Lonesome Walker

Heute von einem Bekannten erfahren, der per Werbe-Einblendung auf nicht-seriösen Seiten wie spiegel.de oder bild.de dazu aufgefordert wurde, bei besagter Nummer anzurufen, da sein PC kaputt/infiziert sei (und ja, wer Werbeanzeigen ungeprüft freigibt, ist unseriös!).

JA, DAS IST BETRUG.
JA, ANZEIGE BEI DER POLIZEI ERSTATTEN MACHT SINN.
Nur so werden diese 0800-Nummern abgeschalten.
(08007241757 oder 08001826469)

Oh halt, vergleichen wir doch mal:


Screenshot 07.03.2018 – kiesdirekt.de – trustedshops kann man halt doch nicht trauen…
https://www.trustedshops.de/bewertung/info_XA142A6FEA335F29F36EBB596D96572DE.html

Ebenfalls darf gerne jeder die Profile bei Facebook, Twitter und Co. melden:
facebook.com/Zapexo-138464286840259/
twitter.com/Zapexo_de
pinterest.de/zapexo/
linkedin.com/company/13616771/
instagram.com/zapexode/

Na denn, wollen wir doch mal sehen, was uns diese Scammer so bieten:

Die Webseite wird in Indien gehostet, und hat trotz .de natürlich KEIN Impressum.
Domain: zapexo.de
IP-Adresse: 103.21.58.238
Provider: Confluence Networks
Region: Mumbai (IN)

Auf der Webseite selbst:
Eschersheimer Landstraße 42
Frankfurt am Main
60322 Germany

Laut Denic:
Anu Khanna
619 Sector 21
Faridabad
121 Faridabad
Indien

Admin-C
(der Klassiker, weil die ja für Jeden den Hampelmann spielen)
Sandra Zell
PTS Privacy & Trustee Services GmbH
Neunkircher-Str. 43
66299 Friedrichsthal
Deutschland

So, ABER:
wenn man in den Quellcode guckt, findet man sowas hier:
gtag('config', 'UA-111872209-1');
Da hätte man doch schon mal einen netten Ansatz, was die noch so machen.
Okay, reverse lookup findet dann z.B. auch sowas wie anleitung.xyz

Ebenfalls findet man noch eine Handynummer: 0157-35989796
Eplus-Netz, wo man die billigsten Prepaid-Karten bekommt.

Aber auch ansonsten ist die Webseite ein „Augenschmaus“, vor allem das viele korrekte Deutsch:

Screengrab zapexo.de vom 07.03.2018

Erinnert mich irgendwie an das hier:

Alles in Allem:
NIEMANDEN REMOTE AUF SEINEN RECHNER LASSEN, DEN MAN NICHT KENNT!
AUCH WENN DER ANDERE ANGEBLICH VON MICROSOFT IST!

Hui, da geht’s am Wochenende aber wieder rund!

Von verschiedenen Kontaktformularen prasseln gerade folgende Nachricht rein:

You have received a new contact form message.
Name : Amelie Betz
Email : elena.uhsler@mail.com
Message : Rufen Sie uns an unter +49 1805015480


Na, dann gucken wir doch mal ins Logfile…

Och, hat sich wirklich jemand die Mühe gemacht, und mit PhantomJS gescripted Captchas extrahiert und dann Spam abgekippt.

.htaccess-Datei anlegen:

BrowserMatchNoCase "PhantomJS" bots

Order Allow,Deny
Allow from ALL
Deny from env=bots


Kann natürlich beliebig um andere Bots erweitert werden, und schon is Ruh mit dem Spammer, der zu dumm dazu war, den UserAgent zu ändern 😛

Kennt Ihr das?

Kein Internet, und alles was den Support-Zombies an der Hotline einfällt ist: „Bitte setzen Sie die Fritzbox auf Werkseinstellungen zurück.“

Wenn Ihr in Eurer Fritte im Syslog: „Anmeldung beim Internetanbieter ist fehlgeschlagen. Terminated LCP“ findet, lügt einfach.
Ja, Ihr habt schon neu gestartet, sogar die Zugangsdaten neu eingegeben, und einen vollständigen Werksreset habt Ihr auch schon gemacht.

Die sollen ihr „next generation“ Netzwerk ruhig selbst hinbekommen, ohne Eure Zeit zu vergeuden.
Ist ein eindeutiges Netzwerkproblem von denen, liegt nicht an der Fritzbox (ab 7390 mit aktueller Firmware können die das alle).

Nicht aus der Ruhe bringen lassen 🙂