SMS von "eBay.de"

Kenobi van Gin · 14 Aug. 2015

Moin.

Habe eben grade folgende SMS bekommen:

Natürlich stammt die SMS nicht von eBay selbst. Die Adresse im Link gehört ja auch gar nicht zu eBay. Allerdings würde mich interessieren, ob das jetzt zufällig passte, dass ich diese SMS bekommen habe (bin tatsächlich bei eBay-Kleinanzeigen registriert), oder ob es da mal wieder irgendwo ein Datenleck gab.
Weiß jemand etwas oder hat zufällig die gleiche SMS bekommen?

alter_Bekannter · 14 Aug. 2015

0815-Phishing-scheisse, das kann per Definition nichts besonderes sein.

Allerdings für Phishingverhältnisse ziemlich gute Qualität(Schrift und Adresse), hast da ein Qualitätsspammer.

Falls die Nummer wirklich existiert kann der Versender eventuell sogar deine Antwort verstehen.

MSX · 14 Aug. 2015

Was auch immer er hier vorhat, aber da will wohl einer mal fleißig werden: http://e-anzeigen.info/xxx/ :-)

Kenobi van Gin · 14 Aug. 2015

@alter_Bekannter: Jo. Aber wie kommen die an die Handynummer?
Oder hängt das evtl. damit zusammen, dass ich augenblicklich eine Anzeige online hab, die meine Handynummer enthält? Das hieße ja, dass entweder eBay-Kleinanzeigen systematisch nach Anzeigen mit Handynummer durchsucht werden, oder jemand speziell meine Anzeige gesehen und dann dazu passend die Benachrichtigung verfasst hat, was aber ja ein ziemlich großer Aufwand wäre für ein einziges Ziel :unknown:

mathmos · 14 Aug. 2015

Da werden vermutlich einfach Bots auf die Anzeigen losgelassen. Wie halt auch Bots Internetseiten nach E-Mail-Adressen für Spam durchforsten.

matux · 14 Aug. 2015

Was haltet ihr davon die Seite zu spamen?

Vielleicht mit einem Skript, dann darf er hinterher alles aussortieren.

Der hellste scheint er nicht zu sein: http://e-anzeigen.info/

alter_Bekannter schrieb:
Allerdings für Phishingverhältnisse ziemlich gute Qualität(Schrift und Adresse),

Findest du? Schreibt man "bitte" nicht nach dem Komma klein?

mathmos · 14 Aug. 2015

Und sich damit auf eine ähnlich niedrige Stufe zu begeben? Nicht wirklich. Davon abgesehen was bringt es? Dann wird halt die Adresse gewechselt und weiter geht es.

matux · 14 Aug. 2015

Böses mit Bösem zu bekämpfen finde ich in Ordnung.

devrim · 14 Aug. 2015

Kann das stimmen?

Domain Name:E-ANZEIGEN.INFO
Domain ID: D55171348-LRMS
Creation Date: 2015-06-01T19:13:28Z
Updated Date: 2015-08-04T09:24:52Z
Registry Expiry Date: 2016-06-01T19:13:28Z
Sponsoring Registrar:Namesilo, LLC (R620-LRMS)
Sponsoring Registrar IANA ID: 1479
WHOIS Server:
Referral URL:
Domain Status: clientDeleteProhibited -- http://www.icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited -- http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited -- http://www.icann.org/epp#clientUpdateProhibited
Registrant ID:NS-EBB4FA8B5C7DC
Registrant Name:Francesco Gullino
Registrant Organization:
Registrant Street: VIA TITO LIVIO 4/5
Registrant Street: Padova
Registrant City:FONTANIVA
Registrant State/Province:PA
Registrant Postal Code:35014
Registrant Country:IT
Registrant Phone:+39.8898545887
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:fam.lowi77@gmail.com
Admin ID:NS-EBB4FA8B5C7DC
Admin Name:Francesco Gullino
Admin Organization:
Admin Street: VIA TITO LIVIO 4/5
Admin Street: Padova
Admin City:FONTANIVA
Admin State/Province:PA
Admin Postal Code:35014
Admin Country:IT
Admin Phone:+39.8898545887
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:fam.lowi77@gmail.com
Billing ID:NS-EBB4FA8B5C7DC
Billing Name:Francesco Gullino
Billing Organization:
Billing Street: VIA TITO LIVIO 4/5
Billing Street: Padova
Billing City:FONTANIVA
Billing State/Province:PA
Billing Postal Code:35014
Billing Country:IT
Billing Phone:+39.8898545887
Billing Phone Ext:
Billing Fax:
Billing Fax Ext:
Billing Email:fam.lowi77@gmail.com

Kenobi van Gin · 14 Aug. 2015

Die Mailadresse sieht ja zumindest auf den ersten Blick nicht so gefaket aus. Wäre aber schon ziemlich arm

[EDIT:]
Kann aber natürlich auch immer noch sein, dass die Daten zwar echt sind, aber nicht dem Spammer selbst gehören... Also bitte nicht verleitet fühlen, die Daten für einen Gegenangriff zu missbrauchen

Hezu · 14 Aug. 2015

devrim schrieb:
Kann das stimmen?

Na klar, weil Scammer ja auch schon immer ihre echten Daten bei Domainregistrierungen angegeben haben...

Zudem glaube ich nicht, das der Regenschirm-Mörder jetzt auf Internetscam machen muss/kann/will/darf....

DrDuke · 14 Aug. 2015

Mich würde eher interessieren woher der Typ noch einen anonymen Internet SMS Service hat? Darüber müsste man ihn ja identifizieren/abschalten können, da er das ganze sicherlich mit geklauten Daten bestellt hat vermutlich nicht identifizieren, aber sicherlich abschalten! Zumindest der SMS Service macht sich damit doch zu 100% Strafbar? Dachte die Teile sind schon ausgestorben ohne das man seine Hosen runter lassen muss? :unknown:

keinbenutzername · 14 Aug. 2015

Kenobi van Gin schrieb:
@alter_Bekannter: Jo. Aber wie kommen die an die Handynummer?
Oder hängt das evtl. damit zusammen, dass ich augenblicklich eine Anzeige online hab, die meine Handynummer enthält?

ach quatsch, wie weit hergeholt ist das denn

natürlich haben die deine Nummer auf dem Weg erhalten.
oder halt wo anders her.
wenn du dir über jede scheiß spammail oder sms gedanken machen wolltest...

Kenobi van Gin · 14 Aug. 2015

keinbenutzername schrieb:
wenn du dir über jede scheiß spammail oder sms gedanken machen wolltest...

Mail nich, aber Spam-SMS habe ich bisher kaum bekommen :unknown:

Rakorium-M · 14 Aug. 2015

Zumindest die obige Mailadresse ("fam.lowi77@gmail.com") scheint tatsächlich dem Phisher zu gehören.
Das Script auf dem Server speichert keine Daten, sondern schickt Username/Password sowie Kreditkarteninformationen per Mail an besagte Adresse.
Quelle: Sourcecode der Seite

Kannst ja mal bei Google anfragen, ob sie den Account sperren...

Auf dem Server liegt auch ein Crawler, der die Kleinanzeigen durchgeht und Handynummern parst. Übrigens mit einer ausgewachsenen Sicherheitslücke...

Kenobi van Gin · 15 Aug. 2015

Cool. Danke für die Infos!

sia · 16 Aug. 2015

Man könnte das auch an ebay weiterleiten, aber das wäre ja zu einfach.

Die IP 216.172.190.245 gehört zu websitewelcome.com, die wiederum auf IPs von dynect.net (dyn.com) liegt. Wenn man also deren Abuse-Abteilung anschreibt, sollte man die Seite locker offline bekommen.

Dass die saved_resource.html aus dem Ordner eBay Kleinanzeigen Kostenlos. Einfach. Lokal._files folgendes enthält, lässt auf einen Rumänen schließen:
[src=html4strict][/src]

Allerdings deutet ein Kommentar in der payments.php auf ein (billiges) Phishing-Kit hin:
[src=php][/src]

Gibt da wohl nicht viel zu entdecken außer einen rumänischen Kleinkriminellen...

Rakorium-M · 16 Aug. 2015

Im Ordner "xxx" gäbe es noch die download.php zu entdecken - mit einem ziemlich netten Feature. Leider darf der Apache-Server die /etc/passwd nicht lesen...

alter_Bekannter · 16 Aug. 2015

Das Skript filtert übrigens keine EIngaben die dann in Form einer HTML Mail an den Betreiber gesendet werden, Vollhonks sind schon witzig.

Die einzigen Felder die nach schnellem drüber sehen wohl teilweise überprüft werden sind die KK-Nummer, aber nur auf Länge und äh wieder die KK Numnmr, auf Leer...

Kenobi van Gin · 16 Aug. 2015

Hab gestern nochmal eine SMS gleichen Inhalts bekommen. Diesmal hab ich die nicht direkt gelöscht, sondern erst nachgesehen, ob unter den Nachrichtendetails eine Nummer angegeben wird. Wird aber natürlich nicht.
Schade.

SMS von "eBay.de"

Brillenschlange

N.A.C.J.A.C.

Retro-Nerd-Hippie

Brillenschlange

404

Neu angemeldet

404

Neu angemeldet

Aktiver NGBler

Brillenschlange

Ruhe in Frieden

Captain..Wayne???

gesperrt

Brillenschlange

NGBler

Brillenschlange

gesperrt

NGBler

N.A.C.J.A.C.

Brillenschlange