Google

World Wide Web anti-scam


Seitenindex umschalten Seiten: 1 Thema versenden
Heisses Thema (Mehr als 10 Antworten) Irina <paharuk77@yahoo.de> (Gelesen: 3035 mal)
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24024
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
Irina <paharuk77@yahoo.de>
22. Februar 2008 um 17:47
 
Weitere bekannte Namen:

Irina Kotelnikova  
Irina Kizlova 

Bei dieser "Dame" handelt es sich um einen erfolgreichen Scam, der mir von einem Mitglied des Forums gesendet wurde. Mitglied möchte noch anonym bleiben.
Diesen Wunsch respektiere ich und überlasse jede weitere Ausführung dem Mitglied.

Bilder werden bereitgestellt. Es waren auch Kinderfotos mit dabei, die ich verständlicherweise nicht veröffentlichen werde.

       

       





Die mir bekannte Mail wurde über Spectrumsat eingeliefert mit einer deutschen Domain.


Spoiler für MailHeader:
Return-Path: <paharuk77@yahoo.de>
X-Original-To: xxxxxxxxxxxxx@arcor.de
Received: from mail-in-12.arcor-online.net (mail-in-12.arcor-online.net [151.189.21.52])
        by mail-in-12-z2.arcor-online.net (Postfix) with ESMTP id F3A1D27943C
        for <xxxxxxxxxxxxx@arcor.de>; Wed, 16 Jan 2008 10:56:02 +0100 (CET)
Received: from smtp009.mail.ukl.yahoo.com (smtp009.mail.ukl.yahoo.com [217.12.11.63])
        by mx.arcor.de (Postfix) with SMTP id 8FD944C6D6
        for <xxxxxxxxxxxx@arcor.de>; Wed, 16 Jan 2008 10:56:02 +0100 (CET)
Received: (qmail 5434 invoked from network); 16 Jan 2008 09:56:01 -0000
Received: from unknown (HELO localhost) (paharuk77@207.226.45.242 with plain)
  by smtp009.mail.ukl.yahoo.com with SMTP; 16 Jan 2008 09:56:00 -0000
X-YMail-OSG: w1KPhD4VM1k9Ql55fxvlikec8v7KXxiq3hG_PhZt_NYpgaPpmAdxct4.3l3SUhZpPkE-
X-Yahoo-Newman-Property: ymail-3
Date: Wed, 16 Jan 2008 12:55:40 +0300
From: irapah <paharuk77@yahoo.de>
X-Mailer: The Bat! (v3.5) Professional
Reply-To: irapah <paharuk77@yahoo.de>
X-Priority: 3 (Normal)
Message-ID: <136454751.20080116125540@yahoo.de>
To: xxxxxxxxxxxx@arcor.de
Subject: Re: Aw: Kein Betreff
In-Reply-To: <17967749.1200427690960.JavaMail.ngmail@webmail15>
References: <9710217871.20080113155716@yahoo.de>
<1149990764.20080113154353@yahoo.de> <791098824.20080113152239@yahoo.de>
<1827015494.20080112210143@yahoo.de> <1201018694.20080112142536@yahoo.de>
<548006971.20080111193715@yahoo.de>
<24717239.1200057768034.JavaMail.ngmail@webmail12>
<25861373.1200093188444.JavaMail.ngmail@webmail12>
<14094304.1200138341367.JavaMail.ngmail@webmail17>
<3018308.1200162279139.JavaMail.ngmail@webmail18>
<11146854.1200227343721.JavaMail.ngmail@webmail11>
<24933026.1200228617495.JavaMail.ngmail@webmail11>
<17967749.1200427690960.JavaMail.ngmail@webmail15>
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-Virus-Scanned: ClamAV 0.92/5484/Tue Jan 15 20:31:27 2008 on mail-in-12.arcor-online.net
X-Virus-Status: Clean
X-DCC-ARCOR-Metrics: mail-in-12-z2 1241; Body=1 Fuz1=1
X-Arcor-Antispam: SPF_NONE IN_REPLY_TO RECEIVED_FROM_UNKNOWN
X-ArcorSpamBlocker: Spamcount: 0 Sensitivity: 16




Tracer









« Zuletzt geändert: 10. Juli 2009 um 21:41 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
Indikation
Uli
General Counsel
***
Offline



Beiträge: 30555
Mitglied seit: 17. Januar 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #1 - 22. Februar 2008 um 18:39
 
Laut 

http://www.ip2location.com/emailtracer.aspx ;

kommt diese Mail aus den USA! Sie geht von dort nach England und von dort nach Deutschland! Ausgangspunkt ist, wie Du bereits geschrieben hast, Spectrumsat.

Ich denke, wir sollten mal einen Computerexperten werben, der sich auch mit den moderneren Geschichten auskennt. Ich bin ja einmal über Pustefix gestolpert und bin dabei auf ein javabasierendes Framework gestoßen, wo ich auch noch nicht so richtig weiß, welchen Unfug man damit anstellen kann. Und in dieser Mail finde ich JavaMail und ngmail. Bei ngmail scheint es sich um einen normalen Provider zu handeln. Vielleicht verrät uns Java doch etwas mehr, als es zunächst scheint. Leider habe ich mich zu DOS-Zeiten noch recht gut ausgekannt, doch bei den modernen Geschichten habe ich einfach den Anschluss verloren!
« Zuletzt geändert: 10. Juli 2009 um 21:42 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24024
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #2 - 22. Februar 2008 um 18:50
 
Ich komme damit leider auch nicht klar. Mitglied hat noch eine Mail, die von Omsk aus versendet wurde. Habe leider nur die IP und die verweißt auf einen deutschen Provider, der mir allerdings aus vielen Scams bekannt ist.

Code
Alles auswählen
IPv4-adress:  84.16.235.197
addr-out:   internetserviceteam.com



inetnum:    84.16.234.0 - 84.16.235.255
netname:    NETDIRECT-NET
descr:    netdirekt e.K.
country:    DE
org:    ORG-nA8-RIPE
admin-c:    WW200-RIPE
tech-c:   SR614-RIPE
status:   ASSIGNED PA
mnt-by:   NETDIRECT-MNT
mnt-lower:  NETDIRECT-MNT
mnt-routes:   NETDIRECT-MNT

organisation: ORG-nA8-RIPE
org-name:   netdirect
org-type:   LIR
address:    netdirekt e. K.
	Kleyer Strasse 79 / Tor 14
	60326 Frankfurt
	Germany
phone:    +49 69 90556880
fax-no:   +49 69 905568822
e-mail:   ripe@netdirekt.de
admin-c:    SR614-RIPE
admin-c:    WW200-RIPE
mnt-ref:    NETDIRECT-MNT
mnt-ref:    RIPE-NCC-HM-MNT
mnt-by:   RIPE-NCC-HM-MNT

person:   Wiethold Wagner
address:  netdirekt e. K.
address:  Kleyer Strasse 79 / Tor 14
address:  60326 Frankfurt
address:  DE
phone:    +49 69 90556880
fax-no:   +49 69 905568822
e-mail:   info@netdirekt.de
nic-hdl:  WW200-RIPE
mnt-by:   NETDIRECT-MNT

person:   Simon Roehl
address:  netdirekt e. K.
address:  Kleyer Strasse 79 /Tor 14
address:  60326 Frankfurt
address:  DE
phone:    +49 69 90556880
fax-no:   +49 69 905568822
e-mail:   technik@netdirekt.de
nic-hdl:  SR614-RIPE
mnt-by:   NETDIRECT-MNT


route:    84.16.224.0/19
descr:    netdirect Frankfurt, DE
origin:   AS28753
org:    ORG-nA8-RIPE
mnt-lower:  NETDIRECT-MNT
mnt-routes: NETDIRECT-MNT
mnt-by:   NETDIRECT-MNT

organisation: ORG-nA8-RIPE
org-name:   netdirect
org-type:   LIR
address:    netdirekt e. K.
	Kleyer Strasse 79 / Tor 14
	60326 Frankfurt
	Germany
phone:    +49 69 90556880
fax-no:   +49 69 905568822
e-mail:   ripe@netdirekt.de
admin-c:    SR614-RIPE
admin-c:    WW200-RIPE
mnt-ref:    NETDIRECT-MNT
mnt-ref:    RIPE-NCC-HM-MNT
mnt-by:   RIPE-NCC-HM-MNT 





« Zuletzt geändert: 29. Januar 2014 um 06:08 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24024
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #3 - 22. Februar 2008 um 20:59
 
Zitat:
Hallo. Ja mich hat diese gerissene Dame hereingelegt. Sogar mit Anrufen waren wir in Kontakt. Wenn meine elenden Zahnschmerzen ( Zahnwurzelentzündung, mit baldiger Operation ) weg sind ,werde ich hier mehr darauf eingehen.
Gruß mathias


Hallo mathias,
erst einmal gute Besserung im Namen des gesamten Teams. Dass ich dich endlich aus der Reserve gelockt habe, war zugegeben mein Ziel. Du mußt dir keine Gedanken machen, die ganze Sache bleibt anonym und du kannst ruhig über alles schreiben. Auch wenn dir der Schaden bereits entstanden ist, du hilfst damit, andere vor diesem Schaden zu bewahren und das sollte die Sache schon wert sein.

« Zuletzt geändert: 29. Januar 2014 um 06:08 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24024
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #4 - 22. Februar 2008 um 22:04
 
Für Uli........

Hallo Uli, fällt dir was auf?
Mir kam das bekannt vor.

Olga verwendete doch auch eine .de Domain in Verbindung mit yahoo. Sie ging auch über Spectrumsat. Alle weiteren in den Receivedzeilen gleichen sich wie eineiige Zwillinge. Das ist ein und die selbe SCAM-GANG.
« Zuletzt geändert: 10. Juli 2009 um 21:43 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
Uli
General Counsel
***
Offline



Beiträge: 30555
Mitglied seit: 17. Januar 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #5 - 22. Februar 2008 um 22:28
 
Klaro, aber trotzdem täte es mich interessieren, wie sie das hinkriegen. Entweder haben die hier in Deutschland oder sonstwo Kontaktleute, die die Mails neu ins Netz einspeisen, oder es ist irgendwie möglich, über Scripte eine komplett neue Absenderangabe hin zu bekommen. Da hätte ich gern mal Info von einem Informatiker.

Bei "Pustefix" gab es eine PDF-Datei mit einer Präsentation. Diese Präsentation hat ein Mitarbeiter von 1&1 erstellt. Vielleicht kann ich dessen Mailadresse herausbekommen und ihn mal fragen, ob "Pustefix" zu so etwas in der Lage ist oder ob er eine Idee hätte, ob so etwas mit Hilfe von Scripten möglich ist.

Spectrumsat scheint von außen bis zu ihrer Servicezentrale ein nichtöffentliches Netz benutzen, von dem ich die IP im Header hatte. Als ein deutscher Provider benutzt wurde, gab es keine Hinweise auf ein nichtöffentliches Netz, wenn ich die ganzen Angaben wirklich richtig durchblickt habe! Daher auch mein Verdacht, dass die am Ende jemanden hier oder auch in Holland sitzen haben.
« Zuletzt geändert: 10. Juli 2009 um 21:44 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
Webmaster
Themenstarter Themenstarter
Forum Administrator
*****
Offline


Abgeschlafft und ausgepufft!!

Beiträge: 24024
Standort: Йошкар-Ола
Mitglied seit: 06. Januar 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #6 - 22. Februar 2008 um 22:39
 
Die Info fehlt uns leider vollkommen. Von den Providern dürfen wir keine Antwort erwarten. Also was tun. Ein Informatiker wäre gut. Aber woher nehmen und nicht stehlen. Die Sache ist ja die, dass die SCAMMER erst vor kurzer Zeit so aufgerüstet haben. Es fehlt einfach an jeder Information.

Wäre schon denkbar, dass die hier in Deutschland Leute sitzen haben. mathias hat ja mit seiner Holden telefoniert. Soweit ich es jetzt in Erinerung habe, hatte die sogar eine deutsche Telefonnummer. Wir müssen einfach warten, bis mathias wieder gesund ist und alles bereitstellt.
« Zuletzt geändert: 10. Juli 2009 um 21:44 von Webmaster »  
Zum Seitenanfang
IP gespeichert
 
peter
Ex-Mitglied


Re: Irina <paharuk77@yahoo.de>
Antwort #7 - 19. Februar 2009 um 19:02
 
Uli schrieb on 22. Februar 2008 um 18:39:
Laut http://www.ip2location.com/emailtracer.aspx kommt diese Mail aus den USA! Sie geht von dort nach England und von dort nach Deutschland! Ausgangspunkt ist, wie Du bereits geschrieben hast, Spectrumsat.

Ich denke, wir sollten mal einen Computerexperten werben, der sich auch mit den moderneren Geschichten auskennt. Ich bin ja einmal über Pustefix gestolpert und bin dabei auf ein javabasierendes Framework gestoßen, wo ich auch noch nicht so richtig weiß, welchen Unfug man damit anstellen kann. Und in dieser Mail finde ich JavaMail und ngmail. Bei ngmail scheint es sich um einen normalen Provider zu handeln. Vielleicht verrät uns Java doch etwas mehr, als es zunächst scheint. Leider habe ich mich zu DOS-Zeiten noch recht gut ausgekannt, doch bei den modernen Geschichten habe ich einfach den Anschluss verloren!


Ich bin mal eben über dieses Thema gestolpert. Ich bin mir nicht ganz sicher aber ich wollt sicherlich wissen woher die Email kommt und was man mit Java alles anstellen kann sehe ich da richtig??
Wenn ja bitte mal melden ich würde die Sache mal einen na sagen wir mal einen Freund zu kommen lassen der kann bestimmt mehr darüber sagen. Einfach eine PN senden was ihr genau wissen wollt. 


« Zuletzt geändert: 10. Juli 2009 um 21:44 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
ole
General Counsel
***
Offline


Je vois tout :-)

Beiträge: 2190
Standort: Antibes
Mitglied seit: 30. Dezember 2008
Geschlecht: männlich
Re: Irina <paharuk77@yahoo.de>
Antwort #8 - 19. Februar 2009 um 19:25
 
@ Administrator

Webmaster schrieb on 22. Februar 2008 um 22:39:
Die Info fehlt uns leider vollkommen. Von den Providern dürfen wir keine Antwort erwarten. Also was tun. Ein Informatiker wäre gut.


Hector_Sector ist dein Mann Zwinkernd.Frage ihn Zwinkernd.
« Zuletzt geändert: 10. Juli 2009 um 21:45 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
peter
Ex-Mitglied


Re: Irina <paharuk77@yahoo.de>
Antwort #9 - 20. Februar 2009 um 08:07
 
ole schrieb on 19. Februar 2009 um 19:25:
@ Administrator

Webmaster schrieb on 22. Februar 2008 um 22:39:
Die Info fehlt uns leider vollkommen. Von den Providern dürfen wir keine Antwort erwarten. Also was tun. Ein Informatiker wäre gut.


Hector_Sector ist dein Mann Zwinkernd.Frage ihn Zwinkernd.

habe ich mal gemacht und danke noch mal für den Hinweis
« Zuletzt geändert: 10. Juli 2009 um 21:45 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
Hector_Sector
Ex-Mitglied


Re: Irina <paharuk77@yahoo.de>
Antwort #10 - 23. Februar 2009 um 00:50
 
Hi @ all
Look into https://mail.gna.org/ very much can be found here that explains the routing's
You will receive certificate warnings, but its no danger to accept them 

Think it's not much meaning in finding the explicit route of the mailings, as it's extremely time consuming.

Remember that Russians originates from the to a part terror ruling of the Civil KGB during the Soviet era.
All phone lines tapped, I was very close to situations where people were shot at site
only for carrying a few $Us. Though, it was all the time possible to find everything with the right
connections, sort of shielded systems implemented by the local population.

This is why they use onion shielded connections instead of transparent @mailings
The Bat a phenomenal mailer is ideally suited for this, facilitating encryption e.t.c.

Do regard that the Russian authorities implements extensive tapping on the internet traffic.

So don't spend to much time on analyzing all peels of the IP onions, can be fun if having time to spend on it.
The main thing is to make at least two mailings to each presented picture set.

One a bit sexy profiled and the other as the very serious guy, eventually some others. while
implementing your own onion router for all except one of them.

This will reveal if the picture sets are managed by Vlad, or one, or several cooperating females
that have serious intentions. Always inform the subject if you find their pictures on the WWW
from your most prudent profile and request explanation !!!

Bear in mind that many stories circulate in Russia about mistreatment's sex slavery e.t.c so they can be very reserved
The common thing with news, only the bad news spread and counts even if it only represents 0.001 %
of all existing events.

Now after a few experiments achieving results that makes me contemplate conversion to Islam
to service them, I have over 70 percent hit's with above described techniques and tried connections.

Happy hunting Gentlemen !  

« Zuletzt geändert: 10. Juli 2009 um 21:47 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
Hector_Sector
Ex-Mitglied


Re: Irina <paharuk77@yahoo.de>
Antwort #11 - 24. Februar 2009 um 02:32
 
Entschuldigung!  Traurig  posted this in the middle of the night, completely exhausted with all but computing on my mind.
Made some sandwiches and coffee, to se that the 20 minute edit limit of the posting was out. 

https://gna.org/ not the one above contained postings about used javamail rerouting, 
and @mail addresses used in the header of this Topic. The Gna.org site, probably subjected to
@mail address harvesting and even silent dictionary attacks, maybe even exploited by Vlad worms.
 
etwas Smiley will come back when I come into the right mode.

Mr Dizzy   Durchgedreht Laut lachend
« Zuletzt geändert: 10. Juli 2009 um 21:46 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
Hector_Sector
Ex-Mitglied


Re: Irina <paharuk77@yahoo.de>
Antwort #12 - 27. Februar 2009 um 04:06
 
Copy of one of my @mail accounts as interpreted by Yahoo html mail below
showing legitimate routing of mirrored services on a mail received
from a not so ideally situated sender. Mirroring are used to find the most efficient
pathway from time to time. So the header on the first post of this topic can
be a fully legitimate pathway through such mirrored services only.

E.g Yahoo provide multiple storage servers for it's mail accounts, I always use them
as much faster when it comes to average performance. When a pop3 / smpt mailer
is used with Yahoo mail, the headers build up like this.

javamail.ngmail probably implements the same type of services.

I'm not 100% sure yet, much indicates that this is the actual case.
It's all I have for now.

Spoiler:
in-Reply-To: <192294.29401.qm@web111016.mail.gq1.yahoo.com>
References: <542774.37404.qm@web111004.mail.gq1.yahoo.com>
<669910988.20090212194312@yahoo.com>
<326081.90466.qm@web111007.mail.gq1.yahoo.com>
<224043400.20090215162404@yahoo.com>
<197680.26371.qm@web111008.mail.gq1.yahoo.com>
<1777119009.20090216152323@yahoo.com>
<925671.90907.qm@web111004.mail.gq1.yahoo.com>
<117516385.20090217152454@yahoo.com>
<722410.68249.qm@web111015.mail.gq1.yahoo.com>
<172719939.20090218151258@yahoo.com>
<406769.74320.qm@web111005.mail.gq1.yahoo.com>
<233093422.20090219125735@yahoo.com>
<586031.67496.qm@web111004.mail.gq1.yahoo.com>
<1584214930.20090220170509@yahoo.com>
<192294.29401.qm@web111016.mail.gq1.yahoo.com>
« Zuletzt geändert: 10. Juli 2009 um 21:46 von Webmaster »  
Zum Seitenanfang
 
IP gespeichert
 
Seitenindex umschalten Seiten: 1
Thema versenden
Link zu diesem Thema