Sehr geehrte Mitglieder von Auktionshilfe,
ich finde es bemerkenswert was ihr tut.
Heute präsentiere ich euch einen ziemlich großen Betrüger der schon seit Jahren agiert. Ich schätze sein Alter auf 25-35 ein.
Seine Server hostet er bei einem russischen Anbieter.
Einer seiner Server: vm2202165621.vds.ru/
Er hatte diese Seite ebenfalls gehostet über die mehrere Daten von seinen Fakeshops gehen: rewrite-api.ru/
Insgesamt konnte ich vier Fakeshops auf seinem Server finden.
Außerdem phisht er die Daten der Opfer also Onlinebanking-Daten sowie Kreditkartendaten mit einem selbst dafür erstellen Shopware-Plugin.
"172.71.94.167 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1395 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1277 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.43 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1431 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1294 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.167 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1292 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.145 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1283 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2746 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.91 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2759 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.8 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1345 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.16 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1292 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.35 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1331 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.135 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1358 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1299 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.181 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1446 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.185 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2681 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1230 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.43 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1617 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0""
Den Betrüger habe ich mittels eines Honeypots und Social Engineering "gehackt", mir ist bewusst das dies nicht legal war aber irgendwer muss solche Leute schnappen.
Ich hoffe jemand kann mit den Daten etwas anfangen.
ich finde es bemerkenswert was ihr tut.
Heute präsentiere ich euch einen ziemlich großen Betrüger der schon seit Jahren agiert. Ich schätze sein Alter auf 25-35 ein.
Seine Server hostet er bei einem russischen Anbieter.
Einer seiner Server: vm2202165621.vds.ru/
Er hatte diese Seite ebenfalls gehostet über die mehrere Daten von seinen Fakeshops gehen: rewrite-api.ru/
Insgesamt konnte ich vier Fakeshops auf seinem Server finden.
Außerdem phisht er die Daten der Opfer also Onlinebanking-Daten sowie Kreditkartendaten mit einem selbst dafür erstellen Shopware-Plugin.
"172.71.94.167 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1395 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1277 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.43 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1431 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1294 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.167 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1292 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.145 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1283 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2746 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.91 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2759 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.8 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1345 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.16 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1292 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.35 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1331 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.135 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1358 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1299 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.181 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1446 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.185 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2681 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1230 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.43 - - [12/Aug/2022:15:36:34 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1617 "shopsta24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0""
Den Betrüger habe ich mittels eines Honeypots und Social Engineering "gehackt", mir ist bewusst das dies nicht legal war aber irgendwer muss solche Leute schnappen.
Ich hoffe jemand kann mit den Daten etwas anfangen.
