Ich
wurde am 15.06.2003 aus
dem Ebay-System ausgeschlossen, nachdem ich wenige Tage zuvor eine
Beschwerde aufgrund eines
Identitätsdiebstahls an das sogenannte
Ebay-Sicherheitsteam gemailt
hatte.
Am 15.06.2003 gegen
18:45 hatte mit 
<kontrolle@ebay.de>
eine E-Mail mit dem Betreff: »eBay Ausschluss - Ausgeben als anderes
Mitglied« zugesandt mit folgendem Wortlaut:
»[...] wir bedauern Ihnen mitteilen zu muessen, dass wir
Ihren eBay-Account aus einem der folgendenden Gruende sperren
mussten:
- Falsche oder unvollstaendige Angabe Ihrer Daten bei der
Registrierung bzw. Angabe der Daten einer anderen Person.
- Aenderung Ihrer Registrierungsdaten auf eine andere
Person (unzulaessige Accountuebertragung).
[...] Wir machen Sie darauf aufmerksam, dass es Ihnen
waehrend dieser Sperrung untersagt ist, unser System in irgendeiner
Hinsicht zu nutzen. Das schliesst auch eine Neuanmeldung unter einem
anderen Namen ein. Jeglicher Versuch sich erneut anzumelden kann
dazu fuehren, dass Ihr Account unwiderruflich gesperrt bleibt.«
Ebay verbietet mir, das System weiterhin zu nutzen, mit anderen Ebay-
Mitgliedern zu kommunizieren oder meine Beschwerde innerhalb des web-
basierten und nur für Mitglieder zugänglichen Systems weiterzuverfolgen.
Das hält Ebay jedoch nicht davon ab, meine E-Mail- Adresse zum
Versenden von Spam zu missbrauchen:
E-Mail vom 02-09-2003, 00:01 Uhr, von
<newsletters@ebay.de>
an <mitglieder@ebay.de>:
Da die Spam- Mail an
<mitglieder@ebay.de>
adressiert ist, gelte ich bei Ebay anscheinend intern -- trotz
Ausschluss -- noch als Mitglied. Oder versendet Ebay ganz einfach Spam
an beliebige Adressen, wie dies tausende anderer Mail- Spammer im
Internet ebenfalls tun?
Nicht nur Ebay versendet Spam; natürlich versuchen auch andere, noch
zwielichtigere Elemente als Trittbrettfahrer am Auktionsboom
teilzuhaben.
Ein Beispiel hierfür ist folgende gefälschte Mail, die angeblich von
Ebay versandt wird:
Man wundert sich zunächst über die ungewöhnlich kleine Schrift und
stellt dann fest, dass es sich gar nicht um Text handelt, sondern nur um
eine in HTML eingebettete Grafik (pic.gif von einer kruden Location, die
etwa wie folgt aussieht: http://scgi.ebay.com@%32%31%31%2E%32%31%37...):
Die vollständige Mail habe ich vorsichtshalber archiviert für die
weitere forensische Investigation: message.txt
:)
Was zunächst wie ein offizieller Host von Ebay (scgi.ebay.com)
aussieht, entpuppt sich bei näherem Hinsehen als Account (@) bei dem
Host 211.217.224.102:34; der URL zeigt auf ein Verzeichnis /update
mit der Datei index.htm.
Der zu dieser IP-Adresse gehörende Netblock gehört folgendem
Eigentümer:
09/23/03 19:15:30 IP block 211.217.224.102
Trying 211.217.224.102 at ARIN
Trying 211.217.224 at ARIN
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 210.0.0.0 - 211.255.255.255
CIDR: 210.0.0.0/7
NetName: APNIC-CIDR-BLK2
NetHandle: NET-210-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS.RIPE.NET
NameServer: RS2.ARIN.NET
NameServer: DNS1.TELSTRA.NET
Comment: This IP address range is not registered in the ARIN
database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate
networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
Comment:
RegDate: 1996-07-01
Updated: 2002-09-11
OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3100
OrgTechEmail: search-apnic-not-arin@apnic.net
# ARIN WHOIS database, last updated 2003-09-22 19:15
Schaut man sich dann einmal den vollständigen Header der Mail an,
sieht man auch, welchen Weg die Mail genommen hat:
Auszug aus dem Header:
from UserMail1.FreeCity.De [81.88.35.51] by
ndmail4.name-server.de with ESMTP (SMTPD32-6.06) id A1A577101E4;
Tue, 23 Sep 2003 11:25:57 +0200
from microsoft.com (user243.kks-kamnik.si [212.13.231.243])
by UserMail1.FreeCity.De (Postfix) with SMTP id C979957F2D4 for
<asb@kefk.de>; Tue, 23 Sep 2003 11:23:24 +0200 (CEST)
Der echte Absender ist also user243.kks-kamnik.si auf dem Host
212.13.231.243.
Der zu dieser IP-Adresse gehörende Netblock gehört folgendem
Eigentümer:
09/23/03 19:13:12 IP block 212.13.231.243
Trying 212.13.231.243 at ARIN
Trying 212.13.231 at ARIN
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: Singel 258
Address: 1016 AB
City: Amsterdam
StateProv:
PostalCode:
Country: NL
ReferralServer: whois://whois.ripe.net
NetRange: 212.0.0.0 - 212.255.255.255
CIDR: 212.0.0.0/8
NetName: RIPE-NCC-212
NetHandle: NET-212-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS.RIPE.NET
NameServer: NS2.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH03.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 1997-11-14
Updated: 2003-09-19
OrgTechHandle: RIPE-NCC-ARIN
OrgTechName: RIPE NCC Hostmaster
OrgTechPhone: +31 20 535 4444
OrgTechEmail: search-ripe-ncc-not-arin@ripe.net
# ARIN WHOIS database, last updated 2003-09-22 19:15
Es handelt sich also vermutlich um eine kompromittierte Maschine
entweder in einem Netblock von APNIC oder RIPE.
Kefk Network :
Shopping |
About |
Wiki
Ebay versendet Spam:
