Kommentare zu folgendem Beitrag: Streamingdienste locken in die Falle! Polizei warnt davor!
Das Konstrukt ist äusserst komplex aufgebaut…man weiss gar nicht, wo man da anfangen soll…!
Die Frage, warum die DENIC die Domains freischaltet und nicht hellhörig wird und eingreift, ist dazu sehr einfach erklärt:
Die Domains werden nicht von einem ominösen Läufer mit gefakten Daten dort bestellt !
Sie werden nämlich von offiziell bei der RIPE registrierten anderen „Domain Name Registrars“ mit wasserdichter AS-Nummer aus dem Block „RIPE NCC ASN Block“ in solch riesigen Paketen (mit entsprechendem finanziellen Wert) bestellt - Bei solchen Transaktionen der Registrare untereinander läuft der komplette Vorgang vollautomatisch über Bots in einem speziell eingerichteten Verwaltungssystem ab, zu dem auch nur offizielle Registrare überhaupt Zugang haben!
Das sind ganz legitime Vorgänge, die bei einer Transaktion für 100 oder auch 1000 Domains usw. nicht mehr hinterfragt werden!!
Jetzt, an dieser Stelle kommt aber der Punkt, ab dem es schwierig wird…
Beim Scannen der ganzen Domains aus dem Bericht, waren natürlich schon viele „tote“ Adressen bei! Allerdings waren die URLs doch noch so neu, dass ich um die 20 Stück noch aktiv im Netz finden konnte. Diese 20 URLs hatten alle eins gemeinsam, nämlich einen mx-eintrag auf die jeweilige Domain für den wichtigen Mail-Server (mail.xyz.de) und einen Pointer dazu, der immer bei der IP 194.61.24.232 auskam!!
| IP address | 194.61.24.232 |
|---|---|
| Reverse DNS (PTR record) | flixday.de |
| DNS server (NS record) | ns1.hostkey.ru (91.210.105.253) |
| ns2.hostkey.ru (146.0.73.79) | |
| ASN number | 38994 |
| ASN name (ISP) | ERA LLC |
| IP-range/subnet | 194.61.24.0/23 |
| 194.61.24.0 - 194.61.25.255 |
Der Name des betreffenden ISP „ERA LLC“ mit gültiger ASN-Nummer löste ein leichtes Klingelgefühl aus, da dieser schon sehr oft in Zusammenhang mit irgendwelchen Botnetzen und dergleichen in der Vergangenheit stand!! 
Der vollständige AS-Name ist dazu: ERAHOST mit Sitz in NL (Fake). Obwohl Holland der angegebene Sitz ist, kommen wir jetzt nach BERLIN
aut-num: AS38994
as-name: ERAHOST-AS
org: ORG-EL322-RIPE
import: from AS57043 accept ANY
export: to AS57043 announce AS38994
import: from AS395839 accept ANY
export: to AS395839 announce AS38994
admin-c: DM16416-RIPE
tech-c: DM16416-RIPE
status: ASSIGNED
mnt-by: RIPE-NCC-END-MNT
mnt-by: mnt-ru-erahost-1
created: 2018-10-31T12:32:14Z
last-modified: 2018-10-31T15:06:28Z
source: RIPE
organisation: ORG-EL322-RIPE
org-name: ERA LLC
org-type: LIR
address: 63-65
address: 10117
address: Berlin
address: GERMANY
admin-c: DM16416-RIPE
tech-c: DM16416-RIPE
abuse-c: AR48981-RIPE
mnt-ref: mnt-ru-erahost-1
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-ru-erahost-1
created: 2018-10-30T08:35:24Z
last-modified: 2018-11-02T06:36:45Z
source: RIPE # Filtered
phone: + 7 981 806 88 91
person: David Melnik
address: Unter den Linden 1
address: 10117
address: Berlin
address: Germany
phone: +49 30 2291144
nic-hdl: DM16416-RIPE
mnt-by: mnt-ru-erahost-1
created: 2018-10-30T08:35:23Z
last-modified: 2018-11-02T09:12:39Z
source: RIPE
Übrigens kann man in dem obrigen Bereich bei Import / Export schon gut sehen, wie die Registrare sich untereinander verständigen in dem Fall! Der Ausdruck „accept ANY“ sollte geläufig sein und bezieht sich hier auf den nächsten Registrar „hostkey“ << auch kein unbeschriebenes Blatt… 
Im oberen Eintrag findet man „hostkey“ auch als DNS-Anbieter zur deutschen Beispiel-Domain!
Momentan sehe ich den ASN ERAHOST als führende Firma in dem Konstrukt. Warum, werden wir eventuell nun besser sehen!
Weitere beteiligte ISPs:
– AS38992 - CELLCOM-ASN, IL
– AS49334 - SVK-AS, CZ
– AS38993 - RENOVA-PT-AS, PT
– AS38995 - AMG-AS, RO
– AS49335 - NCONNECT-AS, RU
– Aufsplittung des AS49335 in:
- HOSTKEY-RU
- Hostkey-net
- IWS-NETWORK
- LLC „Server v arendy“
- NETBLK-ANS-B Suite 9, Ansuya Estate
- NETBLK-B-1 AECI Information Services (Pty) Ltd
- Mir Telematiki Ltd
- Network Carrier Ltd
- NITL-BLK Unit 117, Orion Mall, Palm Street (goil)
- Fast Serv Inc.
– plus einige mehr…!
Die TLD des Unternehmens, sowie der Server dahinter wird unter der IP 31.31.196.187 beim russischen Domain names registrar „REG.RU“, Ltd als Domain ERAHOST.pro geführt…
Was noch nicht ganz verwirrend ist - die Verwirrung ist erst komplett, wenn man dann sieht, das Fa. ERAHOST auf dieser Site zu →
Information Technologies, LLC
Russian Federation, Saint Petersburg,
E-Mail: info@infotech.ru.net
wird!!
An dieser Stelle mache ich aus zwei Gründen erstmal Pause:
- Mir schwirrt der Kopf
- Ich weiss nun wieder, woher ich ERA LLC und INFORMATION TECHNOLOGIES LLC kenne!! Die werden immer in einem Satz mit dem R.B.N genannt, was ich hier nicht weiter ausführen möchte
…da muss eine ganz andere Taktik her…
greetZ
1 „Gefällt mir“
Kommentar von Police: Scam Streaming Sites Are Exploiting Internet Users - TorrentFreak:
[…] the princely sum of € 395.88 per year, charged in one transaction. Worst still, local news outlet Tarnkappe reports that the sites actually have “little to no works” on offer, which means a huge […]
Kommentar von Police: Scam Streaming Sites Are Exploiting Internet Users – Curtis Ryals Reports:
[…] princely sum of € 395.88 per year, charged in one transaction. Worst still, local news outlet Tarnkappe reports that the sites actually have “little to no works” on offer, which means a huge […]
Kommentar von Polizei: Betrugs-Streaming-Sites nutzen die Internetbenutzer › Yoschis Blog:
[…] in einer Transaktion berechnet wird. Das Schlimmste ist jedoch, dass der lokale Nachrichtensender Tarnkappe berichtet, dass auf den Websites „kaum bis gar keine Werke“ angeboten werden. Dies bedeutet […]
Kommentar von Police: Scam Streaming Sites Are Exploiting Internet Users | Crypto Cabaret:
[…] princely sum of € 395.88 per year, charged in one transaction. Worst still, local news outlet Tarnkappe reports that the sites actually have “little to no works” on offer, which means a huge […]