# Daten-Diebstahl: Täter missbrauchen Namen unschuldiger Deutscher



## sascha (20 August 2012)

*Unbekannte Täter haben offenbar zu einem groß angelegten Phishing-Angriff auf deutsche Internetnutzer ausgeholt. Dazu wurden dutzende Internetadressen wie “amazon-kundenumstellung.com”  registriert. Besonders perfide: Für die Anmeldung müssen die Personalien ahnungsloser Deutscher herhalten.  *

*http://www.computerbetrug.de/2012/0...ssbrauchen-namen-unschuldiger-deutscher-6721/*


----------



## Aka-Aka (20 August 2012)

auch "normales" Phishing lohnt sich offenbar
http://nachrichten.finanztreff.de/news_news.htn?awert=topthemen&sektion=uebersicht&id=8504961


----------



## Aka-Aka (20 August 2012)

Der Inhaber der Domain, die in dem Phishingbrief genant wurde, taucht offenbar in einer heute verschickten Phishingmail auf. Das macht den unbeteiligten Deutschen nicht verdächtiger, im Gegenteil, aber es sei nur so erwähnt. Warum kann gohost.ru immer noch *deutlich erkennbar auf Phishing abzielende Seiten registrieren?*


----------



## Aka-Aka (21 August 2012)

zu oben: nicht der Domaininhaber taucht in der Mail auf, sondern eine Domain, die ihm gehört 

hier: 1200€ Schaden durch Phishing
http://www.kreis-anzeiger.de/lokales/wetteraukreis/hirzenhain/12331720.htm


> Im Verdachtsfall müsse sofort die Hausbank verständigt *und die Polizei eingeschaltet werden.*


----------



## Aka-Aka (17 September 2012)

Also es gibt ganz viele Phishingseiten, die auf den Namen von mutmasslichen Phishingopfern registriert sind. Einige dieser Fälle gehören zusammen, aber um das zu bemerken, müsste die Polizei es halt auch bemerken wollen und wissen, dass sie es bemerken könnte, wenn sie wollte...

An der Relevanz des Themas besteht kein Zweifel:
http://www.ftd.de/politik/deutschla...urch-cyberkriminalitaet-waechst/70091796.html



> Internetkriminelle missbrauchen immer öfter Kreditkartendaten und klauen vermehrt über Phishing-Mails Identitäten. Besonders gefährdet sind kleine und mittelgroße Unternehmen.
> (...)
> Mit Phishing-Mails und dem missbräuchlichen Einsatz von Kreditkartendaten entstand ein Schaden von rund 50 Mio. Euro.
> (...)
> Das Phishing von Onlinebanking-Daten oder der missbräuchliche Einsatz von Kreditkartendaten machen demnach mit 45 Prozent die mit Abstand rößte Gruppe der Bedrohung aus.


 
Aber wo steht eigentlich, was der Bedrohung entgegengesetzt wird?


----------



## Reducal (17 September 2012)

Aka-Aka schrieb:


> Aber wo steht eigentlich, was der Bedrohung entgegengesetzt wird?


In den Hirngespinsten z. B. der Gewerkschaften:


----------



## Aka-Aka (17 September 2012)

Alle großen und erfolgreichen Polizeiaktionen weltweit basieren auf uralten Schlüsselqualifikationen eines jeden Ermittlers: Fleiß und Kombinationsgabe - und: Herzblut!


----------



## Aka-Aka (21 September 2012)

Man hängt, wen man kriegt
http://www.nordbayern.de/nuernberge...betruger-soll-sparer-geprellt-haben-1.2371986


----------



## Aka-Aka (26 September 2012)

via Verbraucherzentrale, heute registriert:

amazon-centreumstellung.com
amazon-sicherer-umstellung.com
amazon-umstellung-sicherer.com
amazon-umstellungscentre.com
amazon-zahlungsumstellung-de.com
amazon-zahlungsumstellung-sicherer.com
packstation-rfid-guard.com
packstation-rfid-umstellung.com
packstation-rfidsupport.com


----------



## Nicko1998 (27 September 2012)

Aka-Aka schrieb:


> via Verbraucherzentrale, heute registriert:
> 
> amazon-centreumstellung.com


 u.a.

In Russland registriert.

Was hat der da mit zu tun:


> Registrant: J. M. Email: j****.m*******@emailn.de Organization: J. M. Address: Kamper Rolle 20 City: Friesoythe State: Niedersachsen ZIP: 26169 Country: DE Phone: +49.1455534667 Fax: +49.1455534668


----------



## Rüdiger Kunz (27 September 2012)

Nicko1998 schrieb:


> Was hat der da mit zu tun:


Nix?


> Täter missbrauchen Namen unschuldiger Deutscher


----------



## Nicko1998 (27 September 2012)

Klar! Ist mir ja auch mal passiert. Allerdings wurden bei mir lediglich Adresse und Telefonnummer mißbraucht - der Name blieb außen vor (die bei Godaddy registrierte) Seite gibts übrigens immer noch, und auch Polizei und Staatsanwaltschaft konnten mir nicht helfen.....


----------



## Aka-Aka (27 September 2012)

amazon-deutschland-umstellung.com
amazon-kreditkarten-hinterlegung.com
amazon-kreditkarten-service.com
amazon-kreditkartenservice.com
amazon-sicherheit-deutschland.com
amazon-umstellung-deutschland.com


----------



## Aka-Aka (27 September 2012)

kann die jmd "entlinken"?


----------



## BenTigger (27 September 2012)

Aka-Aka schrieb:


> kann die jmd "entlinken"?


done....


----------



## Aka-Aka (27 September 2012)

Pharma phund Phishing phängt pheides phit ph phan, phaber phielleicht phist phas phuphall.
Warum registrieren "die" da löaufend solche Domains und die meisten davon fallen nie auf? Registrieren die das Zeugs als "Mietware"?


----------



## Aka-Aka (2 Oktober 2012)

und wie ist es möglich, dass mitten in Deutschland eine Domain wie paypal-germany.de registriert werden kann? Und zwar innerhalb einer Reihe von Domains, die allesamt allein durch ihren Namen schon illegal sein dürften. Der Name Paypal dürfte geschützt sein... Werden Domainregistrierungen bei 1und1 (und anderen) _überhaupt_ überwacht?

Das ist eine Liste auffällig gewordener Domains der letzten vier Tage: (Das Datum ist der Zeitpunkt der Meldung an phishtank.com)




> xxx Sep 29th 2012 1:23 PM xxx 4:21 PM UTC) http://www*paypal-confirm*de/42699/index.php
> xxx Sep 29th 2012 1:32 PM xxx 4:21 PM UTC) http://www*paypal-financial*de/92956/index.php
> xxx Oct 1st 2012 3:22 PM xxx 4:24 PM UTC) http://www*paypal-financial*de/64992/index.php
> xxx Oct 1st 2012 3:22 PM xxx 4:24 PM UTC) http://www*paypal-financial*de/12208/index.php
> ...


----------



## Reducal (2 Oktober 2012)

Aka-Aka schrieb:


> Werden Domainregistrierungen bei 1und1 (und anderen) _überhaupt_ überwacht?


Nein, da müssen sich die Inhaber der Namensrechte schon selbst darum kümmern.


----------



## Aka-Aka (2 Oktober 2012)

Na dann.


----------



## Aka-Aka (2 Oktober 2012)

[offtopic]
Ein Arbeitsloser, der ein Finanzmuli-Angebot annimmt, muss dessen Rechtswidrigkeit erkennen, ein Domainregistrar darf aber einfach mal eben Geld dafür nehmen, eine erkennbar unzulässige Domain zu registrieren. Es mag weltfremd sein, dies ungerecht zu nennen. Ändert aber nichts daran, dass es ungerecht *ist.*
[/offtopic]

[Modedit by Hippo: Das ist 100% NICHT offtopic ...]


----------



## Aka-Aka (2 Oktober 2012)

aka-aka schrieb:
			
		

> Blabla, Domains registriert, blabla, Paypal involviert, blabla, seit Wochen, blabla, hier sind aktuelle Beispiele, blabla, bitte um Kontaktaufnahme





			
				Paypal schrieb:
			
		

> Thanks for forwarding that suspicious-looking email.





> If you continue sending stupid auto replies I am gonna join the Russians and start phishing Paypal data.


Ich werde verrückt werden, wenn ich nicht bald anfange, selbst Profit zu schlagen aus der Unfähigkeit respektive der fehlenden Bereitschaft einiger Firmen, gegen den Betrug an ihren Kunden vorzugehen. Die Themen ändern sich, die Struktur bleibt. Betrüger haben es zu leicht.


----------



## Reducal (3 Oktober 2012)

Aka-Aka schrieb:


> ...Unfähigkeit respektive der fehlenden Bereitschaft einiger Firmen, gegen den Betrug an ihren Kunden vorzugehen.


Firmen, wie z. B. PayPal, sind doch nur aufgeblasene Firmennetzwerke, in denen oft eine Hand nicht weiß, was die andere tut. Deine eMails landen beim Endkundensupport. Der wiederum sitzt entweder bei Potsdam, hinter Wien, London, Lissabon oder sonst wo. Bis oder ob diese vom Supportserver empfangene eMail manuell nachbereitet wird, weiß zuerst einmal niemand. Wenns ganz dumm läuft, dann ist er Empfang  der Nachricht sogar outsourced worden und wird von einer Fremdfirma abgearbeitet - da es aber keinen echten Bezug zum Geschäftszweck des Unternehmens gibt, entscheidet irgend wann mal irgendwer/-was ob deleted wird, geantwortet oder gar bearbeitet.

Meiner Meinung nach werden Hinweise dieser Art oft unkommentiert zur Kenntnis genommen und an Stellen verarbeitet, wo man es gar nicht vermutet - plötzlich schmückt sich ein Abteilungsleiter mit den glorreichen Erkenntnissen, dass da was im Busch sei und er wird es auf dem Silbertablett seinen Weisungsgebern mit dem Ziel der Aufwertung seiner Position präsentieren. Da der aber nicht weiß, wie die Zusammenhänge seiner Erkenntnis zu Stande gekommen waren wird der Status "Beobachtung" eher nicht überschritten. Die Rechtsabteilung der Unternehmensgruppe wird (nach einigen Wochen oder Monaten) eine saftige Mail an den Registrar senden und dann wird man sich wie der dem Tagesgeschäft zuwenden.


----------



## Aka-Aka (3 Oktober 2012)

Ok, das ist der status quo - oder bayrisch: so schaut's aus. Solange dies alles nur der Schaden der aufgeblasenen Firmennetzwerke wäre, hätte ich damit auch kein großes Problem. Es würde mich immer noch ärgern, dass es den Betrügern zu leicht gemacht wird, aber ich könnte es mit einem "Ja, mei" abtun. Aber da hört es ja nicht auf... Da sind die Betroffenen, deren Daten missbraucht werden und unter deren Namen Betrug passieren kann, u.a. weil aufgeblasene Firmennetzwerke das nicht so aggressiv verhindern, wie sie es könnten. Da sind aber auch staatliche Stellen, die manpower investieren unter dem Label "Verbrechensbekämpfung", die in Wahrheit bestenfalls "Verwaltung" ist. Dann wird daraus ein messbarer Schaden für alle - und so etwas akzeptiere ich halt nur sehr sehr schwer, wenn es sich (nach meiner Überzeugung) leicht ändern ließe...


----------



## Aka-Aka (17 Oktober 2012)

http://www.br.de/themen/ratgeber/inhalt/computer/packstation-phishing-passwort-postnummer100.html

"_Packstation_ SMS-TAN soll vor Phishing schützen"


----------



## Aka-Aka (17 Oktober 2012)

> So echt die Packstations-Mails und -Website wirken mögen, auch darin finden sich Hinweise, an denen man die Fälschung vorab erkennen kann. *Die Adresse der Webseite, auf der die Zugangsdaten bestätigt werden sollen etwa, ist auffällig: Nach "http:// …" steht dort eine lange Nummer, bevor es mit "… newsletter.packstation …" weitergeht.* Eine offizielle Post- oder Banken-Website steht aber immer unter der offiziellen Unternehmens-Domain, also zum Beispiel "http://www.[unternehmen].de/...".


 
Etwas in dieser Art?

*paypal-sicherheitsservice.de*
paypal-login.de
dhl-kunde.de
dhl-kundenstation.de

Dank der laschen Kontrollen deutscher Registrare wie 1&... und Str... ist das Registrieren solcher Seiten kein Problem


----------



## Aka-Aka (18 Oktober 2012)

ach!



> So echt die Packstations-Mails und -Website wirken mögen, auch darin finden sich Hinweise, an denen man die Fälschung vorab erkennen kann. Die Adresse der Webseite, auf der die Zugangsdaten bestätigt werden sollen etwa, ist auffällig: Nach "http:// …" steht dort zum Beispiel eine lange Nummer, bevor es mit "… newsletter.packstation …" weitergeht. Eine offizielle Post- oder Banken-Website steht aber immer unter der offiziellen Unternehmens-Domain, also zum Beispiel "http://www.[unternehmen].de/...". Achtung: Es kursieren auch verseuchte Webadressen, die zum Beispiel "dhl" enthalten, wie "dhl-kunde..." oder "dhl-meinestation...". Echt sind nur Webseiten, in deren URL zwischen "www." und dem nächsten Punkt ausschließlich "dhl" steht. Außerdem würde man normalerweise auch eine gesicherte Verbindung erwarten, was man am URL-Beginn "http*s*://..." erkennt.


Danke, hat der BR etwa hier mitgelesen?


----------



## Aka-Aka (18 Oktober 2012)

1und1.de Quelle:dailychanges.com


paypal-konfliktl***gen.com,new,
paypal-konfliktl***gen.info,new,
paypal-konfliktl***gen.net,new,
paypal-konfliktl***gen.org,new,
paypal-servicez***um.org,new,



jedes Kind findet solche Domains bei 1und1 binnen Sekunden. Wann thematisiert mal jemand die Mitverantwortung von Firmen wie Strato und 1und1?


----------



## Reducal (18 Oktober 2012)

Aka-Aka schrieb:


> Wann thematisiert mal jemand die Mitverantwortung von Firmen wie Strato und 1und1?


Niemals! Wer sollte das auch tun?


----------



## Aka-Aka (18 Oktober 2012)

Die interessierte Öffentlichkeit? Betroffene, denen eine Mitschuld eingeredet wird, weil sie http und https nicht unterscheiden können? Unbescholtene Bürger, die Abbuchungen über Domainregistrierungen auf dem Kontoauszug entdecken? Firmen wie Paypal, deren Namensrechte durch die Domainregistrierungen missachtet werden? (vom phishing ganz zu schweigen). Und - falls sich da niemand findet - ich


----------



## Reducal (18 Oktober 2012)

Aka-Aka schrieb:


> Die interessierte Öffentlichkeit?


Die interessiert sich auch für das Verfahren gegen Herrn Ballack in Spanien, wann die nächste Spargelernte beginnt und wann nun genau der Weihnachtsmann am 24.12. kommt. Viele blöken nur umanond und niemand nimmt sich dem Thema ernsthaft an, zumindest kenne ich keinen - schon gar nicht die Gutmenschen, die du so beschreibst:





Aka-Aka schrieb:


> Unbescholtene Bürger...


 


Aka-Aka schrieb:


> Firmen wie Paypal, deren Namensrechte durch die Domainregistrierungen missachtet werden?


Bei der Masse der Daten- und Kundenströme, die solche Firmen zu bewältigen haben, geht es vorrangig um Gewinnoptimierung. Solche Nebengeräusche, durch die man personelle Ressourcen verschwendet, stehen dort auf keiner Agenda.



Aka-Aka schrieb:


> Wann thematisiert mal jemand die Mitverantwortung von Firmen wie Strato und 1und1?
> 
> 
> Reducal schrieb:
> ...


Wir kleinen Weißwürstchen, werden die Welt nicht rett können!


----------



## Aka-Aka (18 Oktober 2012)

Ok. Also ist der Datenklau egal, also könnte ich hier wohl auch alle Klardaten posten?


----------



## Aka-Aka (19 Oktober 2012)

PS
http://www.123recht.net/Phishing-Kunde-haftet-für-Schäden-beim-Onlinebanking-__a128847.html





> *BGH: Wer 10 Transaktionsnummern auf einer gefälschten Webseite eingibt, kann von der Bank keinen Schadensersatz verlangen*
> 
> Wenn Kunden auf eine gefälschte Webseite einer Bank reinfallen und dort Daten preisgeben, müssen sie für den entstandenen Schaden selbst aufkommen. Die Bank trifft keine Schuld, so der Bundesgerichtshof.
> Der Bankkunde war Opfer eines so genannten Phishing Angriffs geworden, bei dem er per Mail auf eine Webseite geleitet wurde, die wie die Seite der Bank aussah.
> ...


----------



## Aka-Aka (19 Oktober 2012)

Gestern wurde eine Domain als "verdächtig" erkannt, noch bevor dort Phishing stattfand. Es gab nur eine rätselhafte Weiterleitung. Heute nacht wurde dort eine Phishingseite geladen. Hätte man gestern abgeschaltet, gäbe es heute x Phishingseiten weniger, da die Phishingseiten dort nach dem Prinzip [Domain]/#####/xxx abgelegt sind.
Zum Spaß könnte ich Dir in zwei Stunden sagen, wie viele Phishingseiten dort liegen. Ich müsste ja nur alle Nummern von 1 bis 99999 hintereinander ausprobieren 
Diese Domain trägt den Namen "Paypal-Servicezentrum". Ob das eine Rolle spielt oder nicht, ist eine Frage. Ob Strato/1und1 die Existenz dieser Phishingseiten hätte verhindern können, ist keine Frage. Sie hätten. Ganz einfach. Wie gesagt: Es kann sein, dass es keine Roille spielt - aber wenn Enduser Phishingattacken erkennen sollen, kann man wohl von Strato und 1und1 verlangen, dass sie Phishingseiten bei der Registrioerung erkennen. Letzteres ist wesentlich einfacher. Und es geht dabei immer auch um eine Vermögensverfügung. Wo soll also der Unterschied sein?


----------



## Aka-Aka (21 Oktober 2012)

Im Jahre 2008 (!) wurden von der Anti-Phishing Working Group (APWG http://www.antiphishing.org/index.html ) Empfehlungen für Registrare herausgegeben.
http://www.antiphishing.org/reports/APWG_RegistrarBestPractices.pdf

Lesenswert!



> As registrars are in direct contact with the criminals as they are registering fraudulent domains (typically through the registration
> process on the registrar’s website), they may have the ability to acquire key important
> evidence that can be later used by law enforcement to identify and prosecute the phishers.


Das gilt auch ohne VDS und auch dann, wenn Fakedaten oder geklaute Daten verwendet werden. *Es gibt gar keine "Fake-Daten", weil auch Fake-Daten Daten sind, die eine Aussagekraft haben. *(Gegenargument zu "das is doch alles eh nur Fake")




> Phishing sites typically do most of their damage and steal the majority of credentials
> and financial account data from their victims in the first hours of the phishing
> operation.  Thus, it is absolutely critical that the domain be terminated as quickly as
> possible once the registrar/registry is notified and has confirmed the criminal activity
> ...





> Outline the procedure for evidence collection, evidence storage, and contacting
> law enforcement





> Whenever action is taken to shut down a fraudulent domain registration, appropriate
> law enforcement authorities should be notified and all available information about the
> deceptive registration should be shared with them.  Such information includes re‐gistrant
> IP addresses used during registration or modification of the domain record, credit card
> information, name, address, e‐mail, company name, and all other available data.





> Whenever action is taken to shut down a fraudulent domain registration, action should be taken to *identify and shut down other fraudulent registrations that had been submitted by the same *
> *registrant* (same name, IP, email, address, credit card information, etc.).  In addition, name servers that are found to be associated only with fraudulent registrations should be added to a local blacklist
> and any existing or new registration that uses such fraudulent NS record should be terminated.





> Use a “Registrar Lock” on registrations that are deemed to be suspicious enough to warrant
> further investigation.  Such measures would make it impracticable to use stolen credit
> cards to register domains and would also introduce time into the criminal cycle for those
> that would use the DNS for malicious purposes.





> *Screen/score all registrations for patterns known to be associated with phishing *
> *(bank, secure, PayPal, eBay, etc.) *
> Reviewing all domain names proposed for registration against known sites
> that are often the subject of phishing type attacks will ensure registrars do not
> inadvertently aid in the provisioning of illegitimate content in online scams.


 
und so weiter


----------



## Aka-Aka (26 Oktober 2012)

Das passt jetzt nicht ganz zum Thema "Mangelhafte Gefahrenabwehr deutscher Registrare"... aber nur mal so als Hausnummer: In den vergangenen 24 Stunden wurden 12% aller bei Phishtank gemeldeten (weltweiten) Phishinglinks vermutlich von einer einzigen Tätergruppe ins Netz gestellt, die Domains wurden u.a. auf den Namen mehrerer deutscher Opfer von Identitätsdiebstahl registriert. Eines der Opfer berichtete, er sei während des Online-Aufladevorgangs seiner XTra-Card auf einer Seite gelandet, auf der er seine Daten bestätigen sollte.
Wenn jemand so etwas auch beobachtet oder darüber etwas weiß, bitte dringend melden.
Dass es offenbar nirgends (außer hier, versteht sich) ein Thema ist, wenn Hunderte Deutsche ID-Diebstahlsopfer für die Registrierung von Phishingseiten missbraucht werden und wenn es äußerst stabile Hinweise darauf gibt, dass eine erhebliche Anzahl von Straftaten (im Bereich von Tausenden) womöglich von einer einzigen Tätergruppe begangen werden, dann fällt mir dazu eigentlich nicht mehr viel ein...


----------



## Reducal (26 Oktober 2012)

Aka-Aka schrieb:


> ...erhebliche Anzahl von Straftaten...


Dann wäre eine StA und/oder eine Polizei zuständig. Nur, allein deshalb, weil die Vermutungen und Tatsachenbehauptungen hier geschrieben stehen, löst das noch längst keinen erfolgversprechenden  Ermittlungsvorgang aus. Auch wenn man es besser wissen wollte, hier lesen womöglich keine Behördenmitglieder von Amts wegen mit, jedenfalls weiß ich nichts davon.


----------



## Aka-Aka (26 Oktober 2012)

Reducal schrieb:


> hier lesen womöglich keine Behördenmitglieder von Amts wegen mit, jedenfalls weiß ich nichts davon.


aber* ich* weiß, dass genügend Behördenmitglieder davon Kenntnis haben. Aber vielleichts interessiert's die ja von (Be)Amt(en)s(tatus) wegen nicht (?ausreichend?)?
Aber, liebster Reducal, haben wir beide denn Zeit für Wortklaubereien?


----------



## Aka-Aka (27 Oktober 2012)

http://www.datakontext.com/index.php?seite=its_artikel_detail&system_id=213500&com=detail




> Deutsche Nutzer fanden im September in ihren E-Mail-Accounts *weltweit die meisten schädlichen Anhänge und Links vor.*
> Aus dem aktuellen Kaspersky Lab-Spam-Report für September geht hervor, dass insgesamt *13,82 Prozent der von Kaspersky Lab entdeckten schädlichen Anhänge und Links in Deutschland auftauchten.* Dies bedeutet einen Anstieg um sechs Prozent.
> (...)*Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen verdreifachte sich im Vergleich zum Vormonat* (...)
> "Wie erwartet stieg der Umfang von Spam- und Phishing-Mails im September an. Die Gründe hierfür sind das Ende der Urlaubszeit und der Anstieg der Geschäftsaktivitäten", so Maria N., Senior Spam Analyst bei Kaspersky Lab.


----------



## Aka-Aka (9 November 2012)

Lagebericht 2011, "Die Lage der IT-Sicherheit 2011 in Deutschland"



> Klassisches Phishing ist praktisch nicht mehr fest zu stellen.


 (S. 6)


> Das klassische Phishing ist in den vergangenen Jahren immer weniger geworden und kaum noch feststellbar.


 (S. 23)

Hmm.


----------



## Devilfrank (11 November 2012)

Geht doch nix über einen gesunden Behördenschlaf.


----------



## Aka-Aka (20 Januar 2013)

Nur so zwischendurch: Ich verfolge das Thema nicht mehr, da mir ja eine spezielle Internetpolizeiabteilung der schönen Landeshauptstadt München deutlich gemacht hat, dass es Quatsch ist. Aber Phishing mit gestophlenen Identitäten von Deutschen gibt es weiterhin. 1und1 und Strato verhindern es weiterhin nicht, obwohl es sehr einfach wäre (Textfilter).

Aktuell zu bewundern:
http://support.clean-mx.de/clean-mx/phishing.php?review=111.90.133.181&sort=id DESC


----------



## Aka-Aka (2 Juni 2013)

http://www.heise.de/security/meldung/Besonders-tueckisches-PayPal-Phishing-1874729.html

jetzt gibt es auch Phishing mit persönlicher Anrede - weiterhin unter Missbrauch von de-domains.
Leider steht im Bericht nicht, um welche Domain es sich handelt.


----------



## Aka-Aka (2 Juni 2013)

PS:
http://www.heise.de/security/news/f...-es-gar-nicht/forum-257402/msg-23622514/read/


----------



## Aka-Aka (2 Juni 2013)

http://www.heise.de/security/news/f...icht-gesperrt/forum-257402/msg-23621823/read/
paypal-konfliktloesung.de - ein simpler Textfilter bei der Domainregistrierung würde helfen - aber das muss Streato eben nicht machen und darum machen sie es nicht. So einfach ist das.


----------



## Aka-Aka (2 Juni 2013)

möge ein Moderator bitte wieder tackern...
meine gohosties sind auch nach wie vor aktiv...
http://whois.domaintools.com/pp-cardverify-s1.com


----------



## frühstücksbierverweigerer (2 Juni 2013)

pp-cardverify-s1.com
pp-verificateonline-s2.com
pp-verificationguard-s1.com
pp-verificationguard-s4.com
pp-verify-s1.com
pp-verifyonline-s2.com

alle auf der gleichen IP 

http://www.domaintools.com/research/reverse-ip/?hostname=81.169.223.8
support-mastercard.de
Strato= Drecksbude wie Hetzner? aba aba....


----------



## Aka-Aka (3 Juni 2013)

Gehört auch dem armen Herrn C.L., haha, aus Augsburg. Und obwohl Heise von der anderen Domain berichtet - das ist doch Strato wurscht.
Die gohost-Registrierungen habe ich wochenlang verfolgt, aber meistens ist auf den Domains nichts passiert. Das sind keine Zufallsregistrierungen, aber so richtig klar ist nicht, was Regtime da abzieht...
Wenn Du Lust hast, informiere die Betroffenen, deren Daten geklaut wurden. In diesem Fall z.B. den Herrn A.R., ich glaube ja nicht, dass es seine Idee von kostenlos Geld verdienen ist, von irgendwelchen Russen (?) als Domaininhaber missbraucht zu werden.

Interessiert sich aber keiner wirklich dafür...

Und damit sich 1und1 nicht schlecht behandelt fühlt: Dort sind Phisher offenbar auch willkommen. (Link führt zu Altlasten)

Deine IP-Abfrage ist interessant, womöglich wird dort noch gar nicht gephisht, sondern erst heute nacht...
http://support.clean-mx.de/clean-mx/phishing.php?review=81.169.223.8&sort=id DESC


----------



## Aka-Aka (5 Juni 2013)

> domain: paypal-login.net
> created: 03-Jun-2013
> last-changed: 05-Jun-2013
> registration-expiration: 03-Jun-2014
> nserver: ns-de.1and1-dns.de


 
Hab so was heute auch mal wieder gekriegt. Domain paypal-login.net
http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=paypal-login.net&verbose=1

1und1 hätte die Domainregistrierung mit einem simplen Textfilter verhindern können. Wioll man aber nicht. Und dem Herrn M.P. ist es evtl. auch egal, dass seine Daten für die Registrierung missbraucht wurden.


----------



## Aka-Aka (5 Juni 2013)

PS: Die Phishingmail wurde auch direkt von dort verschickt:
<[email protected]*s16761534.onlinehome-server.info*>
http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=onlinehome-server.info&verbose=1


----------



## Aka-Aka (5 Juni 2013)

PS:
Hardcoregoogling


----------



## Aka-Aka (5 Juni 2013)

http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=onlinehome-server.info&verbose=1
Herr M.P. besitzt noch weitere Domains...
http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=paypal-germany.net&verbose=1
Einige andere der neu registrierten Paypaldomains gehgören seinem Kollegen S.S. aus Freising
http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=paypal-kontakt.net&verbose=1

Das geht jeden Tag so. 1und1 und strato ist's egal.


----------



## Aka-Aka (13 Juni 2013)

Auf Seiten der Polizei in Malaysia war eine Phishingseite installiert, die sich an Paypalkunden richtete.
http://www.zdnet.de/88157717/malaiische-polizei-hostet-phishing-seite/

Vielleicht interessiert sich die Polizei inb Malaysia nun auch mal für die Firma Piradius in Malaysia, auf deren servern seit M;onaten ständig deutsche Phishingseiten liegen - mit falschen Datenb registriert bei Strato/1und1


----------



## Aka-Aka (13 Juni 2013)

PS
Das war der Phish dazu
http://www.phishtank.com/phish_detail.php?phish_id=1874491


----------



## wrdlbrmpfts (14 Juni 2013)

Ob der Registrar das Geld behält, wenn es mit geklauter Kreditkarte gezahlt wurde? Abgesehen davon sind die Registrare eine üble Bande für sich! Ein simpler Wortfilter würde solche phishseiten verhindern!


----------



## Aka-Aka (14 Juni 2013)

und solange es einen solchen Wortfilter nicht gibt, sehe ich Strato und 1und1 als Mitstörer.


----------



## Aka-Aka (14 Juni 2013)

Ich sehe gerade, dass die Malaysia-Connection derzeit nicht über Domains phisht, sondern über IPs wie hier
http://support.clean-mx.de/clean-mx/phishing.php?as=AS45839&sort=firstseen desc

Das ist - nach wie vor - die "Six Digits Group"
http://111.90.133.160/log**/43533/ind**.php


----------



## Aka-Aka (14 Juni 2013)

...und Seiten wie diese, von Frau Ulla D., wurden inzwischen gelöscht - und zwar, weil sie nach einem Jahr nicht verlängert wurden...
http://whois.domaintools.com/packstation-rfid-card.com


----------



## Aka-Aka (14 Juni 2013)

aber Frau D. muß nicht trauriog sein, sie besitzt ja noch die ein oder andere Phishingseite
so wie diese hier
http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=packstation-card-service.com&verbose=1

oder andere


----------



## Aka-Aka (22 Juni 2013)

1und1 macht's möglich: Phishing auf paypal-startseite.de
https://www.phishtank.com/phish_detail.php?phish_id=1896014
Laut denic ist die Domain frei
http://www.geektools.me.uk/cgi-bin/whois.cgi?domain=paypal-startseite.de


----------



## Aka-Aka (10 Juli 2013)

http://www.heise.de/security/news/foren/S-Semi-OT-Amazonphishing/forum-260431/msg-23802766/read/
http://dns.robtex.com/service-team-amazon.de.html#summary

s.a.
http://www.heise.de/security/news/f...eam-amazon-de/forum-260431/msg-23802839/read/

dort auch so etwas in der Art:
http://www.dailychanges.com/registrar.am/
http://whois.domaintools.com/meine-packstation.info

zwei weitere deutsche Opfer von ID-Diebstahl im Dienste der Phishingbanden.


----------



## Aka-Aka (10 Juli 2013)

noch einer
http://whois.domaintools.com/visacard-verifizierung.com


----------



## Ficheres (7 Oktober 2013)

Das mag schon stimmen. Aber es werden doch auch Namen, Anschriften und Telefonnummern verkauft. So hatte ich von Premiäre ein Programmpaket bestellt. Mit Herr wurde ich angesprochen und dann folgte mein Name, der natürlich weiblich war. Jetzt bekomme ich Kataloge (wo ich noch nie bestellt habe) und das mit der gleichen Anschrift. Ist doch komisch?


----------



## Aka-Aka (7 Oktober 2013)

Es gibt verschiedene "Qualitäten" des Identitätsmissbrauchs bei der Registrierung von Phishingseiten. Teilweise sind es offensichtlich veraltete Datenbestände (wenn ich 15 solcher Adressen überprüfe und zwei davon sind veraltet, halte ich diese These für wahrscheinlich), in anderen Fällen sind es aktuelle Angaben, wobei manchmal gemischt wird (existierender Name/Anschrift von Person A, existierende Telefonnummer von Person B und existierende Mailadresse von Person C). Dann gibt es aber auch Fälle, bei denen die Registrierung den Betroffenen in Rechnung gestellt wird, z.B. mit der Kreditkarte. 
Vor einem Jahr habe ich versucht, alle diese Fälle zu sortieren, um "Gruppen" zu identifizieren. Dabei ergaben sich Gruppen, bei denen sich eine nähere Untersuchung der Vorfälle durch Ermittlungsbehörden nach meiner Auffassung gelohnt hätte (z.B. wegen der zeitlichen "Nähe" der Ereignisse und der Aktualität des Datenmissbrauchs). Immerhin wurden mit den falschen Daten Zahlungsvorgänge ausgelöst bei der Registrierung von Domains, bei denen der Missbrauch offensichtlich war ("paypal-konto.de"). Da hätte man durchaus zeitnah reagieren können (man hätte z.B. seitens der Kreditkartenfirmen "Fakedaten" in die Phishingseite eingeben und die "Fake-Kreditkarte" zeitnah überwachen können. So etwas wird laut Auskunft eines dieser Unternehmen auch praktiziert). Meine Auffassung wurde aber insbesondere von einer süddeutschen Ermittlungsbehörde dermaßen in der Luft zerrissen, dass ich's wieder gelassen habe.


----------



## wrdlbrmpfts (9 Oktober 2013)

Nur wer als Opfer von ID theft Anzeige erstattet, kann beim Ermittlungslotto eine Nummer  ziehen und abwarten, ob ein StA einen Beamten losschickt.
Alles andere wird rigoros abgelehnt, selbst wenn man Zugriff auf die Phishingseiten und die Daten der Intelligenzbestien hätte, die die Sockenfarbe der Grossmutter inkl PIN in die phish Maske eintrugen.
Zusätzlich konnte ja gerade noch verhindert werden, dass die Meldebehörden unsere Identitäten verticken durften, da braucht es kein phishing, da haben schon zu viele Zugriff drauf!


----------



## Aka-Aka (14 Juli 2015)

seit Oktober 2013 ist übrigens mit den "Deutschregistrierer-Phishings" über Piradius in Malaysia schlagartig Schluß gewesen. Warum auch immer...


----------

