PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ebay, Fälschung?



Smart
20.08.2015, 12:34
@ Mods bitte prüfen wo der Müll hingehört


Neue Nachricht von: drzoran (7,481Red Star)
Ein Bericht, den Sie eBay und die Polizei!

Antworten ( Erklärung - Dieses Antworten ist in einen Blauen kasten und man könnte es anklicken )


Nur Käufe bei eBay sind über die eBay-Käuferschutzprogramme abgesichert. Beim Handelspartner nachzufragen, ob eine Transaktion außerhalb von eBay abgeschlossen werden kann, ist nicht erlaubt.

E-Mail-Referenznummer: [#a03-llmqkaod1k#]_[#e654c286c23741cf9f963ac9028e3ef4#]

Nachrichten an dieses Postfach werden nicht gelesen. Bitte antworten Sie nicht auf diese Nachricht. Wenn Sie eine Frage haben, gehen Sie zu Hilfe & Kontakt.

Diese Nachricht wurde von eBay an Fridolin Wenninger (s-199) gesendet. Weitere Informationen über den Schutz Ihres eBay-Kontos. Der Schutz Ihrer Daten hat für eBay oberste Priorität. Weitere Informationen zu unsererDatenschutzerklärung und den Allgemeinen Geschäftsbedingungen.

Diese E-Mail haben Sie von der eBay Europe S.à r.l. erhalten, die den eBay-Service über ihre Tochtergesellschaften bereitstellt. Wenn sich Ihr Wohnsitz außerhalb der Europäischen Union befindet, lesen Sie die Informationen zu Ihrem Vertragspartner bitte in den Allgemeinen Geschäftsbedingungen nach.

©2015 eBay Inc., eBay Europe S.à r.l. 22–24 Boulevard Royal, 2449, Luxemburg

hoppala
20.08.2015, 13:01
Wo ist denn das angekommen?
War das eine E-Mail? Wo ist dann der Header?
Oder eine Forum-PM? Hier im Forum finde ich keinen Benutzer "drzoran".
Oder war es eine Nachricht in eBay selbst?

So ganz ohne solche technischen Kleinigkeiten ist es eigentlich unmöglich, zu so einem Text irgend was sinnvolles zu sagen.

hoppala

(und als Nicht-Mod kann ich das natürlich auch nciht irgendwohin verschieben, selbst wenn ich wollte :-) )

Jogy4711
20.08.2015, 13:19
Oder eine Forum-PM? Hier im Forum finde ich keinen Benutzer "drzoran".

Ich vermute. das war wohl eine Pishing-mail mit Fragen wo die angeblich gekaufte Ware denn bleibt. Klickt man den link in der Mail, landet man auf eine täuschend echt gemachte
Fake e-Bäää-seite wo man seine Daten eingeben soll. Benutzt werden für die Fake-anfragen lange Zeit unbenutzte acc (http://www.ebay.de/usr/drzoran) auf e-Bäääh. Sollte jemand danach suchen gibt es das Mittglied tatsächlich, nur hat es damit nichts zu tun

Hatte vor ca.18 Monaten fast täglich diesen Müll auf 3 mailadressen

Smart
20.08.2015, 17:48
@ hoppala


Nun habe ich es Geschafft den Header bei GMX zu Kopieren und dank eines As Mitglied zu Posten




Return-Path: test [at] climatseason.ru
Received: from ns1.padre.ru ([148.251.63.66]) by mx-ha.gmx.net (mxgmx111) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [62.141.41.52] (helo=members.ebay.de) by ns1.padre.ru with esmtpa (Exim 4.72) (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
From: eBay <st-stiefel [at] members.ebay.de>
To: poor [at] spamvictim.tld
Subject: Sonstiges: drzoran hat eine Nachricht zu: st-stiefel
Date: 10 Aug 2015 xx:xx:xx +0200
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----=_NextPart_000_0012_DA38A56F.CBF92077"
Sender: test [at] climatseason.ru
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:RoL5x6ZEUsA=:RerNzbpw9/G4Mgq1sDYWx7lOr5sT FuXjE9519iwhK6gv1nS5KFaUA0LVje7ip0N1YO+nmkf0VuumVT8tsTzlll9OF+NZKbs+KZ8VY 8DoIA1KDj1YrQkhOrIeWyh/10xzBuajLjubkoCAG9MyX/KHzjPmr4XOQ3jD4tXtWtrt2O1she TuLdnQi66Du3PnVimOd167ZMQon46jRmRyP6WawVawVuw5jgLcohfY3DA92I3Q2/AoMxC5b/e DU/L7U0saGZDZX2ms18kShgE6jw+wvHRMY3csw78Rzla5SFQcUgkXKaUBnNFyI+I9JDrvIGyI B9f+fa7qc2RJUT9ghI5CVyjTCbNqFgby8FVGsKUeCBI74X7/PeFMMaTVQRnIsiG7nAeoxX+os XZuyd25mY+mxwLlhDO/MwS+lJwbINBzOouzQTFucGiN/KxoVZCpWycnem8LiZ7QOWH7Z0C4Y0 z9qzGl+hWbT5D9XNUQ/ZRrJq4P7jMULsw3zNjBCWOe2A6Cxf6lQ9dvApcuvhGZ0vwxevZrm4F Gi7gLhaCWQIjY7Ixr9GduoW4oa/zDJLwQhEvbYlroz6gWY4eY1QC3/Nry+YFA8TSSl4eaM5Zz dFwzv1v3Q/UDk4CBoLoRHOsCgV3V3EMqgjL7xEybI164ZokcLctrMM7nN9hPG8TNaIfF14K6V 3rAemxhCjYHuyEqNSEAWfNy+kuxfcqvRiReBijthFTpRWHX8fZACG2T/HRGbfQ/X0qfkhD4nD TzpPU710XvzpY2prRHo7kzWCw67wp6utkK+VjtDR2yOeQgp2XAsq+JvK5KhXLwYOTqBweWGVI AGA9klj8yC0mC9jsUG1irn0cWaZJJRqdIlvth2nrILJyNfaZaBYO7tgqOn5l9PnFgXqcM6Aqq qs/pxcHCYu6OXO5BZ9AepgRjp9sY1Zye0MW+S91NfvrMw5tV9aj/5gS9ywp4+Q2H9lGS3aF5X 2nOePMpy33WPhkEoDZ+CYR9pkpYh2PgIm35H7gwSGFz4DGM2aDgkuPyAOo5hJVjOi+rU/gJ6q s3Lw9SvXOpP6GRfiYimLNBdHlyDoR333dJcmMh3HO8XfjFo0aZ0yCpIugResSb9A2eiuPFcCs 4sVEYj4gTZQJpvuX2MRTPNzVpmR3zzxWMmc1UP03Z1wT+c5YbzAR5p0/C2D8aZNKiP6w2/Qn8 LOavuKgkI2w3s3PRDlNzNPZZFZSBtRYNZLeOJk+SoTMbjwUlx7vb6W9VR+Y74/fWUO1kRAlqj gGTQ7YsrrxSAcxF9e4SvJ6h8EF9t9XJUXF4Rb9jMKo1GCc9cHpCmGie+aE8F/IkkkDSVDjqMI xbeCd0cIoWFOFU//fEUWBv+6PdsohPuQvZKAgRFe2NrXjl68BBAvX9DVs1D2qOcTG3M1gZOaV VJ7H4ue5pi0/3xIFDtdjqGqlFOpDfDdt56wfz8IANksyKTn9QJjvPTPklo4tGquDKlcdmgOCy +80fyg==

hoppala
23.08.2015, 13:50
Ah, also verschickt von einem (vermutlich gehackten) Server im IP-Bereich von "fast IT" (62.141.41.52) über einen (vermutlich gehackten) Mail-Account bei einem Server (ns1.padre.ru=climatseason.ru=148.251.63.66), der offenbar bei Hetzner steht (Hetzner bietet wohl auch für den russischen Markt Hosting, das sehe ich erst mal wertneutral).
Der Domain-Name, der beim reverse DNS Query von 62.141.41.52 rauskommt, ist nicht registriert und auch nicht im DNS vorhanden.
Wenn man mit den beiden IP-Adressen bei Tante Gugel sucht, wird man fündig, offenbar geht das schon ein paar Wochen so (dort findet man auch den Mail-Account in etwas veränderter Form, das Original ist aber leicht zu erschließen).

Abuse-Adressen:
Für den sendenden Server wohl abuse [at] fastIT.net, abuse [at] fibre1.net, oder abuse [at] myLoc.de - welche davon erfolgreich sein wird, weiß ich nicht, stehen alle im IP-Whois drin. Der Server scheint allerdings im Moment weder per SMTP noch per HTTP ansprechbar zu sein, vielleicht ist da schon was passiert. Allerdings hat er einige andere Ports offen, deren Funktion mir so auf den ersten Blick nicht klar ist.
Für die Hetzner-IP-Adresse kann man bei Hetzner anregen, dass sie ihren Kunden (der wohl ein legitimes russisches Unternehmen ist) informieren. Wenn man russisch kann, kann man vermutlich auch Kontaktadressen auf der Website finden und den Leuten selbst BescheID: [ID filtered]

hoppala