Majdnem egy éve már, hogy megírtam a BMFH avagy a ‘bastard marketer from hell’ című blogot a Balázs Péter néven bemutatkozó spammerről. Ma azonban ismét hallatott magáról, de nem túl eredeti, mert a mai spam szó szerint megegyezik a 2009-es eredeti levéllel. De jó hír, hogy a címlista ára nem emelkedett, még mindig 17000 forint.

Az IP-cím alapján ez a cicafiú fut Hajdú László néven is, ld. a Hajdú László linktárak – linképítés címmel kínál adatbázist című írást.

Szóval ennyi is bőven elég, hogy rájöjjünk: átverésről van szó, hiszen nyilvánvalóan hazudik ez a román fiúcska. Kerüld el, amihez elég annyit tenni, hogy a spamszűröd blokkolja a 188.173.128.203-as IP-címet.

Legalábbis ez volt egy spamnek a címe. De kaptam ilyet több híresség nevével is, pl. Brad Pitt, Johnny Depp, Tiger Woods, stb. A spam levélben 2 melléklet van. Az egyik szöveges, és kb. így hangzik:

“Alicia Keys died along with 34 other people when the Air Force CT-43 “Bobcat” passenger plane carrying the group on a trip crashed into a mountainside while approaching the Dubrovnik airport in Croatia during heavy rain and poor visibility.”

A másik pedig egy nagyon trükkös, base64 kódolt HTML melléklet, amely a http://paniplus.com.mx/1.html címre akar elvinni, és amely viszont a http://cetogilco.cz.cc/scanner10/?afid=24 címre küld tovább + egy kis iframe-es nyalánkság is van benne.

Külön érdekes a HTML mellékletben lévő javascript átirányítás, amely egy eddig (általam) nem látott obfuscation technikát használ, íme:

Jól látható, hogy a spammer feldarabolta az url-t, ill. a this.document.location.href változót, majd töltelékbe keverte, és a substr() függvénnyel állítja össze a címet, ahova elküldi a felhasználót. A védekezés egyszerű: le kell tiltani a javascriptet a levelekben, ill. kell egy jó spamszűrő, amely képes a javascript elemeket, pl. “function”, “var” spamként megtanulni, de az is elég lehet, ha eldobod az ukrán telekom dinamikus pool-jából közvetlenül küldött leveleket. A clapf zombidetektora szépen fogta ezt is.

A turizmusnak egy ideje nem megy túl jól. Mit lehet hát tenni, amikor pedig még tart a nyár? Növeljük a bevételt spammel! Így tett a Kizman Travel is, akik – ahogyan azt a spam levelük végén állítják – “egy nyilvánosan megvásárolható, illetve elérhető marketing adatbázisban rögzített, vagy az interneten elhelyezett, bárki számára hozzáférhető, nyilvános adatbázisból” emelték ki/el az email címemet.

Ez amolyan standard magyarázkodás a kéretlen levél végén. Ha nem tetszik, hogy megspammeltünk, akkor az a hibás, akitől vettük. Ha mégsem ő, akkor az, aki a ‘nyilvános marketing adatbázist’ összeállította. Egyébként szerintem ilyet még senki nem látott. Egy nyilvános marketing adatbázis… ez túl szép, hogy igaz legyen.

Viszont elég ostobák voltak ahhoz, hogy ne a “szokásos” (sic!) info@ címet bombázzák, hanem ezúttal tényleg a privát, személyes címemre küldték a spamet. Ezt a ziccert pedig nem hagyom ki, és továbbítom az incidenst az NHH utódhivatalnak.

Ha pedig utazni akarnál, én pl. tervezem a közeljövőben, akkor válassz egy olyan vállalkozást, amelyik tisztességes és törvényesen működik. A Kizman Travel azonban nem ilyen.

Úgy tűnik, hogy esik az eladásra kínált adatbázisok ára, mert a Hajdú László néven bemutatkozó illető már csak 20 Eurot vagy 5990 forintot kér érte. Az ár persze a minőséggel arányos, mert itt csak alig 600 linktár elérhetőségéről van szó. Amit egyébként te is kigyűjthetsz az Internetről – ingyen.

Hajdú teljesen jól hangzó horgot dob be a lúzerek közé: “Gondoljon bele: pár nap, és már ötszáz helyen szerepel honlapjának linkje!” Ez egyébként igaz: kapsz 5-600 webcímet, ahova el kell menned magadnak, és a kicsi kezeddel kiválasztani a megfelelő kategóriákat, majd bepötyögni a céged webcímét. Ami szerintem már az ötödik után elég unalmas lesz.

Elgondolkoztam azon, hogy valóban lenne több száz magyar nyelvű linktár? Csak azért ez a dilemma, mert nekem jó, ha 3-4 az eszembe jut. Ha pedig te sem ismersz többet, akkor jó eséllyel olyan marginális lehet a többi, hogy egyrészt tán még a Google sem ismeri. Akkor pedig mekkora lehet az esélye, hogy a felhasználók oda tévednek? Egyáltalán: mennyivel ad ez egy vállalkozás számára többet, mintha a CEO készíttet (persze nem ilyen gagyi Hajdú Lászlókkal) egy korrekt weboldalt, amit a Google is értékel? Mert a linktárakkal szemben (ahová a madár sem jár) annak valóban lenne értéke.

Azon is érdemes elgondolkozni, hogy melyik a valószínűbb: a vállalkozásod potenciális ügyfelei a talán sosem létezett, de legjobb esetben is pár száz címet tartalmazó kézzel felépített linktárakon keresik az őket érdeklő szolgáltatókat, vagy a de facto szabvány keresőkben, pl. Google, Yahoo! vagy bing?

A spam pedig így nézett ki:

Tisztelt Címzett!

Az adatbázis ára most: 5.990 Forint, Paypal fizetés esetén: 20 euró. Más nyelvű weboldalai is vannak? Vannak idegen nyelvű adatbázisaink, többek között a szomszédos országokból, valamint más Uniós tagállamokból is rendelkezünk hasonló linktárakkal. Állok rendelkezésére,
Hajdú László

Noha magyar nyelvű a spam, de nem itthon adták fel, hanem a Romtelecom hálózatából, valószínűleg Erdélyből. Ha ennek a Hajdú nevű spammernek maradt volna a szemedben bármi becsülete (az enyémben biztos nem), akkor érdemes azt is tudni róla, hogy első szándékkal a backup MX szerverre küldte a levelet (ami a spammerek szokása). Valószínűleg egy gépi programmal küldte a levelet, mert pont olyan ügyetlen és elrontott a kódolása, mint a Google fordítót használó Mr. Patrick Chan-é. A hitele is kb. ennyi lehet.

A fazon egyébként a PTR nélküli 188.173.128.203-as IP-címről küldte el a spam leveleit, így ha szűröd az ilyen feladókat, akkor jóeséllyel elkerülted a Hajdú nevű férgecskét. Az illető egyébként a gmail ill. yahoo mail-ről levelezik. Nagyon bizalomgerjesztő, hogy ha valaki mégis elutalná neki az összeget, akkor valaha is kapna tőle egy címlistát…

Amíg pár éve a különféle képes spamek hódítottak, addig mára feljött a magyar nyelvű spam (köszönjük, Mr. Patrick Chan), és az idei nyár hazai slágere vitathatatlanul a céges adatbázisok reklámozása.

Most éppen a Magyar Ép-Kontroll Kft. az elkövető, akik építőipari beruházásokat szerveznek. Köztudott, hogy az építőiparra nehéz idők járnak, és ők most úgy próbálnak egy kis mellékeshez jutni, hogy az ő partnereiket dobják a spammerek elé.

Az is kiderült, hogy a Zarka Zoltán, meg a CID Céginfo esetleg Pongrácz András gagyi listájával szemben ez ellenörzött lista, amin jellemzően _nem_ info@ címek vannak, hanem pl. az ügyvezetőneve@cégnév.hu alakú címek. A szerencsétlenek ugyanis amikor az Ép-Kontrollhoz regisztráltak, akkor hozzájárultak (nem tudták, mit cselekszenek), hogy reklám anyagokat kapjanak. Akár harmadik féltől, azaz tőled is.

Az áldozat szerepét eljátszó vállalkozások jellemzően kicsik, akár egészen az egyéni vállalkozói szintig. Az is érdekes, hogy a dolgozóneve@cégnév formátumú címeket az Ép-Kontroll cégesnek, azaz nem személyhez köthetőnek értékeli. Nem biztos, hogy ez azért összhangban van a magyar törvényekkel.

Közöttük van a bűnös?

A spam pedig így nézett ki, és a kis drágák még szoftvert is adnak hozzá.

Cégünk a Magyar Ép-Kontroll Kft. és előcége 2004 óta foglalkozik építőipari beruházások szervezésével. Ez valószínűleg nem túl érdekes az Ön számára. Viszont ez alatt a 6 év alatt sikerült egy közel 39.000 céget tartalmazó adatbázist létrehoznunk, mely folyamatos karbantartásban részesül. Az adatbázisban cégnévvel, cégvezető nevével, és mobil telefonszámával, e-mail címével ellátott adatok vannak. Ilyen specializált adatbázist, mely ennyi személyes adatot tartalmaz, nem igazán találhat.

Üdvözlettel:
Ferovics Bea
Magyar Ép-Kontroll Kft.
70/357-0875

Ha egy üzlet “beindul”, sosem lesz vége. Úgy tűnik, ez a helyzet az eladásra kínált cégadatbázisokkal is. Hogy az előző post-ban leírt összeesküvéselmélet igaz lehet (=ugyanaz az adatbázis forog közkézen), mi sem jobb bizonyíték, hogy itt is egészen véletlenül 90000 db cég adatait kínálják eladásra.

Pongrácz András azonban annyival szofisztikáltabb a többinél, és egy flash video segítségével végig lehet pörgetni a megvenni szándékozott címlistát.

Ebből kiderül, hogy amit ő az emailben “központi” email címnek gondol (azaz info@, sales@, …) az finoman szólva nem állja meg a helyét. A mellékelt ábra alapján ugyanis ez egyszerűen nem igaz, mert magánszemélyek email címei is szerepelnek rajta, mint pl. név@freemail.hu, név@axelero.hu, egy csomó @gmail.com-os cím, stb. Arról nem is beszélve, hogy vajon érvényes email cím az, amiben szerepel a ‘&’ jel?

Az való igaz, hogy egy nagy rakás info@ cím is van benne, de a lista minősége (ó, milyen meglepő is) finoman szólva kétes. Amikor ezt a tényt közöltem vele, akkor elismerte, hogy “hát, igen”, ennyi pénzért [csak] ennyi jár. Így már nem is csodálkozom, hogy amikor rákérdeztem rögtön az elején, hogy miért választaná bárki is pont az ő címlistáját (amikor egy csomó balek keres más balekot), akkor azt mondta, hogy nem jobb az ő címlistája, mint a többieké.

Legalább igazat mondott, amit meg kell becsülni. Abban viszont nem mondott igazat, hogy jutott hozzá az én info@ címemhez, mert az nem köthető céghez, és sehol nincs regisztrálva, nyilvántartva, hanem a szokásos “írd az info@ címet az összes domain elejére” alapon küldték el.

Update: Még több Pongrácz Andrásról:

Pongrácz András, hilo.hu spammer szolgáltató

Vita:Pellengér/Pongrácz András – Spamwiki

Metatréfa: nem számít spamnak, mondja a Homárnak küldött spamjában a spammer