Mail Versender durch IP lokalisieren/eBay Betrug

#16 Ja, der Provider sollte ohne Probleme feststellen können welche IP wem (Anschluß) gegeben wurde wenn man exacte Zeitdaten angeben kann. Allerdings DARF der Provider diese Daten nicht rausgeben ohne das man einen Durchsuchungsbefehl vorlegt. Könnte ja sonst jeder kommen und sonstwas behaupten um so an die Informationen zu kommen. Und ich denke mal das bei der Summe selbst die Polizei nicht an diese Daten rankommen wird.

Ausserdem ist nur weil da diese IP Adresse drinsteht noch lange nicht gesagt das er darüber auch eingewählt war. Wenn der Absender sich etwas mehr auskennt als die meisten kann er diese IP ohne Probleme fälschen. Allerdings ist das eher unwahrscheinlich weil jemand mit solchen Wissen meist keine kleinen eBay Betrugssachen macht

Ich würde dir vorschlagen das ganze einfach anzuzeigen. Die Polizei ist bei solchen Fällen immer sehr nett. Kenne meherere Leute die schon betrogen wurden und wenn du wirklich was erreichen willst besuch mal die nächste Polizeiwache. Wie gesagt, die sind meist sehr nett und wollen auch helfen

Edit: Ich würde einem Forenadmin vorschlagen aus den vorherigen Post mal die Mailadresse rauszunehmen. Es gibt schon genügend Spammails und ich denke nicht das er noch mehr (oder seine ersten) haben möchte.
Es sollte sich auch jeder merken das meine seine Mailadresse NIEMALS in ein Forum so reinschreiben sollte da die Spambots sowas fast täglich absuchen auf der suche nach neuen Opfern. Selbst das abändrn mit _at_ und ähnlichen klapp bei den besseren Bots nicht mehr. Und ist die Adresse erst einmal erfaßt bekommt man keine Ruhe mehr.

Bin aus diesem Grund extra zu einem US Hoster gewechselt der für die Kunden schon serverseitig Spam's wegfiltert. Und das ganze extrem gut. Von über 400 kommen nur 1-2 durch bei mir.

#17 Naja, da hat jemand meine kompletten Daten geklaut und noch besser:

Der hat meine Einwahl mit Ort und Server.
Die meinten das zum Ersten mal erlebt zu haben, da ich beweisen konnte dies nicht gewesen zu sein.

Ging zwar nur um eine Forumsgeschichte, aber ich darf nicht dran denken was man sonst noch tun könnte.

War die Einwahl meiner Firma an einem Wochenende mit DSL.
Da war ich nicht mal im Bundesland und die Rückverfolgung ergab meine Firma und meine IP.

Kann mir bis jetzt keiner erklären.

Mike

#18 hallo leute,

und vorallem hallo lieber robert,
ich habe auch versucht über den e-mail header den groben standort einer person rauszufinden.
bei mir handelt es sich allerding nur um eine art harmloses katzt und maus spiel mit einer dame aus kassel oder heidelberg, zumindest vermute ich das. es geht darum das sie behauptet mich zu kennen. es ist so ein kleines ratespiel. ich bin mir allerdings 100%tig sicher das sie aus kassel kommt und ich sie auch kenne. kann ihr das aber nicht beweisen. daher gibt sie es nicht zu.

guneug davon geredet, mein problem ist das ich mich mit netzwerken, IPs, html etc. überhaupt nicht auskenne. deshalb hab ich es nicht geschafft was rauszufinden.

wenn dir unser kleines spielchen nicht zu blöd ist und wenn es dir nicht zu viel mühe macht währe ich dir (oder jedem anderen natürlich) sehr dankbar wenn du anhand des folgenden headers den groben standort von lady unbekannt herausfinden könntest. vielen dank.

Received: from [217.12.10.199] (helo=web25901.mail.ukl.yahoo.com) by mx18.web.de with smtp (WEB.DE 4.105 #323) id 1EP8gz-0003eR-00 for Bjo*******stark@web.de; Tue, 11 Oct 2005 03:12:33 +0200 Received: (qmail 30152 invoked by uid 60001); 11 Oct 2005 01:12:33 -0000 DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.de; h=Message-ID:Received:Date:From:To:In-Reply-To:MIME-Version:Content-Type:Content-Transfer-Encoding; b=fpy1NwIAMYbUTbshcGPJS/LsYzbMinbZKpqQoiSy5qFgBXIxQlBU4HaSoE2bvrjSEu
YqIfdw+Tl5tLfyNRMCtTnoRa8D0jno8eJa+/wS2riYdIC1G1ofg0ajz064ZZ1geeH5Ky7
va9I6uIRDia0kngcMy+PmjYgtkosUl36tupc= ; Message-ID: <20051011011233.30150.qmail@web25901.mail.ukl.yahoo.com> Received: from [84.138.63.35] by web25901.mail.ukl.yahoo.com via HTTP; Tue, 11 Oct 2005 03:12:33 CEST Date: Tue, 11 Oct 2005 03:12:33 +0200 (CEST) From: lady unbekannt To: =?iso-8859-1?q?Bj=F6rn=20Baumstark?= In-Reply-To: <1142809766@web.de> MIME-Version: 1.0 Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit Sender: i_sw*********ting_love@yahoo.de

wie gasagt ich bin weder betrogen noch sonst irgendwie geschädigt worden und könnte es natürlich nachvollziehen wenn ihr sagt ihr lehnt es ab sowas zu tun oder ihr habt keine zeit für sowas.

vielen vielen dank schon mal im vorraus und schönen gruss, juri!!

ps.: ich habe aus den 2 postings weiter oben genannten gründen die e-mail adressen unkenntlich gemacht.

#19 84.138.63.35 => www.dnsstuff.com =>"IP to Location" (Mitte, unten)
Das mit dem Kassel könnte hinkommen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#20 Die Dialin-IP 84.138.63.35 ist T-Online in Kassel zugewiesen. Eher unvorstellbar, dass jemand aus Heidelberg eine Kasseler IP-Adresse erhält.

http://www.geobytes.com/IpLocator.htm?GetLocation
http://www.ip2location.com/free.asp

btw. der Header ist so, wie Du ihn gepostet hast, beinahe unleserlich. Die Headerzeilen stehen normalerweise untereinander (deshalb auch Zeilen) und nicht hintereinander. Aber das ist das typische Problem von Web.de...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#21 Hallo,

ich habe gerade keine Zeit den gesammten Thread zu lesen, trotzdem möchte ich hier was aus eigener Erfahrung sagen!
mit den von Managor beschriebenen Methoden kann man eine IP ungefähr lokalisieren (Stadtteil / Stadt / Ortsteil / Bundesland)

aber

wenn ihr betrogen worden seit, speichert die IP + Datum, Uhrzeit und geht damit sofort zur Polizei, damit diese beim Provider die genaue Adresse rausbekommen kann!! -> die Speicherzeit für IP Adressen ist bei manchen Providern nur 30 Tage!!! (und damit rennt die Zeit!!)

Greetz Lp

#22 danke leute,
geht ja echt schnell hier hilfe zu bekommen.
bin allerdings nach dem posten auch auf www.dnsstuff.com gestossen und habs mit den beiden IPs aus dem heade probiert und die eine lag in englan die andere in kassel. hab dann noch ein paar andere meiner e-mails von anderen leute gecheckt und war mir dan auch ziemlich sicher das es kassel sein musste. und ihr habt mich jetzt bestätigt, vielen dank.

gruß, juri

#23 Die zweite IP (man liest die Header von unten nach oben) ist die des Mailproviders, von der die Mail kam. Diese IP-Adresse gehört zu Yahoo
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#24 Gibt es mittlerweile eine Aufloesung des ganzen?
Ist ja doch schon ein paar Tage her...

Was hat den eigentlich Ebay dazu gesagt?
Soweit ich weiss kann man tatsaechlich die Ueberweisung zurueck ziehen (kostet aber). Problem ist nur, das Geld ist bestimmt schon in diverse Kanaele verschwunden und das Konto dementsprechend geloescht. Da bleibt nur noch Staatsanwaltschaft einschalten...

#25 Hey,

ich denke das ist der richtige Thread. Ich wurde ebeso betrogen (und noch ein paar andere Leute), zwar um ein wesentlich kleineren Betrag, aber immerhin 60 Euro. Denjenigen anzeigen kann ich nicht, weil es sich hierbei um etwas handelt, was wohl nicht ganz legal ist. Um genau zu sein wollt ich eine Serie kaufen, die mal vor 10 Jahren im Fernsehen lief, von der aber nie etwas auf VHS oder DVD rauskam.

Jedenfalls hab ich mal die IP die im Header stand auf dieser Seite http://www.dnsstuff.com/ unter "NEW! IP Information" eingegeben und da kam das heraus:

IP address: 212.77.101.1
Reverse DNS: smtp.wp.pl.
Reverse DNS authenticity: [Verified]
ASN: 12827
ASN Name: WirtualnaPolska (Wirtualna Polska S.A.)
IP range connectivity: 1
Registrar (per ASN): RIPE
Country (per IP registrar): PL [Poland]
Country Currency: PLN [Poland Zlotych]
Country IP Range: 212.77.96.0 to 212.77.127.255
Country fraud profile: Normal
City (per outside source): Gdansk, Pomorskie
Private (internal) IP? No
IP address registrar: whois.ripe.net
Known Proxy? No
Link for WHOIS: 212.77.101.1


dann bin ich dem Link for Whois gefolgt und dann stand das da:

Information related to '212.77.96.0 - 212.77.105.255'

inetnum: 212.77.96.0 - 212.77.105.255
netname: WPPL
descr: Wirtualna Polska SA
descr: portal site http://www.wp.pl/
country: PL
admin-c: WZ54-RIPE
tech-c: TB1661-RIPE
status: ASSIGNED PA
remarks: Please send any ABUSE report to *****@wp-sa.pl
notify: ***@WP-SA.PL
mnt-by: AS12827-MNT
changed: ***@WP-SA.PL 20030423
source: RIPE

person: Wojciech Zwiefka
address: Wirtualna Polska SA
Traugutta 115C
80-226 GDANSK
POLAND
phone: +48 58 521 56 00
fax-no: +48 58 521 56 01
e-mail: *******@WP-SA.PL
nic-hdl: WZ54-RIPE
changed: ***@WP-SA.PL 20041014
source: RIPE

person: Tomasz Baczynski
address: Wirtualna Polska S.A.
address: Traugutta 115C
address: 80-226 GDANSK
address: POLAND
phone: +48 58 521 56 14
fax-no: +48 58 521 56 01
e-mail: ***@WP-SA.PL
nic-hdl: TB1661-RIPE
notify: ***@WP-SA.PL
changed: ***@WP-SA.PL 20030423
source: RIPE

% Information related to '212.77.101.0/24AS12827'

route: 212.77.101.0/24
descr: WPPL_101
origin: AS12827
notify: ***@WP-SA.PL
mnt-by: AS12827-MNT
changed: ***@WP-SA.PL 20041014
source: RIPE


Lange Rede kurzer Sinn: Was bedeuten die Namen? Ist etwas aufschlussreiches für mich dabei, was mir bei meiner Suche weiterhelfen kann? Nehmen der Mail Adresse habe ich noch einen Namen und die Bankverbindung. Lässt sich damit etwas anfangen?

Um bin um jede Hilfe dankbar.

#26

Zitat

inetnum: 212.77.96.0 - 212.77.105.255
netname: WPPL
descr: Wirtualna Polska SA
descr: portal site http://www.wp.pl/
country: PL
admin-c: WZ54-RIPE
tech-c: TB1661-RIPE
status: ASSIGNED PA
remarks: Please send any ABUSE report to *****@wp-sa.pl
notify: ***@WP-SA.PL
mnt-by: AS12827-MNT
changed: ***@WP-SA.PL 20030423
source: RIPE

Ne Firma mit dem Sitz in Polen, kannst ja ne E-Mail an die schreiben vielleicht hilfts.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#27 Es steht also nur geschreiben, dass derjenige aus Polen kommt. Sonst nix? War ne Privatperson.
descr: Wirtualna Polska SA- ist das ein Ortsname?

#28

Zitat

descr: Wirtualna Polska SA- ist das ein Ortsname?

Nein das ist eine Firma.

Zitat

person: Wojciech Zwiefka
address: Wirtualna Polska SA
Traugutta 115C
80-226 GDANSK
POLAND
phone: +48 58 521 56 00
fax-no: +48 58 521 56 01
e-mail: *******@WP-SA.PL
nic-hdl: WZ54-RIPE
changed: ***@WP-SA.PL 20041014
source: RIPE

Da ist die Adresse + Telefon - was willst du mehr.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#29 Nun ich bin mir eben noch unsicher, ob das die Firma ist wo er arbeitet. Ist es eigenlich auszuschliessen, dass die Mail von einem anderem Rechner verschickt wurde oder umgeleitet wurde? Ich kenn ich ja im technischen Bereich nicht so aus. Da kann man doch sicher einiges Bewerkstelligen um unerkannt zu bleiben.

#30

Zitat

ob das die Firma ist wo er arbeitet

Sieht für mich eher nach dem Provider aus- so wie hier arcor, hansenet oder dergleichen. Die Infos bedeuten nicht, dass der betr. Mensch dort auch arbeitet.
Ich schätze die Rechtslage in Polen ähnlich wie hier ein, dass ein Provider keine Kundenadressen ohne richterlichen Beschluss oder Starfanzeige herausrückt.

Letztendlich könnte der ebay-Verkäufer aber auch durchaus in Deutschland sitzen und nur das Webmail von wp.pl nutzen. Ich denke, dass der Fall auch so liegt.
Hast Du zumindest mal den Fall bei ebay gemeldet ? Es gibt ja aus "Mein ebay" heraus eine Funktion, mit welcher man eine "missglückten" Verkauf(Einkauf melden kann.
__________
Durchsuchen --> Aussuchen --> Untersuchen