01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx107) with SMTP; 02 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
header:
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx009) with SMTP; 02 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123
Das wget sieht ganz interessant aus:
Code:
--2011-11-02 06:18:50-- http://www.couponpark.net/tracker.php?id=123
Auflösen des Hostnamen »www.couponpark.net«.... 95.211.33.77
Verbindungsaufbau zu www.couponpark.net|95.211.33.77|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 301 Moved Permanently
Platz: http://www.sexxy.de[folge]
--2011-11-02 06:18:50-- http://www.sexxy.de/
Auflösen des Hostnamen »www.sexxy.de«.... 62.141.33.174
Verbindungsaufbau zu www.sexxy.de|62.141.33.174|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Im HTML-Teil der Mail wird auch direkt auf whois:
[Link nur für registrierte Mitglieder sichtbar. ] verwiesen.
In den Whois-Daten steht ein gewisser M* K* der hier auch kein ganz unbeschriebenes Blatt ist (auch wenn hier ein "n" zu einem "l" gemacht wurde):
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]
Wie kann man nur noch versuchen über Leaseweb Mail zuzustellen? Das geht doch alles in die Tonne!
[Link nur für registrierte Mitglieder sichtbar. ]
Just my tencents ...
Geändert von schara56 (02.11.2011 um 06:41 Uhr)
Grund: Nachtrag
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx028) with SMTP; 03 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)
header:
01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
02: by mx0.gmx.net (mx074) with SMTP; 03 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123 -> weiter zu whois:
[Link nur für registrierte Mitglieder sichtbar. ]
"Abmelden" kann man sich hier: whois:
[Link nur für registrierte Mitglieder sichtbar. ]/index.php?mid=12
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
ich habe diese Mail auch mehrfach(!) erhalten, folgende Details beunruhigen mich:
- zwei völlig verschiedene Mailadressen, die aber beide vom selben Rechner abgerufen werden
- Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen
Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
- Virus/Trojaner? Ich scanne meine Rechner regelmäßig mit der Kaspersky AV-CD und dem Pendant von AVG, mit jeweils aktuellen Signaturen, und bin dabei immer sauber.
- Evtl. ein Exploit über eine Webseite?
- Zufall, und es wurden Daten von verschiedenen Dienstleistern gekauft/geklaut?
- Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen
Wohnst du in der Nähe einer größeren Stadt? Wenn nicht, wären das extrem zufällige Zufälle. Dein Verdacht wäre demnach berechtigt.
Zitat von Jackie78
Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
Das ist aus der Ferne schwer zu beurteilen.
Der einfachste Weg wäre eine HTML-Mail, die einen Webbug enthielt. Wenn Du Deinem Mailprogramm die Ausführung von HTML-Code und das Nachladen externer Inhalte erlaubst, kann ein Webbug wirksam werden. Man sendet Dir eine noch nicht weiter personalisierte Mail, die ein kleines, transparentes Bild enthält, welches mit einem Session-Code bei einem Webserver der Angreifer heruntergeladen wird. Die Session-ID ist Deiner Mailadresse eindeutig zuzuordnen, und der Webserver merkt sich dann noch die IP, über die man mit geeigneten Werkzeugen Deinen Standort mehr oder weniger genau herausfinden kann. Die nächsten Spammails sind dann dementsprechend mit einer Ortsangabe sozialisiert. Man nennt das Social Engineering. Das kann man sogar noch weiter treiben. An einer Uni meiner Heimatstadt wurden Mails aus dem Spamfilter gezogen, in denen ein akademischer Kontext vorgetäuscht wurde, denn alle Mailadressen enden ja auf uni-sonstwas.de. Man erhoffte sich daraus wohl eine höhere Klickrate. Hat aber nicht geholfen, der Spamfilter war schneller.
Ein Schädling kommt natürlich in Frage, dann wäre es nämlich ein Leichtes, den Standort Deines Rechners über die IP, die ja auch der Schädling zum Nach-Hause-Telefonieren nutzt, grob einzugrenzen. Und selbst bei immer aktuellen und meinetwegen auch bezahlten Schutzprogrammen ist ein Schädling nie ganz auszuschließen. Es gibt diverse Schadsoftware, die sich sehr tief ins System einnistet und sich als Bestandteil des Betriebssystems tarnt. Solange letzteres aktiv ist, können Schutzprogramme nichts finden, denn sie können Schädling und Betriebssystem nicht auseinander halten. Ganz sicher geht man deswegen nur durch einen Check, der auf einem inaktiven Betriebssystem gefahren wird, z.B. in dem an einen Virenscanner direkt von CD startet. Bei heise secutity findet sich eine gute, überblicksartige Einführung in die Materie.
Ein Exploit über eine Webseite kann es auch sein, aber dabei ist eher davon auszugehen, dass versucht wird, oben beschriebenen Schädling sehr tief einzupflanzen. Die Sicherheitslücken, die dafür genutzt werden, berühren nämlich mehrheitlich Mängel im Betriebssystemkern, und wenn man einmal dort ran kommen kann, wäre es aus Crackersicht unsinnig, nur ein paar Daten zu entwenden. Bei solchen Exploits wird in der überwiegenden Mehrzahl der Fälle ein Zombieprogramm installiert, über dass man dann irgendwann zum Teil eines Botnetzes wird.
Auch der Datenklau oder -kauf ist natürlich denkbar. Wobei man für die Kombination "Mailadresse - Wohnort" schon vergleichsweise teure Datensätze kaufen müsste. Zum einen wäre der Handel mit dieser Kombination nämlich illegal, zum anderen wird eine Mailadresse häufig nicht direkt mit dem Wohnort verknüpft. Man müsste also schon Stammdaten aus Kundendatenbanken erwerben oder – was ich für wahrscheinlicher halte – entwenden.
Wenn es wirklich eine erkennbare Häufung gibt, liegt für mich der Schädlingsverdacht am nächsten. Der Schädling muss sich auch nicht unbedingt bei Dir eingenistet haben. Es kann auch der Rechner von jemandem kompromittiert worden sein, der sein Adressbuch nicht nur mit Mailadressen füttert, sondern auch mit Anschriftendaten. Da solche Datensätze wertvoll sind, werden sie entsprechend häufig von Schädlingen komplett ausgelesen und an den Heimatrechner weitergegeben. Anderer denkbarer Weg ist ein Hack bei sozialen Netzwerken, bei dem jemand das Passwort eines nahen Bekannten von Dir geknackt hat und dann alle verfügbaren Informationen runter lädt. Oder es wird gleich das gesamte soziale Netzwerksportal angegriffen und man lädt dann Daten im großen Stil runter.
Oder, oder, oder... Ich würde meinen Rechner gründlich auf Schädlinge überprüfen (siehe oben), oder, wenn man kühn genug ist, gleich das ganze System neu aufsetzen. Mehr wirst Du nicht tun können, denn die Spammer wird man nicht so dingfest machen können, dass sie für die Justiz greifbar wären.
Hallo Leute,
habe heute diese Mail im SPAM-Ordner gefunden:
---------------------------------------------------------------------------------------------------------------------
Hallo , (hier fehlt schon mein Name)
Du hast eine private Nachricht von Lena83 Hennef erhalten.
Klicke einfach nachfolgenden Link und rufe die Nachricht ab.
Jetzt zur Nachricht: http://www.couponpark.net/tracker.php?id=425
Bei uns bleibst du völlig anonym.
---
------
Diese Nachricht wurde durch Media Supplies versendet.
Sie möchten keine weiteren Angebote von uns erhalten?
Klicken Sie folgenden Link zum Abmelden:
http://www.couponpark.net/ whoishttp://www.couponpark.net
-------
Haben Sie Fragen zu dieser E-Mail?
Wenden Sie sich direkt an unseren Kundenservice.
Kundenservice:
[Link nur für registrierte Mitglieder sichtbar. ]
Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF
---------------------------------------------------------------------------------------------------------------------
der Header
header:
01: Received: from [95.211.33.77] (helo=couponpark.net)
02: by mx32.web.de with esmtp (web.de 4.110 #2)
03: ID: [ID filtered]
04: for poor [at] spamvictim.tld; Wed, 02 Nov 2011 xx:xx:xx +0100
05: Received: from localhost.localdomain (localhost [127.0.0.1])
06: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
07: for <poor [at] spamvictim.tld>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
08: Date: Wed, 2 Nov 2011 xx:xx:xx +0100
09: To:poor [at] spamvictim.tld
10: From: Neue Nachricht <nachricht [at] couponpark.net>
du hast einen persönlichen Ostergruß von Nora24 erhalten.
Klick hier: whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Mache diskret mit! - Über 1 Mio. echte Mitglieder.
Hinweis:
Antworten Sie nicht auf diese E-Mail, es erfolgt keine Zustellung.
Diese Nachricht wurde durch PROeSELECT versendet.
Sie moechten keine weiteren Angebote von uns erhalten?
Klicken Sie folgenden Link zum Abmelden: whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Haben Sie Fragen zu dieser E-Mail?
Wenden Sie sich direkt an unseren Kundenservice.
Kundenservice:
[Link nur für registrierte Mitglieder sichtbar. ]
Impressum: PROeSELECT LTD, Suite 14, 209 City Road Cardiff CF24 3JD Wales, United Kingdom
Der Link whois:
[Link nur für registrierte Mitglieder sichtbar. ] leitet weiter zu whois:
[Link nur für registrierte Mitglieder sichtbar. ]. Im Tab steht auch "Kissbox" im Header der Webseite aber e-flirts.com. Im Impressum zeichnet sich eine
Media Supplies Ltd.
The Picasso Building
Caldervale Road 1
West Yorkshire, WF1 5PF
United Kingdom
verantwortlich. Unter dem Tab "Datenschutz" steht dann gänzlich anderes:
Diese Datenschutzerklärung gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten auf der Internet-Plattform "www.kissbox.de", welche die Direct2Solutions GmbH, Berliner Str. 107, 33330 Gütersloh (nachfolgend "D2S"), bereitstellt.
Screenshot:
[Link nur für registrierte Mitglieder sichtbar. ]
Geändert von Mittwoch (07.04.2012 um 11:59 Uhr)
Grund: getackert
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
Lesezeichen