Nabend,
ich habe da mal eine mehr oder minder lustige Story und brauche Rat zur weiteren Vorgehensweise um jemanden ggf. bei der Polizei zu melden.
Auf der Suche nach einer VPN-Lösung bin ich gestern über "Bekannte" von Bekannten an eine eigenartige Person geraten. In einer gemeinsam TeamSpeak-Session hat mir dieser jemand einen Downloadlink zukommen lassen. In meiner blauäugigen Art habe ich die Software 'runtergeladen - es war tatsächlich ein VPN-Client, der aber, entgegen meiner Erwartungen, keine Serverversion beinhaltete und ich keinen Schimmer hatte, wo der Server überhaupt steht und wer noch alles mit im Netz hängt.
Meine Skepsis war noch nicht ausreichend genug und ich bin ihm in einer Windows-VM auf seine Homepage gefolgt, wo ein Soundfile abgespielt wurde, natürlich sofort wieder runter. Die VM ist mittlerweile neu aufgesetzt nachdem ich Run/RunOnce Registry-Keys, Services und Prozesse kontrolliert habe, MSConfig aufgeräumt, das Temp-Verzeichnis mit Batches aufgeräumt habe und Malwarebytes trotzdem ohne Befund scannte.
Im weiteren Gespräch wurde diese Person immer dubioser, fing an mit Themen wie "Gebt mir mal den Link zu eurer Clanhomepage(gehostet auf Debian nur mit eingeschränkten Benutzerrechten) Ihr müsst designtechnisch das und das ändern", viel Blabla. Er sprach von 2 von ihm betriebenen Botnetzen und faselte etwas von wegen "Amazonbestellungen per SQL-Injection direkt als bezahlt" zu markieren und zu Paketstationen in 2 Bundesländern(NDS und Thüringen,er selbst hatte einen Ostdeutschen Dialekt) liefern zu lassen.
Meine Vermutung: Er missbraucht Bankdaten, die er über den Keylogger abgreift.
Anscheinend war bestätigte sich mein Verdacht: Nachdem ich mich bei einem weiteren anwesenden User per Chat über den mutmaßlichen Angreifer ausgelassen habe, ist er ziemlich zügig abgehauen, obwohl er vorher ungewöhnlich hohen Redebedarf hatte, um mich teilerfolgreich abzulenken.
Heute habe ich mir die TeamSpeak-Verbindungsprotokolle angesehen und wollte mehr über den Kerl erfahren. Beim Joinen und Leaven hatte er IPs aus den Staaten und Schweden, vorerst.
Dummerweise hat er weder sein Pseudonym noch seine User-ID geändert und kam vor ca. 24h wieder auf den gleichen TS-Server - dieses Mal aber ohne VPN. Ein Geolocator zeigte mir dann, dass er tatsächlich in Erfurt zu sitzen scheint und Telefonica-Kunde sei. Über einen Domainhoster bin ich an seine Rootserver-IP gekommen(OVH, Paris). OVH bietet nur Paypal als Zahlungsmittel an, also kann er nicht wirklich anonym zahlen. In den WhoIs-Einträgen gab es dann Infos über einen angeblich bayrischen Domainbetreiber, die Hosterdaten hat er leider kurz vor meiner Recherche geändert. Eingetragen sind dort Name, Adresse, Mail, und eine Handynummer. Die Handynummer habe ich gegooglet und die Nummer gehört(e) zu O2, also auch Telefonica.
Kann man mit den Daten etwas anfangen und zur Polizei gehen, ist das genug Infomaterial? Habt ihr noch weitere Ideen um mehr über den jungen Mann zu erfahren?
PS: Gerade habe ich noch eine weitere potentielle Handynummer erhalten, soll ich die auch angeben?
PPS: Die OpenVPN-GUI lässt sich bei mir nach der Private-Key-Erstellung nicht öffnen und das Protokoll der Windows-Boardmittel werden vom Router nicht weitergereicht
ich habe da mal eine mehr oder minder lustige Story und brauche Rat zur weiteren Vorgehensweise um jemanden ggf. bei der Polizei zu melden.
Auf der Suche nach einer VPN-Lösung bin ich gestern über "Bekannte" von Bekannten an eine eigenartige Person geraten. In einer gemeinsam TeamSpeak-Session hat mir dieser jemand einen Downloadlink zukommen lassen. In meiner blauäugigen Art habe ich die Software 'runtergeladen - es war tatsächlich ein VPN-Client, der aber, entgegen meiner Erwartungen, keine Serverversion beinhaltete und ich keinen Schimmer hatte, wo der Server überhaupt steht und wer noch alles mit im Netz hängt.
Meine Skepsis war noch nicht ausreichend genug und ich bin ihm in einer Windows-VM auf seine Homepage gefolgt, wo ein Soundfile abgespielt wurde, natürlich sofort wieder runter. Die VM ist mittlerweile neu aufgesetzt nachdem ich Run/RunOnce Registry-Keys, Services und Prozesse kontrolliert habe, MSConfig aufgeräumt, das Temp-Verzeichnis mit Batches aufgeräumt habe und Malwarebytes trotzdem ohne Befund scannte.
Im weiteren Gespräch wurde diese Person immer dubioser, fing an mit Themen wie "Gebt mir mal den Link zu eurer Clanhomepage(gehostet auf Debian nur mit eingeschränkten Benutzerrechten) Ihr müsst designtechnisch das und das ändern", viel Blabla. Er sprach von 2 von ihm betriebenen Botnetzen und faselte etwas von wegen "Amazonbestellungen per SQL-Injection direkt als bezahlt" zu markieren und zu Paketstationen in 2 Bundesländern(NDS und Thüringen,er selbst hatte einen Ostdeutschen Dialekt) liefern zu lassen.
Meine Vermutung: Er missbraucht Bankdaten, die er über den Keylogger abgreift.
Anscheinend war bestätigte sich mein Verdacht: Nachdem ich mich bei einem weiteren anwesenden User per Chat über den mutmaßlichen Angreifer ausgelassen habe, ist er ziemlich zügig abgehauen, obwohl er vorher ungewöhnlich hohen Redebedarf hatte, um mich teilerfolgreich abzulenken.
Heute habe ich mir die TeamSpeak-Verbindungsprotokolle angesehen und wollte mehr über den Kerl erfahren. Beim Joinen und Leaven hatte er IPs aus den Staaten und Schweden, vorerst.
Dummerweise hat er weder sein Pseudonym noch seine User-ID geändert und kam vor ca. 24h wieder auf den gleichen TS-Server - dieses Mal aber ohne VPN. Ein Geolocator zeigte mir dann, dass er tatsächlich in Erfurt zu sitzen scheint und Telefonica-Kunde sei. Über einen Domainhoster bin ich an seine Rootserver-IP gekommen(OVH, Paris). OVH bietet nur Paypal als Zahlungsmittel an, also kann er nicht wirklich anonym zahlen. In den WhoIs-Einträgen gab es dann Infos über einen angeblich bayrischen Domainbetreiber, die Hosterdaten hat er leider kurz vor meiner Recherche geändert. Eingetragen sind dort Name, Adresse, Mail, und eine Handynummer. Die Handynummer habe ich gegooglet und die Nummer gehört(e) zu O2, also auch Telefonica.
Kann man mit den Daten etwas anfangen und zur Polizei gehen, ist das genug Infomaterial? Habt ihr noch weitere Ideen um mehr über den jungen Mann zu erfahren?
PS: Gerade habe ich noch eine weitere potentielle Handynummer erhalten, soll ich die auch angeben?
PPS: Die OpenVPN-GUI lässt sich bei mir nach der Private-Key-Erstellung nicht öffnen und das Protokoll der Windows-Boardmittel werden vom Router nicht weitergereicht
Zuletzt bearbeitet:
