Lieber Besucher, herzlich willkommen bei: INVESTOX-Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Sonntag, 15. April 2007, 00:34
Hallo Bernd,
danke für die Mühe, die Du Dir machst.
Danke für Deine Einschätzung- das beruhigt. :]
Ich denke, Du hast Recht. Ich habe auch gerade nochmal diverse Tools (AdAware professional SE, RootkitRevealer, Kaspersky und noch ein paar andere) über den Rechner laufen lassen.
Sie haben alle nichts gefunden - der Rechner sieht also bisher hier für mich sauber aus.
Zum Sinn des Ganzen (der ja m.E. irgendwo sein muss) nochmal folgende Idee:
Dass die ganze Aktion nur Sinn macht, wenn man beim Klick auf den Link in der TWS eingeloggt ist, ist abwegig ?
Das war nämlich meine erste (sicherlich laienhafte) Vermutung als ich den Error 404 beim Klick auf den Link sah....
Eine andere Möglichkeit wäre eventuell, dass die E-Mail zu spät bei mir ankam und die Aktion schon wieder beendet war, als ich den Link klickte (definitiv nach Börsenschluss am Freitag hier) .....
Bei dieser Variante bliebe dann aber trotzdem unklar, warum der Link scheinbar direkt zu IB führt....
Komisch finde ich da aber die unterschiedlichen Session ID im Linktext und in der Adresszeile des Browsers.
Hat vielleicht jemand eine Idee, was es denn damit auf sich haben könnte ?
danke für die Mühe, die Du Dir machst.
Zitat
Ein Rootkit sehe ich momentan nicht, und da die Links nicht funktionieren, kann Anke durch das anklicken nichts passiert sein.
Danke für Deine Einschätzung- das beruhigt. :]
Ich denke, Du hast Recht. Ich habe auch gerade nochmal diverse Tools (AdAware professional SE, RootkitRevealer, Kaspersky und noch ein paar andere) über den Rechner laufen lassen.
Sie haben alle nichts gefunden - der Rechner sieht also bisher hier für mich sauber aus.
Zum Sinn des Ganzen (der ja m.E. irgendwo sein muss) nochmal folgende Idee:
Dass die ganze Aktion nur Sinn macht, wenn man beim Klick auf den Link in der TWS eingeloggt ist, ist abwegig ?
Das war nämlich meine erste (sicherlich laienhafte) Vermutung als ich den Error 404 beim Klick auf den Link sah....
Eine andere Möglichkeit wäre eventuell, dass die E-Mail zu spät bei mir ankam und die Aktion schon wieder beendet war, als ich den Link klickte (definitiv nach Börsenschluss am Freitag hier) .....
Bei dieser Variante bliebe dann aber trotzdem unklar, warum der Link scheinbar direkt zu IB führt....
Komisch finde ich da aber die unterschiedlichen Session ID im Linktext und in der Adresszeile des Browsers.
Hat vielleicht jemand eine Idee, was es denn damit auf sich haben könnte ?
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Wiwu« (15. April 2007, 00:35)
Sonntag, 15. April 2007, 07:34
Hallo,
ich habe nun eine zweite Mail von IB erhalten. Diesmal handelt es sich um eine mit vermutlichen Schadcode! Der Absender ähnelt dem von Ankes zugesandet Mail. Da mein Mailprogramm keine Grafik Dateien und html automatisch öffnet, habe ich den Anhan nicht geöffnet, damit keine unbemerkte Installation eines Schadcodes (der an Virenscannern vorbeigeschleust wird) stattfindet denn meinen Testrechner für wollte ich heute eigentlich nicht neu aufsetzen..
@Bernd
Hast Du Interesse das Ding näher zu betrachten?
@all
Definitiv werden mit Interactive Brokers titulierte Mails als Spam, vermutlich auch mit Schadcodes und Anhängen versandt!
ich habe nun eine zweite Mail von IB erhalten. Diesmal handelt es sich um eine mit vermutlichen Schadcode! Der Absender ähnelt dem von Ankes zugesandet Mail. Da mein Mailprogramm keine Grafik Dateien und html automatisch öffnet, habe ich den Anhan nicht geöffnet, damit keine unbemerkte Installation eines Schadcodes (der an Virenscannern vorbeigeschleust wird) stattfindet denn meinen Testrechner für wollte ich heute eigentlich nicht neu aufsetzen..
@Bernd
Hast Du Interesse das Ding näher zu betrachten?
@all
Definitiv werden mit Interactive Brokers titulierte Mails als Spam, vermutlich auch mit Schadcodes und Anhängen versandt!
!Bitte erhöhte Vorsicht bei IB-Mails!
Happy Trading
Sonntag, 15. April 2007, 10:13
Hallo Udo
Diese Leute laufen sich wie es aussieht erst warm. Sie versenden die Mails auch (noch?) nicht grossflächig, ich habe z.B. noch keines direkt erhalten (nur das von Anke von ihr).
Auch habe sie (noch) keinen Zugriff auf Adressdatenbanken mit IB Usern, denn Anke hat das Mail ja an eine andere Adresse erhalten.
Udo, Du könntest mir das Mail forwarden. Ich kann es mir aber frühestens heute abend ansehen wegen anderer geplanter Aktivitäten heute.
Die Frage ist, wie wir damit insgesamt umgehen: hat IB eine Anlaufstelle, wo man diese Fakes melden kann? Ich meine, dort sollte man wenigstens Bescheid wissen.
Original von Udo
... zweite Mail von IB ... mit vermutlichen Schadcode!
@Bernd
Hast Du Interesse das Ding näher zu betrachten?
Diese Leute laufen sich wie es aussieht erst warm. Sie versenden die Mails auch (noch?) nicht grossflächig, ich habe z.B. noch keines direkt erhalten (nur das von Anke von ihr).
Auch habe sie (noch) keinen Zugriff auf Adressdatenbanken mit IB Usern, denn Anke hat das Mail ja an eine andere Adresse erhalten.
Udo, Du könntest mir das Mail forwarden. Ich kann es mir aber frühestens heute abend ansehen wegen anderer geplanter Aktivitäten heute.
Die Frage ist, wie wir damit insgesamt umgehen: hat IB eine Anlaufstelle, wo man diese Fakes melden kann? Ich meine, dort sollte man wenigstens Bescheid wissen.
Gruss
Bernd
Bernd
Sonntag, 15. April 2007, 12:33
Hallo Detektiv/in/e,
ich würde gar net erst lange warten, sondern die mail sofort an IB weiterleiten (übrigens ich bekam keine, bis auf die IPO-mail, die m.E. i.O. ist)
Hallo Bernd,
du schreibst : "oder von Timber Hill LLC" ... Nun, Timber und IB arbeiten bekanntlich ja sehr, sehr eng zusammen ! siehe auch hier ( In Zug sitzen die ein Stockwerk tiefer) .
?? korrupte/r Mitarbeiter ?? ... ich würde an deiner Stelle dem IB-support auch deine Recherchen-Resultate mitteilen
... und gleich dein Detektiv-Honorar anheften
"Sicher ist sicher" , sagte sich der Bauer und zog die Handbremse auch bergauf an =)
Schönen Sonntag noch @Alle
ich würde gar net erst lange warten, sondern die mail sofort an IB weiterleiten (übrigens ich bekam keine, bis auf die IPO-mail, die m.E. i.O. ist)
Hallo Bernd,
du schreibst : "oder von Timber Hill LLC" ... Nun, Timber und IB arbeiten bekanntlich ja sehr, sehr eng zusammen ! siehe auch hier ( In Zug sitzen die ein Stockwerk tiefer) .
?? korrupte/r Mitarbeiter ?? ... ich würde an deiner Stelle dem IB-support auch deine Recherchen-Resultate mitteilen
... und gleich dein Detektiv-Honorar anheften "Sicher ist sicher" , sagte sich der Bauer und zog die Handbremse auch bergauf an =)
Schönen Sonntag noch @Alle
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Moneymaker« (15. April 2007, 13:18)
Montag, 16. April 2007, 00:16
Hallo Udo
Dein Mail enthält das gleiche Bild wie bei Anke, die Grösse ist aber geringfügig anders. Der Name auch. Wohl um Spam-Filter zu täuschen die üblichen Spielchen.
Dann, der Inhalt: diesmal zeigt der Link auf session185972320.interactivebrokers.com.fporu.tk
Das hat definitiv nichts mehr mit IB zu tun. tk ist die Toplevel-Domain von Tokelau, gehört zu Neuseeland.
Leider hat Tokelau es versäumt, ein Internic einzurichten; stattdessen wurde die erwartete Seite www.internic.tk gekapert, und zeigt auf eine arabische Website mit der URL http://www.elixir.ir , die ich mangels Arabisch-Kentnisse nicht lesen kann.
Also habe ich mich mit einem nslookup ab dem Windows Command Prompt beholfen:
> nslookup interactivebrokers.com.fporu.tk
bringt mir diese IP Adresse:
nslookup: Name: interactivebrokers.com.fporu.tk
Addresses: 200.120.67.245, 200.120.67.245
Mit dieser IP Adresse suchen wir nun hier: LACNIC (Latin American and Caribbean IP address Regional Registry): http://lacnic.net/cgi-bin/lacnic/whois?lg=EN
... und landen in Santiago:
inetnum: 200.120.0/17
status: allocated
owner: VTR BANDA ANCHA S.A.
ownerid: CL-VPNS-LACNIC
responsible: Italo Sambuceti
address: Reyes Lavalle, 3340, 4th floor
address: 6760335 - Santiago -
country: CL
phone: +56 02 3101502 []
owner-c: ISO
tech-c: ISO
inetrev: 200.120.0/17
nserver: NS00.VTR.NET
nsstat: 20070414 AA
nslastaa: 20070414
nserver: NS01.VTR.NET
nsstat: 20070414 AA
nslastaa: 20070414
created: 20031111
changed: 20031111
nic-hdl: ISO
person: Italo Sambuceti Oyarzún
e-mail: isambuce@VTR.CL
address: Reyes Lavalle, 3340, 4 th floor
address: 676-0335 - Santiago -
country: CL
phone: +56 02 3101609 []
created: 20020906
changed: 20021122
Jemand sollte mal im 4.Stock bei Italo vorbeischauen, und Ordnung machen
Diesen Link
session185972320.interactivebrokers.com.fporu.tk
habe ich nun nicht angeklickt, etwas Gutes kann von da kaum kommen, und ich wollte heute Nacht nicht noch meinen Rechner neu aufsetzen oder Schlimmeres ausbaden !!!
Edit: wollte man noch weitermachen, müsste man eine gesicherte Labor-Umgebung aufbauen, den Link aktivieren und dabei den Traffic z.B. mit Ethereal mitschneiden. Dann würde man schon draufkommen, was diese Leute vorhaben. Es wird kaum zum Vorteil der IB User gedacht sein ... Alles in allem: man sollte IB informieren und derweil sehr vorsichtig sein mit angeblichen IB-Mails
Dein Mail enthält das gleiche Bild wie bei Anke, die Grösse ist aber geringfügig anders. Der Name auch. Wohl um Spam-Filter zu täuschen die üblichen Spielchen.
Dann, der Inhalt: diesmal zeigt der Link auf session185972320.interactivebrokers.com.fporu.tk
Das hat definitiv nichts mehr mit IB zu tun. tk ist die Toplevel-Domain von Tokelau, gehört zu Neuseeland.
Leider hat Tokelau es versäumt, ein Internic einzurichten; stattdessen wurde die erwartete Seite www.internic.tk gekapert, und zeigt auf eine arabische Website mit der URL http://www.elixir.ir , die ich mangels Arabisch-Kentnisse nicht lesen kann.
Also habe ich mich mit einem nslookup ab dem Windows Command Prompt beholfen:
> nslookup interactivebrokers.com.fporu.tk
bringt mir diese IP Adresse:
nslookup: Name: interactivebrokers.com.fporu.tk
Addresses: 200.120.67.245, 200.120.67.245
Mit dieser IP Adresse suchen wir nun hier: LACNIC (Latin American and Caribbean IP address Regional Registry): http://lacnic.net/cgi-bin/lacnic/whois?lg=EN
... und landen in Santiago:
inetnum: 200.120.0/17
status: allocated
owner: VTR BANDA ANCHA S.A.
ownerid: CL-VPNS-LACNIC
responsible: Italo Sambuceti
address: Reyes Lavalle, 3340, 4th floor
address: 6760335 - Santiago -
country: CL
phone: +56 02 3101502 []
owner-c: ISO
tech-c: ISO
inetrev: 200.120.0/17
nserver: NS00.VTR.NET
nsstat: 20070414 AA
nslastaa: 20070414
nserver: NS01.VTR.NET
nsstat: 20070414 AA
nslastaa: 20070414
created: 20031111
changed: 20031111
nic-hdl: ISO
person: Italo Sambuceti Oyarzún
e-mail: isambuce@VTR.CL
address: Reyes Lavalle, 3340, 4 th floor
address: 676-0335 - Santiago -
country: CL
phone: +56 02 3101609 []
created: 20020906
changed: 20021122
Jemand sollte mal im 4.Stock bei Italo vorbeischauen, und Ordnung machen
Diesen Link
session185972320.interactivebrokers.com.fporu.tk
habe ich nun nicht angeklickt, etwas Gutes kann von da kaum kommen, und ich wollte heute Nacht nicht noch meinen Rechner neu aufsetzen oder Schlimmeres ausbaden !!!
Edit: wollte man noch weitermachen, müsste man eine gesicherte Labor-Umgebung aufbauen, den Link aktivieren und dabei den Traffic z.B. mit Ethereal mitschneiden. Dann würde man schon draufkommen, was diese Leute vorhaben. Es wird kaum zum Vorteil der IB User gedacht sein ... Alles in allem: man sollte IB informieren und derweil sehr vorsichtig sein mit angeblichen IB-Mails
Gruss
Bernd
Bernd
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »bernd« (16. April 2007, 00:20)
Montag, 16. April 2007, 09:52
Hallo zusammen,
@Bernd
Klasse Arbeit-besten Dank!
@all
IB bestätigt die Phising Mails. Das anklicken des Links ist noch nicht dramatrisch. Man wird u.U. auf ein Website verlinkt wo Passwort und Kt.-Nr. abgefragt werden. Gibt man beides ein, ist der Hacker in der Lage zu traden und das Konto abzuwirtschaften! Ist im Grunde der alte Trick wie es auch beim Online-Banking versucht wird. In den gif-Bildern befinden sich noch keine Viren und Rootkits.
Vorgehensweise: E-Mails mit unklaren Inhalten und Verlinkungen sofort löschen-sollte den meisten bekannt sein!IB versendet auf keinen Fall Mails mit Verlinkungen oder Aufforderungen irgend welcher Eingaben!Sollte jemand auf den Trick reingefallen sein sofort bei IB melden, da das Trade-Konto eingefroren werden muss!
@Bernd
Klasse Arbeit-besten Dank!
@all
IB bestätigt die Phising Mails. Das anklicken des Links ist noch nicht dramatrisch. Man wird u.U. auf ein Website verlinkt wo Passwort und Kt.-Nr. abgefragt werden. Gibt man beides ein, ist der Hacker in der Lage zu traden und das Konto abzuwirtschaften! Ist im Grunde der alte Trick wie es auch beim Online-Banking versucht wird. In den gif-Bildern befinden sich noch keine Viren und Rootkits.
Vorgehensweise: E-Mails mit unklaren Inhalten und Verlinkungen sofort löschen-sollte den meisten bekannt sein!IB versendet auf keinen Fall Mails mit Verlinkungen oder Aufforderungen irgend welcher Eingaben!Sollte jemand auf den Trick reingefallen sein sofort bei IB melden, da das Trade-Konto eingefroren werden muss!
Happy Trading
Montag, 16. April 2007, 10:07
Hallo Udo
Doch, das tun sie. Z.B. die "Daily Account Statement Notification" und auch weitere Mails, da ist ein Link drin, der einem auf die IB Login Webpage führt. Das eigent sich gut zur Nachahmung ...
Original von Udo
IB versendet auf keinen Fall Mails mit Verlinkungen oder Aufforderungen irgend welcher Eingaben!
Doch, das tun sie. Z.B. die "Daily Account Statement Notification" und auch weitere Mails, da ist ein Link drin, der einem auf die IB Login Webpage führt. Das eigent sich gut zur Nachahmung ...
Gruss
Bernd
Bernd
Montag, 16. April 2007, 10:17
Hallo Udo und Bernd,
danke für die Informationen.
Ganz genau.
Nur dieses mir bekannte Prozedere war auch der Grund dafür, dass ich den Link überhaupt zuerst mal "reflexmäßig" angeklickt habe. Glücklicherweise führte er ja auf eine 404-Seite und ich wurde nicht zur Eingabe von Usernamen und Passwort aufgefordert.
Dennoch denke ich, der Thread hier ist wichtig und bewahrt vielleicht andere IB-Kunden unter den Investox-Anwendern vor Schaden.
danke für die Informationen.
Doch, das tun sie. Z.B. die "Daily Account Statement Notification" und auch weitere Mails, da ist ein Link drin, der einem auf die IB Login Webpage führt.
Ganz genau.
Nur dieses mir bekannte Prozedere war auch der Grund dafür, dass ich den Link überhaupt zuerst mal "reflexmäßig" angeklickt habe. Glücklicherweise führte er ja auf eine 404-Seite und ich wurde nicht zur Eingabe von Usernamen und Passwort aufgefordert.
Dennoch denke ich, der Thread hier ist wichtig und bewahrt vielleicht andere IB-Kunden unter den Investox-Anwendern vor Schaden.
Montag, 16. April 2007, 10:53
Hi Tom,
Stimmt.
Nur comdirect hat keine Investox ORM Anbindung.
Consors hat die Investox ORM Anbindung, erlaubt aber nicht das direkte Trading von Futures.
Für Investox Anwender die Futures vollautomatisch traden wollen, gibt es derzeit keine Alternative zu IB.
@ Udo
Du kannst Dich über Deinen TWS Usernamen und Dein TWS Passwort in Dein Account einloggen.
Gibt ein IB Kunde auf der Phishing Webseite seinen TWS Usernamen und sein Passwort ein, hat er Hacker m.E. alles, was er braucht, um das Konto abzuräumen.
Cu Tim
Das ist bei CONSORS und Comdirect wesentlich sicherer !
Stimmt.
Nur comdirect hat keine Investox ORM Anbindung.
Consors hat die Investox ORM Anbindung, erlaubt aber nicht das direkte Trading von Futures.
Für Investox Anwender die Futures vollautomatisch traden wollen, gibt es derzeit keine Alternative zu IB.
@ Udo
Sie fordern keine KontoNummer- oder Passwort Eingaben.Insofern kann eigentlich nichts passieren..
Du kannst Dich über Deinen TWS Usernamen und Dein TWS Passwort in Dein Account einloggen.
Gibt ein IB Kunde auf der Phishing Webseite seinen TWS Usernamen und sein Passwort ein, hat er Hacker m.E. alles, was er braucht, um das Konto abzuräumen.
Cu Tim
Montag, 16. April 2007, 11:47
Hallo,
die lösche ich schon seit Ewigkeiten "unbesehen" ... schon aus Bequemlichkeit ... der Klick auf "Konto" in der (sowieso lafenden) TWS war immer schon der einfachere Weg ... und aktuell kommt zu mir auch diesbezüglich ja eh nix mehr -
Doch, das tun sie. Z.B. die "Daily Account Statement Notification" und auch weitere Mails, da ist ein Link drin, der einem auf die IB Login Webpage führt.
die lösche ich schon seit Ewigkeiten "unbesehen" ... schon aus Bequemlichkeit ... der Klick auf "Konto" in der (sowieso lafenden) TWS war immer schon der einfachere Weg
... und aktuell kommt zu mir auch diesbezüglich ja eh nix mehr -
Montag, 16. April 2007, 21:25
Hallo zusammen
Es gibt da das Secure Transaction Program (STP),
Auf einer IB Web-Page heisst es:
Hat jemand Erfahrung mit diesem Apparat, und ist das Ding kompatibel zu Investox? Sichert es nicht nur Überweisungs-Trasaktionen via dem Web-Interface, sondern auch den Login zur TWS, hat es einen Einfluss auf das Trading-Geschäft (z.B. Performace)?
Ich meine, jemand hier im Forum hätte schonmal zu diesem Punkt etwas gepostet, aber ich finde es nicht wieder.
Sie schreiben zwar, dass man diesen Stand der Security nur ab einem Kontostand von 100.000 USD haben kann - aber das wäre, wenn das Gerät interessant ist, nochmal zu verhandeln! Besonders, wo Udo erfahren hat, dass sie ja selbst von diesen Phishing Angriffen wissen!
Original von Tom
das ist ein sehr unsicheres System bei IB ohne TAN-Nummern !
Es gibt da das Secure Transaction Program (STP),
Auf einer IB Web-Page heisst es:
Original von IB
The IB Security Device is a small apparatus (small enough to fit on your keychain) that generates unique, secure passwords for each IB logon to ensure secure transactions. The passwords generated by the device can only be used once and therefore they are no good to thieves and hackers. Even if someone were to steal your IB user name and password, they could not withdraw funds from your account or change your confidential information without also having physical possession of your IB Security Device. In addition, the device is locked by a Personal Identification Number (or PIN) so that only you will be able to access the secure passwords.
Hat jemand Erfahrung mit diesem Apparat, und ist das Ding kompatibel zu Investox? Sichert es nicht nur Überweisungs-Trasaktionen via dem Web-Interface, sondern auch den Login zur TWS, hat es einen Einfluss auf das Trading-Geschäft (z.B. Performace)?
Ich meine, jemand hier im Forum hätte schonmal zu diesem Punkt etwas gepostet, aber ich finde es nicht wieder.
Sie schreiben zwar, dass man diesen Stand der Security nur ab einem Kontostand von 100.000 USD haben kann - aber das wäre, wenn das Gerät interessant ist, nochmal zu verhandeln! Besonders, wo Udo erfahren hat, dass sie ja selbst von diesen Phishing Angriffen wissen!
Gruss
Bernd
Bernd