Die Datenbank von Phishern verschmutzen?



  • Wie so üblich landete mal wieder eine Phising Mail in meinem E-Mail Spamordner.
    Die Masche ist immer gleich, es wird vorgegaukelt dass man sich wegen irgend einem Problem dringend in seinem Account einer bekannten Seite einloggen soll und in Wahrheit wird einem ein Link genannt, wo das Passwort dann abgegriffen wird, falls der Nutzer zu dumm sein sollte, da sein Passwort einzugeben.

    So, heute ist mir da eine Idee eingefallen.
    Die Phiser sind ja eigentlich darauf angewiesen, dass die Daten, die sie erhalten alle richtig sind, so dass sie diese nutzen und über den dann erlangten Account irgend etwas ergattern können.

    Wenn man jetzt eine fette Wörterbuchliste nimmt, sagen wir mal so 1 GB an Daten und damit deren Datenbank mit im Loginfeld generierten Mailadressen und Wörter aus der Wörterbuchliste als Passwort füttert, dann haben die dadurch ja einen Datensatz, der praktisch wertlos ist, bzw. erst einmal gefiltert werden muss um die echten gepisheten Accounts vom Datenmüll zu extrahieren.
    Und das kann dauern, vor allem dann, wenn der Anbieter, da wo man den Account hat, eine IP Sperre nach n Loginversuchen einschaltet.

    Natürlich funktioniert das nicht mehr, wenn die URL auf der man sich einloggen soll, damit der Account abgefischt werden kann, mit einem eindeutigen Hash versehen ist. Aber wenn das nicht der Fall ist, dann sollte so einer Verschmutzung doch nichts im Wege stehen.

    Was meint ihr?
    Würde das dem Pisher Ärger und einen Zeitverlust einbringen?



  • du weißt, dass das computersabotage und damit strafbar ist?



  • Wade1234 schrieb:

    du weißt, dass das computersabotage und damit strafbar ist?

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    Etwas anderes wäre es, wenn du dich in den Server hineinhacken würdest, das wäre dann eine Computersabotage.
    Allerdings gilt da auch, wo kein Kläger, da kein Richter.
    Die Wahrscheinlichkeit, dass dich Pisher anzeigen ist extrem gering, weil deren Strafe noch viel höher wäre.



  • Ich denke selbst wenn sie nur korrekte Zugangsdaten hätten, wäre das sehr auffällig wenn sich ein System mit hunderten Accounts anmeldet. Deswegen sind Botnetze so beliebt. Abgesehen vom Standort hat der Dienstbetreiber kaum eine Chance um den Unterschied zwischen dem Accountbesitzer und einem System aus einem Botnet zu erkennen.



  • computertrolls schrieb:

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    Das Argument ist völliger Quatsch.



  • computertrolls schrieb:

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    es wäre genau dann keine computersabotage, wenn sich dich aktiv darum bitten würden, mit deinem shellscript die datenbank vollzumüllen.


  • Mod

    Das ganze Vorgehen ist sowieso eine völlige Schnappsidee, die davon ausgeht, dass man selber superklug ist, weil man auf diese brillante Idee gekommen ist, während alle anderen Menschen auf der Welt sabbernde Idioten sind. Obwohl jeder Fünfjährige auf diese Idee gekommen wäre; und andere Menschen klug genug sind, sich wenigstens die Schuhe anzuziehen, was hinreichende Intelligenz beweist, um dieses Vorhaben trivial abzuwehren.

    Mal angenommen, die Phisher sind nicht sabbernde Idioten, dann bemerken sie ungewöhnlich große Aktivität. Dann sehen sie, dass da von ein und der selben IP tausende oder Millionen Eingaben erfolgen, was offensichtlich ein Sabotageversuch ist und trivial zu blocken oder zu filtern ist.

    "Aber", sagt unser superkluger computertrolls, "dann benutze ich TOR um von ganz vielen IPs aus zu senden!". Dann merkt der nicht sabbernde Phisher immer noch, dass da ungewöhnlich große Aktivität stattfindet. Dann bemerkt er entweder, dass das größtenteils bekannte TOR Exitnodes sind (so viele sind das nämlich gar nicht) und blockt diese (wer TOR benutzt fällt sowieso nicht ins Beuteschema). Oder er merkt, dass das autogenerierte Nutzernamen sind, weil sdkbngfeuingei233rmwi2@gmail.com mit Passwort 'sdn9m3r323?@dfSDF#!89' eher ungewöhlich ist und dann filtert er eben relative trivial diese heraus. Oder er merkt, dass da zu der Zeit, wo computertrolls sein Skript laufen ließ, die Aktivität sehr hoch war und er filtert trivial diese Zeiten heraus.

    "Aber", sagt unser superkluger computertrolls, "dann nutze ich ein großes Botnetz zum Senden, und ich schreibe einen richtig guten Generator für falsche Nutzernamen und Passwörter, und ich lasse mein Skript 24/7 laufen!". Herzlichen Glückwunsch, du hast dir deinen lahmen Sabotageversuch zum unbezahlten Beruf gemacht! Und du hast damit den Phisher das Leben ein kleines bisschen schwerer gemacht. Jetzt kann er zwar nicht mehr so einfach offensichtliche Fakedatensätze wegwerfen, aber entweder lässt er halt trotzdem alle Datensätze durchprobieren (kostet ihn schließlich fast nichts) oder er schreibt diesen Datensatz ab und nutzt einen seiner vielen anderen.



  • TL;DR:
    Du wirst immer mehr Arbeit investieren müssen als es die Phisher kostet.
    (Und da hab ich noch nichtmal deutsche vs kenianische Stundenlöhne eingerechnet.)

    PS:
    Der niedlichste Phishing-Versuch der mir untergekommen ist war einer bei dem die angebliche Bank sinngemäss schrieb dass sie leider meinen TAN-Bogen irgendwie verschlampt hätte und mich deshalb bat auf einer gefakten Webseite *alle* meine TAN Nummern in eine Tabelle einzutragen. 😃 🙄



  • hustbaer schrieb:

    computertrolls schrieb:

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    Das Argument ist völliger Quatsch.

    Bist du Anwalt?
    Kannst du es juristisch begründen warum das Quatsch sein soll?



  • Du hälst dich wohl für ganz schlau

    SeppJ schrieb:

    "Aber", sagt unser superkluger computertrolls, "dann benutze ich TOR um von ganz vielen IPs aus zu senden!". Dann merkt der nicht sabbernde Phisher immer noch, dass da ungewöhnlich große Aktivität stattfindet.

    Wer n Spammails verschickt, der erwartet nicht eine einzige Eingabe im eigenen Server, sondern die Eingabe von n Dummen.

    wer TOR benutzt fällt sowieso nicht ins Beuteschema).

    Sag ich ja, du hältst dich wohl für einen ganz schlauen.
    Gerade bei Tor Exitnodes werden die PW abgegriffen.

    Oder er merkt, dass das autogenerierte Nutzernamen sind, weil sdkbngfeuingei233rmwi2@gmail.com mit Passwort 'sdn9m3r323?@dfSDF#!89' eher ungewöhlich ist

    Ich sprach von Wörterbüchern.
    Für Nachnamen kann man auch eine Telfonbuchdatenbank verwenden und die beliebig mit Vornamen mixen.

    Oder er merkt, dass da zu der Zeit, wo computertrolls sein Skript laufen ließ, die Aktivität sehr hoch war und er filtert trivial diese Zeiten heraus.

    Das setzt voraus, dass er sich die Arbeit macht und sich auch noch die Zeit speichert.
    Das muss er nicht zwangsläufig tun. Das gleiche gilt für die IP Adresse.
    Denn er ist eigentlich nur am Benutzernamen und am PW interessiert.

    aber entweder lässt er halt trotzdem alle Datensätze durchprobieren (kostet ihn schließlich fast nichts)

    Ja, das muss er machen und darin liegt mein Spaß.

    oder er schreibt diesen Datensatz ab und nutzt einen seiner vielen anderen.

    Die kann er dann genauso abschreiben.



  • computertrolls schrieb:

    hustbaer schrieb:

    computertrolls schrieb:

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    Das Argument ist völliger Quatsch.

    Bist du Anwalt?

    Nein.
    Bist du ein trotziges Kind? Weil das ein Argument ist wie es von trotzigen Kindern kommt. Oder von Leuten die genau wissen dass sie nicht Recht haben aber sich das Gegenteil einreden wollen.

    Du machst nen DoS auf ne Webseite. Aber du wurdest ja gebeten die Seite zu besuchen. Muss also OK sein.
    Du brichst jemandem die Hand. Aber er hat dich ja zuvor aufgefordert ihm die Hand zu geben. Check.

    Idiot.



  • hustbaer schrieb:

    computertrolls schrieb:

    hustbaer schrieb:

    computertrolls schrieb:

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    Das Argument ist völliger Quatsch.

    Bist du Anwalt?

    Nein.
    Bist du ein trotziges Kind? Weil das ein Argument ist wie es von trotzigen Kindern kommt. Oder von Leuten die genau wissen dass sie nicht Recht haben aber sich das Gegenteil einreden wollen.

    Das ist Schwachsinn.
    Du gibst hier vor juristisch es mit Gewissheit zu wissen obwohl du auf dem Feld der Justiz kein Anwalt bist. Das du kein Anwalt sein kannst, war mir natürlich klar, aber hier hättest du ja die Chance gehabt deiner juristischen Laienmeinung ein Fundament zu geben, wenn es so gewesen wäre.

    Du machst nen DoS auf ne Webseite. Aber du wurdest ja gebeten die Seite zu besuchen. Muss also OK sein.

    Ein DoS ist, wenn der Dienst nicht mehr erreichbar ist. Also kein Opfer seine Daten mehr preisgeben kann, mal abgesehen davon, dass die wahrscheinlich dankbar wären, wenn es so wäre.
    Den Server mit Daten zu füttern ist kein DoS.

    Du brichst jemandem die Hand. Aber er hat dich ja zuvor aufgefordert ihm die Hand zu geben. Check.

    Dein Vergleich ist Dummfug.
    Ich gebe ihm die Hand und habe meine Hände nicht gewaschen, das wäre ein Vergleich. So und jetzt verklag mal den anderen, weil er dich mit schmutzigen Händen berührt hat.

    Idiot.

    Wenn dir also die Argumente ausgehen wirst du persönlich und greifst dein gegenüber persönlich an, anstatt auf die Sache einzugehen. Aha.



  • computertrolls schrieb:

    hustbaer schrieb:

    computertrolls schrieb:

    hustbaer schrieb:

    computertrolls schrieb:

    Du wirst aktiv darum gebeten, bei dem gegebenen Link dein PW einzugeben.
    Insofern kann das keine Computersabotage sein. ⚠

    Das Argument ist völliger Quatsch.

    Bist du Anwalt?

    Nein.
    Bist du ein trotziges Kind? Weil das ein Argument ist wie es von trotzigen Kindern kommt. Oder von Leuten die genau wissen dass sie nicht Recht haben aber sich das Gegenteil einreden wollen.

    Das ist Schwachsinn.

    Nein, ist es nicht.

    computertrolls schrieb:

    Du gibst hier vor juristisch es mit Gewissheit zu wissen obwohl du auf dem Feld der Justiz kein Anwalt bist.

    Wo gebe ich vor etwas "juristisch mit Gewissheit zu wissen"? Du interpretiert einfach in eine ganz normale, übliche Art seine Meinung zu kommunizieren die wildesten Dinge hinein. Was typisch dafür ist wie du tickst: du biegst dir einfach alles zu zurecht wie es dir gerade passt.

    computertrolls schrieb:

    Das du kein Anwalt sein kannst, war mir natürlich klar,

    Wie weise von dir.

    computertrolls schrieb:

    aber hier hättest du ja die Chance gehabt deiner juristischen Laienmeinung ein Fundament zu geben, wenn es so gewesen wäre.

    Unser* Rechtssystem beurteilt nicht nur Tatsachen, sondern auch Absichten. Dass ein Gericht Absichten nicht mit Sicherheit feststellen kann wird dabei ignoriert - machen sie trotzdem dauernd. Ein bisschen so wie wenn der Schiri beim Fussball "entscheidet" ob ein Spieler versucht hat den Ball zu spielen oder nicht.
    Wenn du mal bei ein paar Gerichtsverhandlungen dabei gewesen wärst wüsstest du das. Ich hab mir mal nen Nachmittag auf dem Bezirksgericht reingezogen und das war diesbezüglich sehr aufschlussreich. Richter nehmen sich andauernd die Freiheit "festzustellen" mit welcher Absicht Personen gehandelt haben. Weiters nehmen sich Richter auch gerne heraus zu beurteilen ob und wie beklagte Parteien etwas verstanden haben. Müssen sie auch, weil unser Gesetz es erfordert.

    In so eine Fall bliebe dann:

    1. Der Kläger hat keine Bitte geäussert mit haufenweise Schrottdaten zugemüllt zu werden.
    2. Du hast aber genau das das in der Absicht ihn zu schädigen getan.
      Ob du dich dabei wörtlich an irgendwas gehalten hast was der Kläger irgendwo geäussert hat ist irrelevant. Wobei es nichtmal gegeben ist, die Aufforderung war ja deine korrekten Daten einzugeben, nicht irgendwelche erfundenen und schon gar nicht haufenweise erfundene Daten.

    computertrolls schrieb:

    Wenn dir also die Argumente ausgehen wirst du persönlich und greifst dein gegenüber persönlich an, anstatt auf die Sache einzugehen. Aha.

    Nein, ich werde persönlich wenn arrogante Säcke wie du einfach mal wieder in selbstverliebtem Dummfug schwelgen und patzige Antworten geben wenn man sie darauf hinweist.

    *: Ich bin Österreicher. Falls du mir eine Antwort schreiben möchtest die darauf hinausläuft dass das auf Österreich zutreffen mag aber nicht auf Deutschland werde ich dich auslachen. Nur um das abzukürzen.



  • hustbaer schrieb:

    In so eine Fall bliebe dann:

    1. Der Kläger hat keine Bitte geäussert mit haufenweise Schrottdaten zugemüllt zu werden.
    2. Du hast aber genau das das in der Absicht ihn zu schädigen getan.

    interessant ist hierbei auch, dass sich irgendwer mal diesen unsinn mit dem staatlichen gewaltmonopol ausgedacht hat, und sich richter und staatsanwalte da immer sehr anpissen, wenn sie ihre daseinsberechtigung angegriffen sehen.

    wenn dir also irgendwas auffällt, hast du dich wie ein braver kleiner bürger zu verhalten und diesen vorfall zu melden, damit diejenigen leute, die gerne im rampenlicht stehen und sich von der presse beweihräuchern lassen wollen, dies auch tun können, anstatt da einfach selbst was zu machen, weil du nämlich doof bist und zu buckeln und steuern zu zahlen hast. 🙄



  • hustbaer schrieb:

    Ich hab mir mal nen Nachmittag auf dem Bezirksgericht reingezogen ...

    *: Ich bin Österreicher.

    Du warst auf einem Bezirksgericht, gibst darüber Auskunft und bist Österreicher. -> finde den Fehler.



  • @hustbaer

    Ach und übrigens.

    Kein Richter wird einen Spammer decken, die mit dubiosen Methoden die Zugangsdaten von naiven Bürgern abgreifen wollen. Die Richter sind da auch nicht auf den Kopf gefallen.



  • nach der logik müsste man dich ja auch als helden feiern, wenn du nen mörder für 15 jahre in deinen keller einsperrst - wird man aber nicht!



  • computertrolls schrieb:

    hustbaer schrieb:

    Ich hab mir mal nen Nachmittag auf dem Bezirksgericht reingezogen ...

    *: Ich bin Österreicher.

    Du warst auf einem Bezirksgericht, gibst darüber Auskunft und bist Österreicher. -> finde den Fehler.

    Gut, es war kein Bezirksgericht, mein Fehler. Da ich noch weiss wo es war hab ich nachgegoogelt und es war das "Landesgericht für Strafsachen Graz". Abgesehen davon verstehe ich nichtmal wieso du meinst es könne kein Bezirksgericht gewesen sein. Gibt ja schliesslich genug davon in Österreich.

    computertrolls schrieb:

    @hustbaer

    Ach und übrigens.

    Kein Richter wird einen Spammer decken, die mit dubiosen Methoden die Zugangsdaten von naiven Bürgern abgreifen wollen. Die Richter sind da auch nicht auf den Kopf gefallen.

    Nein, sind sie nicht, da hast du Recht. Es mag auch gut sein dass man in so einem Fall straffrei ausgeht, z.B. weil das Gericht die Klage gleich überhaupt ablehnt. Oder aus sonst einem anderen Grund.

    Genau deswegen hab ich aber auch geschrieben "das Argument ist völliger Quatsch". Weil dieses Argument halt Quatsch ist. Was sonst noch eine Bestrafung in dem hier angenommenen Fall verhindern könnte ist ja wohl eine ganz andere Sache.



  • Mach es doch einfach, zeige Dich selber danach an und Du hast das Ergebnis... 100% rechtssicher und gültig. Einfacher geht es nicht.


Anmelden zum Antworten