 502 with qmail-scanner-1.15 | (avp: 4.0.2.2. Clear:. | Processed in 2.140473 secs); 03 Mar 2003 11:34:49 -0000 | Received: from unknown (HELO paars) (80.100.7.82) | by smtp.ixs.nl with SMTP; 3 Mar 2003 11:34:47 -0000 | From: "Speko" | To: | Subject: 123FIT.NL | Date: Mon, 3 Mar 2003 12:34:45 +0100 | Message-ID: <000501c2e178$e43fd970$9600000a@paars> Maar dat was toen. Niet dat het nu anders is overigens: | Return-Path: | Received: from mail.ixs.nl (smtp.ixs.nl [212.241.63.230]) | by [munged] (8.12.6/8.12.6) with SMTP id i3S8J97n032549 | for <[munged]>; Wed, 28 Apr 2004 [munged] +0200 (CEST) | (envelope-from info@123fit.nl) | Received: (qmail 18488 invoked by uid 511); 28 Apr 2004 [munged] -0000 | Received: from info@123fit.nl by pizza3-ha1 by uid 501 with qmail-scanner-1.20 | (avp(2004-04-27). Clear:RC:1(80.100.7.82):. | Processed in 0.193896 secs); 28 Apr 2004 [munged] -0000 | Received: from unknown (HELO Notebook) (80.100.7.82) | by smtp.ixs.nl with SMTP; 28 Apr 2004 [munged] -0000 | From: "123FIT" | To: "'[munged]'" <[munged]@[munged]> | Subject: [munged] | Date: Wed, 28 Apr 2004 [munged] +0200 | Message-ID: <[munged]@Notebook> | MIME-Version: 1.0 | Content-Type: text/plain; | charset="US-ASCII" | Content-Transfer-Encoding: 7bit | X-Priority: 3 (Normal) | X-MSMail-Priority: Normal | X-Mailer: Microsoft Outlook, Build 10.0.2627 | X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2727.1300 | Importance: Normal | In-Reply-To: <[munged]> | Status: RO | Content-Length: 576 | Lines: 33 | | [munged] | | A. Jongeling | 123fit.nl Het IP is een IP uit een DSL range van Mxposure, de merknaam waaronder HCCnet diensten aan andere ISP verkoopt. Dit zijn statische IP adressen, dus erg onwaarschijnlijk dat net op bovengenoemde data het IP adres door een ander in gebruik was. Dat IP kennen we sowieso al in nl.internet.misbruik. Vanaf dat IP zijn er enkele postings gedaan door $iemand: "signup.catcher@zonnet.nl (AJ)". Een citaat met een reactie van Arjen wil ik je niet onthouden: | > Heb je zelf wel nagedacht voor je spam ging doen? | Alweer zo'n kostsmisselijkmakende ongenuanceerde aanname: het zal wel | een spammer zijn. [...] Damn right. -> http://groups.google.nl/groups?selm=8e9d6bda.0303010855.2fecb51d%40posting.google.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/4dad9bbf3347de0d?dmode=source&hl=en -> http://groups.google.nl/groups?selm=8e9d6bda.0303011544.b297b7e%40posting.google.com&output=gplain -> http://groups.google.nl/groups?selm=8e9d6bda.0303020828.b567222%40posting.google.com&output=gplain -> http://groups.google.nl/groups?selm=8e9d6bda.0303020815.101fa4e%40posting.google.com&output=gplain -> http://groups.google.nl/groups?selm=8e9d6bda.0303020840.2957f57e%40posting.google.com&output=gplain Niet alleen in nieuwsgroepen komen we dat IP tegen, ook op het WWW. Zie onderin deze tekst. Maar ook andere dingen wijzen zijn kant op: | $ whois speko.com | | Found a referral to whois.wildwestdomains.com. | | --snip-- | | Registrant: | Speko b.v. | Kruiwiel 1 | Geldermalsen, 4191 TJ | Netherlands | | Registered through: Cheap-DomainRegistration.com | Domain Name: SPEKO.COM | Created on: 24-Jul-03 | Expires on: 24-Jul-04 | Last Updated on: 25-Jul-03 | | Administrative Contact: | Jongeling, Arjen arjen.jongeling@speko.nl | Speko b.v. | Kruiwiel 1 | Geldermalsen, 4191 TJ | Netherlands | +31 345 473 490 Fax -- +31 345 473 460 | Technical Contact: | Jongeling, Arjen arjen.jongeling@speko.nl | Speko b.v. | Kruiwiel 1 | Geldermalsen, 4191 TJ | Netherlands | +31 345 473 490 Fax -- +31 345 473 460 | | Domain servers in listed order: | DNS1.7HOST.COM | DNS2.7HOST.COM Twee opmerkelijke dingen: 1. De hoster is 7host.com en die kennen we al van interrnet.net (zie hierboven). De DNS's van dat domain waren 64.70.253.142 en 66.194.37.189, respectievelijk dns1.7host.com en dns2.7host.com. Bovendien staat dat domain op 66.194.37.196, in dezelfde range waar eerder de tussen 19 en 23 april gehoste en spamvertized domains ook stonden. De entries op spamvrij.nl: 66.194.37.237 2004-04-19 #1480 Uw koopwoning en uw banksaldo 66.194.37.237 2004-04-20 #1481 Gratis hypotheekadvies 66.194.37.237 2004-04-21 #1482 Gratis hypotheekadvies 66.194.37.237 2004-04-22 #1483 Gratis leningofferte 66.194.37.237 2004-04-22 #1488 Uw koopwoning en uw banksaldo 66.194.37.237 2004-04-23 #1489 Uw koopwoning en uw banksaldo -> http://groups.google.com/groups?selm=108dsm8flmd5sd1%40corp.supernews.com&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/6b67323c900fdce5?dmode=source&hl=en 2. Het domain is via Cheap-DomainRegistration.com geregistreerd bij wildwestdomains.com, en dat is ook zo bij leningofferte.net, emailmarketingcd.com en hypotheekverlaging.net. -> http://groups.google.com/groups?selm=slrnbniqts.kr1.carel%40zutkooi.joeniks.nl&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/c7ce3799be53e7e4?dmode=source&hl=en En dat hij bij 7host.com toch al klant is, bewijst ook dit: | ; <<>> DiG 9.2.2 <<>> 7host.com @dns1.7host.com axfr | ;; global options: printcmd | 7host.com. 3600 IN SOA dns1.7host.com. info.7host.com. 6588 86400 3600 604800 3600 | [...] | 123fit.7host.com. 3600 IN A 66.194.37.237 En ja, op 66.194.37.237 staat (stond?) een mirror van 123fit.nl. Nog zoiets. De domains thehurdle.net en ohnonotagain.net zijn vanaf 80.100.7.82 met, vermoedelijk, vervalste adres gegevens geregistreert, om een voorbeeld te geven: | Domain Name: THEHURDLE.NET | Registrar: COMPUTER SERVICES LANGENBACH GMBH DBA JOKER.COM | Whois Server: whois.joker.com | Referral URL: http://www.joker.com | Name Server: NS1.4EVERDNS.COM | Name Server: NS3.NETTING.COM.TW | Status: ACTIVE | Updated Date: 21-may-2004 | Creation Date: 08-may-2004 | Expiration Date: 08-may-2005 | | [...] | | domain: thehurdle.net | status: production | owner: J.J. Bogomil | email: giancarloparazzi@bigfoot.com | address: 9-11 Avenue De La Republique | city: Beaune | postal-code: 21200 | country: FR | admin-c: giancarloparazzi@bigfoot.com#0 | tech-c: giancarloparazzi@bigfoot.com#0 | billing-c: giancarloparazzi@bigfoot.com#0 | nserver: ns3.netting.com.tw | nserver: ns1.4everdns.com | registrar: JORE-1 | created: 2004-05-08 14:57:37 UTC JORE-1 | modified: 2004-05-21 11:09:13 UTC JORE-1 | expires: 2005-05-08 10:57:22 UTC | source: joker.com Dat adres wordt vaker gebruikt. Via nrw.net waren niet alleen thehurdle.net en ohnotagain.net maar ook superfin.biz met dat adres (en naam, een woonadres) aangevraagd. En he... welk adres staat er verder nog in die registratie? | Checking access for 213.84.142.121... ok. | Checking server [whois.neulevel.biz] | Results: | Domain Name: SUPERFIN.BIZ | Domain ID: D6885532-BIZ | Sponsoring Registrar: CSL COMPUTER SERVICE (D.B.A. JOKER.COM) | Domain Status: clientTransferProhibited | Domain Status: inactive | Registrant ID: CNEU-100650 | Registrant Name: J.J. Bogomil | Registrant Address1: 9-11 Avenue De La Republique | Registrant City: Beaune | Registrant Postal Code: 221100 | Registrant Country: France | Registrant Country Code: FR | Registrant Phone Number: +33.380240920 | Registrant Email: giancarloparazzi@bigfoot.com | Administrative Contact ID: CNEU-100649 | Administrative Contact Name: J.J. Bogomil | Administrative Contact Address1: 9-11 Avenue De La Republique | Administrative Contact City: Beaune | Administrative Contact State/Province: -- | Administrative Contact Postal Code: 21200 | Administrative Contact Country: France | Administrative Contact Country Code: FR | Administrative Contact Phone Number: +33.380240920 | Administrative Contact Email: arjen.jongeling@speko.nl | Billing Contact ID: CNEU-100649 | Billing Contact Name: J.J. Bogomil | Billing Contact Address1: 9-11 Avenue De La Republique | Billing Contact City: Beaune | Billing Contact State/Province: -- | Billing Contact Postal Code: 21200 | Billing Contact Country: France | Billing Contact Country Code: FR | Billing Contact Phone Number: +33.380240920 | Billing Contact Email: arjen.jongeling@speko.nl | Technical Contact ID: CNEU-100649 | Technical Contact Name: J.J. Bogomil | Technical Contact Address1: 9-11 Avenue De La Republique | Technical Contact City: Beaune | Technical Contact State/Province: -- | Technical Contact Postal Code: 21200 | Technical Contact Country: France | Technical Contact Country Code: FR | Technical Contact Phone Number: +33.380240920 | Technical Contact Email: arjen.jongeling@speko.nl | Created by Registrar: CSL COMPUTER SERVICE (D.B.A. JOKER.COM) | Last Updated by Registrar: CSL COMPUTER SERVICE (D.B.A. JOKER.COM) | Domain Registration Date: Fri May 07 21:59:04 GMT 2004 | Domain Expiration Date: Fri May 06 23:59:59 GMT 2005 | Domain Last Updated Date: Fri May 07 21:59:05 GMT 2004 Nu we het toch over dat e-mailadres hebben... dat komen we ook bij andere registraties tegen: hypotheekaanvraag.com en emailmarketingcd.com. Daar is nog over op te merken dat bij deze twee domains een adres in Italie hoorde, en bij de recente registraties een adres in Frankrijk. -> http://groups.google.nl/groups?selm=Xns9421ED58C30A6usenet003brombergdem%4062.163.131.67&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik.spam-signalering/msg/ac3cc047ca3c2e2e?dmode=source&hl=en -> http://groups.google.nl/groups?selm=3f897009%240%2464198%241b62eedf%40news.euronet.nl&output=gplain # 20070610/RZ: nieuwe url mij onbekend -> http://groups.google.nl/groups?selm=slrncafmr9.1qd.carel%40zutkooi.joeniks.nl&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/574f6dd47218bfec?dmode=source&hl=en En niet meer dan een hint in de goede richting: | Registrant: | Giancarlo Parazzi | Via Nanzello, 1201 | Limone sul Garda | INTL | 25010 | IT | | Domain Name: HYPOTHEEKAANVRAAG.com | | Administrative Contact: | Giancarlo Parazzi (AJ00072-TR) | [...] We weten eigenlijk wel zeker waar die "AJ" vandaan komt. Achteraf. :) Voor wat betreft emailmarketingcd.com zijn behalve het adres en de registrar ook de DNS servers relevant: | Domain Name: EMAILMARKETINGCD.COM | Registrar: WILD WEST DOMAINS, INC. | Whois Server: whois.wildwestdomains.com | Referral URL: http://www.wildwestdomains.com | Name Server: NS1.ORAY.NET | Name Server: NS2.ORAY.NET | Status: ACTIVE | Updated Date: 18-sep-2003 | Creation Date: 16-sep-2003 | Expiration Date: 16-sep-2004 | | [...] | | Registrant: | n.a. | Via Nanzello, 1201 | Limone sul Garda, 25010 | Italy | | Registered through: Cheap Domain Registration | Domain Name: EMAILMARKETINGCD.COM | Created on: 16-Sep-03 | Expires on: 16-Sep-04 | Last Updated on: 18-Sep-03 | | Administrative Contact: | Parazzi, Giancarlo giancarloparazzi@bigfoot.com | n.a. | Via Nanzello, 1201 | Limone sul Garda, 25010 | Italy | (036) 559-4037 Fax -- | Technical Contact: | Parazzi, Giancarlo giancarloparazzi@bigfoot.com | n.a. | Via Nanzello, 1201 | Limone sul Garda, 25010 | Italy | (036) 559-4037 Fax -- | | Domain servers in listed order: | NS1.ORAY.NET | NS2.ORAY.NET Die DNS servers (in Chinanet en China-netcom.com) kennen we ook al van het domain akinfranks.com zelf. -> http://groups.google.com/groups?selm=slrnbbq21n.ft4.vince%40mid.spamtraps.org&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/004320068304ce34?dmode=source&hl=en De andere twee via wildwestdomains.com geregistreerde domains, te weten leningofferte.net (18 september) en hypotheekverlaging.net (3 en 4 oktober) hebben ook verdachte kenmerken. | Domain Name: HYPOTHEEKVERLAGING.NET | Registrar: WILD WEST DOMAINS, INC. | Whois Server: whois.wildwestdomains.com | Referral URL: http://www.wildwestdomains.com | Name Server: NS1.4EVERDNS.COM | Name Server: NS2.4EVERDNS.COM | Name Server: NS1.DBTEL.COM | Name Server: NS2.DBTEL.COM | Status: ACTIVE | Updated Date: 02-oct-2003 | Creation Date: 26-aug-2003 | Expiration Date: 26-aug-2004 | | [...] | | Administrative Contact: | Milkin, Jack P. jack.milkin@bigfoot.com | Sister Industries (U.K.) Ltd | Vauxhall Industrial Estate | 1459 Tame Street | Wrexham, LL14 6HA | United Kingdom | 0870 830 5892 Fax -- Dit bedrijf lijkt niet te bestaan. De registratie heeft daarmee hetzelfde patroon aan kenmerken: niet-bestaand bedrijf, geen fax-nummer en een bigfoot.com adres. Datzelfde is ook het geval met leningofferte.net: | Domain Name: LENINGOFFERTE.NET | Registrar: WILD WEST DOMAINS, INC. | Whois Server: whois.wildwestdomains.com | Referral URL: http://www.wildwestdomains.com | Name Server: NS1.4EVERDNS.COM | Name Server: NS2.4EVERDNS.COM | Name Server: NS1.DBTEL.COM | Status: ACTIVE | Updated Date: 18-aug-2003 | Creation Date: 17-aug-2003 | Expiration Date: 17-aug-2004 | | [...] | | | Registrant: | Kredicorp Benelux | Ommering 246 | Alkmaar, 1812 ZB | Netherlands | | Registered through: Cheap Domain Registration | Domain Name: LENINGOFFERTE.NET | Created on: 17-Aug-03 | Expires on: 17-Aug-04 | Last Updated on: 18-Aug-03 | | Administrative Contact: | Derijks, J.P.M. j.derijks@bigfoot.com | Kredicorp Benelux | Ommering 246 | Alkmaar, 1812 ZB | Netherlands | +31 72 895 6321 Fax -- | | [...] | | Domain servers in listed order: | NS1.4EVERDNS.COM | NS2.4EVERDNS.COM | NS1.DBTEL.COM Omdat dit bedrijf in Nederland gevestigd zou zijn is verificatie een heel stuk eenvoudiger. Kredicorp Benelux met een bigfoot.com adres, geen fax (iets dat we van andere domains kennen), maar evenmin in het telefoongids, geen net-presence, gevestigd aan een deel van de ringweg in Alkmaar en waarvan het opgegeven nummer of niet bestaat of geheim is... In december en januari 2004 werd vervolgens voor 2004web.net gespammed. Dat was praktisch gelijk aan een hypotheekaanvraag.com. De spamvertized website verwees via truckage naar akinfranks.com. Dat gebeurde voor verschillende onderwerpen in verschillende spamruns. -> http://groups.google.nl/groups?selm=41071851737m.rejo%40smac.rz.nl.eu.org&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/c07c374dd708a2a1?dmode=source&hl=en -> http://groups.google.nl/groups?selm=slrnc0duab.qre.carel%40zutkooi.joeniks.nl&output=gplain # 20070610/RZ: zie http://groups.google.com/group/nl.internet.misbruik/msg/0abc662011a58cc7?dmode=source&hl=en Het eind januari spamvertized domain 2004web.gux.biz verwijst door truckage wederom naar akinfranks.com. -> http://groups.google.nl/groups?selm=Jonas.Maebe-E5E6F1.13382220012004%40gaudi2.ugent.be&output=gplain # 20070610/RZ: zie http://groups.google.com/group/be.providers/msg/22566428335cacf3?dmode=source&hl=en Tot in de tweede helft van februari werd weer 2004web.net gebruikt, vanaf dat punt werd intweb04.com ingezet. Dan rest nog een klein gat, de runs van 26, 27 en 28 april, waarin het domain fastbrek.com werd spamvertized. De whois is deze keer niet erg behulpzaam behalve dan dat het geregistreerd is via dezelfde registrar waar ook www0100.com en euroweb04.net werden geregistreerd. De site zelf: | | | | | Hypowizard | Die hypowizard kennen we al van eerdere runs, onder meer voor de run van 16 januari voor interrnet.net en van 21 januari voor www0100.com. En daarmee zijn alle spamruns die op spamvrij.nl aan akinfranks gekoppeld zijn (lees: waren) wel zo een beetje behandeld. Dit is niet alles dat er is. Zo hebben we onder meer de truckage van redirecten, die vrijwel identiek toegepast wordt bij meerdere domains niet behandeld. Over dat 80.100.7.82 zijn nog wel meer dingen op te merken overigens. Google levert veel hits op dat IP. Opvallende hits, want voornamelijk lege guestbook entries en pagina's met statistieken: -> http://www.kunstmanifestatielelystad.nl/guestbook/read.php3 -> http://www.ragnos.com/public/librospiti.asp (nummer 71) -> http://www.wdtuinen.nl/cgi-bin/awstats.cgi?year=2003&month=10 -> http://www.vansetten.nl/webstat/usage_200310.html -> http://www.searchy.nl/webalizer/usage_200404.html Het IP komen we ook tegen in de accesslogs van spamvrij.nl. Als we kijken naar welke trackrecords de meeste interesse hadden komen we uit op: | 3 605 Leningofferte.net (= Akinfranks) | 4 276 Mr2 Research (= Akinfranks) | 5 256 Direct Teleservice / Direct Office | 5 466 Wal, Ronald van der | 6 152 Bruin, Patrick de | 6 8 Anirak BV | 12 468 Akinfranks | 19 1 Speko In vier gevallen geeft onze logfile een andere UA dan MSIE 6.0: | 80.100.7.82 - - [21/Sep/2003:23:23:22 +0200] "GET /werkwijze/faq-spamvrij.php#incompleet HTTP/1.1" 206 11380 "-" "GetRight/5.0" | 80.100.7.82 - - [19/Jan/2004:11:16:41 +0100] "GET / HTTP/1.1" 200 5847 "-" "Franklin Locator 1.8" | 80.100.7.82 - - [19/Jan/2004:11:23:38 +0100] "GET / HTTP/1.1" 200 5847 "-" "Franklin Locator 1.8" | 80.100.7.82 - - [19/Jan/2004:11:23:39 +0100] "GET /lijsten/bedrijf.php?idbedrijf=795 HTTP/1.1" 200 6576 "-" "Franklin Locator 1.8" Die "Franklin Locator 1.8" is interesant, want opgenomen in veel van de spambot listings. Mmm... daar moet meer van terug te vinden zijn. Uit de logs van een pagina met een spamtrap: | 80.100.7.82 - - [06/Dec/2003:04:39:18 +0100] "GET / HTTP/1.1" 200 3911 "http://www.sidn.nl/sidn/flat/Deelnemers/Overzicht/Deelnemers_Categorie_I/index.shtml" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" | 80.100.7.82 - - [04/Jan/2004:00:19:43 +0100] "GET / HTTP/1.1" 200 3911 "http://domeinregistraties.verzamelgids.nl/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" Opmerkelijk, want over het algemeen niet het tijdstip waarop gesurft wordt, een UA die zegt MSIE 6.0 te zijn, maar niet meer ophaalt dan alleen de index (en dus niet de bijbehorende plaatjes, stylescheets en favicon.ico). De eerste Akinfranks op de spamtrap op die pagina dateert van 20 januari. De referer suggereert dat er meer SIDN deelnemers zijn met soortgelijke entries in hun logs. En jawel: | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:22 +0100] | "GET / HTTP/1.1" 200 27730 | "http://www.sidn.nl/sidn/flat/Deelnemers/Overzicht/Deelnemers_Categorie_I/index.shtml" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" | fia82-7-100.dsl.mxposure.nl - - [04/Jan/2004:00:18:48 +0100] | "GET / HTTP/1.1" 200 27689 | "http://domeinregistraties.verzamelgids.nl/" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" en: | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:14 +0100] | "GET / HTTP/1.1" 200 1879 | "http://www.sidn.nl/sidn/flat/Deelnemers/Overzicht/Deelnemers_Categorie_I/index.shtml" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:17 +0100] | "GET /[munged]_l.htm HTTP/1.1" 200 183 | "[munged]" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:17 +0100] | "GET /out_t.htm HTTP/1.1" 200 193 "[munged]" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:17 +0100] | "GET /[munged]_d.htm HTTP/1.1" 200 3963 "[munged]" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:17 +0100] | "GET /[munged]_right.htm HTTP/1.1" 200 2686 "[munged]" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:17 +0100] | "GET /[munged]_r.htm HTTP/1.1" 200 193 | "[munged]" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:17 +0100] | "GET /welkom.html HTTP/1.1" 200 2056 "[munged]" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:37:19 +0100] | "GET /out_vb.htm HTTP/1.1" 200 193 "[munged]" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] | fia82-7-100.dsl.mxposure.nl - - [06/Dec/2003:04:49:16 +0100] | "GET /ed/404.html HTTP/1.1" 200 1945 "-" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 0 [munged] en: | fia82-7-100.dsl.mxposure.nl - - [04/Jan/2004:00:18:32 +0100] | "GET / HTTP/1.1" 200 868 "http://domeinregistraties.verzamelgids.nl/" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" | fia82-7-100.dsl.mxposure.nl - - [10/Jan/2004:01:38:28 +0100] | "GET / HTTP/1.1" 200 868 | "file:///Z:/Business%20Data/Happy%20Harvester/startpagina/allesites.html" | "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" En ook hier, MSIE 6.0 die te weinig ophaalt en op ongebruikelijke tijdstippen actief is. Bij het derde extract, let op de Referer. We hoeven niets uit te leggen? Happy Harvester is namelijk een, je raad het al, harvester. Op : Happy Harvester is an advanced tool that extracts data from web pages on the internet. The HTML parser can be used to extract phone numbers, descriptions, names, addresses, titles, prices, stock data, and more. The software can gather data from business directories, forums, search engine results, etc. You can import an url-list or use the url-generator for querying web-databases. Met andere woorden, we menen dat Arjen Jongeling aka Speko aka 123fit.nl aka AJ achter minstens een deel van de aan Akinfranks toegeschreven spams zit en zich bovendien schuldig maakt aan het harvesten van adressen, en *dit* is waarom. Thu May 27 15:10:50 CEST 2004