Missa inte tidigare inlägg

Övrigt
november 12, 2017

När landet lagom först blev allt, sedan..

Övrigt
oktober 31, 2017

Idag är det en bra dag för svenska konsumenter!

Bank ID
oktober 30, 2017

Ont, det gör ont, det gör ont..

Bedragare
oktober 25, 2017

Ett litet inlägg om enkel källkritik

Bedragare
augusti 17, 2017

Men varför gör inte polisen någonting då?

VD-bedrägerier
juni 11, 2017

Nu ett år senare så säger jag det igen: ca 100 miljoner kronor per dag!!

Skadlig kod
februari 28, 2017

Sverige minst drabbat av skadlig kod i världen Q4 2016

Domäner
december 21, 2016

Dagens tankenöt – “Utgivningsbevis i orätta händer”

Bedragare
december 17, 2016

När Polischefer förenklar..

Övrigt
december 15, 2016

Dagens tankenöt – “Spökbolag”

Källgranskning
december 8, 2016

Aftonbladet är osnygga!

Övrigt
december 6, 2016

Bra att veta om e-postadresser.

Falska sidor och immaterialrättsliga brott
november 2, 2016

Hur företag och varumärken utnyttjas, utan att polis “kan” agera..

Bedragare
oktober 5, 2016

Kostnaderna för bedrägerier är större än vi kan ana

Massmedia informerar och varnar
oktober 2, 2016

Det begås ett bedrägeribrott varje minut, året runt!

Bedragare
september 29, 2016

Blir det Sveriges största bedrägeri genom tiderna?

Övrigt
augusti 31, 2016

Lägenhetsbluffar

Bluffakturor
augusti 29, 2016

När snillen spekulerar..

Phishing, intrång och ID-kapning
juli 23, 2016

Nytt SMS-spam

Bedragare
juli 9, 2016

VD-bedrägerier för DUMMIES

Bedragare
juni 19, 2016

VD-bedrägerier – bedragarnas nya svarta

Domäner
maj 12, 2016

Nu släpps zonfilerna för .se och .nu fria!

Bluffakturor
maj 8, 2016

Sydsvenskan har skrivit om Bolagsbasen idag

Bedragare
februari 12, 2016

50 anledningar till besvikelse

Övrigt
november 14, 2015

Vi är alla Parisare idag och Européer imorgon!

Bedragare
september 12, 2015

PRV varnar, eller vad sysslar de med egentligen?

Bluffakturor
september 6, 2015

När ska fakturabedrägerier börja tas på ordentligt allvar?

Bedragare
maj 18, 2015

Varumärkesbedrägerier

Bedragare
maj 6, 2015

ID-kapningar – extended version

Övrigt
april 23, 2015

Solskenshistoria!

Hur lågt kan människan sjunka?

För nån dag sedan berättade jag om hur parasiter registrerat massor av Haiti-katastrofrelaterade domäner.

Och jag såg nu på kvällen ett inslag på TV4-nyheterna om hur nu dessa avskum börjat spamma ut fejkade insamlings e-mail i Röda Korsets namn.

Och av gammal vana vill jag gärna försäkra mig själv och se om jag ser vad andra ser .. eller mer.

Det som slog mig var att en företrädare för “Cisco Security” uttalade sig om hur de spårat spamtrafiken och att det kan härledas till Östeuropa och Asien..

Jag förstår ärligt talat inte det påståendet alls..!

Eller jag ska väl säga – jag ser en annan verklighet än vad som påstods i inslaget.. jag ser främst: NIGERIA!

Det ENDA intressanta är att spåra ursprungskällan – vilket i de allra flesta fall med lätthet kan göras genom att göra en slagning på ursprungs-IP i headern.
Sen är det för mig ganska ointressant om det gått genom Ryska, Bulgariska och Armenskbaserade servrar och använder Yahoo´s gratismailkonton från Hong Kong (.hk) – som är den enda kopplingen till Asien jag sett.

Katastrofen drabbade Haiti klockan 17 tisdagen den 12 januari och FBI varnade redan den 13 januari och efter att ha letat runt lite så visar det sig att redan,  “date Thu, Jan 14, 2010 at 7:39 PM” började parasiternas e-mail landa.

De IP-adresser jag hittat utifrån nedan inlägg har ingen relation med vare sig Östeuropa eller Asien:
http://www.fbi.gov/pressrel/pressrel10/earthquake011310.htm
http://www.scamwarners.com/forum/viewtopic.php?f=8&p=20275
http://scamwarners.com/forum/viewtopic.php?f=2&t=5706
http://forum.419eater.com/forum/viewtopic.php?t=178401
http://www.419baiter.com/_scam_emails/0-rzt-001-10/88/haiti-earthquake-appeal-rev-fr-victory-udokka.shtml
http://exposeliars.com/intforum/?p=6766
http://exposeliars.com/intforum/?p=7486
http://exposeliars.com/intforum/?p=7040
http://thegaorlan.com/?p=62
41.205.167.3 (Route for Starcomms Ltd. Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.205.167.3&submit.x=7&submit.y=7

41.219.196.222 (Starcomms Ltd. RESERVED Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.219.196.222&do_search=Search

41.205.166.61 (Route for Starcomms Ltd. Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.205.166.61&do_search=Search

41.184.8.254 (ipNX Nigeria Limited)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.184.8.254&do_search=Search

41.219.253.186 (status:ALLOCATED UNSPECIFIED) (Mailet presenterar sig att komma från Nigeria)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.219.253.186&do_search=Search

41.220.75.17 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=41.220.75.17&do_search=Search

66.34.57.1 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=66.34.57.1&do_search=Search

195.4.92.22 Tyskt (gratismail från http://www.freenet.de/)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=195.4.92.22&do_search=Search

98.137.27.214 (status:ALLOCATED UNSPECIFIED)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=98.137.27.214&do_search=Search

77.27.72.2 (R Cable y Telecomunicaciones Galicia S.A., Spain)
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=77.27.72.2&do_search=Search

Förutom att det är flera som direkt innehavs av Nigerianska bolag, så finns det flera andra icke allokerade som har IP-nummer som är slående lika de Nigerianska)

Men sen är det alltså även parasiter som utfört phishingattack mot Unicef
http://www.symantec.com/connect/blogs/spammers-unrelenting-haiti-earthquake-scam-campaign

Views All Time
Views All Time
5
Views Today
Views Today
1

Internet Sweden | Peter Forsman

Jag som skriver, gör det ideellt och för att upplysa dig om verksamheter som JAG anser att det finns skäl att ifrågasätta och/eller varna för.. Jag skriver även generellt om olika tillvägagångssätt som bedragare använder och tipsar om utbildning/kunskap som finns att få. Läs mer om: Peter Forsman

11 Comments

  1. johan skriver:

    Följer nyheterna om detta här i USA också och det är helt otroligt hur många som på ett eller annat sätt skor sig på det. Det handlar dock långt ifrån bara online och e-mail kampanjer.

    Är det inte så när det gäller “spårningen” att en hel del trafik inte kommer från Nigeria och därmed uttalandet? Det är ju sådana ernorma volymer.

  2. Internet Sweden skriver:

    @johan – Naturligtvis kan det ligga något i det, men det som får det att inte gå ihop för mig är att av ALLA sökningar jag gjort av “haitikatastrof-relaterad” spam (och det är ganska många) så har jag inte hittat ett enda med ursprung från Asien/Östeuropa och de exempel som lagts upp på olika sidor (som de 10 exemplen ovan) brukar ge en fingervisning..
    //Peter

  3. Vart du förvånad att det mesta kom från Nigeria.
    Detta och liknade internet skojerier är Nigerias störst inkomster, Nigeria brev av alla de sorter, tiggerier, lotteri vinster, fejkade penning överföringar m.m. är en stor industri i Nigeria. Stäng ner Nigerias telefon och internet anslutning med resten av världen (dom kan gå tillbaka med att använda djungel trummorna internt mellan varandra) så kanske blir det lite lugnare med detta djävla pack, som denna nu med Haiti.

  4. Internet Sweden skriver:

    @Sundream Estate – OM JAG FÅR BE; Jag vill INTE ha den nivån på kommentarer – (för att slippa gå in och censurera rasistiska åsiktsyttringar).
    Dina åsikter tänker jag inte ta ifrån dig, men du kan uttrycka dig på ett betydligt bättre sätt!

    Jo, jag är medveten om att en stor del av internetrelaterade bedrägerier kan härledas till Nigeria – däremot bor det över 150 miljoner i Nigeria och att stänga ner tillgången för ett lands tillgång till internet för att det finns individer och företag vars verksamhet är förkastlig, tror jag inte en sekund på.

    Jag hoppas istället att FLER Nigerianer får tillgång både till dricksvatten, datorer och internet, men att det istället fanns möjlighet att snabbt kunna agera mot verksamheter med bedrägliga uppsåt (typ ENISA) – oavsett om det sker i Nigeria, USA eller Sverige.

    //Peter

  5. Jag ber om ursäkt för mitt språk.
    Jag drar inte alla över en kam. Jag vet att Nigeria är ett av Afrikas mest utvecklade land. Jag bor i Spanien och vi har många från Nigeria, Senegal, Ghana m.m. här, dom är treviga och mycket arbetsamma människor.
    Nigeria har kommit mycket långt p.g.a av deras stora olje inkomster och export av frukt och grönsaker, likaså är dom väldigt stora inom internet och teleindustrin. Tyvärr har dom fått ett internetrelaterade bedrägerier på köpet.

  6. Internet Sweden skriver:

    @Sundream Estate – Det är lungt, jag har respekt för andra personers åsikter, även de som är åt det mer extrema hållet, men jag vill inte se några “korsbrännar”-kommentarer på min blogg – det går helt bort.
    //Peter

  7. Mycket intressant och (som alltid) ambitiös analys/spårning! Jag reagerade också på nyhetsinslaget, men mest för att jag inte trodde Cisco sysslade särskilt mycket med sånt.

    Kolla gärna min analys av den andra stora Haiti-bluffen, den på Facebook: http://definitionofdone.blogspot.com/2010/01/haitibluffen-och-facebooktroll.html

  8. Kristoffer Darj skriver:

    Det är ju inga större problem att modifiera ip-headern i spamutskicken.

    För ISP:er och internationella samarbeten innebär det däremot inga problem att spåra trafik med felaktiga ip:n, eftersom man kan spåra vilken kabel trafiken gick in respektive ut ur.

    Min poäng är att det inte med säkerhet “går” att spåra trafik baserat på ip som privatperson och att de egna resultaten därför inte behöver överensstämma med verkligheten.

  9. Internet Sweden skriver:

    @Kristoffer Darj – Du har delvis rätt, eller rätt så långt som att det inte är “något större problem att..”
    Däremot ger jag dig inte rätt det skulle vara lätt för ISPer i kombination av internationella samarbeten..

    Säg att du råkar ut för en DDOS, du spårar bakåt och skickar/meddelar den ISPn, som efter mycket trafikgranskning kan isolera källan, som leder till en annan ISP, det som händer är att “anmälaren” får svaret och informationen och behöver ställa begäran till den nya ISPn som kommer att returnera samma sak och så upprepas detta till du nått ända fram. Oftast handlar det om minst 5-6 hopp och det är bara tal om aktiverade zombies som används. Men ponera att du når fram till ursprungs-IPt och kan fimpa det.

    I en DDOS av normala mått så används ofta ca 400 ursprungs-IPn, så du har då 399 kvar och en “sträng” tar i bästa fall 4-5 dagar att lösa, så jag vill poängtera att det inte “med säkerhet går som ISP/myndighet etc heller att pinpointa – utan bara göra en uppskattning.

    Däremot pratar vi om Nigeriabrev och jag kommer att göra ett inlägg ganska snart om hur de jobbar eller snarare hur de inte jobbar, så kommer du att förstå varför jag ratat tankar på “sofistikerat förarbete” som du pekar på.

    //Peter

  10. Kristoffer Darj skriver:

    Ska bli spännande läsning.

    Under en kurs i It-säkerhet fick jag dock uppfattningen att det gick att spåra betydligt snabbare än så. Enligt föreläsaren kunde man göra hoppen genom 4-5 länder under tiden attacken pågick för att i alla fall se vilket land som genererade trafiken.

    Nåväl jag väntar på fortsättningen.

  11. Internet Sweden skriver:

    @Kristoffer Darj – Allt är ju relativt..
    Jag har ingen uppfattning om hur många DDOS som utförs varje dygn, men gissningsvis sker det otaliga.
    Att det sedan går att prioritera vissa framför andra, är ju också självklart om målen är extra känsliga. Men varje ISP ser bara sitt eget nät och ISPer är som bekant konkurrenter till varandra, vilket innebär att det behöver vara en extern part med “mandat” som behöver ställa fråga till ISP1 – invänta svar – fråga ISP2 invänta svar – fråga ISP3 osv osv.
    Men jag kan ju heller inte säga bu eller bä till föreläsarens uppgifter – en attack kan pågå långt längre än en vecka.. Se på Estland!

    Men oavsett så pratar vi lite äpplen och päron här. Sk nigeriabrev har aldrig haft för avsikt att dölja sina spår som en DDOS då har. Av den anledningen är det mer relevant att leta ursprung från dessa scammare, än att tracka geografiska startpositioner till botnet som kan styra hundratusentals zombies..

    //Peter

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *