Hab gerade eine MSN-Message von einer "miss_srilanken@hotmail.de" bekommen. Inhalt war ein Link auf http://www.youareblocked.net. Dort möchte man doch bitte seine Benutzerdaten samt Passwort eigeben um zu schauen, wer dich geblockt oder gelöscht hat.

Ich habs testweise mal mit fiktiven Angaben gemacht (der Verdacht war ja sofort da) und siehe da, sobald man das Formular abgeschickt hat, bekommt man diese Meldung:

The system is under maintanance


Wollt euch nur eben davor warnen.


Gruß TTlong

Leider echt schlecht... ich frag mich wie die da die richtigen MSN-Adressen rausfiltern. Ich könnte das ganz einfach per PHP mit Fakes bombardieren, bis die Datenbank explodiert

LOL, ich bin dabei :-)

Lasst uns den Server sprengen...

ähm, da ist doch werbung von google drauf!?
msn-phishing finanziert mit google adsense?

hab mich mit der seite jetzt nicht genauer auseinander gesetzt. aber falls es ne phishing-seite ist, ob google die kontodaten an microsoft weitergibt? don't be evil

fällt dann wohl unter die kategorie: dümmster anzunehmender webmaster

Hier das Bombardier-Script (performanter Server vorausgesetzt )

In dem Sie einen Loginversuch machen ;-)

Spart Euch die Arbeit.

Pro Account wird 1-2 Sekunden benötigt, dann ist klar, ob es ein Fake ist oder nicht...

Es gibt eine weitere Seite namens: http://www.blockiererte.com

Hatte heute eine eMail eines, in meiner MSN-Kontakteliste gespeicherten Freundes. Er war scheinbar nicht so schlau und hat seine Angaben preisgegeben.

Weiss nicht wie lange solche Sites schon im Umlauf sind, möchte mir aber garnicht vorstellen, was die alles mit meiner Adresse machen....


Hab vorsichtshalber beide Sites mal als Phishing-Websites gemeldet. Vielleicht verschwinden die auch ganz schnell wieder, wenn so viele Leute wie möglich diese Sites melden!?

Hallo

Auch mein Sohn war leider nicht so schlau und hat seine Daten eingegeben was passiert da jetzt eigentlich im schlimmsten Fall hab da nur recht wenig Ahnung.Bitte um Antwort wenn jemand drüber bescheid weiss!

Danke

Relativ einfach. Wenn der Programmierer natürlich klug war, und die Accounts per API sofort prüft (sd12) ist es relativ sinnlos.

Aber: Man sieht eindeutig, dass er keine Cookie- oder IP-Sperre drin hat und dann auch noch alles per GET ($_GET) abfragt. Das nutzen wir zu unserem Vorteil.
Das Script generiert irgendein nicht existierenden Account und ein dazugehöriges Passwort.

Per file_get_contents wird dann die komplette URL aufgerufen und damit der Account in die Datenbank eingetragen. Sollte nun kein Check per API da sein dürfte bei stetiger Benutzung des Scripts irgendwann mal seine Datenbank überquillen vor Fake-Daten (Könnte man auch per fsockopen o.ä. regeln, wäre aber komplizierter gewesen)...

dein sohn die zugangsdaten zu seinem msn-account an jemand unbekannten weitergegeben. schlimmstenfalls loggt sich dieser jemand mit diesen zugangsaten ein, bevor dein sohn sein
msn-passwort geändert hat. ... und dann kann er z.b. mails lesen, oder gar beantworten. er kann
halt in den mails stöbern und nach verwertbaren informationen suchen.
und er kann das passwort ändern! so das dein sohn sich nicht mehr einloggen kann und er den account praktisch kekapert hat.