Vor einiger Zeit hat der Autor gemeinsam mit einem Jurist eine Anzahl von Möglichkeiten ausgearbeitet, wie denn Betrüger an die Mailadresse, persönliche Daten und zugleich an eine verwendete IP-Adresse kommen. Eine der Aussagen war, dass der angebliche Kunde in eine Falle gelockt wurde, bei der dieser unwissentlich seine Daten preisgab.
Hintergrund war, dass von unseriösen "Firmen" behauptet wurde, diese Daten können nur durch die Anmeldung bei deren Dienst erlangt worden sein. Das dies grundfalsch ist kann nun der Autor an einem Beispiel live demonstrieren:
Schritt 1:Der Autor muss auf Grund gesetzlicher Bestimmungen (Impressumspflicht) seine Adresse und seine Mailadresse veröffentlichen. Es für jeden beliebigen Dritten ist ein leichtes diese Daten zu erfassen und zum Beispiel in einer Datenbank abzuspeichern.
Der Autor weiß, dass seine Daten in solchen Datenbanken von Spammern stehen und auch schon mehrfach weiterverkauft worden sind.
Schritt 2:Gestern erhielt der Autor von einer "Sabrina Schneider" - die "Frau" lebt offenbar in tiefer Unkenntnis des eigenen Namens, denn deren Mailadresse lautet
angeblich "Sabrine@pruefung-beginnen.net" ein Spammail. darin enthalten ein Link:
http;//Pruefung-beginnen.net/?e=nobody@example.com
Statt "nobody@example.com" war natürlich die Mailadresse des Benutzers eingetragen. Statt des ';' stand nach 'http' natürlich ein Doppelpunkt.
Ein Test mit "nobody@example.com" liefert folgenden Ablauf:fastix@trainer:~> wget -d http;//Pruefung-beginnen.net/?e=nobody@example.com
DEBUG output created by Wget 1.10.2 on linux-gnu.
--12:02:51-- http;//pruefung-beginnen.net/?e=nobody@example.com
=> `index.html?e=nobody@example.com'
Auflösen des Hostnamen »pruefung-beginnen.net«.... 91.199.51.32
Caching pruefung-beginnen.net => 91.199.51.32
Verbindungsaufbau zu pruefung-beginnen.net|91.199.51.32|:80... verbunden.
Created socket 3.
Releasing 0x08093478 (new refcount 1).
---request begin---
GET /?e=nobody@example.com HTTP/1.0
User-Agent: "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1"
Accept: */*
Host: pruefung-beginnen.net
Connection: Keep-Alive
Accept-Language: de
---request end---
HTTP Anforderung gesendet, warte auf Antwort...
---response begin---
HTTP/1.1 200 OK
Date: Fri, 11 Jan 2008 11:03:40 GMT
Server: Apache
X-Powered-By: PHP/5.2.5
Content-Length: 346
Keep-Alive: timeout=15, max=1000
Connection: Keep-Alive
Content-Type: text/html
---response end---
200 OK
Registered socket 3 for persistent reuse.
Länge: 346 [text/html]
100%[==================================================================>] 346 --.--K/s
12:02:52 (8.00 MB/s) - »index.html?e=nobody@example.com« gespeichert [346/346]
fastix@trainer:~>
In der empfangenen Datei index.html findet sich dann praktisch nur:[meta http-equiv="refresh" content="0;url=http://www.Fahrschulquiz.com/anmelden.php?e=nobody@example.com"]
(spitze Klammern durch eckige ersetzt...)
Also eine Weiterleitung zu Fahrschulquiz.com. Im Browser wird dann auch eine Seite von Fahrschulquiz.com angezeigt. Fast natürlich erscheint es dem Autor, dass diese schon wieder so ein Abzockprojekt ist, bei dem "schlappe" 96 Euro für die Teilnahme an einer "Online-Fahrprüfung" fällig werden würden- wenn der Preis nicht versteckt wäre. Zum Betreiber später mehr.
Schritt 3: Der Test ein wenig anders:Nach einem Aufruf von
http://localhost/?e=nobody@example.com findet sich folgende Zeile im Access-Log des Autors:
127.0.0.1 - - [11/Jan/2008:12:09:50 +0100]
"GET /?e=nobody@example.com HTTP/1.1" 200 44 "-"
"Mozilla/5.0 (X11; U; Linux i686; de; rv:1.8.1.10)
Gecko/20071015 SUSE/2.0.0.10-0.1 Firefox/2.0.0.10"
(Zeilenumbrüche von Hand eingefügt)
Schritt 4: Mit einem ganz einfachen Befehl lässt sich jetzt die Mailadresse und die IP-Adresse herausfiltern. Ein:fastix@trainer:~> grep '@' /var/log/apache2/access_log | cut -d ' ' -f1,7 | sed s*/?e=**g
liefert eine Liste aller Mailadressen der Hereingefallenen und deren IP-Adresse. Diese Daten müssen jetzt nur noch um jene aus der gekauften oder zusammengetragenen Datentabelle ergänzt werden. Hierfür steht beispielhaft das Programm 'Join' zur Verfügung:
Der Autor hat dafür die Testausgaben des obigen Befehls in eine Datei "ergebnisse" umgeleitet.
Schritt 5: Die Datei "ergebnisse" mag nach einigem Betrieb der Falle folgenden Inhalt haben:127.0.0.1 otto@example.com
127.0.0.1 ralf@example.com
Die "gekaufte" Datei "datenbank" habe diesen Inhalt:
otto@example.com Otto Bauer Musterstraße 13 12346 Musterdorf
ralf@example.com Ralf Meier Mustergasse 7 12345 Musterstadt
Schritt 7: Ein simples:fastix@trainer:~> join -t' ' -1 2 -2 1 ergebnisse datenbank
liefert als Ergebnis:
otto@example.com 127.0.0.1 Otto Bauer Musterstraße 13 12346 Musterdorf
ralf@example.com 127.0.0.1 Ralf Meier Mustergasse 7 12345 Musterstadt
Der Zeitpunkt fehlt? Das ist kein Problem, dieser braucht nur bei dem Befehl 'cut' mit angegeben werden, der Autor ist aber nicht dafür zuständig den Betrügern möglicherweise auch noch die "Arbeit" zu erleichtern. Für die weitere Bearbeitung steht dann awk zur Verfügung, damit lässt sich sogar ein Satz von SQL-Befehlen erzeugen, der die Daten in eine Datenbank einträgt.
Ein kleines Skript für den akw oder gawk könnte so aussehen:
{
print "INSERT INTO reingefallene (ip, email, name, vorname, straße, plz, ort)";
print "VALUES ('"$2"','"$1"','"$3"','"$4"','"$5" "$6"','"$7"');"
}und liefert:
fastix@trainer:~> join -t' ' -1 2 -2 1 ergebnisse datenbank | awk -f skript.awk
INSERT INTO reingefallene (ip, email, name, vorname, straße, plz, ort)
VALUES ('127.0.0.1','otto@example.com','Otto','Bauer','Musterstraße 13','12346');
INSERT INTO reingefallene (ip, email, name, vorname, straße, plz, ort)
VALUES ('127.0.0.1','ralf@example.com','Ralf','Meier','Mustergasse 7','12345');
Schritt 8: mit...fastix@trainer:~> join -t' ' -1 2 -2 1 ergebnisse datenbank | awk -f skript.awk > sql.dump
fastix@trainer:~> mysql -u user -p reingefallene < sql.dump
... oder (als Einzeiler):fastix@trainer:~> join -t' ' -1 2 -2 1 ergebnisse datenbank | awk -f skript.awk | mysql -u user -p reingefallene
... hat man die Daten sehr hübsch und übersichtlich in der Datenbank, denkbar sind auch Skripte, welche die "Anmeldung" per Mail weiterleiten. Jetzt muss nur noch behauptet werden, "Ralf Meier" und "Otto Bauer" hätten sich angemeldet -
was nach dieser Demonstration nicht mehr klappt, weil es keiner mehr glaubt.Zurück zu pruefung-beginnen.net und Fahrschulquiz.com:Die angebliche "Sabrina Schneider" ist eine Lügnerin und eine Spammerin. Sie lügt, denn sie behauptet, der Autor hätte sich für den Empfang dieses Newsletters angemeldet. Sie dürfte tausendfach lügen, denn dieses Mail und damit die Lüge dürften tausende erhalten haben. Und sie spammt auf üble Weise, denn das Mail ist Spam.
Hier die whois-Daten des Spammers und des Abzockers:Inhaber der Spamdomain "pruefung-beginnen.net" ist:
[owner-c] handle: 9816325
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Christian
[owner-c] lname: Sutter
[owner-c] org: DHMS Domain and Management Service Ltd.
[owner-c] address: Omega 4 No. 116
[owner-c] address: 6 Roach Road
[owner-c] city: London
[owner-c] pcode: E3 2PA
[owner-c] country: GB
[owner-c] state: GB
[owner-c] phone: +49-180-10206501092
[owner-c] fax: +49-180-10206501092
[owner-c] email: hostmaster@dhms-domainmanagement.net
[owner-c] protection: B
[owner-c] updated: 2007-12-17 01:51:17
Inhaber der beworbenen Abzock-Seite "fahrschulquiz.com" ist:
[owner-c] handle: 9807921
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Daniele
[owner-c] lname: Sagliocca
[owner-c] org: Pactus Consulting AG
[owner-c] address: Baselstrasse 47
[owner-c] city: Luzern
[owner-c] pcode: 6003
[owner-c] country: CH
[owner-c] state: CH
[owner-c] phone: +41-123-456789
[owner-c] fax: +41-123-456789
[owner-c] email: info@pactus.ch
[owner-c] protection: B
[owner-c] updated: 2007-11-27 00:21:10
gehostet wird in Deutschland, die IP von pactus.ch und fahrschulquiz.com ist: 81.88.19.27
% Information related to '81.88.16.0 - 81.88.31.255'
inetnum: 81.88.16.0 - 81.88.31.255
netname: DE-CLANOTOPIA-NETWORK2
descr: Clanotopia IT-Service Ltd.
country: DE
admin-c: DG141-RIPE
tech-c: DG141-RIPE
tech-c: CNM3-RIPE
status: ASSIGNED PI
mnt-by: CLANO-MNT
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-routes: CLANO-MNT
mnt-domains: CLANO-MNT
source: RIPE # Filtered
Der Herr Dominic Geisler von der "Clanotopia IT-Service Ltd." aus Essen kann ja mal eine Ansage machen, wie langer noch Spammern und Abzockern seine Dienstleistungen anbieten will.
