Sehr geehrte Mitglieder von Auktionshilfe,
ich finde es bemerkenswert was ihr tut.
Heute präsentiere ich euch einen ziemlich großen Betrüger der schon seit Jahren agiert. Ich schätze sein Alter auf 25-35 ein.
Seine Server hostet er bei einem russischen Anbieter.
Einer seiner Server: vm2202165621.vds.ru/
Er hatte diese Seite ebenfalls gehostet über die mehrere Daten von seinen Fakeshops gehen: rewrite-api.ru/
Insgesamt konnte ich drei Fakeshops auf seinen Server finden.
Außerdem phisht er die Daten der Opfer also Onlinebanking-Daten sowie Kreditkartendaten mit einem selbst dafür erstellen Shopware-Plugin.
172.71.98.181 - - [10/Aug/2022:18:48:50 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.98.185 - - [10/Aug/2022:18:48:50 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.102.31 - - [10/Aug/2022:18:48:51 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.98.185 - - [10/Aug/2022:18:48:54 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
141.101.76.139 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
141.101.77.44 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.102.31 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
141.101.76.207 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.63 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.98.181 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.213 - - [10/Aug/2022:18:48:57 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.63 - - [10/Aug/2022:18:48:57 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.213 - - [10/Aug/2022:18:48:59 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.213 - - [10/Aug/2022:18:48:59 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.70.251.58 - - [14/Aug/2022:00:07:45 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "mobomarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
Den Betrüger habe ich mittels eines Honeypots und Social Engineering "gehackt", mir ist bewusst das dies nicht legal war aber irgendwer muss solche Leute schnappen.
Ich hoffe jemand kann mit den Daten etwas anfangen.
ich finde es bemerkenswert was ihr tut.
Heute präsentiere ich euch einen ziemlich großen Betrüger der schon seit Jahren agiert. Ich schätze sein Alter auf 25-35 ein.
Seine Server hostet er bei einem russischen Anbieter.
Einer seiner Server: vm2202165621.vds.ru/
Er hatte diese Seite ebenfalls gehostet über die mehrere Daten von seinen Fakeshops gehen: rewrite-api.ru/
Insgesamt konnte ich drei Fakeshops auf seinen Server finden.
Außerdem phisht er die Daten der Opfer also Onlinebanking-Daten sowie Kreditkartendaten mit einem selbst dafür erstellen Shopware-Plugin.
172.71.98.181 - - [10/Aug/2022:18:48:50 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.98.185 - - [10/Aug/2022:18:48:50 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.102.31 - - [10/Aug/2022:18:48:51 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.98.185 - - [10/Aug/2022:18:48:54 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
141.101.76.139 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
141.101.77.44 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.102.31 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
141.101.76.207 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.63 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.98.181 - - [10/Aug/2022:18:48:56 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.213 - - [10/Aug/2022:18:48:57 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.63 - - [10/Aug/2022:18:48:57 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.213 - - [10/Aug/2022:18:48:59 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.71.94.213 - - [10/Aug/2022:18:48:59 +0300] "POST /api/v1/rewrite HTTP/1.0" 404 1581 "moshmarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
172.70.251.58 - - [14/Aug/2022:00:07:45 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "mobomarkt.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.9.0"
Den Betrüger habe ich mittels eines Honeypots und Social Engineering "gehackt", mir ist bewusst das dies nicht legal war aber irgendwer muss solche Leute schnappen.
Ich hoffe jemand kann mit den Daten etwas anfangen.
