0: Verdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)

[Raencker]

0: Verdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)

header:

01: Return-Path: <SRS0=2Zxw=ZB=ramerica-central.com=aoklgr [at] srs.kundenserver.de>
02: X-Flags: 0000
03: Delivered-To: GMX delivery to ***********************
04: Received: (qmail invoked by alias); 02 Nov 2005 xx:xx:xx -0000
05: Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de)
06: 	[212.227.126.171]
07:   by mx0.gmx.net (mx021) with SMTP; 02 Nov 2005 xx:xx:xx +0100
08: Received: from [200.11.242.97] (helo=Kelly)
09: 	by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
10: 	 ID: xxxxx
11: Message- ID: xxxxx
12: From: <aoklgr [at] ramerica-central.com>
13: To: <***********************>
14: Subjexx:xx:xxerdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)
15: Date: Wed, 02 Nov 2005  xx:xx:xx -0300
16: MIME-Version: 1.0
17: Content-Type: multipart/alternative;
18: 	boundary="----=_NextPart_000_001F_01C5DF8E.284B9800"
19: X-Priority: 3
20: X-MSMail-Priority: Normal
21: X-Mailer: Microsoft Outlook Express 6.00.2900.2180
22: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
23: X-GMX-UID: tt8aY2RSeSEkZ7lto3UhaXN1IGRvb4Bw

---------------------------------------------------------------------

Sehr geehrter zukünftiger Mitarbeiter!

Demity N.V. - ist eine führende Firma auf Bereich der
VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie
sucht nach den verantwortungsvollen Personen im Bereich der
Zustellung, Bedienung, Kundenservice und Bankoperationen.

Zur Zeit haben wir folgende Arbeitsstellen frei: Manager für
Transaktionen.
Sie werden die Überweisungen für unsere Gesellschaft bekommem. Sie
müssen eine Bankstelle in der Nähe haben, damit Sie jederzeit die
Möglichkeit hätten im Laufe von einigen Stunden, die Gelder vom Konto
abzuheben. Sie müssen ein Privat-, Arbeitstelefon oder Handy haben,
damit wir mit Ihnen unverzüglich den Kontakt aufnehmen können.

Anforderungen:

* Die Möglichkeit haben, Ihr E-mail mehrmals am Tage zu kontrollieren.
* Die Möglichkeit haben, unverzüglich die Briefe zu beantworten.
* Die Möglichkeit haben, bei der Gelegenheit die Überstunden zu
machen.
* Verantwortlich und arbeitsam sein.

Wenn Sie für das Amt eignen, so bitten wir Sie hier zu registrieren:
Unsere Freien Stellen [links to ^whois: [Link nur für registrierte Mitglieder sichtbar. ]]

Die Registrierung ist gratis!
msg-id: 299977

---------------------------------------------------------------------

© Copyright 2005 Demity N.V. Alle Rechte sind vorbehalten.

[corlis]

Hier zwar ebenfalls eingeschlagen:

header:

01: Received: from [64.174.141.18] (helo=thomas-server) by mx27.web.de with smtp
02: 	(WEB.DE 4.105 #323)  ID: xxxxx
03: Message- ID: xxxxx
04: From: uniholdings [at] atomicdiscos.com
05: To: xxx [at] xxx
06: Subjexx:xx:xxir suchen einen Regionalvertreter! (Ref:3772)
07: Date: Wed, 02 Nov 2005  xx:xx:xx -0700  (19:49 CET)
08: MIME-Version: 1.0
09: Content-Type: multipart/alternative; boundary="----=_NextPart_xxx"
10: X-Priority: 3
11: X-MSMail-Priority: Normal
12: X-Mailer: Microsoft Outlook Express 6.00.2900.2180
13: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
14: Sender: uniholdings [at] atomicdiscos.com

aber der Thread müsste verschoben werden, da es kein 419-er is

beworbener link: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[kjz1]

Das würde ich nicht bei den Mugus, sondern in der Rubrik 'Phishing/Geldwäsche' einordnen.

- kjz

[pat]

bei mit ists ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

header:

01: Return-Path: <costean [at] abootswerft-rathje.de>
02: Delivery-Date: Wed, 02 Nov 2005 xx:xx:xx +0100
03: Received: from [70.111.224.195] (helo=d-xbdkuv2a8ipru)
04: 	by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
05: 	 ID: xxxxx
06: Message- ID: xxxxx
07: From: <costean [at] abootswerft-rathje.de>
08: To: <>
09: Subjexx:xx:xxerhandlungmanagerposition.   Ref: 1046
10: Date: Wed, 02 Nov 2005  xx:xx:xx -0400
11: MIME-Version: 1.0
12: Content-Type: multipart/alternative;
13: 	boundary="----=_NextPart_000_0015_01C5DFC9.F8D9EFE0"
14: X-Priority: 3
15: X-MSMail-Priority: Normal
16: X-Mailer: Microsoft Outlook Express 6.00.2900.2180
17: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
18: X-RBL-Warning: warn.bl.kundenserver.de says: Dynamic IP Addresses See:
19: 	http://www.sorbs.net/lookup.shtml?70.111.224.195
20: Envelope-To: 
21: This is a multi-part message in MIME format.
22: ------=_NextPart_000_0015_01C5DFC9.F8D9EFE0
23: Content-Type: text/plain;
24: 	charset="iso-8859-1"
25: Content-Transfer-Encoding: quoted-printable

[Sven Udo]

Na' wer braucht einen neue Job? Ist gerade neu im Angebot:

header:

01: From darinoc [at] hsensationdesigns.com Fri Nov 4 xx:xx:xx 2005 
02: X-Apparently-To: xxxxxxxx [at] yahoo.com.au via 66.218.93.230; Wed, 02 Nov 2005 xx:xx:xx
03: 	-0800 
04: X-YahooFilteredBulk: 151.200.18.127 
05: X-Originating-IP: [151.200.18.127] 
06: Return-Path: <darinoc [at] hsensationdesigns.com> 
07: Authentication-Results: mta209.mail.mud.yahoo.com from=hsensationdesigns.com;
08: 	domainkeys=neutral (no sig) 
09: Received: from 151.200.18.127 (HELO PREFERRE-2E462C) (151.200.18.127) by
10: 	mta209.mail.mud.yahoo.com with SMTP; Wed, 02 Nov 2005 xx:xx:xx -0800 
11: Message- ID: xxxxx
12: From: darinoc [at] hsensationdesigns.com  Add to Address Book 
13: To: xxxxxxxxx [at] yahoo.com.au 
14: [B]Subjexx:xx:xxir wachsen an, neue Angebote fur Sie! (Ref: 417) [/B]
15: Date: Fri, 04 Nov 2005 xx:xx:xx -0400 
16: MIME-Version: 1.0 
17: Content-Type: multipart/alternative;
18: 	boundary="----=_NextPart_000_0005_01C5E11E.8ADDFE40" 
19: X-Priority: 3 
20: X-MSMail-Priority: Normal 
21: X-Mailer: Microsoft Outlook Express 6.00.2900.2180 
22: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 
23: Content-Length: 1441 

Sehr geehrter zukünftiger Mitarbeiter!

Demity N.V. - ist eine führende Firma auf Bereich der VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie sucht nach den verantwortungsvollen Personen im Bereich der Zustellung, Bedienung, Kundenservice und Bankoperationen.

Zur Zeit haben wir folgende Arbeitsstellen frei: Manager für Transaktionen.
Sie werden die Überweisungen für unsere Gesellschaft bekommem. Sie müssen eine Bankstelle in der Nähe haben, damit Sie jederzeit die Möglichkeit hätten im Laufe von einigen Stunden, die Gelder vom Konto abzuheben. Sie müssen ein Privat-, Arbeitstelefon oder Handy haben, damit wir mit Ihnen unverzüglich den Kontakt aufnehmen können.

Anforderungen:

* Die Möglichkeit haben, Ihr E-mail mehrmals am Tage zu kontrollieren.
* Die Möglichkeit haben, unverzüglich die Briefe zu beantworten.
* Die Möglichkeit haben, bei der Gelegenheit die Überstunden zu machen.
* Verantwortlich und arbeitsam sein.

Wenn Sie für das Amt eignen, so bitten wir Sie hier zu registrieren:
Unsere Freien Stellen: [Link nur für registrierte Mitglieder sichtbar. ]

Die Registrierung ist gratis!
msg-id: 492186
-----------------------------------------------------------------
© Copyright 2005 Demity N.V. Alle Rechte sind vorbehalten.

[Schnabelland]

Obs Geldwäsche ist, halte ich für fraglich... Vermutlich in 5-10% der Fälle schon, aber dazu kursieren viel zu viele Mails zu dem Thema.

Es wird wohl eher (in 90% der Fälle) der von den Mugus häufig angewandte "Gefälschter Scheck"-Trick sein: Das angeworbene Opfer erhält einen Scheck, löst diesen ein, soll im Anschluß den Betrag (minus 10% Entlohnung) per Western-Union an die Mugus schicken; drei Wochen später platzt dann der Scheck. Neuerdings eine sehr verbreitete Mugu-Masche - daher, finde ich zumindest, haben die Briefe hier durchaus ihre Richtigkeit.

[kjz1]

Obs Geldwäsche ist, halte ich für fraglich... Vermutlich in 5-10% der Fälle schon, aber dazu kursieren viel zu viele Mails zu dem Thema.

Die Domain demity.biz ist auf einen S. Volkov in Litauen registriert. Aus dieser Ecke habe ich noch keinen Mugu erlebt, aber viele Geldwäscher.

- kjz

[Schnabelland]

Aus Litauen kenn ich bisher auch keine Mugus, wohl aber aus Russland, der Ukraine und Rumänien. Zumindest die ersten beiden Länder sind nicht allzu weit von Litauen entfernt. Auch mit gefälschten Schecks kennen sie sich dort ganz gut aus.

Ich will nicht abstreiten, dass auch Geldwäsche dahinter stecken könnte, denke aber immer noch, die Wahrscheinlichkeit für den "Gefälschter Scheck"-Trick ist größer... Und die Mugu-Briefe aus Afrika (oder Spanien oder Amsterdam), die dann tatsächlich den Trick mit dem gefälschten Scheck durchziehen, lauten jedenfalls nicht unbedingt anders - zugegeben, eine Web-Adresse zur "Registrierung" hab ich da erst selten gesehen.

[Fidul]

Das hier sind Phisher, die Mulis suchen.

[SchuetzeArsch]

Dieser Beitrag wird ziemlich lang - dafür könnte er spannend werden.

Ein Steinchen im Mosaik von Phishing-Mails und Fraud

Eines schönen Tages fand ich mal wieder ein unglaubliches Angebot in meinem E-Mailpostfach. Und tatsächlich konnte ich kaum
glauben, was ich dort fand: Eine Erklärung, wieso manche Spammer ihre Webpräsenz auf eine seltsame Portnummer legen.

Zunächst einmal möchte ich mich hiermit entschuldigen, daß ich diesen Bericht unter Pseudonym schreibe. Da ich nicht
weiß, wer hinter diesem Betrug steckt und welche Methoden sie anwenden, ziehe ich es vor, meine Identität nicht
preiszugeben. Sie können mich dennoch unter der eigens eingerichteten E-Mailadresse
schuetze-avd@gmx.de erreichen. Diese werde ich unregelmässig abrufen und beantworten.

Demity NV sucht Strohmänner

Es begann am 2. November, als ich eine der üblichen Scam-Mails erhielt.

[QUOTE]
Delivered-To: schuetze-avd@gmx.de
Subject: 8: Suchen nach regionalem Repra"sentanten (REF:225)
Date: Wed, 02 Nov 2005 14:35:01 +0200

Sehr geehrter zuknftiger Mitarbeiter!

Demity N.V. - ist eine fhrende Firma auf Bereich der
VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie
sucht nach den verantwortungsvollen Personen im Bereich der
Zustellung, Bedienung, Kundenservice und Bankoperationen.
[... das kennen wir bereits]
In der html-Version steht auch der Link:
Wenn Sie fr das Amt eignen, so bitten wir Sie hier zu registrieren: "http://ww-lmy.demity.biz:8081/careers.html?ref=XXX"


Neugierig geworden, warf ich einen Blick auf die genannte Seite [Link nur für registrierte Mitglieder sichtbar. ] und fand dort auch
tatsächlich eine Webpräsenz in dezenten Grautönen, die eine seriöse Firma vortäuschen soll. Sogar mit Kontaktadresse:

Mail:
Demity N.V.
Avenue Louise 480 - B14
1050 Brussels
Belgium
Phone:
+32 (2) 706-4826
Fax:
+32 (2) 706-4870
Email:
info@demity.biz

Ich wette, daß die gesamten Büroräume der Demity N.V. in den Briefkasten der Avenue Louise passen.

Kurzum, Demity NV sucht Strohmänner, die seltsame Geldgeschäfte im Auftrag von Demity mit ihrem eigenen Konto abwickeln.
Ich bin mir nicht sicher, welche Art von Betrug gespielt wird. Drei Arten wären möglich:

1. 419er (aka Nigeria-Connection): Der Geschäftspartner muß erstmal etwas Geld vorstrecken. In diesem Falle weniger
wahrscheinlich.

2. Geldwäsche: Der "zuknftige Mitarbeiter" erhält Geld aus dubiosen Quellen auf sein Konto, z.B. von Phishing-Opfern. Er
selbst transferiert das Geld dann weiter an die Hintermänner. Besonders beliebt ist hier die Zahlungsweise Western Union,
da diese AFAIK nicht / kaum zurückzuverfolgen ist.

3. Mehrwertsteuer-Betrug: In diesem Falle wäre der Geschädigte Vater Staat. Bei Luftgeschäften behauptet Firma A, von Firma
B Ware gekauft und MwSt berappt zu haben. Firma A kriegt nun von Vater Staat die MwSt zurück. Während Vater Staat auf
die Steuererklärung von Firma B wartet, sind dort die Vögel schon ausgeflogen.

In den Fällen 2 und 3 wäre der Mittelsmann nicht das primäre Opfer. Aber er kann damit rechnen, daß die Staatsanwaltschaft
erstmal bei ihm nachfragt und dann heißt es ggf. "Mitgefangen, mitgehangen". Und Demity kann es sich leisten, ein paar
Mittelsmänner zu verheizen - schließlich müssen sie nur nochmal ein paar Mails schreiben und schon wieder stehen die
Bewerber Schlange.

Ein neues Steinchen im Mosaik: Die Portnummer

So, bisher verlief die Geschichte nach dem üblichen Spam/Scam-Muster. Lustig wird es, wenn man die URL ohne die Portnummer
ansurft: Unter

[Link nur für registrierte Mitglieder sichtbar. ]

findet sich eine Website, die eher wie ein normales Webportal aussieht. Leider in einer mir vollkommen unverständlichen
Sprache (mein Tip: Thai) geschrieben.

Ferner werden alle Adressen der Form
<irgendwas>.demity.biz
auf denselben Server 202.129.19.246 umgeleitet. Das ganze tut also auch mit
[Link nur für registrierte Mitglieder sichtbar. ]
bzw.
[Link nur für registrierte Mitglieder sichtbar. ]

Ebenso zeigt
[Link nur für registrierte Mitglieder sichtbar. ]
auf denselben Server. Hmm, so langsam kam in mir der Verdacht auf, daß die ach-so-seriöse Demity einen WebServer in
Thailang shanghait hat. Damit es nicht dem Admin auffällt, haben sie einfach ihre Webpräsenz auf Port 8081 gelegt -
defaultmässig wird ein Surfer den Webserver auf Port 80 erwarten.

Ich warf einen Blick auf die index.html der Seite, die unter [Link nur für registrierte Mitglieder sichtbar. ] (also auf der thailändischen Seite)
zu finden war. Unter dem META-Tag standen ein paar Informationen, die für mich lesbar waren:

<META HTTP-EQUIV="Page-Enter" CONTENT="BlendTrans(Duration=3.0)">
<meta name="Author" content="amnard maneedul amnard@hatyaiwit.ac.th">
<meta name="description" content="Hatyaiwittayalai School home page">
<meta name="keywords" content="Thai
School,yorwor,hatyaiwit,trijak,fahdang,yorwor.hatyaiwit.ac.th,Thailand,yorwor,ha tyai, [Link nur für registrierte Mitglieder sichtbar. ]
3.hatyaiwit.ac.th">

Aha, es ist also die Homepage einer Schule namens oder in Hatyaiwittayalai. Und da taucht auch eine URL auf:
[Link nur für registrierte Mitglieder sichtbar. ]

Who is who?

Na, dann schau' mer mal: Der Name wird auch auf denselben Server aufgelöst. Na, sowas. Jetzt wollte ich auch wissen, mit
wem ich es zu tun habe. Dazu gibt es ja die Whois-Datenbank:

Also, zunächst einmal die IP-Adresse des Servers:
Suchbegriff: 202.129.19.246
Adresse: whois.apnic.net

Suchergebnis:

% [whois.apnic.net node-1]
% Whois data copyright terms [Link nur für registrierte Mitglieder sichtbar. ]

inetnum: 202.129.0.0 - 202.129.31.255
netname: CAT
descr: Communication Authority of Thailand, CAT
descr: International Telecommunications Service Provider
country: TH
admin-c: TK38-AP
tech-c: SK79-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TH-THIX-CAT
changed: hostmaster@apnic.net 20000914
status: ALLOCATED PORTABLE
source: APNIC
...
Dann schauen wir mal, wem den die URL der Schule gehört:

Suchbegriff: hatyaiwit.ac.th
Adresse: whois.thnic.net

Suchergebnis:

domain: HATYAIWIT.AC.TH
descr: HatYaiwittayalai School
company: HatYaiwittayalai School
address: Petchkaseam road,
address: HatYai
city: Songkhla
zcode: 90110
country: TH
admin-c: AM4-TH
tech-c: TH1-TH
billing-c: AM4-TH
nserver: dns50.south.cat.net.th
nserver: fahdang.hatyaiwit.ac.th
nserver: yorwor.hatyaiwit.ac.th
nserver: trijak.hatyaiwit.ac.th
mnt-by: THNIC-DBM
changed: thnic-dbm@thnic.net 041209
source: THNIC

person: Amnart Meedul
company: HatYaiwittayalai School
address: Petchkaseam road,
address: HatYai
city: Songkhla
zcode: 90110
country: TH
phone: +66-74-261202
fax-no: +66-74-245288
e-mail: maneedulamnard@hotmail.com
nic-hdl: AM4-TH
notify: thnic-dbm@thnic.net
changed: thnic-dbm@thnic.net 041209
source: THNIC

person: Theerawat Hungsapruek
company: psu
address: Faculty of Management Sciences,
address: Dept. of Business Administration,
address: P.O.Box 102, Hat Yai
city: Songkhla
zcode: 90112
country: TH
phone: +66
fax-no: +66
e-mail: teerawat@ratree.psu.ac.th
nic-hdl: TH1-TH
notify: thnic-dbm@thnic.net
changed: thnic-dbm@thnic.net 041209
source: THNIC

Und nun, ja, wer ist denn demnity.biz?

Suchbegriff: demity.biz
Adresse: whois.nic.biz

Suchergebnis:

Domain Name: DEMITY.BIZ
Domain ID: D11246336-BIZ
Sponsoring Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Domain Status: clientTransferProhibited
Registrant ID: 50E7629ECD015640
Registrant Name: Chris Koller
Registrant Organization: Demity N.V.
Registrant Address1: Avenue Louise 480 - B14
Registrant City: Brussels
Registrant Postal Code: 1050
Registrant Country: Belgium
Registrant Country Code: BE
Registrant Phone Number: +32.27064826
Registrant Email: info@demity.biz
[...]
Created by Registrar: ENOM, INC.
Last Updated by Registrar: ENOM, INC.
Domain Registration Date: Wed Oct 19 07:56:18 GMT 2005
Domain Expiration Date: Wed Oct 18 23:59:59 GMT 2006
Domain Last Updated Date: Mon Nov 07 12:37:02 GMT 2005

Aha, jetzt sind wir wieder in Belgien...

Und was ist mit payvat.org? Aha, wieder Briefkasten made in Belgium.

Schlussfolgerung: Ein gekaperter Server und viele DNS-Einträge

Die Betrüger von Demity haben einen Webserver in Thailand gekapert und dort einen zweiten Webserver auf
Port 8081 mit ihrer eigenen Präsenz aufgesetzt. Damit das dem Betreiber des Servers nicht auffällt, haben sie dort den
ursrpünglichen Webserver unangetastet gelassen. Dass da plötztlich auch etwas auf Port 8081 läuft, hat der Admin vermutlich
nicht mitgekriegt.

Dann haben sie die Namen demity.biz, payvat.org und vielleicht noch weitere registrieren lassen. Und sie haben veranlaßt,
daß die entsprechenden DNS-Einträge auf den gekaperten Server zeigen. So sieht der Benutzer in der URL den "echten"
Firmennamen. Was er nicht weiß, ist daß der Name auf einen Server verweist, der nicht demity gehört.

Wenn jemand weiter Erkenntnisse zu Demity oder anderen Firmen hat, die ähnlich vorgehen, würde ich mich freuen, davon zu
lesen:
schuetze-avd@gmx.de

Ihr

Schuetze Arsch