INVESTOX-Forum

Hallo Anke,

hast Du dazu eine IP-Adresse?

Hallo Anke,

schau Dir doch mal den html-Quelltext der email an, ob bei dem Link die gleiche Zieladresse drin steht. Habe gerade den Link mal manuell in der Browser eingegeben und sofern ich mich nicht vertippt habe, gibt es die Seite nicht.

Grüße, Frank

Hallo Anke

Das ist wirklich ein merkwürdiges Ding, was Du da Dingfest machst!

* keine meiner Mails von IB hatte bisher einen verghleichbaren Header
* als To: war immer meine eMail Adresse angegeben, bei Dir steht da nur ein massenmail-taugliches An: Email
* Das erste Wort im Betreff: ist falsch geschrieben: OfficiaI mit einem gropssen "I" statt mit einem kleinen "l"
* Das Wort for schreiben sie sonst richtigerweise klein im Betreff, bei Dir steht es gross "For"
* die Message-Id unterscheidet sich von meinen IB Mails, und hat eine für IB sehr untypische Endung mit .de

Hast Du eine Möglichkeitm den Internet Header und die HTML Source getrennt zu extrahieren, z.B. mit PocketKnife Peek? Wie Frank sagt, vielleicht kann man dann noch ein wenig mehr rausfinden.

Aber alles in allem: Dein Misstrauen scheint mir sehr gerechtfertigt. Da ist was unrund!

Hallo Anke

Hier gibt es einen Link zu den whoiswho's.

... den Mail Header Received-Teil muss man rückwärts lesen; es können je nach Netz erstmal interne (private) Adressen da stehen, dann kommt irgendwann eine IP Adresse, die man im whoiswho finden müsste

... meine IB Mails kommen so betrachtet aus einem Netz von SUN Microsystems oder von
Timber Hill LLC, aus einem ARIN Netz (Kanada, USA, Karibik, Nordatlantik) ohne Umwege in meinen gmx-Account

Und so wurde dieses merkwürdige Mail zu Dir geroutet :

72.16.106.64 - Windstream Communications Inc, 4001 Rodney Parham Rd, Little Rock, das ist ein ARIN Netz (Kanada, USA)
118.220.204.62 - Asia Pacific Network Information Center, Pty. Ltd., das ist ein APNIC Netz (Asien, Pacifik)
86.20.223.93 - NTL Infrastructure - Birmingham, das ist Europa und naher Osten, Ripe NCC (wahrscheinlich Dein Provider oder einer seiner Backbones)

Ich habe einige IB Mails stichprobenartig angesehen: dieses merkwürdige Routing habe ich bei keinem dieser Mails gefunden!

Wenn man weiteres herausfinden möchte, müsste man also bei Windstream Communications Incanknüpfen. Dieser Kandidatsieht leider nach einem grossen Netz-Provider aus. Die Admin-eMail Adresse ist ipadmin@windstream.net , allenfalls könnte man dort näheres sagen, wie das Mail ins Netz gekommen ist.

Bringen wird das vermutlich aber nichts: Windstream aktzeptiert auch LDC (long distance call), das heisst, man könnte sich per Telefon von irgendwo auf der Welt bei Windstream anloggen und diese Mails versenden. Vielleicht (ich habe dann aufgehört weiter zu suchen) sogar per Einwahl ohne sich vorher mit einem wahren Namen anzumelden. Ideal, wollte man IB Accounts o.ä. angreifen.

Hallo zusammen!

@Frank

Da hattest Du Glück das er nicht gleich verlinkt hat.Ich habe die Adresse über Google und BlueOfficer gesucht. Möchte aber die IP auch noch mal tracern.

Man kann m.A. zu 99,9% davon ausgehen das sich ein Virus oder Rootkit dahinter versteckt. Bei Rootkits muss man aufpassen weil diese von Virenscanner kaum gefunden werden! Davon abgesehen würde IB niemals so eine Mail dieser Art senden. Entweder man wird mit der Kontonummer angeschrieben oder man muss,falls eine Mail von IB kommt, die Programme direkt von die IB Website downloaden!


@Anke
Hast Du den Link direkt angelickt?


@Bernd
Jetzt kannst mal die Trickkiste des Informatikers auspacken..

Hallo Anke

Zitat

Original von Wiwu
Ich hätte allein sicherlich nicht soviel über die Mail herausbekommen.

Ja, aber Du hast diese gesunde Portion Misstrauen. Das allein hilft schon sehr viel :]

Was wir noch nicht wissen ist, was das Ziel dieser Aktion sein soll. Das wäre noch sehr hilfreich, um beurteilen zu können, was diese Leute noch zu tun vorhaben. Und wie wir IB User uns schützden sollten.

Vielleicht kannst Du noch den HTML Source Code rausziehen, wie ich weiter oben geschrieben habe, und posten oder mir per Mail schicken. Möglicherweise erfahren wir noch etwas über die Idee dieser Leute, wie sie IB User abzocken wollen!

Anke,


... aber bitte nicht den Link anklicken, ist ja klar, oder! Nur z.B. mit dem Peek die HTML Source rausziehen. Du kannst mir das Mail auch zuschicken, dann mach' ich das, und Du hast kein Problem.

Hallo Udo

Zitat

Original von Udo
Jetzt kannst mal die Trickkiste des Informatikers auspacken..

Wenn es was rauszufinden gibt, bin ich dabei! Bei solchen Aktionen muss mann so schnell wie möglich herausfinden, wie der Hase läuft, wie man betrogen werden soll: denn das Mail an Anke sieht schon ziemlich professionell aus

@Bernd

Einmal weisst die IP auf United Kingdom und dann auf Windstream (USA) hin! Im Anschluss eine Whois Abfrage mit Network Tools-IP: 72.16.106.64



Results returned from whois.opensrs.net:

Registrant:
Windstream Communications
4001 Rodney Parham Rd
Building II Room B04
Little Rock, Arkansas 72212
US

Domain name: ALLTEL.NET

Administrative Contact:
Communications, Windstream register-admin@windstream.net
4001 Rodney Parham Rd
Building II Room B04
Little Rock, Arkansas 72212
US
+1.8003164581
Technical Contact:
Communications, Windstream register-admin@windstream.net
4001 Rodney Parham Rd
Building II Room B04
Little Rock, Arkansas 72212
US
+1.8003164581


Registration Service Provider:
Windstream Communications Inc., hostmaster@windstream.net
1-800-316-4581
This company may be contacted for domain login/passwords,
DNS/Nameserver changes, and general domain support questions.


Registrar of Record: TUCOWS, INC.
Record last updated on 26-Jan-2007.
Record expires on 02-Jul-2013.
Record created on 03-Jul-1995.

Domain servers in listed order:
NS3-AUTH.ALLTEL.NET 207.91.5.70
NS2-AUTH.ALLTEL.NET 162.39.164.14
NS1-AUTH.ALLTEL.NET 166.102.165.15
NS4-AUTH.ALLTEL.NET 162.40.117.250


Domain status: clientDeleteProhibited
clientTransferProhibited
clientUpdateProhibited

Hallo,

eben ist mir auch was von IB in den Mailkasten geflattert. Ich muss es mal checken. Inhalt und Absender sind völlig anders wie bei Anke...

Hier mal meine Mail! Alles sieht hier völlig normal aus und die Links sind auch korrekt.Allerdings hat die Mail einen komischen Absender:
noresponse @ interaktivebrokers.com

Ich habe allerdings einen BLOG gefunden in dem der Text der Mail wiedergegeben wird! Der Link ist sauber!


Interactive Brokers
April 14, 2007
Dear Friends of Interactive Brokers:


After 30 years of building our closely held company, we are ready for the next phase of our development. We believe that a public offering of our shares will provide us with greater name recognition and accelerate our growth. Accordingly, we are now launching the Initial Public Offering of 20 million shares of Interactive Brokers Group, Inc. ("IBKR"), and we expect the public offering price to be between $23 and $27 per share.

Throughout our history, we have dedicated ourselves to building technology to provide liquidity and direct market access for our customers at very low costs. It is in this spirit that we are offering our shares in a Dutch auction through WR Hambrecht + Co's Open IPOTM system.

IB Account Holders can participate in the IPO through our fully electronic IBIPO Dutch Auction System, or along with others may buy shares in the IPO through the participating broker of their choice. IB customers will find instructions on how to enter and cancel bids in the IBIPO Auction System at www.interactivebrokers.com/IBIPO. The IBIPO Auction System may be launched in Account Management under the Trading Access/IBIPO Auction tab.

For the latest information on the IBKR IPO, including updates on the list of participating brokers, offering dates and an electronic copy of the prospectus you may visit our dedicated website IPO.Interactivebrokers.com.

An IBIPO auction is typically open for bids for one to two weeks prior to the closing date of the offering. Once the bidding concludes, WR Hambrecht + Co will assemble the bids and, working from highest to lowest, it will identify the first bid price that will sell all the offering's shares. This is the "clearing price" and will be the maximum price at which the issuing company will offer its shares. The issuing company and placement agents will then decide the price at which the issuing company will offer the shares, taking a number of economic and business factors into account in addition to the "clearing price."

As always we greatly value your business and look forward to continuing to serve you with our premier technology and low trading costs.


IBKR has filed a registration statement (including a prospectus) with the SEC for the offering to which this communication relates. Before you invest, you should read the prospectus in that registration statement and other documents IBKR has filed with the SEC for more complete information about IBKR and the offering. You may get these documents for free by visiting EDGAR on the SEC website at www.sec.gov. Alternatively, IBKR will make the latest prospectus available at ipo.interactivebrokers.com.

Hallo zusammen

Zitat

Original von Wiwu
ich habe Bernd gerade mal die Mail geschickt und bin schon gespannt, ob er noch mehr zu den Hintergründen herausfindet.....

Hatte esrt nichts im Mail; nach Suchen in meinen Mailfiltern hab' ich's gefunden. War in einem Sapm-Filter hängen geblieben. Ohne Dein Posting hier, Anke, hätte ich das Mail nicht gefunden.

Dazu habe ich in einem anderen Spam-Filter ein Mail von "IB" gefunden, das ganz anders aussieht, als das von Anke. Aber auch anders als alle IB Mails zuvor. Es hat den Titel "Interactive Brokers Initial Public Offering".

Na, ich werde mir diese Sachen noch weiter ansehen. Aber es gefällt mir schon jetzt kein bisschen, was ich sehe X

Also, das "Interactive Brokers Initial Public Offering" Mail sieht authentisch aus.

Hat nur einer meiner Spam Filter aufgrund des Inhalts (für mich richtigerweise, es kommen Tonnen dieser Art von Mail) als eines dieser vielen Going Public Spams eingeordnet.

Das ursprüngliche, suspekte, Mail von Anke muss ich mir erst noch vornehmen ...

Hallo zusammen

Zusätzlich zu meinen Postings weiter vorne im Thread kann ich zu dem Mail an Anke nur wenig Neues beitragen.

Aber eines doch: der ganze Text incl. "IB Logo" steckt in einem .gif. Das macht IB selbst anders: sie schicken den Text als HTML Source, und ein SRC= Link verweist auf das IB Logo, welches dann zur Mail-Anzeige dynamsich nachgeladen wird.

Diese Art von Fake-Mail bekomme ich zuhauf, sie versuchen einem, Penny Stocks schmackhaft zu machen, und diese .gif Geschichte dient dazu, an den Spam Filtern vorbei zu kommen.

Ein Rootkit sehe ich momentan nicht, und da die Links nicht funktionieren, kann Anke durch das anklicken nichts passiert sein.

Das mit den Links ist nochmals anderst komisch: so ein Link besteht aus
<rechnername>.<domainname>

Beispiel: [url=www.googl.ch,]www.googl.ch,[/url] da ist www der Name des Rechners, aber der Link führt unweigerlich zu goolge Schweiz.

Bei Ankes Mail lautet der Link
session382437.interactivebrokers.com, d.h. die Adresse führt unweigerlich zu IB, und nicht sonst wo hin in dieser Welt. Allenfalls wenn innerhalb der Firma IB der Rechner session382437 kompromittiert wäre, würde die ganze Aktion Sinn machen.

Edit: Oder wenn auf den Domainname root servern ein "man in the middle" wäre, der den Rechner session382437 zur Domain interactivebrokers.com umleitet auf ein anderes Netz, auch dann wäre da ein Sinn. Aber das kann ja eigentlich nicht sein ?!? Ich meine, das wäre am offenen Herzen des Internet.

Sehr komisch ...