SMS von "eBay.de"

Jump to last post
Kenobi van Gin

Kenobi van Gin

Brillenschlange
Registriert
14 Juli 2013
Beiträge
3.520
Ort
.\
Moin.

Habe eben grade folgende SMS bekommen:

ebay.png

Natürlich stammt die SMS nicht von eBay selbst. Die Adresse im Link gehört ja auch gar nicht zu eBay. Allerdings würde mich interessieren, ob das jetzt zufällig passte, dass ich diese SMS bekommen habe (bin tatsächlich bei eBay-Kleinanzeigen registriert), oder ob es da mal wieder irgendwo ein Datenleck gab.
Weiß jemand etwas oder hat zufällig die gleiche SMS bekommen?
 
0815-Phishing-scheisse, das kann per Definition nichts besonderes sein.

Allerdings für Phishingverhältnisse ziemlich gute Qualität(Schrift und Adresse), hast da ein Qualitätsspammer.

Falls die Nummer wirklich existiert kann der Versender eventuell sogar deine Antwort verstehen.:p
 
Was auch immer er hier vorhat, aber da will wohl einer mal fleißig werden:
You do not have permission to view link please Anmelden or Registrieren
:-)
 
  • Thread Starter Thread Starter
  • #4
@alter_Bekannter: Jo. Aber wie kommen die an die Handynummer?
Oder hängt das evtl. damit zusammen, dass ich augenblicklich eine Anzeige online hab, die meine Handynummer enthält? Das hieße ja, dass entweder eBay-Kleinanzeigen systematisch nach Anzeigen mit Handynummer durchsucht werden, oder jemand speziell meine Anzeige gesehen und dann dazu passend die Benachrichtigung verfasst hat, was aber ja ein ziemlich großer Aufwand wäre für ein einziges Ziel :unknown:
 
Da werden vermutlich einfach Bots auf die Anzeigen losgelassen. Wie halt auch Bots Internetseiten nach E-Mail-Adressen für Spam durchforsten.
 
Was haltet ihr davon die Seite zu spamen? :D Vielleicht mit einem Skript, dann darf er hinterher alles aussortieren.

Der hellste scheint er nicht zu sein:
You do not have permission to view link please Anmelden or Registrieren


alter_Bekannter schrieb:
Allerdings für Phishingverhältnisse ziemlich gute Qualität(Schrift und Adresse),
Zum Vergrößern anklicken....

Findest du? Schreibt man "bitte" nicht nach dem Komma klein?
 
Und sich damit auf eine ähnlich niedrige Stufe zu begeben? Nicht wirklich. Davon abgesehen was bringt es? Dann wird halt die Adresse gewechselt und weiter geht es.
 
Kann das stimmen?
Domain Name:E-ANZEIGEN.INFO
Domain ID: D55171348-LRMS
Creation Date: 2015-06-01T19:13:28Z
Updated Date: 2015-08-04T09:24:52Z
Registry Expiry Date: 2016-06-01T19:13:28Z
Sponsoring Registrar:Namesilo, LLC (R620-LRMS)
Sponsoring Registrar IANA ID: 1479
WHOIS Server:
Referral URL:
Domain Status: clientDeleteProhibited --
You do not have permission to view link please Anmelden or Registrieren

Domain Status: clientRenewProhibited --
You do not have permission to view link please Anmelden or Registrieren

Domain Status: clientTransferProhibited --
You do not have permission to view link please Anmelden or Registrieren

Domain Status: clientUpdateProhibited --
You do not have permission to view link please Anmelden or Registrieren

Registrant ID:NS-EBB4FA8B5C7DC
Registrant Name:Francesco Gullino
Registrant Organization:
Registrant Street: VIA TITO LIVIO 4/5
Registrant Street: Padova
Registrant City:FONTANIVA
Registrant State/Province:PA
Registrant Postal Code:35014
Registrant Country:IT
Registrant Phone:+39.8898545887
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:fam.lowi77@gmail.com
Admin ID:NS-EBB4FA8B5C7DC
Admin Name:Francesco Gullino
Admin Organization:
Admin Street: VIA TITO LIVIO 4/5
Admin Street: Padova
Admin City:FONTANIVA
Admin State/Province:PA
Admin Postal Code:35014
Admin Country:IT
Admin Phone:+39.8898545887
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:fam.lowi77@gmail.com
Billing ID:NS-EBB4FA8B5C7DC
Billing Name:Francesco Gullino
Billing Organization:
Billing Street: VIA TITO LIVIO 4/5
Billing Street: Padova
Billing City:FONTANIVA
Billing State/Province:PA
Billing Postal Code:35014
Billing Country:IT
Billing Phone:+39.8898545887
Billing Phone Ext:
Billing Fax:
Billing Fax Ext:
Billing Email:fam.lowi77@gmail.com
Zum Vergrößern anklicken....
 
  • Thread Starter Thread Starter
  • #10
Die Mailadresse sieht ja zumindest auf den ersten Blick nicht so gefaket aus. Wäre aber schon ziemlich arm :D

[EDIT:]
Kann aber natürlich auch immer noch sein, dass die Daten zwar echt sind, aber nicht dem Spammer selbst gehören... Also bitte nicht verleitet fühlen, die Daten für einen Gegenangriff zu missbrauchen ;)
 
Mich würde eher interessieren woher der Typ noch einen anonymen Internet SMS Service hat? Darüber müsste man ihn ja identifizieren/abschalten können, da er das ganze sicherlich mit geklauten Daten bestellt hat vermutlich nicht identifizieren, aber sicherlich abschalten! Zumindest der SMS Service macht sich damit doch zu 100% Strafbar? Dachte die Teile sind schon ausgestorben ohne das man seine Hosen runter lassen muss? :unknown:
 
Kenobi van Gin schrieb:
@alter_Bekannter: Jo. Aber wie kommen die an die Handynummer?
Oder hängt das evtl. damit zusammen, dass ich augenblicklich eine Anzeige online hab, die meine Handynummer enthält?
Zum Vergrößern anklicken....

ach quatsch, wie weit hergeholt ist das denn :D
:m:rolleyes:
natürlich haben die deine Nummer auf dem Weg erhalten.
oder halt wo anders her.
wenn du dir über jede scheiß spammail oder sms gedanken machen wolltest...
 
Zumindest die obige Mailadresse ("fam.lowi77@gmail.com") scheint tatsächlich dem Phisher zu gehören.
Das Script auf dem Server speichert keine Daten, sondern schickt Username/Password sowie Kreditkarteninformationen per Mail an besagte Adresse.
Quelle:
You do not have permission to view link please Anmelden or Registrieren


Kannst ja mal bei Google anfragen, ob sie den Account sperren...


Auf dem Server liegt auch ein Crawler, der die Kleinanzeigen durchgeht und Handynummern parst. Übrigens mit einer ausgewachsenen Sicherheitslücke...
 
Man könnte das auch an ebay weiterleiten, aber das wäre ja zu einfach.

Die IP 216.172.190.245 gehört zu websitewelcome.com, die wiederum auf IPs von dynect.net (dyn.com) liegt. Wenn man also deren Abuse-Abteilung anschreibt, sollte man die Seite locker offline bekommen.

Dass die saved_resource.html aus dem Ordner eBay Kleinanzeigen Kostenlos. Einfach. Lokal._files folgendes enthält, lässt auf einen Rumänen schließen:
[src=html4strict]<!-- saved from url=(0228)https://www.google.ro/ads/user-lists/1019393085/?label=9bxiCMPlvwQQveiK5gM&fmt=1&num=1&cv=7&frm=0&url=https%3A//kleinanzeigen.ebay.de/anzeigen/m-einloggen.html&ref=http%3A//kleinanzeigen.ebay.de/anzeigen/&random=1600488227&ipr=y -->[/src]

Allerdings deutet ein Kommentar in der payments.php auf ein (billiges) Phishing-Kit hin:
[src=php]<!-- release 2/10/2015 2pm -->[/src]

Gibt da wohl nicht viel zu entdecken außer einen rumänischen Kleinkriminellen...
 
Zuletzt bearbeitet:
Im Ordner "xxx" gäbe es noch die download.php zu entdecken - mit einem ziemlich netten Feature. Leider darf der Apache-Server die /etc/passwd nicht lesen...
 
Das Skript filtert übrigens keine EIngaben die dann in Form einer HTML Mail an den Betreiber gesendet werden, Vollhonks sind schon witzig.

Die einzigen Felder die nach schnellem drüber sehen wohl teilweise überprüft werden sind die KK-Nummer, aber nur auf Länge und äh wieder die KK Numnmr, auf Leer...
 
  • Thread Starter Thread Starter
  • #20
Hab gestern nochmal eine SMS gleichen Inhalts bekommen. Diesmal hab ich die nicht direkt gelöscht, sondern erst nachgesehen, ob unter den Nachrichtendetails eine Nummer angegeben wird. Wird aber natürlich nicht.
Schade.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben