Das GSF spielt Detektiv

JOB · 4. Januar 2009

GSF weiß alles!

Also: Angenommen ich will einem Betrüger auf die Schliche kommen, der vorgibt mal in Deutschland und mal in Spanien zu sein. Was kann man alles aus dem Quelltext einer Email rauslesen? Ich kann mir ja diverses kryptisches Zeug anzeigen lassen das mir leider nix sagt.

Sowas zum Beispiel:

From - Mon Dec 22 11:56:46 2008

X-Account-Key: account2

X-UIDL: 3f4d24f3de7a1377e2d46b8f416b7556

X-Mozilla-Status: 1013

X-Mozilla-Status2: 00000000

X-Mozilla-Keys:

X-Envelope-From: <[email protected]>

X-Envelope-To: <[email protected]>

X-Delivery-Time: 1229943292

X-UID: 24698

Return-Path: <[email protected]>

X-RZG-CLASS-ID: mi

Received: from mail.gmx.net ([213.165.64.20])

by mailin.webmailer.de (hamish mi56) (RZmta 18.3)

with SMTP id 207322kBMAfhUS for <[email protected]>;

Mon, 22 Dec 2008 11:54:52 +0100 (MET)

Received: (qmail 502 invoked by uid 0); 22 Dec 2008 10:54:52 -0000

Received: from 141.76.45.35 by www117.gmx.net with HTTP;

Mon, 22 Dec 2008 11:54:51 +0100 (CET)

Content-Type: text/plain; charset="iso-8859-1"

Date: Mon, 22 Dec 2008 11:54:52 +0100

From: [email protected]

In-Reply-To: <[email protected]>

Message-ID: <[email protected]>

MIME-Version: 1.0

References: <[email protected]>

<[email protected]> <[email protected]>

<[email protected]>

Subject: Re: GSF

To: Jan Brand <[email protected]>

X-Authenticated: #50324276

X-Flags: 0001

X-Mailer: WWW-Mail 6100 (Global Message Exchange)

X-Priority: 3

X-Provags-ID: V01U2FsdGVkX19zYwtrVhJz+zmHDcDiZk5XxC2MZz9GrNHN4sbCGw

K3dUTEOyAfRrkd8GpPjzY3dWwm75CQwSbVEA==

Content-Transfer-Encoding: 8bit

X-GMX-UID: mBgqCKIqfW47XA65iGdod6JudmllckV+

X-FuHaFi: 0.53

Was kann man da rauslesen? alteroller.de bin ich und aero.dom is bei mir auf Maloche.

Kam die gmx-Mail immer vom gleichen Rechner oder wechselt das? Die Zahl vor dem @ scheint Datum / Uhrzeit zu sein, mit irgendnem Zusatz. Die Mail ging mehrfach hin- und her.

Was kann man sonst tum um rauszukriegen woher ne Email kommt.

Bittedanke!

Edit: Hab mal die Absender-Mailadresse geändert, nicht daß irgendein Witzbold dem Kerl ne Nachricht schreibt.

Bearbeitet 4. Januar 2009 von JOB

ric_two · 4. Januar 2009

hier mal reinschauen!

schon merkwürdig^^

Bearbeitet 4. Januar 2009 von ric_two

brianjones71 · 4. Januar 2009

Kann es sein, dass er sich in Dresden an der TU aufhält/hielt?

ric_two · 4. Januar 2009

nö, aber der benutzt ein anonymitätstool das dort entwickelt wurde...

Kann es sein, dass er sich in Dresden an der TU aufhält/hielt?

guevara · 4. Januar 2009

2 Dinge:

- Email-Header sind leicht zu fälschen.

aber

<snip>

Received: from 141.76.45.35 by www117.gmx.net with HTTP;

</>

$ whois -h whois.ripe.net 141.76.45.35

zeigt auf

% Information related to '141.76.0.0 - 141.76.255.255'

inetnum: 141.76.0.0 - 141.76.255.255

netname: TUDINF-LAN

descr: Technische Universitaet Dresden

country: DE

admin-c: CK29-RIPE

tech-c: WW20

status: ASSIGNED PI

mnt-by: DFN-LIR-MNT

mnt-irt: IRT-DFN-CERT

mnt-lower: DFN-LIR-MNT

mnt-routes: DFN-MNT

source: RIPE # Filtered

Vielleicht hilft dir das ja weiter.

ric_two · 4. Januar 2009

und ich sach noch, das 141.76.45.35 auf anon-online.org zeigt!!!! Macht mal ein nslookup auf die ip :)

Das ist das Tool das er benutzt um seine herkunft zu verschleiern!!!!

2 Dinge:
- Email-Header sind leicht zu fälschen.
aber
<snip>
Received: from 141.76.45.35 by www117.gmx.net with HTTP;
</>
$ whois -h whois.ripe.net 141.76.45.35
zeigt auf
% Information related to '141.76.0.0 - 141.76.255.255'
inetnum: 141.76.0.0 - 141.76.255.255
netname: TUDINF-LAN
descr: Technische Universitaet Dresden
country: DE
admin-c: CK29-RIPE
tech-c: WW20
status: ASSIGNED PI
mnt-by: DFN-LIR-MNT
mnt-irt: IRT-DFN-CERT
mnt-lower: DFN-LIR-MNT
mnt-routes: DFN-MNT
source: RIPE # Filtered
Vielleicht hilft dir das ja weiter.

Bearbeitet 4. Januar 2009 von ric_two

JOB · 4. Januar 2009

Das GSF ist ja so geil. Ich versteh zwar nur Bahnhof, aber bin sehr gespannt was hier noch so rauskommt.

Ich kann grade hier nicht die ganze Geschichte posten, aber das ist ein richtiger Betrüger der schon nen immensen Schaden angerichtet hat.

ric_two · 4. Januar 2009

1. Der braucht den mail header nicht zu faken!

2. wie blöd müsste der sein, mit ner TU ip adresse leute zu betrügen?

3. Kriegst du ihn über den anon-online.org Dienst der TU Dresden am A****

4. stimmt die mailadresse ist ja auch bekannt^^

schau dir mal bitte die Seite an JOB!

Das GSF ist ja so geil. Ich versteh zwar nur Bahnhof, aber bin sehr gespannt was hier noch so rauskommt.
Ich kann grade hier nicht die ganze Geschichte posten, aber das ist ein richtiger Betrüger der schon nen immensen Schaden angerichtet hat.

Bearbeitet 4. Januar 2009 von ric_two

ulai · 4. Januar 2009

Wenn er ein Anomymisierungsservice nutzt kannste als Privatmann nix machen. Bei Schaden Anzeige, sich an GMX wenden und darauf hoffen das er nicht den kompletten Mailverkehr über annymdienste abwickelt. Adresse schon ergoogelt bzw. via metacrawler ?

ric_two · 4. Januar 2009

..stimmt schon!

Aber, er könnte den Mehlmützen bei Anzeigeerstattung ja einen Tip in diese Richtung geben^^

welche adresse meinst du?

Wenn er ein Anomymisierungsservice nutzt kannste als Privatmann nix machen. Bei Schaden Anzeige, sich an GMX wenden und darauf hoffen das er nicht den kompletten Mailverkehr über annymdienste abwickelt. Adresse schon ergoogelt bzw. via metacrawler ?

Bearbeitet 4. Januar 2009 von ric_two

brianjones71 · 4. Januar 2009

welche adresse meinst du?

Er meint bestimmt die eMailadresse. Und ja, da steht einiges im Web zu, inkl. Name, Adresse usw. sogar eine Kopie seines Führerscheins, die aber aussieht, als sein sie in Windows-Paint bearbeitet worden!

Bearbeitet 4. Januar 2009 von brianjones71

ulai · 4. Januar 2009

Aja.. Wenn du nen namen im web gefunden hast hilft für weitere infos auch gerne yasni.de weiter . Wobei der typ nicht so blöd sein kann und sich für diverse betrugsversuche ne extra adresse anlegt.

ric_two · 4. Januar 2009

ach?

Aber dann braucht man doch den emailverkehr nicht mehr zu analysieren?

Er meint bestimmt die eMailadresse. Und ja, da steht einiges im Web zu, inkl. Name, Adresse usw. sogar eine Kopie seines Führerscheins, die aber aussieht, als sein sie in Windows-Paint bearbeitet worden!

brianjones71 · 4. Januar 2009

ach?
Aber dann braucht man doch den emailverkehr nicht mehr zu analysieren?

Der JOB wollte ja eingangs wissen, ob man rausfinden kann, wo die Person sich aufhält. Ob in D oder Espana!

Der_Spanier · 4. Januar 2009

Ist das eventuell einer von denen die bei Motoscout 24 usw Fahrzeuge anbieten die es garnicht gibt?

Hab da auch schon so meine Erfahrungen mit gemacht...

brianjones71 · 4. Januar 2009

Ist das eventuell einer von denen die bei Motoscout 24 usw Fahrzeuge anbieten die es garnicht gibt?
Hab da auch schon so meine Erfahrungen mit gemacht...

Ne, der ist eher ein Uhrenverkäufer, aber vielleicht macht er auch in Fahrzeugen und es hat sich noch keiner öffentlich beschwert!

JOB · 4. Januar 2009

Der JOB wollte ja eingangs wissen, ob man rausfinden kann, wo die Person sich aufhält. Ob in D oder Espana!

Ne, der ist eher ein Uhrenverkäufer, aber vielleicht macht er auch in Fahrzeugen und es hat sich noch keiner öffentlich beschwert!

Ja, es geht in diesem Fall tatsächlich um einen Typ der scheinbar im größeren Stil Leute mit recht teuren Uhren betrügt. Ich will jetzt nicht ins Detail gehen, aber scheinbar wendet er mit dieselbe Masche seit ein paar Jahren an und ändert dabei immer nur ein paar Buchstaben im Namen, und gibt - je nachdem - vor, in Deutschland, Spanien oder der Schweiz zu sein.

Möglicherweise bin ich ihm auch aufgesessen, was relativ peinlich wäre. Ich habe auch schon Anzeige erstattet.

Nachdem ich ein bißchen das Netz durchforstet habe haben sich krasse Sachen aufgetan. Die deutsche Polizei verfolgt sowas relativ unmotiviert solange es keine Toten gibt oder es um Millionen geht. Ich sehe die Chancen nun deutlich höher wenn sich nachweisen ließe daß der Kerl das im größeren Stil macht und verschiedene Identitäten vorgibt.

Mein Primärziel ist es erst mal seiner Bank nachzuweisen daß sie nen Fehler gemacht hat indem sie Zahlungen auf ein- und dasselbe Konto akzeptiert wenn verschiedene Inhabernamen angegeben sind. Ich will ja hauptsächlich mein Geld zurück, oder den Deal zuende bringen. Nachdem ich inzwischen mit ein paar Geschädigten in Kontakt stehe will ich unabhängig davon natürlich daß der Arsch ordentlich was auf die Mütze bekommt.

JOB · 4. Januar 2009

1. Der braucht den mail header nicht zu faken!
2. wie blöd müsste der sein, mit ner TU ip adresse leute zu betrügen?
3. Kriegst du ihn über den anon-online.org Dienst der TU Dresden am A****
4. stimmt die mailadresse ist ja auch bekannt^^
schau dir mal bitte die Seite an JOB!

Das mit dem anon-Dienst ist ja interessant.

Soll ich mal schauen daß ich Header von alten E-Mails von anderen Geschädigten auftreibe?

Scheinbar ist der Kerl seit 2005 aktiv! Wäre ja denkbar daß der damals noch nicht an sowas gedacht hat, oder es sowas noch nicht gab.

Eydsoab · 4. Januar 2009

Das mit dem anon-Dienst ist ja interessant.
Soll ich mal schauen daß ich Header von alten E-Mails von anderen Geschädigten auftreibe?
Scheinbar ist der Kerl seit 2005 aktiv! Wäre ja denkbar daß der damals noch nicht an sowas gedacht hat, oder es sowas noch nicht gab.

den dienst gibts schon seit 2002 oder 2003 und fürher war er relativ bekannt, also bekannter als heute, da er gerne mal in computer zeitschriften vorgestellt wurde...

ric_two · 4. Januar 2009

hmmh, ihr(Die Geschädigten) habt doch alle Daten von dem Kerl!!! Aktuelle Adresse in der Schweiz etc.

Würde die gesammelten Erkenntisse einfach den Bullen übergeben....

Hammer sind ja auch die Schweden, haha die würden den wohl glatt Lynchen :)

Der ist ja offensichtlich in diesem Zeitraum auch in die Schweiz ausgewandert, keine Ahnung ob das dann Sinn macht?

Das mit dem anon-Dienst ist ja interessant.
Soll ich mal schauen daß ich Header von alten E-Mails von anderen Geschädigten auftreibe?
Scheinbar ist der Kerl seit 2005 aktiv! Wäre ja denkbar daß der damals noch nicht an sowas gedacht hat, oder es sowas noch nicht gab.

Bearbeitet 4. Januar 2009 von ric_two

ric_two · 4. Januar 2009

oki, hab ich jetzt erst gelesen!

Aber ohne Mehlmützen bzw. ne saftige Anzeige wird das nix....

Ja, es geht in diesem Fall tatsächlich um einen Typ der scheinbar im größeren Stil Leute mit recht teuren Uhren betrügt. Ich will jetzt nicht ins Detail gehen, aber scheinbar wendet er mit dieselbe Masche seit ein paar Jahren an und ändert dabei immer nur ein paar Buchstaben im Namen, und gibt - je nachdem - vor, in Deutschland, Spanien oder der Schweiz zu sein.
Möglicherweise bin ich ihm auch aufgesessen, was relativ peinlich wäre. Ich habe auch schon Anzeige erstattet.
Nachdem ich ein bißchen das Netz durchforstet habe haben sich krasse Sachen aufgetan. Die deutsche Polizei verfolgt sowas relativ unmotiviert solange es keine Toten gibt oder es um Millionen geht. Ich sehe die Chancen nun deutlich höher wenn sich nachweisen ließe daß der Kerl das im größeren Stil macht und verschiedene Identitäten vorgibt.
Mein Primärziel ist es erst mal seiner Bank nachzuweisen daß sie nen Fehler gemacht hat indem sie Zahlungen auf ein- und dasselbe Konto akzeptiert wenn verschiedene Inhabernamen angegeben sind. Ich will ja hauptsächlich mein Geld zurück, oder den Deal zuende bringen. Nachdem ich inzwischen mit ein paar Geschädigten in Kontakt stehe will ich unabhängig davon natürlich daß der Arsch ordentlich was auf die Mütze bekommt.

ric_two · 4. Januar 2009

..könnte klappen, das du über seine dynamische ip via provider an seine identität rankommst.....

Das mit dem anon-Dienst ist ja interessant.
Soll ich mal schauen daß ich Header von alten E-Mails von anderen Geschädigten auftreibe?
Scheinbar ist der Kerl seit 2005 aktiv! Wäre ja denkbar daß der damals noch nicht an sowas gedacht hat, oder es sowas noch nicht gab.

Vespadirk · 5. Januar 2009

Mein Primärziel ist es erst mal seiner Bank nachzuweisen daß sie nen Fehler gemacht hat indem sie Zahlungen auf ein- und dasselbe Konto akzeptiert wenn verschiedene Inhabernamen angegeben sind.

Da hast du Glück.

Denn in D gilt das Prinzip des Namenkontos.

Also ist die Bank die Dumme, wenn der Name nicht mit der Kto. übereinstimmt.

Falls du da weitergehendes Interesse hast, mach dich mal über den § 676a BGB schlau....

Gruß Dirk

athanasius · 5. Januar 2009

Der Name klingt aber nicht so ähnlich wie "Lubos Amrich", oder?

JOB · 5. Januar 2009

Da hast du Glück.
Denn in D gilt das Prinzip des Namenkontos.
Also ist die Bank die Dumme, wenn der Name nicht mit der Kto. übereinstimmt.
Falls du da weitergehendes Interesse hast, mach dich mal über den § 676a BGB schlau....
Gruß Dirk

Interessant, Danke!

War gerade bei meiner Bank, die sagen daß sie bei einer Überweisung nicht Name und Kontonummer überprüfen - das sei Aufgabe der Empfängerbank.

Die Empfängerbank rückt natürlich nix raus, Bankgeheimnis und so. Schätze mal ohne RA wird da nix laufen, es ist zum Kotzen. Stelle jetzt trotzdem mal schriftlich ne Rückforderung bei meiner Bank, mal sehen.

Zum Kotzen.

Der Name klingt aber nicht so ähnlich wie "Lubos Amrich", oder?

Nein.

JOB · 6. Januar 2009

Dürfte ich noch mal um ne Analyse bitten - das ist der Header von ner Mail, die ein anderer Geschädigter bekommen hat. Der Betrüger hat diesmal ne andere Mailadresse verwendet.

Delivered-To: [email protected]

Received: by 10.223.111.145 with SMTP id s17cs127842fap;

Sat, 13 Dec 2008 07:31:15 -0800 (PST)

Received: by 10.210.51.10 with SMTP id y10mr5571951eby.16.1229182274549;

Sat, 13 Dec 2008 07:31:14 -0800 (PST)

Return-Path: <[email protected]>

Received: from n6a.bullet.ukl.yahoo.com (n6a.bullet.ukl.yahoo.com

[217.146.183.154])

by mx.google.com with SMTP id 4si12766335ewy.95.2008.12.13.07.31.13;

Sat, 13 Dec 2008 07:31:13 -0800 (PST)

Received-SPF: neutral (google.com: 217.146.183.154 is neither

permitted nor denied by domain of [email protected])

client-ip=217.146.183.154;

DomainKey-Status: bad (test mode)

Authentication-Results: mx.google.com; spf=neutral (google.com:

217.146.183.154 is neither permitted nor denied by domain of

[email protected]) [email protected];

domainkeys=hardfail (test mode) [email protected]

Received: from [217.146.182.178] by n6.bullet.ukl.yahoo.com with

NNFMP; 13 Dec 2008 15:31:12 -0000

Received: from [87.248.110.118] by t4.bullet.ukl.yahoo.com with NNFMP;

13 Dec 2008 15:31:12 -0000

Received: from [127.0.0.1] by omp223.mail.ukl.yahoo.com with NNFMP; 13

Dec 2008 15:31:12 -0000

X-Yahoo-Newman-Property: ymail-3

X-Yahoo-Newman-Id: [email protected]

Received: (qmail 88609 invoked by uid 60001); 13 Dec 2008 15:31:12 -0000

DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;

s=s1024; d=yahoo.de;

h=X-YMail-OSG:Received:X-Mailer:References:Date:From:Subject:To:MIME-Version:Content-Type:Message-ID;

b=ZQvPkT+cOL7yo6W5MmqYWZ/bu6/v568yVqH/d+3ZkjZlG/XCOpDXUyJFammFU5AE4FTaOsejvr4f0ohx/dX4xDIiS9HsRYHJooXXumWcAh2X1PQmI6BSKQ+nxqgRY9zC9OFdtXdlEP9Y5R4Ztapa1PHbihNs4IOJd

FPWjOa+ZGA=;

X-YMail-OSG: uOy0o48VM1njJIv46Qjiim6nOs7um1XNgyg8DG4_XLlYSX3MfaHYR4hdpVn52Y2nZW2vx2QggQefCJZu

ry_jMcshQfdP2Dypl6GkOCsuMpJoJHYzGcWsoMFkZI2llqWo81uz88DGTmZij0EwtHXIy_XS_.sMNW5R

Q

yPXl_lzX927NMWIXRt9DlYgdApRQP7SVq9aLBTpZ.ZXabvoBN4cA.luXiOzrrELe7LQSwrWWWjUXZT4f

b

hAQXHpOLedU40NB2fN

Received: from [81.202.5.192] by web28406.mail.ukl.yahoo.com via HTTP;

Sat, 13 Dec 2008 15:31:12 GMT

X-Mailer: YahooMailRC/1155.32 YahooMailWebService/0.7.260.1

References: <[email protected]>

<[email protected]>

Date: Sat, 13 Dec 2008 15:31:12 +0000 (GMT)

From: "Christian L." <[email protected]>

Subject: AW: speedmaster reduced

To: Keith Alden <[email protected]>

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="0-405642426-1229182272=:88146"

Message-ID: <[email protected]>

--0-405642426-1229182272=:88146

Content-Type: text/plain; charset=utf-8

Content-Transfer-Encoding: quoted-printable

Waterpiper · 6. Januar 2009

Die Mail kommt wohl aus Spanien, oder von nem Spanischem Server.

Hier sind irgendwie zuviele Ips drin, aber die eine scheint aus London zu sein die andere aus Spanien

Received: from [217.146.182.178] by n6.bullet.ukl.yahoo.com with

NNFMP; 13 Dec 2008 15:31:12 -0000

Endgland London

Received: from [87.248.110.118] by t4.bullet.ukl.yahoo.com with NNFMP;

13 Dec 2008 15:31:12 -0000

Spanien Madrid

Seh ich das richtig so, dass er von mehreren Leuten auf die gleiche Kontonummer, aber immer anderen Namen Geld bekommen hat?

Anhand der Kontodaten müsste man doch seine Adresse herausfinden können, zur Not für 5€ über das Einwohnermeldeamt?

Dann könnte ihn ja jemand besuchen und die Uhr abholen...

Außerdem müsste er ja für die Eröffnung eines Kontos einen festen Wohnsitz haben.

Sagt dir "topseconds" was?

Bearbeitet 6. Januar 2009 von Waterpiper

JOB · 6. Januar 2009

Die Mail kommt wohl aus Spanien, oder von nem Spanischem Server.
Hier sind irgendwie zuviele Ips drin, aber die eine scheint aus London zu sein die andere aus Spanien
Received: from [217.146.182.178] by n6.bullet.ukl.yahoo.com with
NNFMP; 13 Dec 2008 15:31:12 -0000
Endgland London
Received: from [87.248.110.118] by t4.bullet.ukl.yahoo.com with NNFMP;
13 Dec 2008 15:31:12 -0000
Spanien Madrid
Seh ich das richtig so, dass er von mehreren Leuten auf die gleiche Kontonummer, aber immer anderen Namen Geld bekommen hat?
Anhand der Kontodaten müsste man doch seine Adresse herausfinden können, zur Not für 5? über das Einwohnermeldeamt?
Dann könnte ihn ja jemand besuchen und die Uhr abholen...
Außerdem müsste er ja für die Eröffnung eines Kontos einen festen Wohnsitz haben.
Sagt dir "topseconds" was?

Ja, so isses mit dem Konto. Als Privatperson kriegste da aber nix raus, keine Chance.

Das mit Spanien paßt ins Bild, danke!

Topseconds hat mir bis grade nix gesagt, hab aber mal gegoogelt. Kann mir nicht vorstellen daß es da nen Zusammenhang gibt. Oder hast Du was in der Richtung rausdechiffriert??

JOB · 7. Januar 2009

Nochmal ich: Stimmt es, daß ich mit whois quasi nur rauskriegen kann in welchem Land die Mail abgeschickt wurde?

Die Infos über die IP in der untersten received-Zeile sagen mir nur wo der Server steht der die Mail als erstes empfangen bzw. weitergeleitet hat.

Habe zur Kontrolle mal ein paar eigene Mails (Standort München) gewhoisd, da kam abwechselnd Frankfurt oder Berlin raus - wahrscheinlich weil da ein ganzer Serverzoo von meinem Provider steht. Genauer läßt sich also nix lokalisieren, richtig?

**subway** · 7. Januar 2009

Richtig. Und wenn du dich per Webfrontend bei deinem Mailprovider einloggst, von da eine Mail verschickst und in Timbuktu bist, sagt dir das whois immer noch, du seist in Deutschland. Wirklich sagen kann man das anhand der Mailheader also nicht wirklich. Dazu wäre das Verbindungsprotokoll des Mailservers bzw. des Webservers erforderlich.

Das GSF spielt Detektiv

Empfohlene Beiträge

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Wer ist Online 0 Benutzer

Beiträge

Wichtige Information