hallo, ich bin google | du depp!

dieser blogeintrag war die vorrecherche zu → diesem beitrag, der am donnerstag, also vorgestern, in SWR 2 impuls wissensmagazin lief-

update zum letzten posting, wo es um eine betrugsversuch via email ging, der vermeintlich von linkedIn stammte, aber auf einen türkischen betrüger zurückgeht mails wie diese erreichen vermutlich jeden, der sich eine weile lang im internet bewegt hat und dessen email-adresse dann irgendwie bekannt und unter den spammern verteilt wurde – meist kostenpflichtig; solche mail-adresslisten sind nicht billig. um die sache oben abzurunden, ein betrugsversuch aus kanada, der mich heutemorgen erreichte:

googleFakePhishingMailwieder gehen die warnlichter an: “urgent” steht in der überschrift, also dringlich. die kanadische email-adresse im absender (sie ist, wie oben besprochen, nichts wert, sie gibt es wahrscheinlich gar nicht) fikriyya@clarington.ca hat nichts mit der vermeintlichen absenderin zu tun, die sich “kayla murray” nennt.

in dieser mail führen zwei links zu einer sicherlich unappetitlichen kanadischen seite, die mit yidbrowser.com… beginnt. in diesem fall führt die whois-suche zu einer konkreten adresse:

Original Query: yidbrowser.com

Name: YOAV ENGELBERG

Organization: GRASSLANDMEDIA.CA
Mailing Address: 9909 77 STREET, EDMONTON CA T6A 3B8 CA
Phone: +1.7802002253
Email: YOAV@GRASSLANDMEDIA.CA

yoav engelberg scheint es zu geben, ein facebook-profil weist auf einen jungen kanadier hin, der freunde in alberta hat, der provinz, zu der edmonton gehört. über google maps kann man prüfen, ob es die adresse gibt, und es gibt sie. in google street view ist auch das haus zu sehen, das zu 9909 77 st., edmonton, gehört. es befindet sich in einer rechtwinkligen kurve, ziemlich zentral in edmonton:

googleStreetViewDesPhishingZiels

es kann sein, dass dies eine scheinadresse ist, wo ganz unbescholtene bürger wohnen. wahrscheinlicher ist aber, dass genau dort der ausgangspunkt des betrugs liegt. man müsste mal vorbeischauen und fragen.

auch die telefonnummer scheint mit der adresse übereinzustimmen. gibt man sie in die suchmaschine ein, führt sie zu anderen whois-einträgen dieser person, zum beispiel hat ein yoav engelberg die webseite wallbrowser.com registriert. die phishing-webseite ist eine unterseite der seite yidbrowser.com. was sieht man, wenn man die eingangsseite ansurft? wie bei fast allen spam/betrugswebseiten sieht man da praktisch nichts, nämlich nur ein “hello world” ohne link, impressum etc. (1) der trojaner oder was auch immer uns schaden soll, liegt tiefer in dieser webseite. auch die oberflächen der anderen bei dieser kurzen suche gefundenen webseiten sehen entsprechend dürftig aus; sie soll schließlich niemand ansurfen, sie sind nur platzhalter: bei grasslandmedia.ca finden wir ein foto von gras, den satz “thank you for your interest!” und keinen link nirgendwohin. (2) die unter demselben namen registrierte webseite wallbrowser.com zeigt das wort “kwick”, einige farbflächen und ebenfalls nichts weiterführendes. (3)

dummyWebseitendrei nichtssagende webseiten von yoav engelberg. der betrug liegt tiefer.