PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 0: Verdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)



Raencker
02.11.2005, 14:59
0: Verdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)

Return-Path: <SRS0=2Zxw=ZB=ramerica-central.com=aoklgr [at] srs.kundenserver.de>
X-Flags: 0000
Delivered-To: GMX delivery to ***********************
Received: (qmail invoked by alias); 02 Nov 2005 xx:xx:xx -0000
Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de) [212.227.126.171]
by mx0.gmx.net (mx021) with SMTP; 02 Nov 2005 xx:xx:xx +0100
Received: from [200.11.242.97] (helo=Kelly)
by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: <aoklgr [at] ramerica-central.com>
To: <***********************>
Subject: 0: Verdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)
Date: Wed, 02 Nov 2005 xx:xx:xx -0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_001F_01C5DF8E.284B9800"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-GMX-UID: [UID filtered]
---------------------------------------------------------------------

Sehr geehrter zukünftiger Mitarbeiter!

Demity N.V. - ist eine führende Firma auf Bereich der
VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie
sucht nach den verantwortungsvollen Personen im Bereich der
Zustellung, Bedienung, Kundenservice und Bankoperationen.

Zur Zeit haben wir folgende Arbeitsstellen frei: Manager für
Transaktionen.
Sie werden die Überweisungen für unsere Gesellschaft bekommem. Sie
müssen eine Bankstelle in der Nähe haben, damit Sie jederzeit die
Möglichkeit hätten im Laufe von einigen Stunden, die Gelder vom Konto
abzuheben. Sie müssen ein Privat-, Arbeitstelefon oder Handy haben,
damit wir mit Ihnen unverzüglich den Kontakt aufnehmen können.

Anforderungen:

* Die Möglichkeit haben, Ihr E-mail mehrmals am Tage zu kontrollieren.
* Die Möglichkeit haben, unverzüglich die Briefe zu beantworten.
* Die Möglichkeit haben, bei der Gelegenheit die Überstunden zu
machen.
* Verantwortlich und arbeitsam sein.

Wenn Sie für das Amt eignen, so bitten wir Sie hier zu registrieren:
Unsere Freien Stellen [links to http://ww-onk.demity.biz:8081/careers.html?ref=870366]

Die Registrierung ist gratis!
msg-ID: [ID filtered]

---------------------------------------------------------------------

© Copyright 2005 Demity N.V. Alle Rechte sind vorbehalten.

corlis
02.11.2005, 22:01
Hier zwar ebenfalls eingeschlagen:

Received: from [64.174.141.18] (helo=thomas-server) by mx27.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
Message-ID: [ID filtered]
From: uniholdings [at] atomicdiscos.com
To: xxx [at] xxx
Subject: 5: Wir suchen einen Regionalvertreter! (Ref:3772)
Date: Wed, 02 Nov 2005 xx:xx:xx -0700 (19:49 CET)
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_xxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: uniholdings [at] atomicdiscos.com

aber der Thread müsste verschoben werden, da es kein 419-er is :)

beworbener link: http://ww-rum.demity.biz:8081/careers.html?ref=93927

kjz1
02.11.2005, 22:02
Das würde ich nicht bei den Mugus, sondern in der Rubrik 'Phishing/Geldwäsche' einordnen.

- kjz

webeinspunktnull
03.11.2005, 00:05
bei mit ists http://ww-qy.demity.biz:8081/careers.html?ref=3D97239

Return-Path: <costean [at] abootswerft-rathje.de>
Delivery-Date: Wed, 02 Nov 2005 xx:xx:xx +0100
Received: from [70.111.224.195] (helo=d-xbdkuv2a8ipru)
by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: <costean [at] abootswerft-rathje.de>
To: <>
Subject: 8: Verhandlungmanagerposition. Ref: 1046
Date: Wed, 02 Nov 2005 xx:xx:xx -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0015_01C5DFC9.F8D9EFE0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-RBL-Warning: warn.bl.kundenserver.de says: Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?70.111.224.195
Envelope-To:

This is a multi-part message in MIME format.

------=_NextPart_000_0015_01C5DFC9.F8D9EFE0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Sven Udo
03.11.2005, 00:23
Na' wer braucht einen neue Job?:( Ist gerade neu im Angebot:From darinoc [at] hsensationdesigns.com Fri Nov 4 xx:xx:xx 2005
X-Apparently-To: xxxxxxxx [at] yahoo.com.au via 66.218.93.230; Wed, 02 Nov 2005 xx:xx:xx -0800
X-YahooFilteredBulk: 151.200.18.127
X-Originating-IP: [151.200.18.127]
Return-Path: <darinoc [at] hsensationdesigns.com>
Authentication-Results: mta209.mail.mud.yahoo.com from=hsensationdesigns.com; domainkeys=neutral (no sig)
Received: from 151.200.18.127 (HELO PREFERRE-2E462C) (151.200.18.127) by mta209.mail.mud.yahoo.com with SMTP; Wed, 02 Nov 2005 xx:xx:xx -0800
Message-ID: [ID filtered]
From: darinoc [at] hsensationdesigns.com Add to Address Book
To: poor [at] spamvictim.tld
Subject: 6: Wir wachsen an, neue Angebote fur Sie! (Ref: 417)
Date: Fri, 04 Nov 2005 xx:xx:xx -0400
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000_0005_01C5E11E.8ADDFE40"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Length: 1441
Sehr geehrter zukünftiger Mitarbeiter!

Demity N.V. - ist eine führende Firma auf Bereich der VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie sucht nach den verantwortungsvollen Personen im Bereich der Zustellung, Bedienung, Kundenservice und Bankoperationen.

Zur Zeit haben wir folgende Arbeitsstellen frei: Manager für Transaktionen.
Sie werden die Überweisungen für unsere Gesellschaft bekommem. Sie müssen eine Bankstelle in der Nähe haben, damit Sie jederzeit die Möglichkeit hätten im Laufe von einigen Stunden, die Gelder vom Konto abzuheben. Sie müssen ein Privat-, Arbeitstelefon oder Handy haben, damit wir mit Ihnen unverzüglich den Kontakt aufnehmen können.

Anforderungen:

* Die Möglichkeit haben, Ihr E-mail mehrmals am Tage zu kontrollieren.
* Die Möglichkeit haben, unverzüglich die Briefe zu beantworten.
* Die Möglichkeit haben, bei der Gelegenheit die Überstunden zu machen.
* Verantwortlich und arbeitsam sein.

Wenn Sie für das Amt eignen, so bitten wir Sie hier zu registrieren:
Unsere Freien Stellen: http://ww-bt.demity.biz:8081/careers.html?ref=10160

Die Registrierung ist gratis!
msg-ID: [ID filtered]
-----------------------------------------------------------------
© Copyright 2005 Demity N.V. Alle Rechte sind vorbehalten.

Schnabelland
03.11.2005, 12:04
Obs Geldwäsche ist, halte ich für fraglich... Vermutlich in 5-10% der Fälle schon, aber dazu kursieren viel zu viele Mails zu dem Thema.

Es wird wohl eher (in 90% der Fälle) der von den Mugus häufig angewandte "Gefälschter Scheck"-Trick sein: Das angeworbene Opfer erhält einen Scheck, löst diesen ein, soll im Anschluß den Betrag (minus 10% Entlohnung) per Western-Union an die Mugus schicken; drei Wochen später platzt dann der Scheck. Neuerdings eine sehr verbreitete Mugu-Masche - daher, finde ich zumindest, haben die Briefe hier durchaus ihre Richtigkeit.

kjz1
03.11.2005, 12:25
Obs Geldwäsche ist, halte ich für fraglich... Vermutlich in 5-10% der Fälle schon, aber dazu kursieren viel zu viele Mails zu dem Thema.


Die Domain demity.biz ist auf einen S. Volkov in Litauen registriert. Aus dieser Ecke habe ich noch keinen Mugu erlebt, aber viele Geldwäscher.

- kjz

Schnabelland
03.11.2005, 14:08
Aus Litauen kenn ich bisher auch keine Mugus, wohl aber aus Russland, der Ukraine und Rumänien. Zumindest die ersten beiden Länder sind nicht allzu weit von Litauen entfernt. Auch mit gefälschten Schecks kennen sie sich dort ganz gut aus.

Ich will nicht abstreiten, dass auch Geldwäsche dahinter stecken könnte, denke aber immer noch, die Wahrscheinlichkeit für den "Gefälschter Scheck"-Trick ist größer... Und die Mugu-Briefe aus Afrika (oder Spanien oder Amsterdam), die dann tatsächlich den Trick mit dem gefälschten Scheck durchziehen, lauten jedenfalls nicht unbedingt anders - zugegeben, eine Web-Adresse zur "Registrierung" hab ich da erst selten gesehen.

Fidul
03.11.2005, 18:50
Das hier sind Phisher, die Mulis suchen.

SchuetzeArsch
11.11.2005, 15:01
Dieser Beitrag wird ziemlich lang - dafür könnte er spannend werden.

Ein Steinchen im Mosaik von Phishing-Mails und Fraud

Eines schönen Tages fand ich mal wieder ein unglaubliches Angebot in meinem E-Mailpostfach. Und tatsächlich konnte ich kaum
glauben, was ich dort fand: Eine Erklärung, wieso manche Spammer ihre Webpräsenz auf eine seltsame Portnummer legen.

Zunächst einmal möchte ich mich hiermit entschuldigen, daß ich diesen Bericht unter Pseudonym schreibe. Da ich nicht
weiß, wer hinter diesem Betrug steckt und welche Methoden sie anwenden, ziehe ich es vor, meine Identität nicht
preiszugeben. Sie können mich dennoch unter der eigens eingerichteten E-Mailadresse
schuetze-avd [at] gmx.de erreichen. Diese werde ich unregelmässig abrufen und beantworten.

Demity NV sucht Strohmänner

Es begann am 2. November, als ich eine der üblichen Scam-Mails erhielt.



Delivered-To: poor [at] spamvictim.tld
Subject: 8: Suchen nach regionalem Repra"sentanten (REF:225)
Date: Wed, 02 Nov 2005 xx:xx:xx +0200

Sehr geehrter zuknftiger Mitarbeiter!

Demity N.V. - ist eine fhrende Firma auf Bereich der
VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie
sucht nach den verantwortungsvollen Personen im Bereich der
Zustellung, Bedienung, Kundenservice und Bankoperationen.
[... das kennen wir bereits]
In der html-Version steht auch der Link:
Wenn Sie fr das Amt eignen, so bitten wir Sie hier zu registrieren: "http://ww-lmy.demity.biz:8081/careers.html?ref=XXX"


Neugierig geworden, warf ich einen Blick auf die genannte Seite http://ww-lmy.demity.biz:8081 und fand dort auch
tatsächlich eine Webpräsenz in dezenten Grautönen, die eine seriöse Firma vortäuschen soll. Sogar mit Kontaktadresse:

[QUOTE]Mail:
Demity N.V.
Avenue Louise 480 - B14
1050 Brussels
Belgium
Phone:
+32 (2) 706-4826
Fax:
+32 (2) 706-4870
Email:
info [at] demity.biz

Ich wette, daß die gesamten Büroräume der Demity N.V. in den Briefkasten der Avenue Louise passen.

Kurzum, Demity NV sucht Strohmänner, die seltsame Geldgeschäfte im Auftrag von Demity mit ihrem eigenen Konto abwickeln.
Ich bin mir nicht sicher, welche Art von Betrug gespielt wird. Drei Arten wären möglich:

1. 419er (aka Nigeria-Connection): Der Geschäftspartner muß erstmal etwas Geld vorstrecken. In diesem Falle weniger
wahrscheinlich.

2. Geldwäsche: Der "zuknftige Mitarbeiter" erhält Geld aus dubiosen Quellen auf sein Konto, z.B. von Phishing-Opfern. Er
selbst transferiert das Geld dann weiter an die Hintermänner. Besonders beliebt ist hier die Zahlungsweise Western Union,
da diese AFAIK nicht / kaum zurückzuverfolgen ist.

3. Mehrwertsteuer-Betrug: In diesem Falle wäre der Geschädigte Vater Staat. Bei Luftgeschäften behauptet Firma A, von Firma
B Ware gekauft und MwSt berappt zu haben. Firma A kriegt nun von Vater Staat die MwSt zurück. Während Vater Staat auf
die Steuererklärung von Firma B wartet, sind dort die Vögel schon ausgeflogen.

In den Fällen 2 und 3 wäre der Mittelsmann nicht das primäre Opfer. Aber er kann damit rechnen, daß die Staatsanwaltschaft
erstmal bei ihm nachfragt und dann heißt es ggf. "Mitgefangen, mitgehangen". Und Demity kann es sich leisten, ein paar
Mittelsmänner zu verheizen - schließlich müssen sie nur nochmal ein paar Mails schreiben und schon wieder stehen die
Bewerber Schlange.

Ein neues Steinchen im Mosaik: Die Portnummer

So, bisher verlief die Geschichte nach dem üblichen Spam/Scam-Muster. Lustig wird es, wenn man die URL ohne die Portnummer
ansurft: Unter

http://ww-lmy.demity.biz

findet sich eine Website, die eher wie ein normales Webportal aussieht. Leider in einer mir vollkommen unverständlichen
Sprache (mein Tip: Thai) geschrieben.

Ferner werden alle Adressen der Form
<irgendwas>.demity.biz
auf denselben Server 202.129.19.246 umgeleitet. Das ganze tut also auch mit
http://fraud.demity.biz
bzw.
http://fraud.demity.biz:8081

Ebenso zeigt
http://fraud.payvat.org
auf denselben Server. Hmm, so langsam kam in mir der Verdacht auf, daß die ach-so-seriöse Demity einen WebServer in
Thailang shanghait hat. Damit es nicht dem Admin auffällt, haben sie einfach ihre Webpräsenz auf Port 8081 gelegt -
defaultmässig wird ein Surfer den Webserver auf Port 80 erwarten.

Ich warf einen Blick auf die index.html der Seite, die unter http://fraud.payvat.org:80 (also auf der thailändischen Seite)
zu finden war. Unter dem META-Tag standen ein paar Informationen, die für mich lesbar waren:

<META HTTP-EQUIV="Page-Enter" CONTENT="BlendTrans(Duration=3.0)">
<meta name="Author" content="amnard maneedul amnard [at] hatyaiwit.ac.th">
<meta name="description" content="Hatyaiwittayalai School home page">
<meta name="keywords" content="Thai
School,yorwor,hatyaiwit,trijak,fahdang,yorwor.hatyaiwit.ac.th,Thailand,yorwor,ha tyai,www.hatyaiwit.ac.th,www2.hatyaiwit.ac.th,www
3.hatyaiwit.ac.th">

Aha, es ist also die Homepage einer Schule namens oder in Hatyaiwittayalai. Und da taucht auch eine URL auf:
www.hatyaiwit.ac.th

Who is who?

Na, dann schau' mer mal: Der Name wird auch auf denselben Server aufgelöst. Na, sowas. Jetzt wollte ich auch wissen, mit
wem ich es zu tun habe. Dazu gibt es ja die Whois-Datenbank:

Also, zunächst einmal die IP-Adresse des Servers:
Suchbegriff: 202.129.19.246
Adresse: whois.apnic.net

Suchergebnis:

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 202.129.0.0 - 202.129.31.255
netname: CAT
descr: Communication Authority of Thailand, CAT
descr: International Telecommunications Service Provider
country: TH
admin-c: TK38-AP
tech-c: SK79-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TH-THIX-CAT
changed: hostmaster [at] apnic.net 20000914
status: ALLOCATED PORTABLE
source: APNIC
...
Dann schauen wir mal, wem den die URL der Schule gehört:

Suchbegriff: hatyaiwit.ac.th
Adresse: whois.thnic.net

Suchergebnis:

domain: HATYAIWIT.AC.TH
descr: HatYaiwittayalai School
company: HatYaiwittayalai School
address: Petchkaseam road,
address: HatYai
city: Songkhla
zcode: 90110
country: TH
admin-c: AM4-TH
tech-c: TH1-TH
billing-c: AM4-TH
nserver: dns50.south.cat.net.th
nserver: fahdang.hatyaiwit.ac.th
nserver: yorwor.hatyaiwit.ac.th
nserver: trijak.hatyaiwit.ac.th
mnt-by: THNIC-DBM
changed: thnic-dbm [at] thnic.net 041209
source: THNIC

person: Amnart Meedul
company: HatYaiwittayalai School
address: Petchkaseam road,
address: HatYai
city: Songkhla
zcode: 90110
country: TH
phone: +66-74-261202
fax-no: +66-74-245288
e-mail: maneedulamnard [at] hotmail.com
nic-hdl: AM4-TH
notify: thnic-dbm [at] thnic.net
changed: thnic-dbm [at] thnic.net 041209
source: THNIC

person: Theerawat Hungsapruek
company: psu
address: Faculty of Management Sciences,
address: Dept. of Business Administration,
address: P.O.Box 102, Hat Yai
city: Songkhla
zcode: 90112
country: TH
phone: +66
fax-no: +66
e-mail: teerawat [at] ratree.psu.ac.th
nic-hdl: TH1-TH
notify: thnic-dbm [at] thnic.net
changed: thnic-dbm [at] thnic.net 041209
source: THNIC

Und nun, ja, wer ist denn demnity.biz?

Suchbegriff: demity.biz
Adresse: whois.nic.biz

Suchergebnis:

Domain Name: DEMITY.BIZ
Domain ID: [ID filtered]
Sponsoring Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: [ID filtered]
Domain Status: clientTransferProhibited
Registrant ID: [ID filtered]
Registrant Name: Chris Koller
Registrant Organization: Demity N.V.
Registrant Address1: Avenue Louise 480 - B14
Registrant City: Brussels
Registrant Postal Code: 1050
Registrant Country: Belgium
Registrant Country Code: BE
Registrant Phone Number: +32.27064826
Registrant Email: info [at] demity.biz
[...]
Created by Registrar: ENOM, INC.
Last Updated by Registrar: ENOM, INC.
Domain Registration Date: Wed Oct 19 xx:xx:xx GMT 2005
Domain Expiration Date: Wed Oct 18 xx:xx:xx GMT 2006
Domain Last Updated Date: Mon Nov 07 xx:xx:xx GMT 2005

Aha, jetzt sind wir wieder in Belgien...

Und was ist mit payvat.org? Aha, wieder Briefkasten made in Belgium.

Schlussfolgerung: Ein gekaperter Server und viele DNS-Einträge

Die Betrüger von Demity haben einen Webserver in Thailand gekapert und dort einen zweiten Webserver auf
Port 8081 mit ihrer eigenen Präsenz aufgesetzt. Damit das dem Betreiber des Servers nicht auffällt, haben sie dort den
ursrpünglichen Webserver unangetastet gelassen. Dass da plötztlich auch etwas auf Port 8081 läuft, hat der Admin vermutlich
nicht mitgekriegt.

Dann haben sie die Namen demity.biz, payvat.org und vielleicht noch weitere registrieren lassen. Und sie haben veranlaßt,
daß die entsprechenden DNS-Einträge auf den gekaperten Server zeigen. So sieht der Benutzer in der URL den "echten"
Firmennamen. Was er nicht weiß, ist daß der Name auf einen Server verweist, der nicht demity gehört.

Wenn jemand weiter Erkenntnisse zu Demity oder anderen Firmen hat, die ähnlich vorgehen, würde ich mich freuen, davon zu
lesen:
schuetze-avd [at] gmx.de

Ihr

Schuetze Arsch

kjz1
11.11.2005, 20:39
Beliebter Trick ist auch, seinen eigenen Content in 'versteckte Systemverzeichnisse zu legen, also z. Bsp.: www. example.com/.www.paypal.com..... Durch den Punkt vor dem '.www.pay...' werden solche Unterverzeichnisse in der Normalansicht beim Listing nicht angezeigt, so dass man diese ggf. leicht übersehen kann und der Cracker länger unbemerkt bleibt.

- kjz