Forum Übersicht - 2.6. Tiere, Waren und Dienstleistungen » Western Union

Diese Mail habe ich heute vorgefunden. Die sind ja echt lustig...Helft mir doch mal bitte auf die Sprünge, brauche Nachhilfe. Es würde mich brennend interessieren, woher (aus welchem Land) die kommt. Ich kann im Header nichts finden. Und wie schaffen die es, die Adresse info.westernunion@westernunion.com zu verwenden? Die Domain gehört doch Western Union. Oder ist die Mail in Wirklichkeit von mta101.mail.re3.yahoo.com?

In Antwort auf:

---

From WESTERN UNION Tue Jul 8 03:46:03 2008
Return-Path: <anonymous@plesk.ev1servers.net>
Authentication-Results: mta101.mail.re3.yahoo.com from=westernunion.com; domainkeys=neutral (no sig)
Received: from 66.98.156.4 (EHLO plesk.ev1servers.net) (66.98.156.4)
by mta101.mail.re3.yahoo.com with SMTP; Tue, 08 Jul 2008 06:22:56 -0700
Received: (qmail 7887 invoked by uid 48); 7 Jul 2008 22:46:03 -0500
Date: 7 Jul 2008 22:46:03 -0500
Message-ID: <20080708034603.7886.qmail@plesk.ev1servers.net>
To: xxxxxxxx@yahoo.de
Subject: Fund recovery and compensation
From: WESTERN UNION <info.westernunion@westernunion.com>
Reply-To: WACFU@xsecurity.org
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Content-Length: 1095

---

Special Attention Sir/Madam,

Re: Fund Recovery and Compensation:

We wish to inform you that your name is in the Western Union Money Transfer data list as one of the West African defrauded victims.

We the western Union have been instructed by the West African Counter Fraud Unit (WACFU) to submit information of people suspected to be victims.

From the reports in our data list, the receiver(s) of the transfer(s) you made to Africa sometime ago through the Western Union Money Transfer is in our blacklist, which means that he/she is a fraudster.

The WACFU, have decided to compensate such victims, part of their lost money from the funds already recovered from the fraudsters. There is no full assurance that you will recover all the made you may have considered lost but be sure of 50% of what ever amount you transferred to the fraudsters.

You are therefore, required to send your full information to the WACFU office in Benin through the email at WACFU@xsecurity.org or call 00229 21 07 55 91

Be informed and officially guided.

Western Union Management.

---

Das kann man nicht genau erkennen, die IP 66.98.156.4 stammt aus den USA, gehört aber einem Hoster, da steht also nur der Server über den die Mail verschickt wurde. Wo der Absender sitzt kann man nicht sagen.
Interessanter ist die Mailadresse WACFU@xsecurity.org, gehört in die Ukraine und scheint auf den ersten Blick ein Free-Mail-Service zu sein (falls jemand kyrillisch kann...).
Eine WHOIS-Abfrage für xsecurity.org zeigt aber folgendes: "Sponsoring Registrar:CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH".
CSL Computer taucht immer mal wieder auf, wenn es um das Versenden von Spam geht, natürlich haben die nie, nie, nie etwas damit zu tun...

Anscheinend wurde ein Fake-Programm benutzt. Im Header ist ein Anonym-Remailer eingetragen (Return-Path: <anonymous@plesk.ev1servers.net>), wenn ich das richtig sehe. Alles die gleiche Domäne. plesk.ev1servers.net. Klar kannst Du Emailadressen fälschen, darfst dich aber nicht über deine eigene IP zurück verfolgen lassen. Das wäre etwas dumm. . .

In Antwort auf:

---

Domain ID:D104001327-LROR
Domain Name:XSECURITY.ORG
Created On:19-Feb-2004 10:55:36 UTC
Last Updated On:24-Jul-2008 08:18:15 UTC
Expiration Date:19-Feb-2009 10:55:36 UTC
Sponsoring Registrar:CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH (R25-LROR)
Status:CLIENT HOLD

---

@ichhassespam: Hast Recht! Aber der angegebene DNS-Namespace funzt "noch"!

Status:CLIENT HOLD
Registrant ID:CORG-80981
Registrant Name:Pototskyy Oleksiy
Registrant Organization:MyTop Ltd.
Registrant Street1:Pshenychna str., 2
Registrant Street2:
Registrant Street3:
Registrant City:Kiev
Registrant State/Province:--
Registrant Postal Code:03680
Registrant Country:UA
Registrant Phone:+380.445855182
Registrant Phone Ext.:
Registrant FAX:+380.445855182
Registrant FAX Ext.:
Registrant Email:oleksiy@pototskyy.org

hallo, habe gerade deine Antwort gelesen, kennst du dich mit Headern aus?
Was ist wenn bei Eingabe einer IP Adresse immer Sunnyvale CA/ USA kommt?
Hat freewebtown.com irgendwas damit zu tun? Kann so eine Mail trotzdem aus Nigeria kommen?
Über eine Antwort würde ich mich sehr freuen.
Susanne

Hier mal der Originalheader, würdest mir sehr helfen...

In Antwort auf:

---

From Anderson Nathan Thu Sep 4 13:12:31 2008
Return-Path: <ander.nathan01@yahoo.com>
Authentication-Results: mta114.mail.re1.yahoo.com from=yahoo.com; domainkeys=fail (bad sig)
Received: from 76.13.13.78 (HELO n1c.bullet.mail.ac4.yahoo.com) (76.13.13.78)
by mta114.mail.re1.yahoo.com with SMTP; Thu, 04 Sep 2008 06:12:31 -0700
Received: from [76.13.13.26] by n1.bullet.mail.ac4.yahoo.com with NNFMP; 04 Sep 2008 13:12:31 -0000
Received: from [76.13.10.178] by t3.bullet.mail.ac4.yahoo.com with NNFMP; 04 Sep 2008 13:12:31 -0000
Received: from [127.0.0.1] by omp119.mail.ac4.yahoo.com with NNFMP; 04 Sep 2008 13:12:31 -0000
Received: (qmail 37425 invoked by uid 60001); 4 Sep 2008 13:12:31 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.com;
h=X-YMail-OSG:Received:X-Mailer:Date:From:Reply-To:Subject:To:In-Reply-To:MIME-Version:Content-Type:Message-ID;
b=35iv4DRiBiF4S8jsZWVQglpS4oOkfmFWm4FX7W6LvkiU4NZsi0ENL6S9qHG9/uvjn2OEmcoQuQKdrAw+Ga3WFIK;
Received: from [41.222.40.176] by web59602.mail.ac4.yahoo.com via HTTP; Thu, 04 Sep 2008 06:12:31 PDT
Date: Thu, 4 Sep 2008 06:12:31 -0700 (PDT)
From: Anderson Nathan <ander.nathan01@yahoo.com>
Reply-To: ander.nathan01@yahoo.com
Subject: yes honey
To: Susanne *** <***@yahoo.de> [Edit Scambaiter Addy anonymisiert]
In-Reply-To: <554681.14169.qm@web28308.mail.ukl.yahoo.com>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="0-1549173269-1220533951=:35477"
Message-ID: <466275.35477.qm@web59602.mail.ac4.yahoo.com>
Content-Length: 3891

---

Hallo everwood willkommen!

Ich habe mal deinen Namen und deine Email Adresse anonymisiert.
Bitte in Zukunft, zu deiner eigenen Sicherheit, dass alles selbst nicht mit posten.

Soweit ich auf den ersten Blick sehen kann, kommt diese Mail aus Südafrika:
Received: from [41.222.40.176]

IP: 41.222.40.176 | ZA | SOUTH AFRICA | | AFRINIC

@everwood: Herzlich Willkommen! Scambaiter hat natürlich Recht. Die Mail ist von Südafrika versendet worden.
Du hast bestimmt nach der IP 76.13.13.78 geschaut. Doch das ist nur die IP von dem Provider, der den Mailserver
zur Verfügung stellt. freewebtown.com hat mit "dieser" Mail nichts zu tun.

Die meisten GeoIP-Programme sind ungenau, weil sie veraltete Daten verwenden.
Sehr gut ist hingegen: http://www.maxmind.com/app/locate_ip

Danach geht die IP 41.222.40.176 direkt nach Ibadan in Nigeria.

@Orion: THX! Kann man gebrauchen. Schon als Link abgelegt.

hallo vielen Dank für die Anomysierung. Als James Bond bin ich doch nicht so geeignet.
Je mehr ich über das Thema Header lese desto verwirrter bin ich. Ich kann Fake emails sogenannte Wegwerfemails mir zu legen, falsche Header einfügen bzw. senden. Die Analyse IP Adresse stimmt zum Teil auch nicht. Als Beispiel. Mails bei denen ich 100% sicher bin woher diese kommen wurden urplötzlich angeblich aus UK versandt. Bei mehreren Emails vom gleichen Absender wurden verschiedene Orte angegeben? Wer weiß was wie man sich wirklich sicher sein?