# [OT] wo kann man fishing-mails melden?

## Yonathan

hallo.

ich bekomme seit einigen tagen von einer sog. "Volksbank" und heute auch von der "Citybank"

jeweils mit einem tollen bild, wo draufsteht, dass die datenbank aktualisiert wird usw... hinter dem bild steckt einlink zu einer seite, die, nicht schlecht immitierend, die echte volksbank-online-site darstellt, man kommt da auf ein formular usw... den rest kennt man ja aus den medien.

http://202.108.97.139/rpm/ <-- das wäre mal so ein link für neugierige

meine frage ist nun: wo kann man sowas melden? ich habe von seiten gehört und von unternehmen, wo man das melden kann, nur habe ich keine ahnung, wo.

jemand einen tip?

danke.

yona

----------

## chrib

Erste Anlaufstelle wäre m. E. nach die Polizei. Ansonsten gibt es noch von der Ruhr-Uni-Bochum eine Seite, wo man Phishing melden kann. Die betreffende Bank könnte man ebenfalls informieren.

----------

## amne

```
whois 202.108.97.139

[..]

inetnum:      202.108.97.128 - 202.108.97.255

netname:      FEIHUA-XINWANG-CO

descr:        Beijing Fei Hua Xin Wang Digital

descr:        Communication Tech Co.Ltd

country:      CN

admin-c:      WJ36-AP

tech-c:       WJ36-AP

mnt-by:       MAINT-CHINANET-BJ

changed:      suny@publicf.bta.net.cn 20001115

changed:      hostmast@publicf.bta.net.cn 20011230

status:       ASSIGNED NON-PORTABLE

source:       APNIC

changed:      hm-changed@apnic.net  20020827

person:       Wang JingYi

address:      Dong Chang An Jie 1 Dong Cheng

address:      District Beijing 100006

phone:        +86-10-85182233

fax-no:       +86-10-85186351

e-mail:       wangjy@163.net

nic-hdl:      WJ36-AP

mnt-by:       MAINT-CHINANET-BJ

changed:      suny@publicf.bta.net.cn 20001115

source:       APNIC
```

Meinen Erfahrungen nach kümmern sich schon europäische Provider/Hoster schon zu wenig um solche Sachen, ich habe z. B. einem deutsche Provider einmal gemeldet, dass auf einem seiner Kundenserver eine Phishingseite liegt, nach 1 Monat war sie noch immer dort. Dein Server steht jetzt noch dazu in China, dort wird es vermutlich noch viel weniger irgendwen interessieren.

PS: Ins Diskussionsforum verschoben.

----------

## b3cks

Brauchst du vielleicht gar nicht melden. Unsere Firmen WebFilter von Trend meinte nämlich dazu folgendes:  *Quote:*   

> URL: http://202.108.97.139/rpm/
> 
> Rule: Block URLs of type Known Phishing/fraud site

 

Gruß

----------

## Yonathan

bei euch mag das geblockt werden, aber nicht bei privatnutzern...

ist außerdem nicht nur eine einzelne ip, sondern sind mehrere, auf die da verlinkt wird

naja.. ich werde den banken mal ne mail schicken, sollen die sich drum kümmern, ist schließlich ihr geld.

danke

----------

## b3cks

Haste du gelesen was da steht?

Der Filter blockt es, weil die Seite als Phising Seite bekannt ist (der Filter geht wahrscheinlich nach IPs und Content). Und somit denke ich mal, dass die Verantwortlich schon bescheid wissen. Schließlich beschäftigen sich auch Fachleute damit.

----------

## chrib

 *b3cks wrote:*   

> Haste du gelesen was da steht?
> 
> Der Filter blockt es, weil die Seite als Phising Seite bekannt ist (der Filter geht wahrscheinlich nach IPs und Content). Und somit denke ich mal, dass die Verantwortlich schon bescheid wissen. Schließlich beschäftigen sich auch Fachleute damit.

 

Das mag zwar sein dass die Seite bei Eurem Filter schon bekannt ist, aber den setzt nun einmal nicht jeder ein. Und nur weil es bei einem Webfilter bekannt ist, heisst es noch lange nicht, dass jeder andere sie auch kennt. Ergo sollte man es schon melden. Ist der Volksbank die Seite schon gekannt: schön, aber Schaden tut es trotzdem nicht.

----------

## l3u

Was auch immer viel Spaß bringt, ist, mit einem kleinen Shell-Script und curl die Datenbank von solchen Typen mit Zufallszahlen und -namen zuzumüllen. Wenn da mal ein paar Millionen Einträge drin sind, dann haben sie eine statistisch gesehen relativ geringe Chance, echte (von unwissenden, arglosen Mitmenschen übermittelte) TANs und dergl. zu nutzen *ggg*

Im oben genannten Beispiel wären das dann folgende Parameter:

```
 an http://202.108.97.139/rpm/submit.php:

name="frauherr" value="Frau" | value="Herr"

name="vorname"

name="name"

name="tan"

name="konto"

name="pin"

name="blz"

name="plz"

name="email"

name="GEVO" value="100"

name="FA" value="VRNETWORLD"

name="search" value="bank"
```

Dann noch ne Liste mit Vor- und Nachnamen, die beliebig kombiniert werden, ne Liste mit eMail-Anbietern, die ebenfalls dann mit vorname.nachname@email zufällig kombiniert werden ... ein paar Zufallszahlen, und der Spaß kann losgehen ;-)

----------

## l3u

Also quasi (für diesen Fall hier) sowas: http://www.nasauber.de/sandkasten/phishing-spammer-0.1.tar.gz

*lol* Wer Bock hat, kann ja mal mitspammen *ggg*

Man müßt nur noch ein Shell-Script schreiben, was 100 Instanzen von dem Programm gleichzeitig ausführt oder so!

Die Ausgabe von dem Script sieht z.B. so aus:

```
Datensatz:

Frau Hilda Hauck <hilda.hauck@bigfoot.info>

PLZ.   : 98058

Kto.Nr.: 127586876

BLZ.   : 96844900

PIN    : 6497

TANs:

19424

34554

32172

32781

40072

35269

57942

45607

91233

20142

Sende Datensatz ... erfolgreich übermittelt!
```

... und curl tarnt sich dabei noch schön als Internet Exploder 6.0 unter Windose XP *ggg*

Derzeit hab ich 815 weibliche und 732 männliche Vornamen, 1.269 Nachnamen (also 1.963.143 Möglichkeiten), die dann noch mit 19 eMail-Prividern, 10 Domain-Erweiterungen und 4 Möglichkeiten für Trenner (vornamenachname, vorname-nachname, vorname_nachname, vorname.nachname) für die eMail-Adresse kombiniert werden. Mach dann 1.491.988.680 Möglichkeiten. Außerdem benutzt das Programm in einem von vier Fällen nur den ersten Buchstaben des Vornamens für die eMail-Adresse. Das sind dann nochmal 24.111.000 Möglichkeiten.

Wenn man dann noch die BLZ und all das Zeug dazuzählt, gibt das nen schönen Haufen an Mist, der die Datenbank von denen versaut. Is doch toll, oder?

Für den Anfang schafft

```
while [ $? == 0 ];

  do ./phishing-spammer;

  i=$(($i+1));

  echo "$i Datensätze übermittelt";

done
```

auch ganz schön was.

Don't try this at home, kids ;-)

----------

## ph03n1x

Haha, die Idee gefällt mir  :Smile: 

Spammt die phisher...

----------

## l3u

24.536 Einträge bisher ... aber jetzt wird die Kiste ausgeschaltet und ich geh ins Bett ;-)

----------

## misterjack

hehe nett, werde ich auch gleich mal machen. sei noch erwähnt, dass neben perl das paket dev-perl/crypt-random benötigt wird

----------

## ruth

Hi,

 *Quote:*   

> 
> 
> 24.536 Einträge bisher
> 
> 

 

...und alle von der gleichen IP Adresse...  :Wink: 

Naja, guter Ansatz, aber man sollte wohl pro Durchgang jeweils einen anderen Proxy verwenden...

Denn, wenn die Jungs da 24.536 Datensätze von der gleichen IP haben, dann, naja, bringt das wohl nicht wirklich viel... *gg*

die filtern dann halt einfach - das würde ich zumindest machen... *gg*

gruss,

ruth

/me -> betrunken, btw  :Wink:  *hicks*

...den artikel hab ich vor dem absenden bestimmt 10 mal editiert... *gg*

@phishers:

```

$remote_ip = $_SERVER['REMOTE_ADDR'];

```

genügt. Einfach mit in den Datensatz schreiben, danach filtern, also z.B. Datensatz nur zeigen, wenn IP Adresse EIN EINZIGES mal enthalten ist...  :Wink: 

@Libby:

Sorry, bin betrunken...  :Wink: 

----------

## marc

HeHeHe, die Idee ist nicht schlecht!

Trotzdem, man sollte die betreffende Bank (oder Institution) informieren. Oft haben Kreditinstitute eine extra Mailadresse speziell dafür eingerichtet.

http://www.deutsche-bank.de/pbc/content/ser_obs_sic_grundlagen.html

Es gibt leider ZU VIELE Leute die wirklich denken das man dort sein Passwort eingeben muss.

Ich bekomme die von >ebay< angeblich, wenn auch nur ab und zu.

http://www.polizei-beratung.de/vorbeugung/gefahren_im_internet/phishing/

----------

## l3u

@ruth: Okay, stimmt mit der IP ... was tu ich also, damit ich die IP auch noch ändern kann? Wie stell ich das an, jedes mal einen anderen Proxy zu verwenden? Kann ich da einfach bei curl --proxy mitschicken und irgend einen Proxy-Server angeben?

[EDIT]

Irgendwie krieg ich das nichr so ganz gebacken mit dem Proxy ... ich hab mir jetzt mal ne Liste von Proxy-Servern geholt und die kann man ja dann auch mit der zufall()-Funktion auswählen. Aber da bräuchte man ja noch nen Timeout für curl und sowas ...

----------

## think4urs11

ein zusätzliches --proxy sollte eigentlich genügen. Das in Verbindung mit einer genügend großen Liste offener Proxies (z.B. http://www.freeproxylists.com/) und der Hr. Phisher hat es etwas schwerer.

Um wirklich einen Menschen zu simulieren der da Daten einklopft solltest du aber vorher erst einmalig die Seite mit dem Eingabeformular laden sonst könnte man anhand der Tatsache filtern das da einer Daten 'blind' eingibt. Das in Verbindung mit einer zufälligen Wartezeit zwischen leere Seite laden und Daten schicken macht der Gegenseite das Filtern dann schon sehr schwer   :Twisted Evil: 

----------

## l3u

Okay, die Proxy-Version ist jetzt unter http://www.nasauber.de/sandkasten/phishing-spammer-0.1.1.tar.gz online ;-)

Jetzt mit Ausführungsskript "runspammer" und 1000 Proxies zur Auswahl!

Ich muß sagen, es geht zwar einige Male schief so nen Proxy zu benutzen, aber die Durchsatzrate wird doch dramatisch erhöht!

----------

## misterjack

 *Libby wrote:*   

> Okay, die Proxy-Version ist jetzt unter http://www.nasauber.de/sandkasten/phishing-spammer-0.1.1.tar.gz online 
> 
> Jetzt mit Ausführungsskript "runspammer" und 1000 Proxies zur Auswahl!
> 
> Ich muß sagen, es geht zwar einige Male schief so nen Proxy zu benutzen, aber die Durchsatzrate wird doch dramatisch erhöht!

 

saubere arbeit. ist bei mir schon wieder am werkeln  :Very Happy: 

----------

## chrib

Bin ich hier der einzige, der solchen Skriptmaßnahmen kritisch gegenüber steht? Was passiert wenn zufälligerweise der Eintrag für Max Mustermann Bankleitzahl 876543210 Kontonummer 12345678 tatsächlich existiert und die generierte TAN auch noch stimmt? OK, die Chance mag sehr gering sein, aber solange sie existiert würde ich von solchen Aktionen abraten. Abgesehen davon werden die Phisher sicherlich den Login ins Onlinebanking auch automatisch laufen lassen, um so diverse Falscheinträge zu eliminieren.

----------

## rukh

 *chrib wrote:*   

> Abgesehen davon werden die Phisher sicherlich den Login ins Onlinebanking auch automatisch laufen lassen, um so diverse Falscheinträge zu eliminieren.

 

Ja, aber höchstens nur drei Mal. Dann macht die Bank den Online Banking Account für die Kontonummer dicht und der Eigentümer muss da hin und den Spass wieder freischalten lassen. Abgesehen davon, starten immer mehr Banken damit einen indizierten TAN zu verlangen. Gut, kann mach auch umgehen, aber nicht mit diesen Methoden. Ansonsten recht lustiges Script  :Very Happy: 

----------

## l3u

Also ich denk mal, daß die Chance, daß es passiert, daß eine Kontonummer paßt UND die PIN paßt UND eine TAN paßt derart gering ist, daß man's annähernd ausschließen kann. Bei meinem Online-Banking ist außerdem z.B. die PIN ein Wort mit Buchstaben drin und keine Zahl. Ich weiß net, wie das bei anderen gehandhabt wird ...

Außerdem wäre die Chance, daß die Betrüger durch zufällig generierte Zahlen ein Login hinkriegen genauso hoch. Es geht ja bloß drum, deren Datenbank unbrauchbar zu machen.

----------

## rukh

Die PIN ist frei wählbar. Kann komplett Alphanumerisch sein. Aber, soweit ich weiss, maximal 5 Zeichen.

----------

## slick

 *chrib wrote:*   

> Bin ich hier der einzige, der solchen Skriptmaßnahmen kritisch gegenüber steht? 

 

Nein.

1) Es verursacht Traffic. Klar ist gut für Erhöhung der Traffic-Kosten des Phishers, den Ausbau der Breitbandkapazitäten in DL und für die Auffüllung der Datenbestände bei der kommenden Vorratsdatenspeicherung. Aber was ist mit dem Ideal des schonenden Umgangs mit Ressourcen geworden?

2) Wie chrib schon erwähnte, es _kann_ mal schiefgehen.

3) Rein logisch erkennt der Phisher durch die Vielzahl der Zugriffe/Datenbankeinträge das sein Trick Erfolg hatte (mal unabhängig von der Richtigkeit der Daten)

(Mal abgesehen von der meiner Gegenargumentation, was auch sehr gut kommt: Such Dir die größte Datei auf dem Server und laß dutzende Instanzen von wget o.ä. diese permanent downloaden. Der erzeugte Traffic kosten den Phisher und mit etwas Glück fällt sein Server damit auf.)

Prinzipiell muß ich aber ehrlich mal sagen ist mir die ganze Phishing-Diskussion ziemlich egal. Wer so gutgläubig ist alles anzuklicken und seine Daten einzugeben ist selbst schuld. Positiv ist der gewisse Erziehungseffekt, d.h. bei der nächsten Mail macht der User das nicht mehr und der Phisher verliert mit jeder erfolgreihen Attacke ein zukünftiges Opfer, d.h. irgendwann müßte sich Phishing von selbst vernichtet haben  :Wink: 

Und Gegenmaßnahmen sind prinzipiell eigentlich auch Unfug, denn wenn ich in der Fussgängerzone beklaut werde gehe ich auch nicht hin und lege 1000 Brieftaschen aus, in der Hoffnung der Dieb ist so sehr mit selbigen beschäftigt dass er die meinige übersieht. Würde man es allerdings entsprechend groß aufziehen besteht natürlich eine gewisse Aussicht auf Erfolg. Aber solange die gephishten Daten maschinell verarbeitet/geprüft werden, was sind da 1.000.000 (falsche) Datensätze? Ein Tropfen auf den heissen Stein.

----------

## l3u

Hat trotzdem Spaß gemacht, das Script zu schreiben *schmoll* ;-)

----------

## think4urs11

 *slick wrote:*   

> Positiv ist der gewisse Erziehungseffekt, d.h. bei der nächsten Mail macht der User das nicht mehr und der Phisher verliert mit jeder erfolgreihen Attacke ein zukünftiges Opfer, d.h. irgendwann müßte sich Phishing von selbst vernichtet haben 

 

Na wenn das stimmt dann wäre Einstein widerlegt .  :Wink: 

Aber mal ernsthaft... Leider gibt es ja auf absehbare Zeit keinen Internet-Führerschein; nötig wäre der aber für die breitere Bevölkerung.

Das unsereins nicht auf Phishing hereinfällt sollte sowieso selbstverständlich sein. Allerdings muß man sagen das selbst das nicht immer ganz einfach ist - gab da neulich mal irgendwo einen Test 'ist das phishing oder nicht' und ein paar der Beispiele brachten einen schon sehr ins Grübeln.

Wie soll das 'Otto Normalo' und 'Susi Sorglos' durchblicken?

Wir - als die Experten im allgemeinen - können nur (weiterhin) dafür sorgen das entsprechende Aufklärung passiert und wenn ein Phisher gesichtet wird dessen Website z.B. in den von uns administrierten Proxies geblockt wird.

----------

