0: Verdienen Sie Geld mit Ihrem Bankkonto. (ref: 433)

[Schnabelland]

Aus Litauen kenn ich bisher auch keine Mugus, wohl aber aus Russland, der Ukraine und Rumänien. Zumindest die ersten beiden Länder sind nicht allzu weit von Litauen entfernt. Auch mit gefälschten Schecks kennen sie sich dort ganz gut aus.

Ich will nicht abstreiten, dass auch Geldwäsche dahinter stecken könnte, denke aber immer noch, die Wahrscheinlichkeit für den "Gefälschter Scheck"-Trick ist größer... Und die Mugu-Briefe aus Afrika (oder Spanien oder Amsterdam), die dann tatsächlich den Trick mit dem gefälschten Scheck durchziehen, lauten jedenfalls nicht unbedingt anders - zugegeben, eine Web-Adresse zur "Registrierung" hab ich da erst selten gesehen.

[Fidul]

Das hier sind Phisher, die Mulis suchen.

[SchuetzeArsch]

Dieser Beitrag wird ziemlich lang - dafür könnte er spannend werden.

Ein Steinchen im Mosaik von Phishing-Mails und Fraud

Eines schönen Tages fand ich mal wieder ein unglaubliches Angebot in meinem E-Mailpostfach. Und tatsächlich konnte ich kaum
glauben, was ich dort fand: Eine Erklärung, wieso manche Spammer ihre Webpräsenz auf eine seltsame Portnummer legen.

Zunächst einmal möchte ich mich hiermit entschuldigen, daß ich diesen Bericht unter Pseudonym schreibe. Da ich nicht
weiß, wer hinter diesem Betrug steckt und welche Methoden sie anwenden, ziehe ich es vor, meine Identität nicht
preiszugeben. Sie können mich dennoch unter der eigens eingerichteten E-Mailadresse
schuetze-avd@gmx.de erreichen. Diese werde ich unregelmässig abrufen und beantworten.

Demity NV sucht Strohmänner

Es begann am 2. November, als ich eine der üblichen Scam-Mails erhielt.

[QUOTE]
Delivered-To: schuetze-avd@gmx.de
Subject: 8: Suchen nach regionalem Repra"sentanten (REF:225)
Date: Wed, 02 Nov 2005 14:35:01 +0200

Sehr geehrter zuknftiger Mitarbeiter!

Demity N.V. - ist eine fhrende Firma auf Bereich der
VAT-Wiederaufnahme und anderer finanzieller Dienstleistungen. Sie
sucht nach den verantwortungsvollen Personen im Bereich der
Zustellung, Bedienung, Kundenservice und Bankoperationen.
[... das kennen wir bereits]
In der html-Version steht auch der Link:
Wenn Sie fr das Amt eignen, so bitten wir Sie hier zu registrieren: "http://ww-lmy.demity.biz:8081/careers.html?ref=XXX"


Neugierig geworden, warf ich einen Blick auf die genannte Seite [Link nur für registrierte Mitglieder sichtbar. ] und fand dort auch
tatsächlich eine Webpräsenz in dezenten Grautönen, die eine seriöse Firma vortäuschen soll. Sogar mit Kontaktadresse:

Mail:
Demity N.V.
Avenue Louise 480 - B14
1050 Brussels
Belgium
Phone:
+32 (2) 706-4826
Fax:
+32 (2) 706-4870
Email:
info@demity.biz

Ich wette, daß die gesamten Büroräume der Demity N.V. in den Briefkasten der Avenue Louise passen.

Kurzum, Demity NV sucht Strohmänner, die seltsame Geldgeschäfte im Auftrag von Demity mit ihrem eigenen Konto abwickeln.
Ich bin mir nicht sicher, welche Art von Betrug gespielt wird. Drei Arten wären möglich:

1. 419er (aka Nigeria-Connection): Der Geschäftspartner muß erstmal etwas Geld vorstrecken. In diesem Falle weniger
wahrscheinlich.

2. Geldwäsche: Der "zuknftige Mitarbeiter" erhält Geld aus dubiosen Quellen auf sein Konto, z.B. von Phishing-Opfern. Er
selbst transferiert das Geld dann weiter an die Hintermänner. Besonders beliebt ist hier die Zahlungsweise Western Union,
da diese AFAIK nicht / kaum zurückzuverfolgen ist.

3. Mehrwertsteuer-Betrug: In diesem Falle wäre der Geschädigte Vater Staat. Bei Luftgeschäften behauptet Firma A, von Firma
B Ware gekauft und MwSt berappt zu haben. Firma A kriegt nun von Vater Staat die MwSt zurück. Während Vater Staat auf
die Steuererklärung von Firma B wartet, sind dort die Vögel schon ausgeflogen.

In den Fällen 2 und 3 wäre der Mittelsmann nicht das primäre Opfer. Aber er kann damit rechnen, daß die Staatsanwaltschaft
erstmal bei ihm nachfragt und dann heißt es ggf. "Mitgefangen, mitgehangen". Und Demity kann es sich leisten, ein paar
Mittelsmänner zu verheizen - schließlich müssen sie nur nochmal ein paar Mails schreiben und schon wieder stehen die
Bewerber Schlange.

Ein neues Steinchen im Mosaik: Die Portnummer

So, bisher verlief die Geschichte nach dem üblichen Spam/Scam-Muster. Lustig wird es, wenn man die URL ohne die Portnummer
ansurft: Unter

[Link nur für registrierte Mitglieder sichtbar. ]

findet sich eine Website, die eher wie ein normales Webportal aussieht. Leider in einer mir vollkommen unverständlichen
Sprache (mein Tip: Thai) geschrieben.

Ferner werden alle Adressen der Form
<irgendwas>.demity.biz
auf denselben Server 202.129.19.246 umgeleitet. Das ganze tut also auch mit
[Link nur für registrierte Mitglieder sichtbar. ]
bzw.
[Link nur für registrierte Mitglieder sichtbar. ]

Ebenso zeigt
[Link nur für registrierte Mitglieder sichtbar. ]
auf denselben Server. Hmm, so langsam kam in mir der Verdacht auf, daß die ach-so-seriöse Demity einen WebServer in
Thailang shanghait hat. Damit es nicht dem Admin auffällt, haben sie einfach ihre Webpräsenz auf Port 8081 gelegt -
defaultmässig wird ein Surfer den Webserver auf Port 80 erwarten.

Ich warf einen Blick auf die index.html der Seite, die unter [Link nur für registrierte Mitglieder sichtbar. ] (also auf der thailändischen Seite)
zu finden war. Unter dem META-Tag standen ein paar Informationen, die für mich lesbar waren:

<META HTTP-EQUIV="Page-Enter" CONTENT="BlendTrans(Duration=3.0)">
<meta name="Author" content="amnard maneedul amnard@hatyaiwit.ac.th">
<meta name="description" content="Hatyaiwittayalai School home page">
<meta name="keywords" content="Thai
School,yorwor,hatyaiwit,trijak,fahdang,yorwor.hatyaiwit.ac.th,Thailand,yorwor,ha tyai, [Link nur für registrierte Mitglieder sichtbar. ]
3.hatyaiwit.ac.th">

Aha, es ist also die Homepage einer Schule namens oder in Hatyaiwittayalai. Und da taucht auch eine URL auf:
[Link nur für registrierte Mitglieder sichtbar. ]

Who is who?

Na, dann schau' mer mal: Der Name wird auch auf denselben Server aufgelöst. Na, sowas. Jetzt wollte ich auch wissen, mit
wem ich es zu tun habe. Dazu gibt es ja die Whois-Datenbank:

Also, zunächst einmal die IP-Adresse des Servers:
Suchbegriff: 202.129.19.246
Adresse: whois.apnic.net

Suchergebnis:

% [whois.apnic.net node-1]
% Whois data copyright terms [Link nur für registrierte Mitglieder sichtbar. ]

inetnum: 202.129.0.0 - 202.129.31.255
netname: CAT
descr: Communication Authority of Thailand, CAT
descr: International Telecommunications Service Provider
country: TH
admin-c: TK38-AP
tech-c: SK79-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-TH-THIX-CAT
changed: hostmaster@apnic.net 20000914
status: ALLOCATED PORTABLE
source: APNIC
...
Dann schauen wir mal, wem den die URL der Schule gehört:

Suchbegriff: hatyaiwit.ac.th
Adresse: whois.thnic.net

Suchergebnis:

domain: HATYAIWIT.AC.TH
descr: HatYaiwittayalai School
company: HatYaiwittayalai School
address: Petchkaseam road,
address: HatYai
city: Songkhla
zcode: 90110
country: TH
admin-c: AM4-TH
tech-c: TH1-TH
billing-c: AM4-TH
nserver: dns50.south.cat.net.th
nserver: fahdang.hatyaiwit.ac.th
nserver: yorwor.hatyaiwit.ac.th
nserver: trijak.hatyaiwit.ac.th
mnt-by: THNIC-DBM
changed: thnic-dbm@thnic.net 041209
source: THNIC

person: Amnart Meedul
company: HatYaiwittayalai School
address: Petchkaseam road,
address: HatYai
city: Songkhla
zcode: 90110
country: TH
phone: +66-74-261202
fax-no: +66-74-245288
e-mail: maneedulamnard@hotmail.com
nic-hdl: AM4-TH
notify: thnic-dbm@thnic.net
changed: thnic-dbm@thnic.net 041209
source: THNIC

person: Theerawat Hungsapruek
company: psu
address: Faculty of Management Sciences,
address: Dept. of Business Administration,
address: P.O.Box 102, Hat Yai
city: Songkhla
zcode: 90112
country: TH
phone: +66
fax-no: +66
e-mail: teerawat@ratree.psu.ac.th
nic-hdl: TH1-TH
notify: thnic-dbm@thnic.net
changed: thnic-dbm@thnic.net 041209
source: THNIC

Und nun, ja, wer ist denn demnity.biz?

Suchbegriff: demity.biz
Adresse: whois.nic.biz

Suchergebnis:

Domain Name: DEMITY.BIZ
Domain ID: D11246336-BIZ
Sponsoring Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Domain Status: clientTransferProhibited
Registrant ID: 50E7629ECD015640
Registrant Name: Chris Koller
Registrant Organization: Demity N.V.
Registrant Address1: Avenue Louise 480 - B14
Registrant City: Brussels
Registrant Postal Code: 1050
Registrant Country: Belgium
Registrant Country Code: BE
Registrant Phone Number: +32.27064826
Registrant Email: info@demity.biz
[...]
Created by Registrar: ENOM, INC.
Last Updated by Registrar: ENOM, INC.
Domain Registration Date: Wed Oct 19 07:56:18 GMT 2005
Domain Expiration Date: Wed Oct 18 23:59:59 GMT 2006
Domain Last Updated Date: Mon Nov 07 12:37:02 GMT 2005

Aha, jetzt sind wir wieder in Belgien...

Und was ist mit payvat.org? Aha, wieder Briefkasten made in Belgium.

Schlussfolgerung: Ein gekaperter Server und viele DNS-Einträge

Die Betrüger von Demity haben einen Webserver in Thailand gekapert und dort einen zweiten Webserver auf
Port 8081 mit ihrer eigenen Präsenz aufgesetzt. Damit das dem Betreiber des Servers nicht auffällt, haben sie dort den
ursrpünglichen Webserver unangetastet gelassen. Dass da plötztlich auch etwas auf Port 8081 läuft, hat der Admin vermutlich
nicht mitgekriegt.

Dann haben sie die Namen demity.biz, payvat.org und vielleicht noch weitere registrieren lassen. Und sie haben veranlaßt,
daß die entsprechenden DNS-Einträge auf den gekaperten Server zeigen. So sieht der Benutzer in der URL den "echten"
Firmennamen. Was er nicht weiß, ist daß der Name auf einen Server verweist, der nicht demity gehört.

Wenn jemand weiter Erkenntnisse zu Demity oder anderen Firmen hat, die ähnlich vorgehen, würde ich mich freuen, davon zu
lesen:
schuetze-avd@gmx.de

Ihr

Schuetze Arsch

[kjz1]

Beliebter Trick ist auch, seinen eigenen Content in 'versteckte Systemverzeichnisse zu legen, also z. Bsp.: www. example.com/.www.paypal.com..... Durch den Punkt vor dem '.www.pay...' werden solche Unterverzeichnisse in der Normalansicht beim Listing nicht angezeigt, so dass man diese ggf. leicht übersehen kann und der Cracker länger unbemerkt bleibt.

- kjz