# Versuch der Forensik: Gefälschter Absender - wo melden?



## asb (27 September 2003)

Hallo,

ich habe vor ein paar Tagen eine gefälschte Mail bekommen, die angeblich von Ebay versandt wurde; ich habe mir die Header- Informationen genauer angeschaut. Mich würde nun interessieren (a) ob meine Analyse richtig ist bzw. ob und was ich übersehen habe und (b) ob, und wenn ja, wo man solche vermutlich kompromittierten Hosts melden kann/ soll. Früher hätte ich eine Mail an [email protected] geschickt, aber heutzutage ist das ja anscheinend eher Alltag und es kümmert sich keiner mehr drum...?

So sah die Mail von "eBay <[email protected]>" aus:






(grössere Abbildung: http://www.kefk.net/Shopping/Auktionen/Ebay/Ebay-versendet-Spam/Screenshots/2003-09-23_Ebay-Fake.jpg).

Man wundert sich zunächst über die ungewöhnlich kleine Schrift und stellt dann fest, dass es sich gar nicht um Text handelt, sondern nur um eine in HTML eingebettete Grafik (pic.gif von einer kruden und ellenlangen Location, die etwa wie folgt aussieht: http://[email protected]; ich glaube, der URL ist einfach nur UTF-8 encoded?):






Die vollständige Mail habe ich vorsichtshalber archiviert (wen es interessiert: (http://www.kefk.net/Shopping/Auktionen/Ebay/Ebay-versendet-Spam/message.txt)

Was zunächst wie ein offizieller Host von Ebay (scgi.ebay.com) aussieht, entpuppt sich bei näherem Hinsehen als Account (@) bei dem Host 211.217.224.102:34; der URL zeigt auf ein Verzeichnis /update mit der Datei index.htm.

Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:


```
09/23/03 19:15:30 IP block 211.217.224.102
Trying 211.217.224.102 at ARIN
Trying 211.217.224 at ARIN

OrgName: Asia Pacific Network Information Centre 
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 210.0.0.0 - 211.255.255.255 
CIDR: 210.0.0.0/7 
NetName: APNIC-CIDR-BLK2
NetHandle: NET-210-0-0-0-1
Parent: 
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS.RIPE.NET
NameServer: RS2.ARIN.NET
NameServer: DNS1.TELSTRA.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
Comment: 
RegDate: 1996-07-01
Updated: 2002-09-11

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact 
OrgTechPhone: +61 7 3858 3100
OrgTechEmail: [email][email protected][/email]

# ARIN WHOIS database, last updated 2003-09-22 19:15
```

Schaut man sich dann einmal den vollständigen Header der Mail an, sieht man auch, welchen Weg die Mail genommen hat:


```
from UserMail1.FreeCity.De [81.88.35.51] by ndmail4.name-server.de with ESMTP (SMTPD32-6.06) id A1A577101E4; Tue, 23 Sep 2003 11:25:57 +0200

from microsoft.com (user243.kks-kamnik.si [212.13.231.243]) by UserMail1.FreeCity.De (Postfix) with SMTP id C979957F2D4 for <[email protected]>; Tue, 23 Sep 2003 11:23:24 +0200 (CEST)
```

(Mail mit vollständigem Header: http://www.kefk.net/Shopping/Auktio.../Screenshots/2003-09-23_Ebay-Fake-Headers.jpg).

Der echte Absender ist also user243.kks-kamnik.si auf dem Host 212.13.231.243.

Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:


```
09/23/03 19:13:12 IP block 212.13.231.243
Trying 212.13.231.243 at ARIN
Trying 212.13.231 at ARIN

OrgName: RIPE Network Coordination Centre 
OrgID: RIPE
Address: Singel 258
Address: 1016 AB
City: Amsterdam
StateProv: 
PostalCode: 
Country: NL

ReferralServer: whois://whois.ripe.net

NetRange: 212.0.0.0 - 212.255.255.255 
CIDR: 212.0.0.0/8 
NetName: RIPE-NCC-212
NetHandle: NET-212-0-0-0-1
Parent: 
NetType: Allocated to RIPE NCC
NameServer: NS.RIPE.NET
NameServer: NS2.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH03.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 1997-11-14
Updated: 2003-09-19

OrgTechHandle: RIPE-NCC-ARIN
OrgTechName: RIPE NCC Hostmaster 
OrgTechPhone: +31 20 535 4444
OrgTechEmail: [email][email protected][/email]

# ARIN WHOIS database, last updated 2003-09-22 19:15
```

Es handelt sich also vermutlich um eine kompromittierte Maschine entweder in einem Netblock von APNIC oder RIPE. Ist das so halbwegs richtig? Was kann man noch aus der Mail herauslesen? Tipps oder Kommentare?

Gruss & Danke, -asb


----------



## technofreak (27 September 2003)

Das ganze ist leider nicht neu: 
http://forum.computerbetrug.de/viewtopic.php?t=2806

tf


----------



## asb (27 September 2003)

Ah ja. Hmm, Du meinst also, einfach auf sich beruhen lassen, weil genügend andere Leute den/die kompromittierten Rechner gemeldet haben?

Gruss, -asb


----------



## Heiko (27 September 2003)

Du kannst Dich auch beim Provider und dessen Uplink beschweren. Recht einfach geht das mit dem kostenlosen Dienst unter www.spamcop.net


----------



## forencowboy (22 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*

E-Mails von sich selbst bekommen.:-?

Dies habe ich schon mehrmals leidlich erfahren müssen.
Es muss doch eine Möglichkeit geben den wahren Absender ausfindig zu machen!?!

Auf "Eigenschaften" ist jedoch nichts zu finden oder angegeben was auf den Absender schließen läßt.:unzufrieden:

Mittlerweile bekomme ich sogar Spams auf E-Mails, die ich garnicht veröffentlicht habe.
Wie kann das möglich sein, wenn diese im Internet nicht präsent sind?




urbancowboy


----------



## Heiko (22 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*

Zufallsgeneratoren. Man macht einfach alles mögliche durch.

Zweite Alternative: Trojaner auf dem Rechner von einem User, der Dich im Adressbuch hat.


----------



## Antiscammer (22 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*

Leider werden e-Mails mit einem veralteten Protokoll-Standard ("smtp") übertragen. Dieser veraltete Standard erlaubt leider das Fälschen eines e-Mail-Headers im großen Umfang. 

Das einzige, was dabei nicht gefälscht werden kann, ist die IP-Adresse, von der aus die Mail an den Mailserver des eigenen Providers eingeliefert wurde. Alle anderen IP-Adressen, die nach dieser IP im Header auftauchen, können gefälscht sein und sind es häufig auch, um die Analyse zu erschwerden bzw. fehlzuleiten.

Bei der typischen Spam-Mail sind i.d.R. auch die Absendeadressen im Header gefälscht. Das erfolgt deshalb, weil Spammy natürlich nicht die wütenden Rückantworten, Beschwerden oder Fehlermeldungen bei Unzustellbarkeit ("bounce") auf seinen eigenen Mailaccount haben möchte. 

Sehr häufig verwenden die Spammer als gefälschte Absendeadresse dieselbe Adresse, an die die Mail zugestellt werden soll. Daher kommt es, dass es so aussieht, als habe man selbst die Mail an den eigenen Account versendet. Der Zweck der Übung ist es, an den Spamfiltern vorbeizukommen. Was inzwischen jedoch von guten Spamfiltern abgefangen wird.

Mit der einliefernden IP-Adresse kommt man aber i.d.R. bei der Suche nach dem Spam-Urheber ebenfalls nicht weiter. Denn diese IP-Adressen gehören fast immer zu Einwahlzugängen solcher PC-Besitzer, die sich Würmer/Viren/Trojaner auf dem Rechner gefangen haben, und deren PC gerade mit dem Internet verbunden ist. Die meisten derzeit grassierenden Trojaner enthalten nämlich "Download-Backdoors", mit denen die Hacker auf dem infizierten Rechner eine Art Proxy-Server installieren, das ist eine Verteilstation - für Spam. 
Dadurch erreichen die Spammer, dass sie meistens nicht mehr rückverfolgbar sind. Sie steuern ganze Netze solcher infizierter Rechner fern über ihre Master-Server. Man spricht dabei von sogenannten "Bot-Netzen", diese können z.T. Millionen unfreiwilliger Teilnehmer haben. Die wichtigsten Betreiber solcher Botnetze sitzen in Russland bzw. der Ukraine und sind auch i.d.R. dieselben, die verantwortlich für die Entwicklung der neuesten Viren/Trojaner sind.

Weitere Informationen zum Thema Mailspam und Mailheadern im umfangreichen Wiki bei Antispam.de, unter der Kategorie "Mailspam".


----------



## forencowboy (23 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*



Antiscammer schrieb:


> Das einzige, was dabei nicht gefälscht werden kann, ist die IP-Adresse, von der aus die Mail an den Mailserver des eigenen Providers eingeliefert wurde. Alle anderen IP-Adressen, die nach dieser IP im Header auftauchen, können gefälscht sein und sind es häufig auch, um die Analyse zu erschwerden bzw. fehlzuleiten.



Darüber hatte ich mal ein Thema gestartet.
IP Adressen verschleiern/fälschen.

Verschleierung ist möglich aber das Fälschen nicht.

Ich möchte nicht jedesmal zu einem Spezialisten rennen müssen, wenn jedesmal mein Rechner spinnt.

Anhand von IP Adressen habe ich/wir schon die komplette Anschrift heraus gefunden. Aber es handelte sich nicht um E-Mails, sondern um Trojaner, Viren, Cookies und den ganzen Dreck, die schon auf dem Rechner sind.

Wenn man E-Mails von sich selbst bekommt, kann da was nicht stimmen und die Alarmglocken beginnen zu klingen.
Das Problem ist eher, wenn es von einer bekannten und vertrauten Person eine E-Mail ist.
Diese öffnet man, weil man ihr vertraut. :wall:

Auf Dateien mit den Endungen .ex oder .exe achte ich ja schon.
Aber es gibt noch mehr Endungen, die Mißtrauen erwecken sollten.
Habe in diesem Forum schon gesucht, aber nichts gefunden.

forencowboy


----------



## forencowboy (23 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*



Antiscammer schrieb:


> Sehr häufig verwenden die Spammer als gefälschte Absendeadresse dieselbe Adresse, an die die Mail zugestellt werden soll. Daher kommt es, dass es so aussieht, als habe man selbst die Mail an den eigenen Account versendet. Der Zweck der Übung ist es, an den Spamfiltern vorbeizukommen. Was inzwischen jedoch von guten Spamfiltern abgefangen wird.




Das wollte ich mal herausfinden wie das gehen soll. Bisher ohne Erfolg.
Da muss doch dann ein bestimmtes Programm her, dass dieses erst ermöglicht; das Vortäuschen eines eigenen oder bekannten E-Mail Absenders.
So ohne weiteres geht das doch nicht?!?
Mit meinem gewöhnlichen Outlook ist es zumimdest nicht möglich.

Von November bis Dezember hatte ich ein paar mal etwas seltsames.
Ich bekam eine E-Mail zurück von einer Adresse, obwohl ich dort nichts hin geschickt hatte.

Absender "ich"
Empfänger "X"

Mail kam zurück mit einer Meldung. Ich habe dann jedesmal die Mails geöffnet. Leider alles in englischer Sprache.

forencowboy


----------



## forencowboy (23 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*



Heiko schrieb:


> Du kannst Dich auch beim Provider und dessen Uplink beschweren. Recht einfach geht das mit dem kostenlosen Dienst unter www.spamcop.net




Wegen diverser Probleme habe ich nach Hilfe bei meinem Provider gesucht.

Ich bakam die Antwort, dass man mir so nicht helfen kann.

Ich könne auf meinem Router nachsehen wer wann sich eingeklinkt hat.
(Leider wurde alles gelöscht, als ich nachsehen wollt)

Wollte wissen ob mein Rechner bestimmte Internetseiten zu bestimmten Tages- und Uhrzeiten aufgerufen hat.
Das können sie auch selbst. Dazu sehen sie in der Chronik ihres Brwosers nach.
(Aber in der Chronik gab es keine Aufzeichnung ob oder wann mein Rechner im Internet war, wo er angeblich gewesen sei soll)
Mir hat der Provider nicht geholfen.:-?

forencowboy


----------



## Eniac (26 März 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*



asb schrieb:


> Was zunächst wie ein offizieller Host von Ebay (scgi.ebay.com) aussieht, entpuppt sich bei näherem Hinsehen als Account (@) bei dem Host 211.217.224.102:34; der URL zeigt auf ein Verzeichnis /update mit der Datei index.htm.
> 
> Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:



Der von Dir verwendete whois-Dienst löst die IP-Addressen nur unvollständig auf, ich empfehle die Benutzung von Free online network utilities - traceroute, nslookup, automatic whois lookup, ping, finger - Domain Dossier.

Für 211.217.224.102 ergibt sich somit: KORNET (Korea Telecom), die Beschwerde könnte man also an abuse#kornet.net schicken; die Mühe kann man sich aber sparen, da komplett merkbefreit. Besser ist es, solche phishing links direkt bei den betroffenen Firmen zu melden, in diesem Fall also spoof#ebay.com

Eine Liste von Melde-Addressen findet man hier: Spam Links - spam reporting addresses

Zusätzlich kann man die phishing links bei Netcraft melden, in gängigen Brausern wie dem Firefox werden die phishing-Seiten dann blockiert: Report Suspicious URL


Eniac


----------



## Majoschi (19 Mai 2009)

*AW: Versuch der Forensik: Gefälschter Absender - wo melden?*

hab auch grade solche email bekommen, das beste ist sich an die *spoof#ebay.de* zu wenden, einfach die Mail an die weiterleiten, schliesslich färbt jede Negativschlagzeile auch auf das Unternehmen ab.


----------

