Hur lågt kan människan sjunka?

Nigeriabrev
Övrigt
  • lördag 23 januari 2010
Internet Sweden | Peter ForsmanBy Internet Sweden | Peter Forsman lördag 23 januari 2010
11

För nån dag sedan berättade jag om hur parasiter registrerat massor av Haiti-katastrofrelaterade domäner.

Och jag såg nu på kvällen ett inslag på TV4-nyheterna om hur nu dessa avskum börjat spamma ut fejkade insamlings e-mail i Röda Korsets namn.

Och av gammal vana vill jag gärna försäkra mig själv och se om jag ser vad andra ser .. eller mer.

Det som slog mig var att en företrädare för ”Cisco Security” uttalade sig om hur de spårat spamtrafiken och att det kan härledas till Östeuropa och Asien..

Jag förstår ärligt talat inte det påståendet alls..!

Eller jag ska väl säga – jag ser en annan verklighet än vad som påstods i inslaget.. jag ser främst: NIGERIA!

Det ENDA intressanta är att spåra ursprungskällan – vilket i de allra flesta fall med lätthet kan göras genom att göra en slagning på ursprungs-IP i headern.
Sen är det för mig ganska ointressant om det gått genom Ryska, Bulgariska och Armenskbaserade servrar och använder Yahoo´s gratismailkonton från Hong Kong (.hk) – som är den enda kopplingen till Asien jag sett.

Katastrofen drabbade Haiti klockan 17 tisdagen den 12 januari och FBI varnade redan den 13 januari och efter att ha letat runt lite så visar det sig att redan,  ”date Thu, Jan 14, 2010 at 7:39 PM” började parasiternas e-mail landa.

De IP-adresser jag hittat utifrån nedan inlägg har ingen relation med vare sig Östeuropa eller Asien:
http://www.fbi.gov/pressrel/pressrel10/earthquake011310.htm
http://www.scamwarners.com/forum/viewtopic.php?f=8&p=20275
http://scamwarners.com/forum/viewtopic.php?f=2&t=5706
http://forum.419eater.com/forum/viewtopic.php?t=178401
http://www.419baiter.com/_scam_emails/0-rzt-001-10/88/haiti-earthquake-appeal-rev-fr-victory-udokka.shtml
http://exposeliars.com/intforum/?p=6766
http://exposeliars.com/intforum/?p=7486
http://exposeliars.com/intforum/?p=7040
http://thegaorlan.com/?p=62
41.205.167.3 (Route for Starcomms Ltd. Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.205.167.3&submit.x=7&submit.y=7

41.219.196.222 (Starcomms Ltd. RESERVED Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.219.196.222&do_search=Search

41.205.166.61 (Route for Starcomms Ltd. Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.205.166.61&do_search=Search

41.184.8.254 (ipNX Nigeria Limited)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.184.8.254&do_search=Search

41.219.253.186 (status:ALLOCATED UNSPECIFIED) (Mailet presenterar sig att komma från Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.219.253.186&do_search=Search

41.220.75.17 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.220.75.17&do_search=Search

66.34.57.1 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=66.34.57.1&do_search=Search

195.4.92.22 Tyskt (gratismail från http://www.freenet.de/)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=195.4.92.22&do_search=Search

98.137.27.214 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=98.137.27.214&do_search=Search

77.27.72.2 (R Cable y Telecomunicaciones Galicia S.A., Spain)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=77.27.72.2&do_search=Search

Förutom att det är flera som direkt innehavs av Nigerianska bolag, så finns det flera andra icke allokerade som har IP-nummer som är slående lika de Nigerianska)

Men sen är det alltså även parasiter som utfört phishingattack mot Unicef
http://www.symantec.com/connect/blogs/spammers-unrelenting-haiti-earthquake-scam-campaign

Tags:

Related Articles

Hypotes + viskningslek = demokrati- och samhällsfara

  • lördag 29 juli 2023
Bedragare

Tidslinje: Bedrägerianmälningar vs. Uppklaringprocent

  • torsdag 27 juli 2023
Myndigheter informerar och varnar

Fördubbling av brottsvinster för bedrägerier, eller?

  • fredag 21 juli 2023
Övrigt

Genrebilder på brottsoffer av bedrägerier och finansiella brott

  • måndag 17 juli 2023

Experter påstår att sommaren är högsäsong för bedragare…

  • fredag 23 juni 2023

NOMAIL.SE är en registrerad domän!

  • tisdag 20 juni 2023

11 Comments

Avarage Rating:
  • 0 / 10
  • johan , lördag 23 januari 2010 @ 23:35

    Följer nyheterna om detta här i USA också och det är helt otroligt hur många som på ett eller annat sätt skor sig på det. Det handlar dock långt ifrån bara online och e-mail kampanjer.

    Är det inte så när det gäller ”spårningen” att en hel del trafik inte kommer från Nigeria och därmed uttalandet? Det är ju sådana ernorma volymer.

  • Internet Sweden , söndag 24 januari 2010 @ 11:52

    @johan – Naturligtvis kan det ligga något i det, men det som får det att inte gå ihop för mig är att av ALLA sökningar jag gjort av ”haitikatastrof-relaterad” spam (och det är ganska många) så har jag inte hittat ett enda med ursprung från Asien/Östeuropa och de exempel som lagts upp på olika sidor (som de 10 exemplen ovan) brukar ge en fingervisning..
    //Peter

  • Property Marbella , söndag 24 januari 2010 @ 13:49

    Vart du förvånad att det mesta kom från Nigeria.
    Detta och liknade internet skojerier är Nigerias störst inkomster, Nigeria brev av alla de sorter, tiggerier, lotteri vinster, fejkade penning överföringar m.m. är en stor industri i Nigeria. Stäng ner Nigerias telefon och internet anslutning med resten av världen (dom kan gå tillbaka med att använda djungel trummorna internt mellan varandra) så kanske blir det lite lugnare med detta djävla pack, som denna nu med Haiti.

  • Internet Sweden , söndag 24 januari 2010 @ 14:56

    @Sundream Estate – OM JAG FÅR BE; Jag vill INTE ha den nivån på kommentarer – (för att slippa gå in och censurera rasistiska åsiktsyttringar).
    Dina åsikter tänker jag inte ta ifrån dig, men du kan uttrycka dig på ett betydligt bättre sätt!

    Jo, jag är medveten om att en stor del av internetrelaterade bedrägerier kan härledas till Nigeria – däremot bor det över 150 miljoner i Nigeria och att stänga ner tillgången för ett lands tillgång till internet för att det finns individer och företag vars verksamhet är förkastlig, tror jag inte en sekund på.

    Jag hoppas istället att FLER Nigerianer får tillgång både till dricksvatten, datorer och internet, men att det istället fanns möjlighet att snabbt kunna agera mot verksamheter med bedrägliga uppsåt (typ ENISA) – oavsett om det sker i Nigeria, USA eller Sverige.

    //Peter

  • Property Marbella , söndag 24 januari 2010 @ 15:43

    Jag ber om ursäkt för mitt språk.
    Jag drar inte alla över en kam. Jag vet att Nigeria är ett av Afrikas mest utvecklade land. Jag bor i Spanien och vi har många från Nigeria, Senegal, Ghana m.m. här, dom är treviga och mycket arbetsamma människor.
    Nigeria har kommit mycket långt p.g.a av deras stora olje inkomster och export av frukt och grönsaker, likaså är dom väldigt stora inom internet och teleindustrin. Tyvärr har dom fått ett internetrelaterade bedrägerier på köpet.

  • Internet Sweden , söndag 24 januari 2010 @ 17:35

    @Sundream Estate – Det är lungt, jag har respekt för andra personers åsikter, även de som är åt det mer extrema hållet, men jag vill inte se några ”korsbrännar”-kommentarer på min blogg – det går helt bort.
    //Peter

  • Erik Fors-Andrée , söndag 24 januari 2010 @ 22:17

    Mycket intressant och (som alltid) ambitiös analys/spårning! Jag reagerade också på nyhetsinslaget, men mest för att jag inte trodde Cisco sysslade särskilt mycket med sånt.

    Kolla gärna min analys av den andra stora Haiti-bluffen, den på Facebook: http://definitionofdone.blogspot.com/2010/01/haitibluffen-och-facebooktroll.html

  • Kristoffer Darj , fredag 12 februari 2010 @ 11:37

    Det är ju inga större problem att modifiera ip-headern i spamutskicken.

    För ISP:er och internationella samarbeten innebär det däremot inga problem att spåra trafik med felaktiga ip:n, eftersom man kan spåra vilken kabel trafiken gick in respektive ut ur.

    Min poäng är att det inte med säkerhet ”går” att spåra trafik baserat på ip som privatperson och att de egna resultaten därför inte behöver överensstämma med verkligheten.

  • Internet Sweden , fredag 12 februari 2010 @ 13:23

    @Kristoffer Darj – Du har delvis rätt, eller rätt så långt som att det inte är ”något större problem att..”
    Däremot ger jag dig inte rätt det skulle vara lätt för ISPer i kombination av internationella samarbeten..

    Säg att du råkar ut för en DDOS, du spårar bakåt och skickar/meddelar den ISPn, som efter mycket trafikgranskning kan isolera källan, som leder till en annan ISP, det som händer är att ”anmälaren” får svaret och informationen och behöver ställa begäran till den nya ISPn som kommer att returnera samma sak och så upprepas detta till du nått ända fram. Oftast handlar det om minst 5-6 hopp och det är bara tal om aktiverade zombies som används. Men ponera att du når fram till ursprungs-IPt och kan fimpa det.

    I en DDOS av normala mått så används ofta ca 400 ursprungs-IPn, så du har då 399 kvar och en ”sträng” tar i bästa fall 4-5 dagar att lösa, så jag vill poängtera att det inte ”med säkerhet går som ISP/myndighet etc heller att pinpointa – utan bara göra en uppskattning.

    Däremot pratar vi om Nigeriabrev och jag kommer att göra ett inlägg ganska snart om hur de jobbar eller snarare hur de inte jobbar, så kommer du att förstå varför jag ratat tankar på ”sofistikerat förarbete” som du pekar på.

    //Peter

  • Kristoffer Darj , lördag 13 februari 2010 @ 23:04

    Ska bli spännande läsning.

    Under en kurs i It-säkerhet fick jag dock uppfattningen att det gick att spåra betydligt snabbare än så. Enligt föreläsaren kunde man göra hoppen genom 4-5 länder under tiden attacken pågick för att i alla fall se vilket land som genererade trafiken.

    Nåväl jag väntar på fortsättningen.

  • Internet Sweden , söndag 14 februari 2010 @ 0:39

    @Kristoffer Darj – Allt är ju relativt..
    Jag har ingen uppfattning om hur många DDOS som utförs varje dygn, men gissningsvis sker det otaliga.
    Att det sedan går att prioritera vissa framför andra, är ju också självklart om målen är extra känsliga. Men varje ISP ser bara sitt eget nät och ISPer är som bekant konkurrenter till varandra, vilket innebär att det behöver vara en extern part med ”mandat” som behöver ställa fråga till ISP1 – invänta svar – fråga ISP2 invänta svar – fråga ISP3 osv osv.
    Men jag kan ju heller inte säga bu eller bä till föreläsarens uppgifter – en attack kan pågå långt längre än en vecka.. Se på Estland!

    Men oavsett så pratar vi lite äpplen och päron här. Sk nigeriabrev har aldrig haft för avsikt att dölja sina spår som en DDOS då har. Av den anledningen är det mer relevant att leta ursprung från dessa scammare, än att tracka geografiska startpositioner till botnet som kan styra hundratusentals zombies..

    //Peter

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *