Sehr geehrte Mitglieder von Auktionshilfe,
ich finde es bemerkenswert was ihr tut.
Heute präsentiere ich euch einen ziemlich großen Betrüger der schon seit Jahren agiert. Ich schätze sein Alter auf 25-35 ein.
Seine Server hostet er bei einem russischen Anbieter.
Einer seiner Server: vm2202165621.vds.ru/
Er hatte diese Seite ebenfalls gehostet über die mehrere Daten von seinen Fakeshops gehen: rewrite-api.ru/
Insgesamt konnte ich vier Fakeshops auf seinem Server finden.
Außerdem phisht er die Daten der Opfer also Onlinebanking-Daten sowie Kreditkartendaten mit einem selbst dafür erstellen Shopware-Plugin.
"172.71.94.63 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1703 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.145 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1749 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.167 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.46 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.145 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1312 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.167 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1197 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.42 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1290 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.91 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1573 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.91 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1368 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.63 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1346 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.76.117 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1344 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.35 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.76.117 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1400 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.16 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1328 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1422 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.135 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.135 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1484 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2995 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1429 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1497 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0""
Den Betrüger habe ich mittels eines Honeypots und Social Engineering "gehackt", mir ist bewusst das dies nicht legal war aber irgendwer muss solche Leute schnappen.
Ich hoffe jemand kann mit den Daten etwas anfangen.
ich finde es bemerkenswert was ihr tut.
Heute präsentiere ich euch einen ziemlich großen Betrüger der schon seit Jahren agiert. Ich schätze sein Alter auf 25-35 ein.
Seine Server hostet er bei einem russischen Anbieter.
Einer seiner Server: vm2202165621.vds.ru/
Er hatte diese Seite ebenfalls gehostet über die mehrere Daten von seinen Fakeshops gehen: rewrite-api.ru/
Insgesamt konnte ich vier Fakeshops auf seinem Server finden.
Außerdem phisht er die Daten der Opfer also Onlinebanking-Daten sowie Kreditkartendaten mit einem selbst dafür erstellen Shopware-Plugin.
"172.71.94.63 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1703 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.145 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1749 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.167 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.46 - - [12/Aug/2022:22:28:42 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.145 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1312 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.167 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1197 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.42 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1290 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.91 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1573 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.91 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1368 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.63 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1346 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.76.117 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1344 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.35 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.76.117 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1400 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
141.101.77.16 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1328 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1422 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.135 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 500 1340 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.98.135 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1484 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 2995 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.94.213 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1429 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0"
172.71.102.85 - - [12/Aug/2022:22:28:44 +0300] "POST /api/v1/rewrite HTTP/1.0" 200 1497 "grillwerk24.de" "lzyt8-shopware6/1.1.1 Shopware/6.4.14.0""
Den Betrüger habe ich mittels eines Honeypots und Social Engineering "gehackt", mir ist bewusst das dies nicht legal war aber irgendwer muss solche Leute schnappen.
Ich hoffe jemand kann mit den Daten etwas anfangen.
