PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Cyberterroristen mit ihren eigenen Waffen schlagen



Sirius
08.08.2005, 10:04
Hallo.

Ein smarter Geschäftsmann (nennen wir ihn der Kürze halber MD) bietet für 1200 EUR pro Jahr Zugriff auf KaZaA, eMule und Co. Bezahlt wird das Ganze per Handy-Rechnung. Abgebucht wird alle 3 Tage 9,99 EUR!

Zur Bestellung dieses sagenhaft günstigen Angebotes dient ein SMS-Interface, in das man nur seine Handy-Nummer eintippen muss. Per SMS erhält man dann einen Aktivierungscode, den man dann wiederum im Internet einträgt.

Dieses SMS-Interface ist ein einfaches HTML-Formular, dass sich in ein Frameset einbauen läßt. Mit zufälligen Nummern ausgefüllt, ließe es sich sekündlich aufrufen - was ich natürlich nie machen würde[TM].

Ich schätze, wenn man diesen SMS-Vampir einen Tag laufen lassen würde, dann kämen um die 80000 versendete Aktivierungscode-SMS zusammen. Bei einem Preis von 1 Cent pro SMS wären das 800 Euro.

Ist sowas strafbar?

Grüße

homer
08.08.2005, 10:08
Dieses SMS-Interface ist ein einfaches HTML-Formular, dass sich in ein Frameset einbauen läßt. Mit zufälligen Nummern ausgefüllt, ließe es sich sekündlich aufrufen - was ich natürlich nie machen würde[TM].
Ich schätze, wenn man diesen SMS-Vampir einen Tag laufen lassen würde, dann kämen um die 80000 versendete Aktivierungscode-SMS zusammen. Bei einem Preis von 1 Cent pro SMS wären das 800 Euro.
Zur Strafbarkeit kann ich nichts sagen, aber diese Aktion würde sicherlich das SMS-Spam-Forum hier sehr schnell "erweitern". Im Gegensatz zu gefakten Bankdaten in Phischer-Formularen erwischt man hier bestimmt viele gültige Mobilfunknummern. Und der "smarte Geschäftsmann" kann sich prima rausreden, wenn er von der "scherzhaften Eintragung" auf seiner Webseite erzählt.

Ich würde das lassen.

Sirius
08.08.2005, 10:29
Hallo.

Selbstverständlich lasse ich das.

Nach meiner Meinung ist der Site-Betreiber trotzdem für die Versendung zuständig. Wenn ich anderen "spaßeshalber" Zugriff auf meinen eMail-Zugang oder eBay-Konto gewäre, dann muss ich auch für die Folgen einstehen.

Grüße

Investi
08.08.2005, 10:43
Hallo.

Ein smarter Geschäftsmann (nennen wir ihn der Kürze halber MD)

MD - handelt es sich da um jenen aus Hamburg oder jenen, der gerade bei Heise in der Diskussion steht?

Sirius
08.08.2005, 10:53
Hallo.

Der aus Hamburg ist es nicht.

BTW. Die scheinen fieberhaft an ihrem Webinterfaces zu arbeiten. Eines davon hat jetzt eine Zeitsperre von 5 min. - gesteuert über Cookies. Schalte ich die Cookies ab, dann geht es wieder. Eine andere Seite ist der Brüller: h11p://www.1md.de/mp1.html



Grüße

Investi
08.08.2005, 11:12
BTW. Die scheinen fieberhaft an ihrem Webinterfaces zu arbeiten. Eines davon hat jetzt eine Zeitsperre von 5 min. - gesteuert über Cookies. Schalte ich die Cookies ab, dann geht es wieder. Eine andere Seite ist der Brüller: h11p://www.1md.de/mp1.html

Grüße

Interessant ist, daß man durchaus tausende Rufnummern eintragen könnte, sogar seine eigene, und auch den kompletten Anmeldevorgang durchführen könnte, ohne eine Abbuchung befürchten zu müssen. Denn die AGB regeln dies ganz klar:


§ 04. Vertragsannahme durch die Universal Boards GmbH & Co. KG, Dauer des Vertrages, Kündigung:

Die Universal Boards GmbH & Co. KG kann ohne Angabe von Gründen ablehnen, mit einem Kunden ein Vertragsverhältnis einzugehen. Der Vertrag tritt mit der Auftragserteilung des Kunden (Einwahl mit Dialer über Servicenummer) in Kraft. Das Vertragsverhältnis gilt bis zur Beendigung der Dialerverbindung, sofern zwischen den Parteien nichts anderes vereinbart wurde.


Das Problem besteht tatsächlich darin, nicht existierende Mobilnummern zu kennen. Also fällt diese Variante flach.

Saugen für einen guten Zweck: Fake-Bank (http://www.cbonline-international.com/)

Spamgegner
08.08.2005, 15:51
Interessant ist, daß man durchaus tausende Rufnummern eintragen könnte, sogar seine eigene, und auch den kompletten Anmeldevorgang durchführen könnte, ohne eine Abbuchung befürchten zu müssen. Denn die AGB regeln dies ganz klar:



Das Problem besteht tatsächlich darin, nicht existierende Mobilnummern zu kennen. Also fällt diese Variante flach.

Saugen für einen guten Zweck: Fake-Bank (http://www.cbonline-international.com/)

Man könnte doch irgendwelche Premium-SMS-Nummern eintragen und schauen ob das funktioniert.

Stalker2002
08.08.2005, 16:00
Man könnte doch irgendwelche Premium-SMS-Nummern eintragen und schauen ob das funktioniert.

Nur mal so trocken gefragt:

Welche vorgegebene Netzvorwahl nimmt man für die einzugebenden Premium-SMS Nummern?

Na, dämmerts?

MfG
L.

Investi
08.08.2005, 16:06
Wenn ich jetzt hier alle Smileys einsetze, die Du für diesen Tip verdient hast, bekomme ich Ärger mit Cycomate und Antispam.

Sirius
08.08.2005, 16:39
Hallo.


Welche vorgegebene Netzvorwahl nimmt man für die einzugebenden Premium-SMS Nummern? Ganz einfach: Keine.

Man modifiziert das Formular: '<option value="">keine</option>'. Das funktioniert, ergibt allerdings eine Fehlermeldung: "Ungültige Handy-Nummer". Sooo blöd sind die nun auch wieder nicht.

Grüße

Investi
08.08.2005, 17:51
Sooo blöd sind die nun auch wieder nicht.

Wenn man eine x-beliebige Vorwahl nimmt, kommt es auch an. Denn es funktioniert in allen Netzen. Die Auswahl "keine" ist bei den Vorwahlen nicht vorgesehen. Lediglich die 0177 fehlt. Sonst hätte ich meine alte Telefonnummer nehmen können, die seit vier Jahren nicht mehr vergeben ist. Eine Überprüfung der Länge der Rufnummer wäre eine sinnvolle Lösung, allerdings variieren die Längen auch (wenn auch nur zwischen 7- und 8stelligen). Das stört jedoch nicht, da man ja auffüllen kann mit Nullen (hintendran). Kostenfaktor steigt überproportional, Ergebnis sinkt ins Bodenlose.