View previous topic :: View next topic |
Author |
Message |
Yonathan l33t
Joined: 05 Jan 2005 Posts: 662
|
Posted: Fri Feb 03, 2006 9:31 am Post subject: [OT] wo kann man fishing-mails melden? |
|
|
hallo.
ich bekomme seit einigen tagen von einer sog. "Volksbank" und heute auch von der "Citybank"
jeweils mit einem tollen bild, wo draufsteht, dass die datenbank aktualisiert wird usw... hinter dem bild steckt einlink zu einer seite, die, nicht schlecht immitierend, die echte volksbank-online-site darstellt, man kommt da auf ein formular usw... den rest kennt man ja aus den medien.
http://202.108.97.139/rpm/ <-- das wäre mal so ein link für neugierige
meine frage ist nun: wo kann man sowas melden? ich habe von seiten gehört und von unternehmen, wo man das melden kann, nur habe ich keine ahnung, wo.
jemand einen tip?
danke.
yona _________________ Athlon XP+ 2400 Thunderbird,
Abit NF7
1536MB DDR (266),
Radeon 9200 (256mb)
gentoo 2.6.19-r5 |
|
Back to top |
|
|
chrib Guru
Joined: 27 Sep 2003 Posts: 558 Location: Berlin, Germany
|
Posted: Fri Feb 03, 2006 9:39 am Post subject: |
|
|
Erste Anlaufstelle wäre m. E. nach die Polizei. Ansonsten gibt es noch von der Ruhr-Uni-Bochum eine Seite, wo man Phishing melden kann. Die betreffende Bank könnte man ebenfalls informieren. _________________ Der Mensch kämpft um zu überleben, und nicht, um zu Grunde zu gehen. - Paulo Coelho
It is the end of all hope. To lose the child, the faith. To end all the innocence. To be someone like me. - Nightwish - End of all hope |
|
Back to top |
|
|
amne Bodhisattva
Joined: 17 Nov 2002 Posts: 6378 Location: Graz / EU
|
Posted: Fri Feb 03, 2006 10:31 am Post subject: |
|
|
Code: | whois 202.108.97.139
[..]
inetnum: 202.108.97.128 - 202.108.97.255
netname: FEIHUA-XINWANG-CO
descr: Beijing Fei Hua Xin Wang Digital
descr: Communication Tech Co.Ltd
country: CN
admin-c: WJ36-AP
tech-c: WJ36-AP
mnt-by: MAINT-CHINANET-BJ
changed: suny@publicf.bta.net.cn 20001115
changed: hostmast@publicf.bta.net.cn 20011230
status: ASSIGNED NON-PORTABLE
source: APNIC
changed: hm-changed@apnic.net 20020827
person: Wang JingYi
address: Dong Chang An Jie 1 Dong Cheng
address: District Beijing 100006
phone: +86-10-85182233
fax-no: +86-10-85186351
e-mail: wangjy@163.net
nic-hdl: WJ36-AP
mnt-by: MAINT-CHINANET-BJ
changed: suny@publicf.bta.net.cn 20001115
source: APNIC |
Meinen Erfahrungen nach kümmern sich schon europäische Provider/Hoster schon zu wenig um solche Sachen, ich habe z. B. einem deutsche Provider einmal gemeldet, dass auf einem seiner Kundenserver eine Phishingseite liegt, nach 1 Monat war sie noch immer dort. Dein Server steht jetzt noch dazu in China, dort wird es vermutlich noch viel weniger irgendwen interessieren.
PS: Ins Diskussionsforum verschoben. _________________ Dinosaur week! (Ok, this thread is so last week) |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Fri Feb 03, 2006 10:33 am Post subject: |
|
|
Brauchst du vielleicht gar nicht melden. Unsere Firmen WebFilter von Trend meinte nämlich dazu folgendes:
Gruß _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
Yonathan l33t
Joined: 05 Jan 2005 Posts: 662
|
Posted: Fri Feb 03, 2006 4:05 pm Post subject: |
|
|
bei euch mag das geblockt werden, aber nicht bei privatnutzern...
ist außerdem nicht nur eine einzelne ip, sondern sind mehrere, auf die da verlinkt wird
naja.. ich werde den banken mal ne mail schicken, sollen die sich drum kümmern, ist schließlich ihr geld.
danke _________________ Athlon XP+ 2400 Thunderbird,
Abit NF7
1536MB DDR (266),
Radeon 9200 (256mb)
gentoo 2.6.19-r5 |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Fri Feb 03, 2006 4:39 pm Post subject: |
|
|
Haste du gelesen was da steht?
Der Filter blockt es, weil die Seite als Phising Seite bekannt ist (der Filter geht wahrscheinlich nach IPs und Content). Und somit denke ich mal, dass die Verantwortlich schon bescheid wissen. Schließlich beschäftigen sich auch Fachleute damit. _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
chrib Guru
Joined: 27 Sep 2003 Posts: 558 Location: Berlin, Germany
|
Posted: Fri Feb 03, 2006 5:11 pm Post subject: |
|
|
b3cks wrote: | Haste du gelesen was da steht?
Der Filter blockt es, weil die Seite als Phising Seite bekannt ist (der Filter geht wahrscheinlich nach IPs und Content). Und somit denke ich mal, dass die Verantwortlich schon bescheid wissen. Schließlich beschäftigen sich auch Fachleute damit. |
Das mag zwar sein dass die Seite bei Eurem Filter schon bekannt ist, aber den setzt nun einmal nicht jeder ein. Und nur weil es bei einem Webfilter bekannt ist, heisst es noch lange nicht, dass jeder andere sie auch kennt. Ergo sollte man es schon melden. Ist der Volksbank die Seite schon gekannt: schön, aber Schaden tut es trotzdem nicht. _________________ Der Mensch kämpft um zu überleben, und nicht, um zu Grunde zu gehen. - Paulo Coelho
It is the end of all hope. To lose the child, the faith. To end all the innocence. To be someone like me. - Nightwish - End of all hope |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Fri Feb 03, 2006 5:49 pm Post subject: |
|
|
Was auch immer viel Spaß bringt, ist, mit einem kleinen Shell-Script und curl die Datenbank von solchen Typen mit Zufallszahlen und -namen zuzumüllen. Wenn da mal ein paar Millionen Einträge drin sind, dann haben sie eine statistisch gesehen relativ geringe Chance, echte (von unwissenden, arglosen Mitmenschen übermittelte) TANs und dergl. zu nutzen *ggg*
Im oben genannten Beispiel wären das dann folgende Parameter:
Code: | an http://202.108.97.139/rpm/submit.php:
name="frauherr" value="Frau" | value="Herr"
name="vorname"
name="name"
name="tan"
name="konto"
name="pin"
name="blz"
name="plz"
name="email"
name="GEVO" value="100"
name="FA" value="VRNETWORLD"
name="search" value="bank" |
Dann noch ne Liste mit Vor- und Nachnamen, die beliebig kombiniert werden, ne Liste mit eMail-Anbietern, die ebenfalls dann mit vorname.nachname@email zufällig kombiniert werden ... ein paar Zufallszahlen, und der Spaß kann losgehen ;-) |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Sat Feb 04, 2006 4:02 pm Post subject: |
|
|
Also quasi (für diesen Fall hier) sowas: http://www.nasauber.de/sandkasten/phishing-spammer-0.1.tar.gz
*lol* Wer Bock hat, kann ja mal mitspammen *ggg*
Man müßt nur noch ein Shell-Script schreiben, was 100 Instanzen von dem Programm gleichzeitig ausführt oder so!
Die Ausgabe von dem Script sieht z.B. so aus:
Code: | Datensatz:
Frau Hilda Hauck <hilda.hauck@bigfoot.info>
PLZ. : 98058
Kto.Nr.: 127586876
BLZ. : 96844900
PIN : 6497
TANs:
19424
34554
32172
32781
40072
35269
57942
45607
91233
20142
Sende Datensatz ... erfolgreich übermittelt! |
... und curl tarnt sich dabei noch schön als Internet Exploder 6.0 unter Windose XP *ggg*
Derzeit hab ich 815 weibliche und 732 männliche Vornamen, 1.269 Nachnamen (also 1.963.143 Möglichkeiten), die dann noch mit 19 eMail-Prividern, 10 Domain-Erweiterungen und 4 Möglichkeiten für Trenner (vornamenachname, vorname-nachname, vorname_nachname, vorname.nachname) für die eMail-Adresse kombiniert werden. Mach dann 1.491.988.680 Möglichkeiten. Außerdem benutzt das Programm in einem von vier Fällen nur den ersten Buchstaben des Vornamens für die eMail-Adresse. Das sind dann nochmal 24.111.000 Möglichkeiten.
Wenn man dann noch die BLZ und all das Zeug dazuzählt, gibt das nen schönen Haufen an Mist, der die Datenbank von denen versaut. Is doch toll, oder?
Für den Anfang schafft
Code: | while [ $? == 0 ];
do ./phishing-spammer;
i=$(($i+1));
echo "$i Datensätze übermittelt";
done |
auch ganz schön was.
Don't try this at home, kids ;-) |
|
Back to top |
|
|
ph03n1x l33t
Joined: 06 Feb 2003 Posts: 756
|
Posted: Sat Feb 04, 2006 11:15 pm Post subject: |
|
|
Haha, die Idee gefällt mir
Spammt die phisher... |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Sun Feb 05, 2006 1:11 am Post subject: |
|
|
24.536 Einträge bisher ... aber jetzt wird die Kiste ausgeschaltet und ich geh ins Bett ;-) |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1657
|
Posted: Sun Feb 05, 2006 1:42 am Post subject: |
|
|
hehe nett, werde ich auch gleich mal machen. sei noch erwähnt, dass neben perl das paket dev-perl/crypt-random benötigt wird _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Last edited by misterjack on Sun Feb 05, 2006 1:54 am; edited 1 time in total |
|
Back to top |
|
|
ruth Retired Dev
Joined: 07 Sep 2003 Posts: 640 Location: M / AN / BY / GER
|
Posted: Sun Feb 05, 2006 1:44 am Post subject: |
|
|
Hi,
Quote: |
24.536 Einträge bisher
|
...und alle von der gleichen IP Adresse...
Naja, guter Ansatz, aber man sollte wohl pro Durchgang jeweils einen anderen Proxy verwenden...
Denn, wenn die Jungs da 24.536 Datensätze von der gleichen IP haben, dann, naja, bringt das wohl nicht wirklich viel... *gg*
die filtern dann halt einfach - das würde ich zumindest machen... *gg*
gruss,
ruth
/me -> betrunken, btw *hicks*
...den artikel hab ich vor dem absenden bestimmt 10 mal editiert... *gg*
@phishers:
Code: |
$remote_ip = $_SERVER['REMOTE_ADDR'];
|
genügt. Einfach mit in den Datensatz schreiben, danach filtern, also z.B. Datensatz nur zeigen, wenn IP Adresse EIN EINZIGES mal enthalten ist...
@Libby:
Sorry, bin betrunken... _________________ "The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
Back to top |
|
|
marc Apprentice
Joined: 13 Jan 2003 Posts: 290
|
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Sun Feb 05, 2006 9:27 am Post subject: |
|
|
@ruth: Okay, stimmt mit der IP ... was tu ich also, damit ich die IP auch noch ändern kann? Wie stell ich das an, jedes mal einen anderen Proxy zu verwenden? Kann ich da einfach bei curl --proxy mitschicken und irgend einen Proxy-Server angeben?
[EDIT]
Irgendwie krieg ich das nichr so ganz gebacken mit dem Proxy ... ich hab mir jetzt mal ne Liste von Proxy-Servern geholt und die kann man ja dann auch mit der zufall()-Funktion auswählen. Aber da bräuchte man ja noch nen Timeout für curl und sowas ... |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Sun Feb 05, 2006 10:23 am Post subject: |
|
|
ein zusätzliches --proxy sollte eigentlich genügen. Das in Verbindung mit einer genügend großen Liste offener Proxies (z.B. http://www.freeproxylists.com/) und der Hr. Phisher hat es etwas schwerer.
Um wirklich einen Menschen zu simulieren der da Daten einklopft solltest du aber vorher erst einmalig die Seite mit dem Eingabeformular laden sonst könnte man anhand der Tatsache filtern das da einer Daten 'blind' eingibt. Das in Verbindung mit einer zufälligen Wartezeit zwischen leere Seite laden und Daten schicken macht der Gegenseite das Filtern dann schon sehr schwer _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Sun Feb 05, 2006 10:47 am Post subject: |
|
|
Okay, die Proxy-Version ist jetzt unter http://www.nasauber.de/sandkasten/phishing-spammer-0.1.1.tar.gz online ;-)
Jetzt mit Ausführungsskript "runspammer" und 1000 Proxies zur Auswahl!
Ich muß sagen, es geht zwar einige Male schief so nen Proxy zu benutzen, aber die Durchsatzrate wird doch dramatisch erhöht! |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1657
|
Posted: Mon Feb 06, 2006 12:29 am Post subject: |
|
|
Libby wrote: | Okay, die Proxy-Version ist jetzt unter http://www.nasauber.de/sandkasten/phishing-spammer-0.1.1.tar.gz online
Jetzt mit Ausführungsskript "runspammer" und 1000 Proxies zur Auswahl!
Ich muß sagen, es geht zwar einige Male schief so nen Proxy zu benutzen, aber die Durchsatzrate wird doch dramatisch erhöht! |
saubere arbeit. ist bei mir schon wieder am werkeln _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
chrib Guru
Joined: 27 Sep 2003 Posts: 558 Location: Berlin, Germany
|
Posted: Mon Feb 06, 2006 7:23 am Post subject: |
|
|
Bin ich hier der einzige, der solchen Skriptmaßnahmen kritisch gegenüber steht? Was passiert wenn zufälligerweise der Eintrag für Max Mustermann Bankleitzahl 876543210 Kontonummer 12345678 tatsächlich existiert und die generierte TAN auch noch stimmt? OK, die Chance mag sehr gering sein, aber solange sie existiert würde ich von solchen Aktionen abraten. Abgesehen davon werden die Phisher sicherlich den Login ins Onlinebanking auch automatisch laufen lassen, um so diverse Falscheinträge zu eliminieren. _________________ Der Mensch kämpft um zu überleben, und nicht, um zu Grunde zu gehen. - Paulo Coelho
It is the end of all hope. To lose the child, the faith. To end all the innocence. To be someone like me. - Nightwish - End of all hope |
|
Back to top |
|
|
rukh Apprentice
Joined: 17 Aug 2005 Posts: 177 Location: Sol 3
|
Posted: Mon Feb 06, 2006 9:47 am Post subject: |
|
|
chrib wrote: | Abgesehen davon werden die Phisher sicherlich den Login ins Onlinebanking auch automatisch laufen lassen, um so diverse Falscheinträge zu eliminieren. |
Ja, aber höchstens nur drei Mal. Dann macht die Bank den Online Banking Account für die Kontonummer dicht und der Eigentümer muss da hin und den Spass wieder freischalten lassen. Abgesehen davon, starten immer mehr Banken damit einen indizierten TAN zu verlangen. Gut, kann mach auch umgehen, aber nicht mit diesen Methoden. Ansonsten recht lustiges Script _________________ Prepare to meet your maker! -- Bereiten Sie vor sich, Ihren Hersteller zu treffen!
-- rukh.de, Noir (german) |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Mon Feb 06, 2006 10:35 am Post subject: |
|
|
Also ich denk mal, daß die Chance, daß es passiert, daß eine Kontonummer paßt UND die PIN paßt UND eine TAN paßt derart gering ist, daß man's annähernd ausschließen kann. Bei meinem Online-Banking ist außerdem z.B. die PIN ein Wort mit Buchstaben drin und keine Zahl. Ich weiß net, wie das bei anderen gehandhabt wird ...
Außerdem wäre die Chance, daß die Betrüger durch zufällig generierte Zahlen ein Login hinkriegen genauso hoch. Es geht ja bloß drum, deren Datenbank unbrauchbar zu machen. |
|
Back to top |
|
|
rukh Apprentice
Joined: 17 Aug 2005 Posts: 177 Location: Sol 3
|
Posted: Mon Feb 06, 2006 10:46 am Post subject: |
|
|
Die PIN ist frei wählbar. Kann komplett Alphanumerisch sein. Aber, soweit ich weiss, maximal 5 Zeichen. _________________ Prepare to meet your maker! -- Bereiten Sie vor sich, Ihren Hersteller zu treffen!
-- rukh.de, Noir (german) |
|
Back to top |
|
|
slick Bodhisattva
Joined: 20 Apr 2003 Posts: 3495
|
Posted: Mon Feb 06, 2006 11:54 am Post subject: |
|
|
chrib wrote: | Bin ich hier der einzige, der solchen Skriptmaßnahmen kritisch gegenüber steht? |
Nein.
1) Es verursacht Traffic. Klar ist gut für Erhöhung der Traffic-Kosten des Phishers, den Ausbau der Breitbandkapazitäten in DL und für die Auffüllung der Datenbestände bei der kommenden Vorratsdatenspeicherung. Aber was ist mit dem Ideal des schonenden Umgangs mit Ressourcen geworden?
2) Wie chrib schon erwähnte, es _kann_ mal schiefgehen.
3) Rein logisch erkennt der Phisher durch die Vielzahl der Zugriffe/Datenbankeinträge das sein Trick Erfolg hatte (mal unabhängig von der Richtigkeit der Daten)
(Mal abgesehen von der meiner Gegenargumentation, was auch sehr gut kommt: Such Dir die größte Datei auf dem Server und laß dutzende Instanzen von wget o.ä. diese permanent downloaden. Der erzeugte Traffic kosten den Phisher und mit etwas Glück fällt sein Server damit auf.)
Prinzipiell muß ich aber ehrlich mal sagen ist mir die ganze Phishing-Diskussion ziemlich egal. Wer so gutgläubig ist alles anzuklicken und seine Daten einzugeben ist selbst schuld. Positiv ist der gewisse Erziehungseffekt, d.h. bei der nächsten Mail macht der User das nicht mehr und der Phisher verliert mit jeder erfolgreihen Attacke ein zukünftiges Opfer, d.h. irgendwann müßte sich Phishing von selbst vernichtet haben
Und Gegenmaßnahmen sind prinzipiell eigentlich auch Unfug, denn wenn ich in der Fussgängerzone beklaut werde gehe ich auch nicht hin und lege 1000 Brieftaschen aus, in der Hoffnung der Dieb ist so sehr mit selbigen beschäftigt dass er die meinige übersieht. Würde man es allerdings entsprechend groß aufziehen besteht natürlich eine gewisse Aussicht auf Erfolg. Aber solange die gephishten Daten maschinell verarbeitet/geprüft werden, was sind da 1.000.000 (falsche) Datensätze? Ein Tropfen auf den heissen Stein. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2615 Location: Konradsreuth (Germany)
|
Posted: Mon Feb 06, 2006 6:27 pm Post subject: |
|
|
Hat trotzdem Spaß gemacht, das Script zu schreiben *schmoll* ;-) |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Mon Feb 06, 2006 6:47 pm Post subject: |
|
|
slick wrote: | Positiv ist der gewisse Erziehungseffekt, d.h. bei der nächsten Mail macht der User das nicht mehr und der Phisher verliert mit jeder erfolgreihen Attacke ein zukünftiges Opfer, d.h. irgendwann müßte sich Phishing von selbst vernichtet haben |
Na wenn das stimmt dann wäre Einstein widerlegt .
Aber mal ernsthaft... Leider gibt es ja auf absehbare Zeit keinen Internet-Führerschein; nötig wäre der aber für die breitere Bevölkerung.
Das unsereins nicht auf Phishing hereinfällt sollte sowieso selbstverständlich sein. Allerdings muß man sagen das selbst das nicht immer ganz einfach ist - gab da neulich mal irgendwo einen Test 'ist das phishing oder nicht' und ein paar der Beispiele brachten einen schon sehr ins Grübeln.
Wie soll das 'Otto Normalo' und 'Susi Sorglos' durchblicken?
Wir - als die Experten im allgemeinen - können nur (weiterhin) dafür sorgen das entsprechende Aufklärung passiert und wenn ein Phisher gesichtet wird dessen Website z.B. in den von uns administrierten Proxies geblockt wird. _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
|