Erkennen eines Versuchs,
leichtgläubige Menschen zu betrügen
Achtung: Immer skeptisch sein, wenn irgendwer irgendwas von einem haben/wissen will!
Hier erkläre ich an einem recht gut gemachten, dreisten Beispiel, worauf man u.a. achten sollte und wie man den Hackversuch entdecken kann.
Man bekommt eine E-Mail, die so aussieht:
From: eBay <supportdep81@eBay.com>
Subject: Please update your e-Bay account information
Ich bin da sofort skeptisch geworden. Gründe:
- Vor einigen Wochen ging mal eine Warnung von allen professionellen Seiten aus (z.B. heise.de), die genau diese Vorgehensweise (auch mit ebay) zum Inhalt hatte. Wieso sollte es nicht nochmal mit derselben Masche versucht werden? Da rentiert es sich, aufmerksam zu lesen.
- Ich bin Kunde bei ebay.de, nicht bei ebay.com. Wieso sollte sich die US-Mutter bei mir melden und nicht die deutsche Tochter?
- Ebay.com wüßte im Zweifelsfall, daß ich deutsch spreche. Der Kundenservice ist bei der Firma recht hoch. In Deutschland gibt es verdammt viele Kunden. Demnach würden sie mir die Aufforderung auch auf Deutsch schicken; für so viele Kunden lohnt sich eine Übersetzung der 10 Zeilen.
- ebay kennt meinen Namen. Sie würden ihn benutzen.
- Ich bin so viele Jahre bei Ebay registriert und sie haben noch
nie ein Update meiner Daten gewünscht - wieso sollten sie
jetzt damit anfangen?
Received: from pppoe235-luxdsl-032.pt.lu (HELO microsoft.com)
(213.135.235.32) by mx0.gmx.net (mx028-rz3) with SMTP; 18
Oct 2003 15:36:25 +0200
From: eBay <supportdep81@eBay.com>
Subject: Please update your e-Bay account information
Message-ID: <I12F4II946C96CI3@eBay.com>
Reply-To: eBay <usersupportdep@eBay.com>
Sender: eBay <usersupportdep@eBay.com>
MIME-Version: 1.0
Content-Type: multipart/related; boundary=
"----=_NextPart_30E_ACEEJ98EJKBGIA9K5AJHH"
------=_NextPart_30E_ACEEJ98EJKBGIA9K5AJHH
Content-Type: text/html
Content-Transfer-Encoding: 8bit
<html>
<p><a href="http://scgi.ebay.com%69%6E%64%65%78%75%70%64%61%74
%65%79%6F%75%72%69%6E%66%6F%72%6D%61%74%69%6F%6E%73%65%63%75
%72%65@%32%31%31%2E%31%34%32%2E%32%32%36%2E%31%36%37:%34%39
%38%37/%69%6E%64%65%78%2E%68%74%6D">
<img src="cid:pic.gif" ALT="" border="0"></a></p>
<p><font color="#FFFFF1">in 1887 good day! PJG in 1886 in 1983
I'll call back! in 1837 xcNmtEj zpqtkvEOIlc wK</font></p>
<p><font color="#FFFFF0">come on in 1810 in 1958 965 of WEATHER
7 into account 321 It's nice let's forget</font></p>
<p><font color="#FFFFF3">Open your when were you born? in 1861
I feel deeply for your sorrow come on! exercising enough iAg As
far as I know in 1999 I'll take it like this in 1883 Don't
worry you cant't miss it</font></p>
</a></body></html>
------=_NextPart_30E_ACEEJ98EJKBGIA9K5AJHH
Content-Type: image/gif; name="pic.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="pic.gif"
Content-ID: <pic.gif>
R0lGODlh2AGzAPEAAAAAAAAA/////wAAACH5BAQAAAAALAAAAADYAbMAAAL/hCGpy+2fjoGU
HXGr3rz7D4biSJbmiabqyiEY+7hvKcvwjef6zvf+36spMpFJEWNrEIXF2oRoGQ6XRqQViM1q
....viele Zeilen mit diesen seltsamen Zeichen...
ZlfDBWkIl1jbRaxo5Wq2GrLE86I/iii113mvqndVMyaCGqcXxndV8m9JO3s71rV7misa155W
m7ZYaxA+xKWaCp4M+6U3GgIFAAA7
------=_NextPart_30E_ACEEJ98EJKBGIA9K5AJHH--
Das ist ja seltsam. Der Text, den ich gelesen habe, kommt in der Quelle gar nicht vor! Wie kann mein E-Mail-Programm denn dann diesen Text anzeigen? Vor allem: In der Nachricht kam doch gar kein Bild (<img .... >) vor?!
Ich gehe nochmal in das Nachrichten-Fenster. Ich lasse den Mauszeiger auf dem Text schweben. Der gesamte Text (der eigentlich ein einziges Bild ist), ist ein Link, nicht nur die blau hervorgehobene URL. Außerdem ist die URL, die mein E-Mail-Programm mir anzeigt, eine andere als die, die im Text steht.
Mein E-Mail-Programm zeigt an, was im Quelltext in
<a href="http://..."> steht. Im Quelltext ist
die URL so seltsam unleserlich, nämlich encoded (verschlüsselt).
Ich markiere die URL im Quelltext und speichere sie in der Zwischenablage.
Dann gebe ich an der Adresszeile des Browsers javascript:prompt('',decodeURI('<HIER
DIE URL einfügen>'));ein, also in diesem Fall
javascript:prompt('',decodeURI('http://scgi.ebay.com%69%6E%64%65%78%75%70%64%61%74%65%79%6F%75%72%69%6E%66%6F%72%6D%61%74%69%6F%6E%73%65%63%75%72%65@%32%31%31%2e%31%34%32%2e%32%32%36%2e%31%36%37:34/%69%6E%64%65%78%2E%68%74%6D'));ein.
Nun bekomme ich die URL im Klartext angezeigt (im Eingabefeld); sie lautet
http://scgi.ebay.comindexupdateyourinformationsecure@211.142.226.167:34/index.htm.
Damit komme ich weiter. Der fett markierte Zeil (Nummern mit Punkten getrennt;
IP-Adresse genannt) ist der wirkliche Server,
das davor der Nutzername, mit dem auf diesen Server zugegriffen werden soll.
Diese Nummer sagt mir nichts; sie ist für die Maschinen gedacht. Es könnte ja wirklich ein ebay-Server sein. Um das zu überprüfen, gebe ich bei http://www.uwhois.com/cgi/whois.cgi die als Suchstring "211.142.226.167" ein und drücke auf "Go". Ich bekomme als Resultat der Anfrage angezeigt, welcher Organisation der entsprechende Blick von IP-Adressen gehört:
inetnum: 211.136.0.0 - 211.143.255.255
netname: CMNET
descr: China Mobile Communications Corporation
descr: Mobile Communications Network Operator in China
descr: Internet Service Provider in China
Was zum Geier hat ebay.com mit einem chinesischen Internet Provider zu tun?? Abgesehen davon, daß ebay.com wegen des US-Handelsembargos gar nicht mit Chinesen Geschäfte machen darf: Ebay ist so groß, daß sie ihre eigenen Adressen haben dürften, was ich schnell nachprüfe.
In der Kommandozeile (Windowstaste+R drücken, dann "command" eingeben) gebe ich
ping www.ebay.com ein. Nun erscheint die Melung Ping pages.ebay.com [66.135.192.87] mit 32 Bytes Daten: und damit in eckigen
Klammern die IP-Adresse des ebay-Servers. Mit dieser Adresse füttere ich nochmal http://www.uwhois.com/cgi/whois.cgi und es erscheint
OrgName: eBay, Inc
OrgID: EBAY
Address: 2145 Hamilton Ave
City: San Jose
StateProv: CA
PostalCode: 95008
Country: US
NetRange: 66.135.192.0 - 66.135.223.255
Ja, ebay hat also selbst einen großen Block [223-192 gibt 31, also 31 mal 255 = 7905 IP-Adressen] reserviert. Es gibt für ebay also keinerlei Grund, auf irgendeinen chinesischen Provider zurückzugreifen.
Die E-Mail ist demnach höchstwahrscheinlich ein Versuch, fremde Passwörter auszuspähen. Ich persönlich hake die E-Mail unter "dreister Versuch" ab, weil ich im Moment eh nicht bieten möchte. Wer auf den Account angewiesen ist, sollte sich zum einen an den ebay-Support werden (ob sie überhaupt solche E-Mails schreiben) und einfach versuchen, ob bieten möglich ist.
Zusammengestellt am 19.
Oktober 2003 von SchoSchi.
Version vom 23. Juli 2006
Online-Version unter www.SchoSchi.de.
Ergänzungsvorschläge + Fragen eMail.
Diese Seite darf weiterverwendet werden (siehe Linzenzhinweis!).
Version vom 23. Juli 2006
Online-Version unter www.SchoSchi.de.
Ergänzungsvorschläge + Fragen eMail.
Diese Seite darf weiterverwendet werden (siehe Linzenzhinweis!).
End of File
