Missa inte tidigare inlägg

Övrigt
augusti 31, 2016

Lägenhetsbluffar

Bluffakturor
augusti 29, 2016

När snillen spekulerar..

Phishing, intrång och ID-kapning
juli 23, 2016

Nytt SMS-spam

Bedragare
juli 9, 2016

VD-bedrägerier för DUMMIES

Bedragare
juni 19, 2016

VD-bedrägerier – bedragarnas nya svarta

Domäner
maj 12, 2016

Nu släpps zonfilerna för .se och .nu fria!

Bluffakturor
maj 8, 2016

Sydsvenskan har skrivit om Bolagsbasen idag

Bedragare
februari 12, 2016

50 anledningar till besvikelse

Övrigt
november 14, 2015

Vi är alla Parisare idag och Européer imorgon!

Bedragare
september 12, 2015

PRV varnar, eller vad sysslar de med egentligen?

Bluffakturor
september 6, 2015

När ska fakturabedrägerier börja tas på ordentligt allvar?

Bedragare
maj 18, 2015

Varumärkesbedrägerier

Bedragare
maj 6, 2015

ID-kapningar – extended version

Övrigt
april 23, 2015

Solskenshistoria!

Falska shoppar (ej lev.)
april 18, 2015

To good to be true

Internetsweden | Investigator
mars 13, 2015

Svensk brottsbekämpning – nu jäklar!

Internetsweden | Investigator
januari 15, 2015

Sagan om den svenska brottsbekämpningen och den onda spiralen

Bedragare
januari 7, 2015

JUSAB-härvan är märkligare än vad man kan ana!

Bluffakturor
december 29, 2014

En FULLSTÄNDIGT intetsägande och desinformerande artikel i skanskan.se

Internetsweden | Investigator
december 20, 2014

Brottstrender och utveckling på nätet – nu uppdelad med bokmärken

Internetsweden | Investigator
december 20, 2014

Tio saker som företag bör se upp för på nätet – nu uppdelad med bokmärken

Internetsweden | Investigator
december 20, 2014

Tio saker som privatpersoner bör se upp för på nätet – nu uppdelad med bokmärken

Övrigt
december 14, 2014

En personlig reflektion kring politikers syn på människors olika värde

Bedragare
december 14, 2014

Brottstrender och utveckling på nätet

Bedragare
december 14, 2014

Tio saker som företag bör se upp för på nätet

419-bedrägerier även kallade nigeriabrev
december 10, 2014

Tio saker som privatpersoner bör se upp för på nätet

Internetsweden | Investigator
november 28, 2014

Tre frukostseminarier 10-12/12

Myndigheter informerar och varnar
november 28, 2014

Polisen: Tips och råd om trygg julhandel

Internetsweden | Investigator
november 23, 2014

En skopa av sleven eller en nutida budkavel

Massmedia informerar och varnar
november 1, 2014

Det kan dyka upp vargar bland lammen?

Hur lågt kan människan sjunka?

För nån dag sedan berättade jag om hur parasiter registrerat massor av Haiti-katastrofrelaterade domäner.

Och jag såg nu på kvällen ett inslag på TV4-nyheterna om hur nu dessa avskum börjat spamma ut fejkade insamlings e-mail i Röda Korsets namn.

Och av gammal vana vill jag gärna försäkra mig själv och se om jag ser vad andra ser .. eller mer.

Det som slog mig var att en företrädare för ”Cisco Security” uttalade sig om hur de spårat spamtrafiken och att det kan härledas till Östeuropa och Asien..

Jag förstår ärligt talat inte det påståendet alls..!

Eller jag ska väl säga – jag ser en annan verklighet än vad som påstods i inslaget.. jag ser främst: NIGERIA!

Det ENDA intressanta är att spåra ursprungskällan – vilket i de allra flesta fall med lätthet kan göras genom att göra en slagning på ursprungs-IP i headern.
Sen är det för mig ganska ointressant om det gått genom Ryska, Bulgariska och Armenskbaserade servrar och använder Yahoo´s gratismailkonton från Hong Kong (.hk) – som är den enda kopplingen till Asien jag sett.

Katastrofen drabbade Haiti klockan 17 tisdagen den 12 januari och FBI varnade redan den 13 januari och efter att ha letat runt lite så visar det sig att redan,  ”date Thu, Jan 14, 2010 at 7:39 PM” började parasiternas e-mail landa.

De IP-adresser jag hittat utifrån nedan inlägg har ingen relation med vare sig Östeuropa eller Asien:
http://www.fbi.gov/pressrel/pressrel10/earthquake011310.htm
http://www.scamwarners.com/forum/viewtopic.php?f=8&p=20275
http://scamwarners.com/forum/viewtopic.php?f=2&t=5706
http://forum.419eater.com/forum/viewtopic.php?t=178401
http://www.419baiter.com/_scam_emails/0-rzt-001-10/88/haiti-earthquake-appeal-rev-fr-victory-udokka.shtml
http://exposeliars.com/intforum/?p=6766
http://exposeliars.com/intforum/?p=7486
http://exposeliars.com/intforum/?p=7040
http://thegaorlan.com/?p=62
41.205.167.3 (Route for Starcomms Ltd. Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.205.167.3&submit.x=7&submit.y=7

41.219.196.222 (Starcomms Ltd. RESERVED Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.219.196.222&do_search=Search

41.205.166.61 (Route for Starcomms Ltd. Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.205.166.61&do_search=Search

41.184.8.254 (ipNX Nigeria Limited)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.184.8.254&do_search=Search

41.219.253.186 (status:ALLOCATED UNSPECIFIED) (Mailet presenterar sig att komma från Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.219.253.186&do_search=Search

41.220.75.17 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.220.75.17&do_search=Search

66.34.57.1 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=66.34.57.1&do_search=Search

195.4.92.22 Tyskt (gratismail från http://www.freenet.de/)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=195.4.92.22&do_search=Search

98.137.27.214 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=98.137.27.214&do_search=Search

77.27.72.2 (R Cable y Telecomunicaciones Galicia S.A., Spain)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=77.27.72.2&do_search=Search

Förutom att det är flera som direkt innehavs av Nigerianska bolag, så finns det flera andra icke allokerade som har IP-nummer som är slående lika de Nigerianska)

Men sen är det alltså även parasiter som utfört phishingattack mot Unicef
http://www.symantec.com/connect/blogs/spammers-unrelenting-haiti-earthquake-scam-campaign

Internet Sweden | Peter Forsman

Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Peter Forsman

11 Comments

  1. johan skriver:

    Följer nyheterna om detta här i USA också och det är helt otroligt hur många som på ett eller annat sätt skor sig på det. Det handlar dock långt ifrån bara online och e-mail kampanjer.

    Är det inte så när det gäller ”spårningen” att en hel del trafik inte kommer från Nigeria och därmed uttalandet? Det är ju sådana ernorma volymer.

  2. Internet Sweden skriver:

    @johan – Naturligtvis kan det ligga något i det, men det som får det att inte gå ihop för mig är att av ALLA sökningar jag gjort av ”haitikatastrof-relaterad” spam (och det är ganska många) så har jag inte hittat ett enda med ursprung från Asien/Östeuropa och de exempel som lagts upp på olika sidor (som de 10 exemplen ovan) brukar ge en fingervisning..
    //Peter

  3. Vart du förvånad att det mesta kom från Nigeria.
    Detta och liknade internet skojerier är Nigerias störst inkomster, Nigeria brev av alla de sorter, tiggerier, lotteri vinster, fejkade penning överföringar m.m. är en stor industri i Nigeria. Stäng ner Nigerias telefon och internet anslutning med resten av världen (dom kan gå tillbaka med att använda djungel trummorna internt mellan varandra) så kanske blir det lite lugnare med detta djävla pack, som denna nu med Haiti.

  4. Internet Sweden skriver:

    @Sundream Estate – OM JAG FÅR BE; Jag vill INTE ha den nivån på kommentarer – (för att slippa gå in och censurera rasistiska åsiktsyttringar).
    Dina åsikter tänker jag inte ta ifrån dig, men du kan uttrycka dig på ett betydligt bättre sätt!

    Jo, jag är medveten om att en stor del av internetrelaterade bedrägerier kan härledas till Nigeria – däremot bor det över 150 miljoner i Nigeria och att stänga ner tillgången för ett lands tillgång till internet för att det finns individer och företag vars verksamhet är förkastlig, tror jag inte en sekund på.

    Jag hoppas istället att FLER Nigerianer får tillgång både till dricksvatten, datorer och internet, men att det istället fanns möjlighet att snabbt kunna agera mot verksamheter med bedrägliga uppsåt (typ ENISA) – oavsett om det sker i Nigeria, USA eller Sverige.

    //Peter

  5. Jag ber om ursäkt för mitt språk.
    Jag drar inte alla över en kam. Jag vet att Nigeria är ett av Afrikas mest utvecklade land. Jag bor i Spanien och vi har många från Nigeria, Senegal, Ghana m.m. här, dom är treviga och mycket arbetsamma människor.
    Nigeria har kommit mycket långt p.g.a av deras stora olje inkomster och export av frukt och grönsaker, likaså är dom väldigt stora inom internet och teleindustrin. Tyvärr har dom fått ett internetrelaterade bedrägerier på köpet.

  6. Internet Sweden skriver:

    @Sundream Estate – Det är lungt, jag har respekt för andra personers åsikter, även de som är åt det mer extrema hållet, men jag vill inte se några ”korsbrännar”-kommentarer på min blogg – det går helt bort.
    //Peter

  7. Mycket intressant och (som alltid) ambitiös analys/spårning! Jag reagerade också på nyhetsinslaget, men mest för att jag inte trodde Cisco sysslade särskilt mycket med sånt.

    Kolla gärna min analys av den andra stora Haiti-bluffen, den på Facebook: http://definitionofdone.blogspot.com/2010/01/haitibluffen-och-facebooktroll.html

  8. Kristoffer Darj skriver:

    Det är ju inga större problem att modifiera ip-headern i spamutskicken.

    För ISP:er och internationella samarbeten innebär det däremot inga problem att spåra trafik med felaktiga ip:n, eftersom man kan spåra vilken kabel trafiken gick in respektive ut ur.

    Min poäng är att det inte med säkerhet ”går” att spåra trafik baserat på ip som privatperson och att de egna resultaten därför inte behöver överensstämma med verkligheten.

  9. Internet Sweden skriver:

    @Kristoffer Darj – Du har delvis rätt, eller rätt så långt som att det inte är ”något större problem att..”
    Däremot ger jag dig inte rätt det skulle vara lätt för ISPer i kombination av internationella samarbeten..

    Säg att du råkar ut för en DDOS, du spårar bakåt och skickar/meddelar den ISPn, som efter mycket trafikgranskning kan isolera källan, som leder till en annan ISP, det som händer är att ”anmälaren” får svaret och informationen och behöver ställa begäran till den nya ISPn som kommer att returnera samma sak och så upprepas detta till du nått ända fram. Oftast handlar det om minst 5-6 hopp och det är bara tal om aktiverade zombies som används. Men ponera att du når fram till ursprungs-IPt och kan fimpa det.

    I en DDOS av normala mått så används ofta ca 400 ursprungs-IPn, så du har då 399 kvar och en ”sträng” tar i bästa fall 4-5 dagar att lösa, så jag vill poängtera att det inte ”med säkerhet går som ISP/myndighet etc heller att pinpointa – utan bara göra en uppskattning.

    Däremot pratar vi om Nigeriabrev och jag kommer att göra ett inlägg ganska snart om hur de jobbar eller snarare hur de inte jobbar, så kommer du att förstå varför jag ratat tankar på ”sofistikerat förarbete” som du pekar på.

    //Peter

  10. Kristoffer Darj skriver:

    Ska bli spännande läsning.

    Under en kurs i It-säkerhet fick jag dock uppfattningen att det gick att spåra betydligt snabbare än så. Enligt föreläsaren kunde man göra hoppen genom 4-5 länder under tiden attacken pågick för att i alla fall se vilket land som genererade trafiken.

    Nåväl jag väntar på fortsättningen.

  11. Internet Sweden skriver:

    @Kristoffer Darj – Allt är ju relativt..
    Jag har ingen uppfattning om hur många DDOS som utförs varje dygn, men gissningsvis sker det otaliga.
    Att det sedan går att prioritera vissa framför andra, är ju också självklart om målen är extra känsliga. Men varje ISP ser bara sitt eget nät och ISPer är som bekant konkurrenter till varandra, vilket innebär att det behöver vara en extern part med ”mandat” som behöver ställa fråga till ISP1 – invänta svar – fråga ISP2 invänta svar – fråga ISP3 osv osv.
    Men jag kan ju heller inte säga bu eller bä till föreläsarens uppgifter – en attack kan pågå långt längre än en vecka.. Se på Estland!

    Men oavsett så pratar vi lite äpplen och päron här. Sk nigeriabrev har aldrig haft för avsikt att dölja sina spår som en DDOS då har. Av den anledningen är det mer relevant att leta ursprung från dessa scammare, än att tracka geografiska startpositioner till botnet som kan styra hundratusentals zombies..

    //Peter

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *