Polizei warnt: Streamingdienste locken in die Falle!

Zum gesamten Artikel


Einige Streamingdienste locken ihre Besucher systematisch in die Falle. Obwohl dort gar keine Kinofilme verfügbar sind, kassiert man wenige Tage…

Das Konstrukt ist äusserst komplex aufgebaut…man weiss gar nicht, wo man da anfangen soll…!
Die Frage, warum die DENIC die Domains freischaltet und nicht hellhörig wird und eingreift, ist dazu sehr einfach erklärt:
Die Domains werden nicht von einem ominösen Läufer mit gefakten Daten dort bestellt !
Sie werden nämlich von offiziell bei der RIPE registrierten anderen „Domain Name Registrars“ mit wasserdichter AS-Nummer aus dem Block „RIPE NCC ASN Block“ in solch riesigen Paketen (mit entsprechendem finanziellen Wert) bestellt - Bei solchen Transaktionen der Registrare untereinander läuft der komplette Vorgang vollautomatisch über Bots in einem speziell eingerichteten Verwaltungssystem ab, zu dem auch nur offizielle Registrare überhaupt Zugang haben!
Das sind ganz legitime Vorgänge, die bei einer Transaktion für 100 oder auch 1000 Domains usw. nicht mehr hinterfragt werden!!

Jetzt, an dieser Stelle kommt aber der Punkt, ab dem es schwierig wird…
Beim Scannen der ganzen Domains aus dem Bericht, waren natürlich schon viele „tote“ Adressen bei! Allerdings waren die URLs doch noch so neu, dass ich um die 20 Stück noch aktiv im Netz finden konnte. Diese 20 URLs hatten alle eins gemeinsam, nämlich einen mx-eintrag auf die jeweilige Domain für den wichtigen Mail-Server (mail.xyz.de) und einen Pointer dazu, der immer bei der IP 194.61.24.232 auskam!!

IP address 194.61.24.232
Reverse DNS (PTR record) flixday.de
DNS server (NS record) ns1.hostkey.ru (91.210.105.253)
ns2.hostkey.ru (146.0.73.79)
ASN number 38994
ASN name (ISP) ERA LLC
IP-range/subnet 194.61.24.0/23
194.61.24.0 - 194.61.25.255

Der Name des betreffenden ISP „ERA LLC“ mit gültiger ASN-Nummer löste ein leichtes Klingelgefühl aus, da dieser schon sehr oft in Zusammenhang mit irgendwelchen Botnetzen und dergleichen in der Vergangenheit stand!! :wink:
Der vollständige AS-Name ist dazu: ERAHOST mit Sitz in NL (Fake). Obwohl Holland der angegebene Sitz ist, kommen wir jetzt nach BERLIN
aut-num: AS38994
as-name: ERAHOST-AS
org: ORG-EL322-RIPE
import: from AS57043 accept ANY
export: to AS57043 announce AS38994
import: from AS395839 accept ANY
export: to AS395839 announce AS38994
admin-c: DM16416-RIPE
tech-c: DM16416-RIPE
status: ASSIGNED
mnt-by: RIPE-NCC-END-MNT
mnt-by: mnt-ru-erahost-1
created: 2018-10-31T12:32:14Z
last-modified: 2018-10-31T15:06:28Z
source: RIPE

organisation: ORG-EL322-RIPE
org-name: ERA LLC
org-type: LIR
address: 63-65
address: 10117
address: Berlin
address: GERMANY
admin-c: DM16416-RIPE
tech-c: DM16416-RIPE
abuse-c: AR48981-RIPE
mnt-ref: mnt-ru-erahost-1
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-ru-erahost-1
created: 2018-10-30T08:35:24Z
last-modified: 2018-11-02T06:36:45Z
source: RIPE # Filtered
phone: + 7 981 806 88 91

person: David Melnik
address: Unter den Linden 1
address: 10117
address: Berlin
address: Germany
phone: +49 30 2291144
nic-hdl: DM16416-RIPE
mnt-by: mnt-ru-erahost-1
created: 2018-10-30T08:35:23Z
last-modified: 2018-11-02T09:12:39Z
source: RIPE

Übrigens kann man in dem obrigen Bereich bei Import / Export schon gut sehen, wie die Registrare sich untereinander verständigen in dem Fall! Der Ausdruck „accept ANY“ sollte geläufig sein und bezieht sich hier auf den nächsten Registrar „hostkey“ << auch kein unbeschriebenes Blatt… :rofl:
Im oberen Eintrag findet man „hostkey“ auch als DNS-Anbieter zur deutschen Beispiel-Domain!
Momentan sehe ich den ASN ERAHOST als führende Firma in dem Konstrukt. Warum, werden wir eventuell nun besser sehen!

Weitere beteiligte ISPs:

– AS38992 - CELLCOM-ASN, IL
– AS49334 - SVK-AS, CZ
– AS38993 - RENOVA-PT-AS, PT
– AS38995 - AMG-AS, RO
– AS49335 - NCONNECT-AS, RU
– Aufsplittung des AS49335 in:

  • HOSTKEY-RU
  • Hostkey-net
  • IWS-NETWORK
  • LLC „Server v arendy“
  • NETBLK-ANS-B Suite 9, Ansuya Estate
  • NETBLK-B-1 AECI Information Services (Pty) Ltd
  • Mir Telematiki Ltd
  • Network Carrier Ltd
  • NITL-BLK Unit 117, Orion Mall, Palm Street (goil)
  • Fast Serv Inc.

– plus einige mehr…!

Die TLD des Unternehmens, sowie der Server dahinter wird unter der IP 31.31.196.187 beim russischen Domain names registrar „REG.RU“, Ltd als Domain ERAHOST.pro geführt…

Was noch nicht ganz verwirrend ist - die Verwirrung ist erst komplett, wenn man dann sieht, das Fa. ERAHOST auf dieser Site zu ->

Information Technologies, LLC
Russian Federation, Saint Petersburg,
E-Mail: info@infotech.ru.net

wird!!
An dieser Stelle mache ich aus zwei Gründen erstmal Pause:

  1. Mir schwirrt der Kopf
  2. Ich weiss nun wieder, woher ich ERA LLC und INFORMATION TECHNOLOGIES LLC kenne!! Die werden immer in einem Satz mit dem R.B.N genannt, was ich hier nicht weiter ausführen möchte :wink:

…da muss eine ganz andere Taktik her…

greetZ

1 Like

Kommentar von Police: Scam Streaming Sites Are Exploiting Internet Users - TorrentFreak:
[…] the princely sum of € 395.88 per year, charged in one transaction. Worst still, local news outlet Tarnkappe reports that the sites actually have “little to no works” on offer, which means a huge […]

Kommentar von Police: Scam Streaming Sites Are Exploiting Internet Users – Curtis Ryals Reports:
[…] princely sum of € 395.88 per year, charged in one transaction. Worst still, local news outlet Tarnkappe reports that the sites actually have “little to no works” on offer, which means a huge […]

Kommentar von Polizei: Betrugs-Streaming-Sites nutzen die Internetbenutzer › Yoschis Blog:
[…] in einer Transaktion berechnet wird. Das Schlimmste ist jedoch, dass der lokale Nachrichtensender Tarnkappe berichtet, dass auf den Websites „kaum bis gar keine Werke“ angeboten werden. Dies bedeutet […]

Kommentar von Police: Scam Streaming Sites Are Exploiting Internet Users | Crypto Cabaret:
[…] princely sum of € 395.88 per year, charged in one transaction. Worst still, local news outlet Tarnkappe reports that the sites actually have “little to no works” on offer, which means a huge […]