Gestern habe ich über den Phishingversuch bei Autoscout24 berichtet und das natürlich gleichzeitig auch an Autoscout24 gemeldet. Heute bekam ich direkt eine Antwort, die besagte, dass man mit dem ISP Kontakt aufgenommen habe. Ich hoffe, die Seite ist bald vom Netz.
Heute wartete ich auf eine E-Mail und habe mal wieder mittels Telnet meine E-Mails gelesen. Dabei fiel mir das folgende Exemplar ins Auge:
Received: from 192.168.168.235 ([64.4.198.165])
by avalon.iks-jena.de (8.13.4/8.13.1) with SMTP id k63IDsee010896
for ; Mon, 3 Jul 2006 20:13:57 +0200 (MET DST)
Received: from 40.65.185.243 by ; Mon, 03 Jul 2006 18:05:08 -0100
Message-ID:
From: “noreply@autoscout24.de”
Reply-To: “noreply@autoscout24.de”
To: jens@kubieziel.de
Subject: Inserate Absage - handeln Sie Bitte jetzt, um sie wiederherzustellen.
Date: Mon, 03 Jul 2006 21:06:08 +0200
X-Mailer: AOL 7.0 for Windows US sub 118
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=“--8946726060609699314”
X-Priority: 1
X-MSMail-Priority: High
Status: RO
Content-Length: 1347
Lines: 24
----8946726060609699314
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<html>=0A=0A<head>=0A<meta http-equiv=3D“Content-Language” content=3D"en-u=
s“>=0A<meta http-equiv=3D”Content-Type“ content=3D”text/html; charset=3Dwi=
ndows-1252">=0A<title>Sehr Autoscout24 Mitglied</title>=0A</head>=0A=0A<bo=
dy>=0A=0A<p>Sehr Autoscout24 Mitglied,<br>=0A<br>=0AEs gibt ein Problem mi=
t Ihrem Autoscout24 inserate.<br>=0A<br>=0AIhr Inserate ist geschlossen wo=
rden, weil wir einige Probleme mit unserem Server =0Ahaben.<br>=0A<br>=0AU=
m sie wiederherzustellen, klicken Sie bitte auf das Verbindungsgebr=FCll.<=
br>=0A<br>=0A<a href=3D“http://84.9.10.216:89/auto/”>Klicken Sie hier!</a>=
<br>=0A<br>=0A=DCber folgenden Link k=F6nnen Sie zu Ihrem Inserat Bilder e=
instellen, =0AZeitungsinserate aufgeben oder die Fahrzeugdaten ver=E4ndern=
Bitte beachten Sie, =0Adass die Einstellung von Bildern die Verkaufswahr=
scheinlichkeit Ihres Fahrzeuges =0Aum 400% erh=F6ht.<br>=0A<br>=0AMein Aut=
oScout24: <br>=0A<a style=3D“text-decoration: underline” target=3D“_blank”=
href=3D“http://84.9.10.216:89/auto/”>=0Ahttp://www.autoscout24.de//home/i=
ndex/uploadimages.asp?ts=3D7924521&id=3D65108848</a><br>=0A<br>=0A<br>=
=0A<br>=0AIhr AutoScout24-Team<br>=0A<br>=0A </p>=0A=0A</body>=0A=0A<=
/html>=0A
----8946726060609699314--
Allein der Satz Um sie wiederherzustellen, klicken Sie bitte auf das Verbindungsgebrüll.
verrät, dass es sich kaum um eine E-Mail von Autoscout24 handelt. Wenn man dann mal die beworbene Seite (http://84.9.10.216:89/auto/) aufruft, sieht man, wie erwartet, eine Seite, die der von Autoscout24 täuschend ähnlich sieht.
Nun machte ich mich auf der Seite auf die Suche nach der üblichen Phisherseite, die dann Passworte oder sonstiges abgreift. Doch auch nach längerem Draufschauen konnte ich nichts dergleichen finden. Alle referenzierten Seiten scheinen zu Autoscout24 bzw. einer der Partnerseiten zu gehören. Falls jemand selbst suchen will, habe ich die Datei im temporären Bereich der Seite abgelegt. Für mich sieht es so aus, als ob der Fast-Phisher die Seite mit dem Firefox gespeichert hat (siehe Verzeichnisname login[1]_files der Unterverzeichnisse) und sich beim Versenden vertan hat. Es finden sich nämlich auf der Seite auf Verweise auf eine lokale Datei F:\Rugat\.... Er war offensichtlich noch nicht ganz fertig mit dem Bearbeiten oder es ist ein Phishazubi mit dem ersten Praktikumsversuch. 
Der Rechner, der die Seite hostet, ist eine Windowsmaschine. Darauf läuft ein Apache 1.3.23 und liefert die betreffenden Seiten aus.
Hat jemand von euch ähnlichen Kram bekommen? War das dann weiter bearbeitet?
Update: Inmitten des HTML-Gewusels habe ich doch die richtige Zeile gefunden. In der Zeile 282 wird ein HTML-Formulartag geöffnet und dort steht <FORM name=loginform action=post.php method=post>. Wieso habe ich das vorhin nur übersehen? Hmm, jetzt könnte ich mir natürlich ein kleines Skript basteln, was sich dauernd bei der Seite einloggt ... 
Mit dem Ton des Zeitzeichens war es
06-05-04 03:02:01
Vielen Dank für die Aufmerksamkeit!
In Jena ist demnächst Oberbürgermeisterwahl und da werden diverse Kleinigkeiten verschenkt. Mir drückte ein Vertreter der CDU einen Fußballplaner in die Hand. Normalerweise ist der dazu gedacht, alle Spiele zu verfolgen und die Ergebnisse fein säuberlich einzutragen. Ich habe ihn jedoch mal dazu benutzt, um zu “berechnen”, wer denn Weltmeister wird.
“Mein” Weltmeister musste zwanzig Jahre warten, bis ihm am 2006-07-09 wieder das Schnäppchen gelingt. Denn dann wird Argentinien im Endspiel nur knapp Brasilien schlagen. Der dritte Platz geht an Italien, die gegen Mexiko gewinnen. Tja und wo bleibt Deutschland? Die Mannschaft scheidet im Achtelfinale gegen Schweden aus.
Ich hoffe, die deutsche Mannschaft lässt sich durch meine “professionelle Berechnung” nicht irritieren und gewinnt trotzdem.
Als ich letztens wieder auswertete, woher so die Zugriffe auf diese Seiten stammen, fiel mir Rumänien ins Auge. Aus diesem Land hatte ich vorher nahezu keine Seitenzugriffe und jetzt tauchen diese stetig in meinen Logs auf. Als ich versuchte, herauszufinden, woher die kommen, fiel mir sofort Cluj ins Auge. Das kann dann nur Asbestian sein. Viele Grüße in die dritt- oder viertgrößte Stadt Rumäniens!
Gestern war ein Erstes-Mal-Tag:
Was es nicht alles gibt. In Köln wollte jemand sich ein paar Zigaretten kaufen und legt einen 600-Euro-Schein vor. Das Exemplar war wohl ähnlich zu dem 300-Euro-Schein hier: 
Der Verkäufer akzeptierte und gab dann 534 € Wechselgeld mit. Die obigen Scheine werden wohl auf diversen Seiten für 60 Cent das Stück verkauft. Derjenige hat also einen netten Gewinn erzielt. Der Verkäufer hingegen sollte dringend mal einen Blick auf das Design der Euro-Banknoten werfen.
via Bruce Schneier