| |
|
|
|
|
|
|
Varning för spammaren melodifestivalen09.com
Skapad:2008-12-17 10:53:49
|
Vi på Cint fick idag ett spam om biljetter till Melodifestivalen 2009 i våra mejlinkorgar. Vid en närmare kontroll visar det sig att vem som står bakom försäljningen inte går att finna, och vid en ännu djupare grävning framkommer att domänen betalningslösningen använder är registrerad av våra gamla vänner domänskojarna Inter Domain Solutions LLC. Det finns även andra kopplingar, bland annat namnet på den som registrerade domänen och företaget i Hong Kong som anges. Sammantaget är det knappast en slump, och vi betecknar sidan som ett rent bedrägeri från organiserad brottslighet.
Här följer de uppgifter vi grävt fram. Vi börjar med mejlet:
From: Broker [mailto:broker@melodifestivalen09.com]
Sent: den 17 december 2008 00:37
To: Broker
Subject: Melodifestivalen 2009
"Välkommen till årets Melodifestival!
Med artister som Alcazar, BWO, Jennifer Brown, Lili & Susie, och Markoolio. Detta är det absolut bästa startfält som vi har sett pa flera år med flertalet internationella artister. Ta med dina vänner, familj, eller kunder. Detta kommer att vara ett evenemang som du sent kommer att glömma. TicketBrokers garanterar dig biljetter till årets största nöjesevenemang. TicketBrokers specialiserar sig på svenska nöjesevenemang direkt till slutkunder. Vi kan erbjuda detta till lågkostnadsservice eftersom att vi inte använder oss av mellanhänder. Därför kan du boka dessa hos oss direkt till absolut bästa pris!
www.melodifestivalen09.com"
Mejlheaders:
"Received: from STOEXEDGE01.domain01.net (10.13.10.1) by
STOEXHUB02.domain01.net (10.12.10.2) with Microsoft SMTP Server (TLS) id
8.1.263.0; Tue, 16 Dec 2008 23:43:27 +0100
Received: from mxl.dotasia-domains.org (212.181.93.90) by
STOEXEDGE01.domain01.net (10.13.10.1) with Microsoft SMTP Server (TLS) id
8.1.311.2; Tue, 16 Dec 2008 23:44:29 +0100
Received: (qmail 19860 invoked by uid 0); 16 Dec 2008 23:37:27 -0000
Date: Tue, 16 Dec 2008 23:37:27 +0000
Message-ID: <20081216233727.19859.qmail@mxl.dotasia-domains.org>
From: Broker <broker@melodifestivalen09.com>
To: Broker <broker@melodifestivalen09.com>
Subject: Melodifestivalen 2009
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0078_01C95ECB.D5D703A0"
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350
Thread-Index: Aclew3PIZgR8/U+bRg2+GpudMr4ewg==
Return-Path: anonymous@mxl.dotasia-domains.org
X-MS-Exchange-Organization-PRD: melodifestivalen09.com
Received-SPF: None (STOEXEDGE01.domain01.net: broker@melodifestivalen09.com
does not designate permitted sender hosts)
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.7215.660;SV:3.3.7119.66;SID:SenderIDStatus None;OrigIP:212.181.93.90
X-MS-Exchange-Organization-SCL: 1
X-MS-Exchange-Organization-SenderIdResult: NONE"
Hemsidan:
På melodifestivalen09.com anges följande kontaktuppgifter:
"TicketBrokers
Linnégatan 78-80
115 23 Stockholm
Sverige
E-post: info@melodifestivalen09.com
Tel. 08-525 08 760"
En sökning på telefonnumret ger dock ingen träff hos Eniro eller Hitta. ENligt SPNAC så tillhör det:
"Information för nummer 46852508760
Operatör är IP-Only Telecommunic"
Domänen:
"Host info:
Host of the IP: www.melodifestivalen09.com Whois
Host IP [?]: 80.248.224.55 [Copy][Whois]
IP address country: Sweden
IP address state: Stockholms Lan
IP address city: Stockholm
IP address latitude: 59.3333
IP address longitude: 18.0500
ISP of this IP [?]: EttNet AB
Organization: EttNet AB ISP
Local Time of this IP country: 2008-12-17 09:49
WHOIS:
Registrar: domaininfo.com
Domain Name: melodifestivalen09.com
[Owner of domain name]
cc Development
Room 1405,14/F
Hong Kong, Sheung Wang
CN
[Administrative contact]
cc Development
Room 1405,14/F
Hong Kong, Sheung Wang
CN
Email: rstankevitch@gmail.com
Phone: +46 73 9949851
Fax: null
[Technical contact]
cc Development
Room 1405,14/F
Hong Kong, Sheung Wang
CN
Email: rstankevitch@gmail.com
Phone: +46 73 9949851
Fax: null
[Zone contact]
cc Development
Room 1405,14/F
Hong Kong, Sheung Wang
CN
Email: rstankevitch@gmail.com
Phone: +46 73 9949851
Fax: null
Record created: 09 DEC 2008
Record last changed: 09 DEC 2008
Record expires: 09 DEC 2010
Name servers according to DNS:
dns1.proxywebhosting.net.
dns2.proxywebhosting.net."
Både namnet R Stankevitch och cc Development lät bekanta. En slagning i arkiven visar att en Daniel Stankiewicz satt i gamla domänbluffaren Sellnets styrelse under en tid.
I varningstråden om domänskojaren Svenska IT-registret dyker så en Roman Stankiewicz upp i registreringsinformationen till vissa anknytna webadresser.
http://www.cint.se/debatt/ShowPostFlat.aspx?PostID=106557
Dessutom finns ytterligare en koppling. En Teddy Hedenquist är den som registrerade domänskojarens .se-adress. Denne Teddy kan knytas till bröderna Belevitch, som är insyltade i domänskojerier och annat. Teddy gör smygreklam för sin sida PC-Scrub.com (men gå inte dit om du inte vill få trojaner i datorn!). I footern på den sidan anges CC Development Inc. Samma som "cc Development" ovan?
Melodifestivalsidans betalningslösning:
På melodifestivalen09.com kan man beställa biljetter både till deltävlingarna och finalen i Globen. Betalningen sker genom sidan secureonlinepayments.net/melodipay.php. Anmärkningsvärt är att man kan ange hur många biljetetr som helst - tex 1000 till finalen, utan att systemet reagerar.
Men vem står bakom betalningslösningen? Vi gör en whois:
"Domain Name:secureonlinepayments.net
Created On:2008-08-27 19:09:57
Last Updated On:2008-12-10 10:28:15
Expiration Date:2009-08-27 19:10:06
Registered via:Inter Domain Solutions LLC www.interdomainsolutions.com
Registrant Name:Domain Admin
Registrant Organization:Inter Domain Solutions LLC
Registrant Street:2123 Pioneer Avenue
Registrant City:Cheyenne WY
Registrant State/Province:
Registrant Postal Code:82001
Registrant Country:US
Registrant Phone:+1.2063371251
Registrant FAX:+1.2063371251
Registrant Email:registry-se@interdomainsolutions.com
Admin Name:Domain Admin
Admin Organization:Inter Domain Solutions LLC
Admin Street:2123 Pioneer Avenue
Admin City:Cheyenne WY
Admin State/Province:
Admin Postal Code:82001
Admin Country:US
Admin Phone:+1.2063371251
Admin FAX:+1.2063371251
Admin Email:registry-se@interdomainsolutions.com
Tech Name:Domain Admin
Tech Organization:Inter Domain Solutions LLC
Tech Street:2123 Pioneer Avenue
Tech City:Cheyenne WY
Tech State/Province:
Tech Postal Code:82001
Tech Country:US
Tech Phone:+1.2063371251
Tech FAX:+1.2063371251
Tech Email:registry-se@interdomainsolutions.com
Name Server:dns1.proxywebhosting.net 79.136.114.67
Name Server:dns2.proxywebhosting.net 212.116.64.192
Name Server:n/a
Name Server:n/a
Name Server:n/a; For transfers, unlocking or AUTH codes please contact the RSP above.
; Register all available domains via:
; Registered on behalf of Inter Domain Solutions LLC by Inter Domain Solutions LLC"
Inter Domain Solutions LLC är samma som domänskojarna själva, vilket framgår mer i detalj i bland annat denna varningstråd:
http://www.cint.se/debatt/ShowPostFlat.aspx?PostID=86326
Slutsats:
Förutom att melodifestivalen09.com spammar, och att man aldrig ska köpa andrahandsbiljetter från skumma återförsäljare, så pekar indicierna på att bakom sidan ligger samma organiserade brottslighet som försöker blåsa företagare genom domänbluffar. Dessa kan även kopplas till bedrägerier mot konsumenter, som Allmänna bostadsrättsorganisationen/Bostadsägarnas Medlemsorganisation och E-outlet.se.
När Cint ringer det angivna kontaktnumret, 08-525 08 760, svarar en man först "hello" på engelska, och förklarar sedan på svenska att jag måste ha ringt fel eftersom jag hamnat på hans mobil. Han säger sig inte veta något om biljettförsäljningen.
Handla alltså inte från detta okända företag!
/Anders Nyman, Cint
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-17 13:22:41
|
Ett blogginlägg om massmejlet:
Biljetter till Melodifestivalen -09
Postat 2008-12-17 av Fredrik Berglund
I morse när vi kom till kontoret var det flera som fått ett “nyhetsbrev” från bolaget TicketBrokers. Ett propert brev på korrekt svenska som tipsade om att man via deras hemsida melodifestivalen09.com kan köpa biljetter till nästa års upplaga av Melodifestivalen.
http://blogg.loopia.se/2008/12/17/biljetter-till-melodifestivalen-09/
"Efter ett kort samtal till SVT och Live Nation (som sköter hela evenemanget) så fick vi våra misstankar besannade. Detta var givetvis spam och absolut inget som var sanktionerat av varken SVT eller Live Nation."
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-17 13:44:19
|
Samma avsändardomän som skickade Melodifestivalspammet, mxl.dotasia-domains.org, har även skickat ut spam om registrering av .asia-domäner. Från en Cintmedlem har vi fått detta:
From: Asian Registry [mailto:woo@dotasia-domains.org]
Sent: den 17 december 2008 00:56
To: Asian Registry
Subject: Reminder
"www.[borttaget].asia is still unregistered.
You risk loosing the rights to this domain name if you don't register it as soon as possible.
Click here to register www.[borttaget].asia immediately or visit www.dotasia-domains.org
This is the last and only reminder we send you to register the above domain name.
.asia is a new domain name that is now open for registration. If you do not register your .asia domain name now, it will be available for registration by anyone. This is why it is important to register the domain names you are using today but with the .asia ending.
If you choose to proceed with a registration the domain name will be automaticlly redirected to your current homepage.
You can also register more than one domainname at a time."
Mejlinformation
Reply-To: <support@dotasia-domains.org>
From: "Asian Registry" <woo@dotasia-domains.org>
To: "Asian Registry" <woo@dotasia-domains.org>
Subject: Reminder
Date: Wed, 17 Dec 2008 00:55:49 +0100
Message-ID: <20081212354.180.qmail@mxl.dotasia-domains.org>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0164_01C9603D.DE96B4E0"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579
Importance: Normal
Mer om dotasia-domains.org:
WHOIS på dotasia-domains.org:
"Domain ID:D153920840-LROR
Domain Name:DOTASIA-DOMAINS.ORG
Created On:25-Aug-2008 11:23:17 UTC
Last Updated On:09-Dec-2008 21:40:42 UTC
Expiration Date:25-Aug-2010 11:23:17 UTC
Sponsoring Registrar:DomainInfo AB (R29-LROR)
Status:CLIENT DELETE PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Registrant ID:DI-2-CCX
Registrant Name:r stankevitch
Registrant Organization:cc Development
Registrant Street1:Room 1405,14/F
Registrant Street2:China Merchants Building No.303 Des Voeux Road Central
Registrant Street3:
Registrant City:Hong Kong
Registrant State/Province:
Registrant Postal Code:Sheung Wang
Registrant Country:CN
Registrant Phone:+46.739949851
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:rstankevitch@gmail.com
Admin ID:DI-2-CCX
Admin Name:r stankevitch
Admin Organization:cc Development
Admin Street1:Room 1405,14/F
Admin Street2:China Merchants Building No.303 Des Voeux Road Central
Admin Street3:
Admin City:Hong Kong
Admin State/Province:
Admin Postal Code:Sheung Wang
Admin Country:CN
Admin Phone:+46.739949851
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:rstankevitch@gmail.com
Tech ID:DI-2-CCX
Tech Name:r stankevitch
Tech Organization:cc Development
Tech Street1:Room 1405,14/F
Tech Street2:China Merchants Building No.303 Des Voeux Road Central
Tech Street3:
Tech City:Hong Kong
Tech State/Province:
Tech Postal Code:Sheung Wang
Tech Country:CN
Tech Phone:+46.739949851
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:rstankevitch@gmail.com
Name Server:DNS1.PROXYWEBHOSTING.NET
Name Server:DNS2.PROXYWEBHOSTING.NET"
På hemsidan ovan kan man alltså registrera .asia-adresser, till det facila priset av 149 dollar per styck. En snabb googling ger vid handen att runt 20 dollar snarare är ett normalt pris.
Kontaktuppgifter från hemsidan:
"Address:
Room 1405, 14/F., China Merchants Building,
No. 303 Des Voeux Road Central,
Sheung Wan, Hong Kong
Questions & inquires
US & Canada:
Tel. +1 206 274 00 70 Fax. +1 206 350 68 62
All others:
Tel. +44 20 33 55 48 97 Fax. +44 20 33 55 49 51"
Förnyelsebedrägeriet
Mejlet ovan ger sken av att vara en påminnelse om att man ännu inte registrerat "sin" .asia-adress. Priset är fem eller tiodubbelt mer än via andra tjänster.
Tidigare har domänskojargänget bakom Sellnet mfl använt sig av liknande metoder, via ett falskt "det är dags att förnya din registrering"-mejl. Företaget då hette Domain Renewal SA med adressen domainrenewal-online.com. Den som registrerade den adressen är Pierre Grundström, som kan knytas till flera bluffar (både domän-, varumärkes- och privatpersonbluffar).
Här är ett inlägg från ett annat forum som beskriver tillvägagångssättet med "påminnelsen":
http://www.namepros.com/warnings-and-alerts/343037-strange-e-mail-renewal-request-pseudo.html
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-17 20:09:59
|
PG Trading och import (F-Skatt: Aldrig registrerats)
19730908-XXXX
Pierre Andreas Grundström
Malmvägen 16 C 5 TR
191 60 Sollentuna
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-17 20:12:04
|
Så, då var www.melodifestivalen09.com anmäld till både Microsofts och Nortons nätfisketjänster. Gör det ni också så kanske andra börjar få upp varningar när de går in på sidan.
Fast jag blev ju lite nervös när Anders skrev om den andra siten med trojaner. Det kan ju lika väl finnas på denna. Fast Norton skrek inte till om det iallafall...
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-17 22:18:34
|
Kikade på Teddy Hedenquist´s sida [PC-Scrub.com] - som numera är nersläckt ang. cc Development
Google har en sparad cache av sidan:
http://64.233.183.132/search?q=cache:ShwdYq5XhwAJ:www.pc-scrub.com/+PC-Scrub.com&hl=sv&ct=clnk&cd=1
Mycket riktigt står det "© 2008 CC Development Inc." i footern, men klickar du på "Company" eller "Contact us" så leder de länkarna till:
http:// www. nonchalantclothing.co.uk/cc/company.html
http:// www. nonchalantclothing.co.uk/cc/contactus.html
Sidan är även den helt nedsläckt, men att "CC Development" och dess företags- och kontaktsida är synonymt med Teddy råder det inget tvivel om:
Domain name:
nonchalantclothing.co.uk
Registrant:
Teddy Hedenquist
Registrant type:
Unknown
Registrant's address:
rosendalsv 27
stockholm
11 521
SE
//ISW
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-18 07:41:48
|
Bloggat och skrivet:
Varning för spammaren/scammaren melodifestivalen09.com
Konsumentupplysningssidan Cint tipsade mig precis om spam från [melodifestivalen09.com] (som jag själv tagit emot ett antal de senaste dagarna men inte reflekterat över). Saken är att det är "Sellnet-gänget" som står bakom - så det är tveklöst inte bara spam utan scam.
http://www.dnzup.se/skojare-scams/805-varning-foer-spammaren-scammaren-melodifestivalen09-com.html
Nya SCAM-varningar
Så är Sellnet framme igen med ett nygammalt koncept.
http://www.internetsweden.net/nya-scam-varningar/
Uddevalla kommun, 2008-12-17
Om ni tänkt boka biljett till 2009 års melodifestival så bör ni läsa den här varningen
Det skriver konsumentvägledningen i Uddevalla kommun och länkar till Cints varning.
GP, 2008-12-17
SVT utsatt för bluffare
Hemsidan www.melodifestivalen09.com påstår sig sälja biljetter till Melodifestivalen. Men mycket pekar mot ett bedrägeri. SVT försökte i går kväll stänga ner hemsidan.
http://www.gp.se/gp/jsp/Crosslink.jsp?d=286&a=465205
"När GP ringer upp Ticketbrokers dementerar de uppgifterna om att det egentligen inte finns några biljetter, men vill inte uppge var biljetterna kommer ifrån utan svarar att de fått tag i dem "via kontakter". Sedan vill de inte svara på ytterligare frågor.
- Jag har inget att säga, vi har inte gjort något fel, vi har inte lurat någon på pengar, säger den person som svarar på det angivna telefonnumret.
Jag testade att via er hemsida köpa 10 000 biljetter till finalen i Globen och det var inga problem, jag kom direkt till en sida där jag skulle fylla i mina kortuppgifter. Hur går det ihop?
Frågan förblir obesvarad, Ticketbrokers har lagt på luren."
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-18 10:56:24
|
SvD, 2008-12-18
Melodifestivalen lockbete för dyra biljetter
Ett Hongkong-baserat företag använder Melodifestivalen som lockbete för att sälja biljetter för överpris. Enligt SVT är det osäkert om företaget över huvud taget har tillgång till några biljetter.
http://www.svd.se/nyheter/inrikes/artikel_2219809.svd
Tidningen refererar till GP:s artikel, och skriver att de själva sökt företaget utan resultat.
|
|
|
|
|
|
|
|
|
|
Re: Varning för spammaren melodifestivalen09.com
Skapad:2008-12-18 15:06:53
|
Enligt uppgifter till Cint kan man fylla i vilka uppgifter som helst på sajtens betalningssida:
https://www.secureonlinepayments.net/melodipay.php
Så länge det påhittade kortnumret är tillräckligt långt blir resultatet blir ändå ett "Tack för er beställning!":
https://www.secureonlinepayments.net/melodido.php
Om ovanstående är korrekt tyder det på att sidan är en ren phishingsajt, endast ute efter kortuppgifterna.
|
|
|
|
|
|
| |
|
|
|
|