aktueller Betrugsversuch



Dies ist sehr lästiger Virus. Ich habe noch nicht alles untersuchen können. Nachdem ich vermute, dass ich nicht der Einzige bin, der hier belästigt wird, stelle ich diese böse Mail öffentlich.
Was ich bereits gefunden habe, werden die PDF-Dateien infiziert. Ich schreibe meine Bücher mit Indesign und erstelle daraus die PDF-Dateien für den Druck. Hier sind zumindest einige eingebundene Dateien infiziert.
Das wirkt sich so aus, dass beim Aufruf dieser PDF-Dateien manche Seiten nicht sichtbar sind. Das Antivirusprogramm erkennt auch diese infizierten Dateien. In meinem Fall waren es 15, entsprechend den 15 Büchern, die ich vor kurzem veröffentlicht habe.

Wenn ich mehr weiß, werde ich dies auf dieser Seite darstellen.

Übrigens ist der Ländercode sa bei dem Absender Saudiarabien,
natürlich weiß ich, wie leicht man E-Mail-Adressen fälschen kann, das ist nicht neu.
Der Mailserver, der diese böse abgeschickt hat, liegt in  USA und zwar gibt es hier drei Supportorte in Kalifornien, Colorado und Virginia. Mir ist klar, dass diese Supportfirma nicht der Täter ist. Jeder in der Welt, kann sich hier eine Domain bestellen. Ich weiß auch nicht, ob die Firma inmotionhosting bereit ist, diesem User den Vertrag zu kündigen. Ein Versuch ist es allemal wert. Ob dies auch das Problem löst, bin ich sehr skeptisch.

Ich habe in der Vergangenheit schon mehrere solche Betrugsversuche erlebt, ich habe natürlich nicht bezahlt. Leider waren die Anzeigen bei der Polizei/Staatsanwaltschaft bisher nicht erfolgreich, sie wurden nach einiger Zeit eingestellt, weil der Täter nicht ermittelt werden konnte. Deshalb werde ich mir auch in diesem Fall eine Anzeige sparen. 

Es sieht auch so aus, dass der Täter kein Araber ist, er ist wohl ein muttersprachlich deutsch Sprechender, leider weiß ich nicht noch nicht mehr.



Ergänzung: 01-Sep-2020:

Ich habe nun meinen PC mit reimage gereinigt.
Dabei wurde festgestellt, dass die Browser Microsoft Explorer und Mozilla firefox infiziert waren.
Der Mozilla firefox wurde neu installiert.
Die unter Passwort stehenden Bücher können ohne Probleme runtergeladen werden, auch das Buch BuchMySQL2Auflage.pdf
Jedoch wird diese Datei in ein anderes Verzeichnis (BuchMySQL) ins Internet kopiert, ist der Fehler (einige eingebundene Dateien werden nicht angezeigt) immer noch da. Ich vermute also, das Schadprogramm ist noch auf meinem PC. Ich habe also temporär das Verzeichnis BuchMySQL entfernt.
Die oben beschriebenen Probleme mit der Anzeige bestimmter PDF-Dateien ist ebenso auf anderen PC so sichtbar.
Nachdem ich aber das Verzeichnis BuchMySQLvom Netz genommen habe, scheint nun alles wieder ok zu sein.
Das Buch BuchMySQL2Auflage.pdf kann momentan nur über das Passwort geschützte Verzeichnis pwBuchKriegshaber runter geladen werden.

Nachdem aber der Schädling noch auf meinem PC zu sein scheint, muss ich mir von anderer Stelle Rat holen, wie der Schädling entfernt werden kann.
Die brachiale Methode, die ich schon früher einmal durchführte (bei einam anderen Schädling), nämlich das Laufwerk C zu formatieren und Windows und alle Applikationsprogramme neu zu installieren,werde ich vorerst nicht durchführen, es scheint nicht alle Probleme zu lösen. Die beschädigte Datei 
BuchMySQL2Auflage.pdf steht auf einem anderen Laufwerk.

Wer von den Spezialisten im Netz einen Rat weiß, soll ihn mir sagen.



Ergänzung: 02--Sep-2020:

Ich habe eine Anfrage an die Firma Immotion Hosting in USA geschickt mit der Bitte, mir die Daten des Straftäters zu senden, der mir die ominöse Mail geschickt hat.



Ergänzung: 07-Sep-2020:

Hello Heinz Wember info-hw,

We'd love to hear what you think of our customer service. Please take a moment to answer one simple question by clicking either link below:

How would you rate the support you received?

Good, I'm satisfied

Bad, I'm unsatisfied

Here's a reminder of what this request was about:

Michael P. (InMotion Hosting)

Sep 4, 2020, 7:38 PM EDT

Hi Heinz ,

Thanks for contacting us in Support!

For user privacy and protection we are only able to discuss webserver and account information with verified account holders.

We can verify if you can verify any of the following details:
-The full AMP Password
-The last 4 digits of the credit card on file of the account
-The customer passphrase

In the future to ensure that you are already verified you can submit any support requests by following the guide below.

https://www.inmotionhosting.com/support/website/website-troubleshooting/how-to-get-great-technical-support

 

Best Regards,
Michael

InMotion Hosting
888-321-HOST (4678) Available 24/7
https://www.inmotionhosting.com

Avoid the wait! Search the customer exclusive knowledgebase in AMP:
https://secure1.inmotionhosting.com/amp/support

Heinz Wember info-hw

Sep 1, 2020, 10:57 PM EDT

To Company Emmotion Hosting in USA
 
I want to address a request to support my wish to send me the data of one of your customers. I have included a mail sent to one of my mail accounts. This mail was sent via one of your mail servers.
Here the data of the headline of this related mail:
<m.navid@lava.sa>
from vps41075.inmotionhosting.com ([216.194.175.192]) by mx.kundenserver.de (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) id 1MEVeU-1kMgWW1iu2-00Fzxe for <gen@heinz-wember.de>; Sun, 30 Aug 2020 05:27:30 +0200
 
I have addressed a legal notice to the Staatsanwaltschaft of Augsburg, the authority which is responsible to follow up my request. You can sent the answer either to me or to the Staatsanwaltsschaft Augsburg which has the mail account poststelle@sta-a.bayern.de.
 
I am sure you do not agree with the doing of one of your customers.
 
attachment: The related e-mail
 
Best regards
Heinz Wember
Neusaesser Str. 17f
D-86156 Augsburg
Phone: xxxx
 

Virenfrei. www.avg.com

Attachment(s)
MailHacker20200830.jpg

This email is a service from InMotion Hosting. Delivered by Ze


MailHacker20200830.jpg


Ergänzung: 07-Sep-2020:

Ich habe die Staatsanwaltschaft gebeten, selbst an die Firma
InMotion Hosting zu schreiben, in der Hoffnung, dass hier eine bessere Antwort kommt.

Ergänzung 18-Sep-2020:

Jetzt hat mein Antivirenprogramm reagiert und die beschädigten Dateien angezeigt, Es waren ca. 30 nach dem 30-Aug-2020 erstellte PDF-Dateien.
Ich weiß zwar immer noch nicht, ob nun das Schadprogramm von meinen neu gekauften Sicherheitsprogrammen gelöscht wurde, aber zumindest werden nun keine PDF-Dateien mehr beschädigt.
Es sind viele oder alle nach dem 30-Aug-2020 erstellen PDF-Dateien beschädigt, das sich so auswirkt, dass man die betreffende Datei nicht lesen kann.


Ergänzung 22-Sep-2020:

Wie ich erst kürzlich bemerkt habe, werden auch DOC-Files angegriffen, aber nicht alle. Nachdem ich MS Word nie und Open Office Textverarbeitung kaum benutze, ist das erst jetzt aufgefallen. Aber wohl alle PDF-Dateien, die nach Aug-2020 erstellt wurden. Dies kann man sehr gut mit dem Sicherheitskopieprogramm Allways Sync nachweisen. Hier werden alle angegriffenen Dateien erkannt und nicht kopiert.
Ich werde wohl oder übel meinen PC neu formatieren und Windows 10 neu installieren müssen. Das mache ich momentan absichtlich nicht, weil ich wissen will, was bei meiner Anzeige raus kommt. Wenn die Polizei/Staatsanwaltschaft den Täter ermitteln kann, habe ich immer noch den Beweis auf meinem PC. Jetzt habe ich übrigens erfahren, dass eine spezielle Gruppe der Polizei, die Stelle für Internet Kriminalität, bei solchen Fällen ermittelt. Sollte die Vorgehensweise, wie man einen unbekannten Täter, mittels IP-Adresse oder wie in meinem Fall über den Mail-Server und das genaue Datum mit Uhrzeit, an dem eine Mail weggeschickt wurde, so ähnlich sein, wie in Deutschland (soviel ich weiß, ist jeder Internet-Anbieter gehalten, die Logs, die man dazu braucht, sechs Monate zu halten), dann kann und muss der Anbieter auf Beschluss eines Gerichtesbescheids die Daten des "Täters" herausgeben. Nachdem mein Täter einwandfrei und ohne jeglichen Fehler deutsch geschrieben hat, besteht die Möglichkeit, dass er in Deutschland ansässig ist. Hier dürfte das Urteil eines Gerichtes Wirkung zeigen, was bei Tätern in Ländern in Übersee eher unwahrscheinlich ist.

Ergänzung 24-Sep-2020:

Der Fehler mit der Schadsoftware ist weg, alles läuft normal. Ich weiß aber nicht warum, evt. hat der "Täter" die Software wieder entfernt oder meine neue Software ReImage oder die neuen Versionen von AVG Internet Security haben das bewirkt. Auf jeden Fall habe ich das Zugangspasswort zu meinem PC geändert.

Ergänzung 02-Okt-2020




Ergänzung 02-Okt-2020

Schriftverkehr mit dem Provider M-Net

Datum 02-Okt-2020

An M-Net

Sehr geehrter Herr Depner,

ich adressiere dieses Schreiben an Sie, weil ich sicher bin, dass Sie es richtig einordnen können und den richtigen Ansprechpartner kennen. 
Vor kurzem bekam ich eine Mail, ich sollte die Anfrage vom 24.09.2020 (siehe unten) bewerten. 
Ich habe die Bewertung nicht ausgefüllt, meine Anfrage wurde überhaupt nicht beantwortet, ich hätte also nur ungenügend bewerten können.
Nachdem  die Justizbehörde mich inzwischen informiert hat, dass meine Anzeige nicht weiter bearbeitet wird, ist es auch nicht mehr so wichtig, dass Sie tätig werden. 
Siehe die Details hier:  https://heinz-wember.de/Betrugsversuche/index.html
Für die Zukunft, wenn wieder mal eine Erpressung bei mir ins Haus flattert, wäre es schon wichtig zu wissen, was tatsächlich in ihren Logs über die Aktivität von meinem Internetanschluss vorhanden ist.
Der Verkehr von mir zu M-Net ist in diesem Fall unwichtig. Es müsste doch eigentlich auch der Zugang von anderen über M-Net  auf meinen PC protokolliert sein. Ist das tatsächlich so? 
Es steht eindeutig fest, dass der Angreifer auf meinem PC etwas zu meinem Schaden verändert hat. Nach langem Suchen ist die Schadsoftware nicht mehr aktiv, ich weiß aber nicht warum.
Was meine unten stehende Anfrage betrifft, wäre es denkbar, dass der Erpresser an dem fraglichen Tag (23.09.2020) vormittags wieder auf meinem PC war und dann seine Schadsoftware entfernt hat. Dass dies die Software ReImage auch gemacht haben könnte, ist nur eine Vermutung. Diese Software habe ich bereits mehrere Tag vorher benützt, ohne dass die Schadsoftware entfernt wurde. 

Ich halte es für wichtig, dass dies von Ihnen geklärt wird. Ich möchte nur erwähnen, dass ich seit meinem Studium an der TH München  (1962-1968) EDV mache. Im Berufsleben war ich 28 Jahre bei der NCR in Augsburg als Systemanalytiker und EDV-Leiter, seit meiner Rente betreibe ich eine relativ große Homepage (300 000 Dateien). Sie können sicher sein, dass ich mit das Log, das bei Ihnen mit Sicherheit vorhanden ist, auswerten kann. Wahrscheinlich ist die Spezialabteilung für Internet-Kriminalität auch in der Lage, dies auswerten zu können.

Mit freundlichen Grüßen 
Heinz Wember


-------- Weitergeleitete Nachricht --------
Betreff: Bitte um Unterstützung bei der Aufklärung einer Strafsache
Datum: Thu, 24 Sep 2020 06:05:32 +0200
Von: Heinz Wember info-hw <info&#64heinz-wember.de>
An: Firma M-Net <info&#64m-net.de>
Kopie (CC): BLKA ZAC <zac&#64polizei.bayern.de>


Hallo,

ich bin bei Ihnen seit ca 1997 Kunde (damals hieß die Firma nach Augusta oder so ähnlich) meine Kundennummer ist 200000165
Nicht zum ersten Mal wurde ich von einem Erpresser über E-Mail heimgesucht, die Details sehen Sie hier:
https://heinz-wember.de/Betrugsversuche/index.html
Ich habe den Vorgang auch angezeigt. Nachdem ich den Mail-Server des Absenders dieser Erpressungsmail identifizieren konnte, habe ich vermutlich Chancen, dass der Täter auffindbar ist.
Wie Sie in der oben angegebenen  Web-Seite erkennen können, habe ich den Provider angeschrieben, ich habe auch eine Antwort bekommen, jedoch nicht die Kundendaten des Erpressers, vielleicht schafft dies die Staatsanwaltschaft.
Jetzt habe ich gestern festgestellt, dass das Schadprogramm offensichtlich gestern morgen entfernt wurde, man kann das sofort erkennen, wenn man gerade in der Bearbeitung einer Datei mit Indesign ist und eine PDF-Datei exportiert. Ich war gestern von ca 3:30 bis gegen 11:00 im Netz mit einer Pause von ca 1 Stunde gegen 6:30  Uhr.
Heute habe ich gerade die IP-Adresse 62.216.204.159, gestern bis gegen 8 Uhr hatte ich dieselbe IP-Adresse, zumindest die ersten 3 bytes, das vierte Byte wird bei dem Lop auf die Zugriffsdaten auf meine Homepage heinz-wember.de nicht angezeigt. Später hatte ich die IP-Adresse 89.187.165.0 .
Ich weiß nicht genau die Uhrzeit, aber es muss wohl vormittags gewesen sein, als offensichtlich der Erpresser das Schadprogramm entfernt hat.
Ich bin sicher, dass Sie die Logdatei ihrer Kunden haben und sehen können, wer wann auf eine bestimmte IP-Adresse zugegriffen hat. Mich interessiert natürlich nur die Zugriffe von außen auf meinen PC.
Zu dieser Zeit war nur ich mit meinem Desktop im Netz.
Kann ich nun von Ihnen diese Zugriffsdatei von gestern (23.09.2020) vormittags bis etwa 11 Uhr bekommen?
Ich vermute, die gesuchte Adresse wird wohl die IP-Adresse sein, die einem Provider aus Deutschland, Österreich oder Schweiz gehört. Wie sie aus dem Erpresser-Schreiben sehen, ist das Deutsch gut und fehlerfrei, dies war jemand mit deutsch als Muttersprache, wenn wir Glück haben, ist er hier wohnhaft.
Ich setze auch die Ermittlungsbehörde auf den Verteiler, damit sie selbst auch aktiv werden kann, falls hier Persönlichkeitsschutz vorgegeben wird. Nach der deutschen Rechtslage ist jeder Provider gehalten, die Logs vom Internetverkehr 6 Monate zu sichern und auf Antrag eines Gerichtsbeschlusses auch weiter zu geben.

Wie Sie unschwer erkennen können, bin ich kein Laie auf dem Gebiet der EDV, ich mache dies seit 1964, als ich die erste Programmiersprache auf der PERM der TH München lernte. Später war ich Systemanalytiker und EDV-Leiter bei NCR in Augsburg. Heute als Rentner betreibe ich eine relativ große Homepage.

MfG
Heinrich Wember
(Anschrift und Telefonnummer wurde hier entfernt.)
Domain: heinz-wember.de

cc: zuständige Stelle der bayerischen Polizei, die laut Schreiben der Staatsanwaltschaft von 21.09. den Fall weiter bearbeitet.



23-Okt-2020

Bis vor kurzem habe ich nach infizierten Dateien (in den Laufwerken D, E, F und G) gesucht. Die von mir verwendeten Antivirenprogramme (AVG Internet Security, PC Scan & Repair bei ReImage, Security Reviver, PC Reviver, AVG Driver Update) haben die infizierten Benutzerdateien (PDF, DOC, DOCX) entweder gar nicht oder nur unvollständig gefunden.
Jedoch hat das Programm Always Sync, das ich für meine Sicherheitskopien auf externe Laufwerke benutze, sehr viele infizierte Dateien (über 100) moniert und nicht kopiert.
Diese infizierten Dateien habe ich komplett gelöscht und bin jetzt dabei, sie neu aus den den Ursprungsdateien (aus Indesign und mittels Acrobat DC aus html-Dateien) neu zu erstellen.
Dies nur zu dem Kommentar der Staatsanwaltschaft, die lapidar als Begründung "... es ist kein Schaden entstanden" das Verfahren eingestellt  hat.


12-Nov-2020

Ich hatte heute ein Telefonat mit dem Staatsanwalt, der meinen Fall bearbeitet hatte. Es war sehr aufschlussreich, er hat mir die Hintergründe für seinen Bescheid gegeben (siehe oben das Schreiben zur Einstellung des Verfahrens).
Ich war der Meinung, dass das Gesetz zur Vorratsdatenspeicherung so verabschiedet wurde, wie es damals von der Bundesregierung geplant war. Hauptänderung auf Grund eines Urteils eines Gerichtes, 6 Monate ist nicht zumutbar, faktisch ist jetzt Pflicht für die Firmen, die Internetzugriff gewähren, eine Woche. Manche Firmen speichern die Zugriffsdaten länger, ist aber freiwillig.
Dann ist die Frage, wie lange dauert es, bis ein Rechthilfeverlangen bei einem anderen Land zum Ergebnis kommt, dies ist meist ein Jahr. Damit ist natürlich eine Auskunft nicht verwertbar, weil die Firma sagt, sie kann es nicht ermitteln, weil die Zugriffsdaten bereits gelöscht sind.
Damit kann die Staatsanwaltschaft meist keinen Fall lösen, die Einstellung des Verfahrens ist daher die Regel.
Die einzige Möglichkeit, den Verursacher mit seiner IP-Adresse und den übrigen Daten zu bekommen ist die, wenn man innerhalb weniger Tage ein Ersuchen an eine deutsche Firma sendet, bei der ein Hacker vermutet wird.
Das heißt mit anderen Worten, jeder Hacker darf praktisch alles, weil er weiß, dass er nicht verurteilt wird.

zur Homepage  

Änderungstand: 12-Nov-2020
Heinz Wember