Qbi's Weblog

Heute wartete ich auf eine E-Mail und habe mal wieder mittels Telnet meine E-Mails gelesen. Dabei fiel mir das folgende Exemplar ins Auge:

Received: from 192.168.168.235 ([64.4.198.165])
      by avalon.iks-jena.de (8.13.4/8.13.1) with SMTP id k63IDsee010896
      for ; Mon, 3 Jul 2006 20:13:57 +0200 (MET DST)
Received: from 40.65.185.243 by ; Mon, 03 Jul 2006 18:05:08 -0100
Message-ID: 
From: “noreply@autoscout24.de” 
Reply-To: “noreply@autoscout24.de” 
To: jens@kubieziel.de
Subject: Inserate Absage - handeln Sie Bitte jetzt, um sie wiederherzustellen.
Date: Mon, 03 Jul 2006 21:06:08 +0200
X-Mailer: AOL 7.0 for Windows US sub 118
MIME-Version: 1.0
Content-Type: multipart/alternative;
     boundary=“--8946726060609699314”
X-Priority: 1
X-MSMail-Priority: High
Status: RO
Content-Length: 1347
Lines: 24

----8946726060609699314
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<html>=0A=0A<head>=0A<meta http-equiv=3D“Content-Language” content=3D"en-u=
s“>=0A<meta http-equiv=3D”Content-Type“ content=3D”text/html; charset=3Dwi=
ndows-1252">=0A<title>Sehr Autoscout24 Mitglied</title>=0A</head>=0A=0A<bo=
dy>=0A=0A<p>Sehr Autoscout24 Mitglied,<br>=0A<br>=0AEs gibt ein Problem mi=
t Ihrem Autoscout24 inserate.<br>=0A<br>=0AIhr Inserate ist geschlossen wo=
rden, weil wir einige Probleme mit unserem Server =0Ahaben.<br>=0A<br>=0AU=
m sie wiederherzustellen, klicken Sie bitte auf das Verbindungsgebr=FCll.<=
br>=0A<br>=0A<a href=3D“http://84.9.10.216:89/auto/”>Klicken Sie hier!</a>=
<br>=0A<br>=0A=DCber folgenden Link k=F6nnen Sie zu Ihrem Inserat Bilder e=
instellen, =0AZeitungsinserate aufgeben oder die Fahrzeugdaten ver=E4ndern=
 Bitte beachten Sie, =0Adass die Einstellung von Bildern die Verkaufswahr=
scheinlichkeit Ihres Fahrzeuges =0Aum 400% erh=F6ht.<br>=0A<br>=0AMein Aut=
oScout24: <br>=0A<a style=3D“text-decoration: underline” target=3D“_blank”=
 href=3D“http://84.9.10.216:89/auto/”>=0Ahttp://www.autoscout24.de//home/i=
ndex/uploadimages.asp?ts=3D7924521&id=3D65108848</a><br>=0A<br>=0A<br>=
=0A<br>=0AIhr AutoScout24-Team<br>=0A<br>=0A </p>=0A=0A</body>=0A=0A<=
/html>=0A


----8946726060609699314--

Allein der Satz Um sie wiederherzustellen, klicken Sie bitte auf das Verbindungsgebrüll. verrät, dass es sich kaum um eine E-Mail von Autoscout24 handelt. Wenn man dann mal die beworbene Seite (http://84.9.10.216:89/auto/) aufruft, sieht man, wie erwartet, eine Seite, die der von Autoscout24 täuschend ähnlich sieht.

Nun machte ich mich auf der Seite auf die Suche nach der üblichen Phisherseite, die dann Passworte oder sonstiges abgreift. Doch auch nach längerem Draufschauen konnte ich nichts dergleichen finden. Alle referenzierten Seiten scheinen zu Autoscout24 bzw. einer der Partnerseiten zu gehören. Falls jemand selbst suchen will, habe ich die Datei im temporären Bereich der Seite abgelegt. Für mich sieht es so aus, als ob der Fast-Phisher die Seite mit dem Firefox gespeichert hat (siehe Verzeichnisname login[1]_files der Unterverzeichnisse) und sich beim Versenden vertan hat. Es finden sich nämlich auf der Seite auf Verweise auf eine lokale Datei F:\Rugat\.... Er war offensichtlich noch nicht ganz fertig mit dem Bearbeiten oder es ist ein Phishazubi mit dem ersten Praktikumsversuch.

Der Rechner, der die Seite hostet, ist eine Windowsmaschine. Darauf läuft ein Apache 1.3.23 und liefert die betreffenden Seiten aus.

Hat jemand von euch ähnlichen Kram bekommen? War das dann weiter bearbeitet?

Update: Inmitten des HTML-Gewusels habe ich doch die richtige Zeile gefunden. In der Zeile 282 wird ein HTML-Formulartag geöffnet und dort steht <FORM name=loginform action=post.php method=post>. Wieso habe ich das vorhin nur übersehen? Hmm, jetzt könnte ich mir natürlich ein kleines Skript basteln, was sich dauernd bei der Seite einloggt ...