Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware

  • gulli
  • Nachrichten
  • Stalkertrack: Der MySpace-Phisher im Gespräch mit gulli.com (Update)
Porno Spammer zahlt knapp halbe Million Dollar: Einigung
Bestätigt und dementiert zugleich: Der Kampf um AACS geht

Stalkertrack: Der MySpace-Phisher im Gespräch mit gulli.com (Update)

200.000 gephishte Accounts, 120.000 Pageviews am Tag und die Kleinigkeit von 20.000 Dollar Reingewinn in drei Wochen: das ist die erstaunliche Erfolgsbilanz des Myspace-Phishings mit Stalkertrack. Gulli sprach mit dem Betreiber "Josh" über Phishing, Myspace-Cookies und einem haarsträuben Sicherheitskonzept des weltgrößten Communityportals.

Update: "Josh" widersprach sich in mehreren Gesprächen: die Angaben zu gephishten Accounts schwanken zwischen 100.000 und 300.000, die Aussage, die ersten 20.000 Accounts seien ihrerseits Phishern abgekauft worden, wiederrief er trotz der klaren Angaben im Gespräch vorher.

"Defective by Design" eigentlich der Name einer Gruppe von Anti-DRM-Aktivisten, könnte man auch für das Securitykonzept von MySpace verwenden. Langsame Reaktionszeiten und auskunftsfreudige Cookies locken die Phisher zu Myspace. Dass man innerhalb dreier Wochen hunderttausende Logins phishen und gutes Geld machen kann, bewies Josh mit Stalkertrack.

Scripte zum Ausspähen von Usern werden kommerziell auf Ebay angeboten, während “Project Tenyer”, welches Stalkertrack zugrundeliegt, nicht öffentlich angeboten wird. "Stalkertrack" verspricht, Informationen über User zu sammeln, die das eigene MySpace-Profil betrachtet haben. Notwendig dafür: die Angabe des MySpace-Logins.

Was zahlreiche User offenbar taten. Anschließend konnte mit ihren Accounts Werbung in den Gästebüchern ihrer Freunde gespammt werden - worauf in den AGB des Dienstes indessen ausdrücklich hingewiesen wurde. Neben der Werbung in eigener Sache sammelte Josh einige Informationen über die Sicherheitskonzepte (bzw. deren Lückenhaftigkeit) bei MySpace.

In den Cookiedaten von MySpace sind zahlreiche Daten gespeichert - UserID, Emailadresse usw. Eine Verschlüsselung für das Cookie wird zwar verwendet, laut Josh sei diese jedoch auf einfachste Weise zu knacken. Warum MySpace so viele Daten im Cookie ablegt, versteht auch Josh nicht - "das ist wirklich ein riesiger Exploit". Josh extrahiert aus den Cookies jedoch nur Mailadresse und andere Myspace-Logins.

"Name, Profilbild und ID grabbe ich nicht aus dem Cookie. Die hole ich aus der index.cfm?fuseaction=user - Seite. Emailadresse und andere Logins vom Cookie, alles andere, Bild, Name, URL hole ich clientseitig aus der Userpage."

Das führt witzigerweise zu einem "Bug": hat ein User beispielsweise kein Profilbild und hatte sich am selben Rechner ein anderer MySpace-Nutzer mit Benutzerbild eingeloggt, ist möglich, dass auf einmal das Profilbild des zweiten Users im Profil des anderen landet.

Glaubt man Josh, dann ist (und bleibt) ein solcher Angriff leicht zu bewerkstelligen. Das Versteckspiel mit Myspace geht weiter, die Reaktionszeiten des Communityportals sind erstaunlich langsam. Wurde die stalkertrack.com-Seite von Myspace nach den ersten Phishingfällen gesperrt, funktioniert der nun verwendete Link www.downloadthefox.net nach wie vor. Josh verzeichnet 120.000 Hits am Tag auf seiner Webseite.

Die Zahl der gephishten Accounts wird indessen bezweifelt: mit "nur" 10.000 Accounts schreibe Josh seine Werbung in Myspace-Gästebücher, so the Register. Doppelt so viele habe er jedoch bereits zum Start der Aktion zur Verfügung gehabt, behauptet Josh. Um eine vergleichbare Aktion zu starten, rät Josh dazu, auf 15.000 bis 20.000 MySpace-Accounts mit dem Spamming zu beginnen. Myspace-Accounts sind bei einschlägigen Anbietern erstaunlich billig zu bekommen: Josh kaufte seine 20.000 Logins einem Phisher ab. Preis: um die 15 Dollar für tausend Logins.

"I had around 20k working accounts to get started.
(gulli.com: where did you get these from?)
Well, when i first started, i bought them from phishers. ... then i started just making them myself with the stalkertrack.
(gulli.com: so what's the price for a ms-account on the market?)
About $15 dollars per k."

Josh geht nicht davon aus, dass er in irgend einer Art Ärger zu erwarten hat, und wehrt sich auch gegen die Bezeichnung als Phisher oder Scammer - was er mache, stehe in den AGB seines Dienstes. Die gewonnenen Login-Daten gebe er nicht weiter, sondern verwendet sie nur zum Promoten der eigenen Projekte. "Es ist kein Scam", so Josh, "I don't just 'fuck people over'."

Auf Myspace indessen nehmen die Spamvorfälle zu. Beispielsweise bei Eißfeldt aka Jan Delay findet sich neben mehreren Stalkertrack-Posts auch Spamwerbung für Diätpillen: "hey hey you!! how have you been doing? i'm okay. partied alot lately .." Ebenfalls beliebt: Spam für angeblich kostenlose iPhones. Den Werbelinks nach gehen die Aktionen vermutlich nicht auf Josh und sein Phishinghtool zurück.

Tracker für MySpace sind beliebt, in der Regel jedoch kostenpflichtig, nutzlos oder sie installieren Spyware bzw. grabben Accountdaten. Sie finden sich in zwei Spielarten: solche, die sich an die Regeln von Myspace halten und solche, die dass nicht tun. Die Probleme, die sich mit den Trackingtools häufig ergeben, schilderte die Washington Post schon vor einiger Zeit, unterschlug dabei jedoch, dass es auch durchaus funktionierende Tools gibt, die halten, was sie versprechen.

News Redaktion am Mittwoch, 31.01.2007 18:18 Uhr

tagsTags: iphone spam interview myspace tracker phishing stalkertrack josh tenyer

Bookmark and Share
Auf Facebook teilen
 
Weitere interessante News
1 Reaktionen zu dieser Nachricht
  • am 01.02.2007 00:55:50

    Tracker für MySpace sind beliebt, in der Regel jedoch kostenpflichtig, nutzlos oder sie installieren Spyware bzw. grabben Accountdaten. Sie finden sich in zwei Spielarten: solche, die sich an die Regeln von Myspace halten und solche, die dass nicht tun. Die Probleme, die sich mit ...

  • gullinews am 31.01.2007 17:43:54

    200.000 gephishte Accounts, 120.000 Pageviews am Tag und die Kleinigkeit von 20.000 Dollar Reingewinn in drei Wochen: das ist die erstaunliche Erfolgsbilanz des Myspace-Phishings mit Stalkertrack. Gulli sprach mit dem Betreiber "Josh" über Phishing, Myspace-Cookies und einem haarsträuben Sicher ...

weitere Kommentare lesen     Nachricht kommentieren

 
News [Kurioses]

Apple filterte den Begriff "Jailbreak" im iTunes Store

Lars Sobiraj am 20.05.2012, 16:54 Uhr

befreit: ipad 3 & iphone 4s

Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.

mehr mehr lesen...

Browsergames
Gondal World

TOPTIPP: Gondal World

Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! Escaria spielen

Escaria

Escaria

Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! Escaria spielen

Artyria

Artyria

Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. Artyria spielen

Gondal

Gondal

Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. Gondal spielen

Last Emperor

Last Emperor

Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. Last Emperor spielen

Nightcreeps

Nightcreeps

Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. Nightcreeps spielen

gulli:picsArtikel empfehlengulli RSS News Feedsgulli RSS NewsPresso Feedsgulli:Newslettergulli twittertgulli bei facebookgulli:news im AppStoreSeitenanfang

© 1998-2012 InQnet GmbH

Hardwareclips