Die DEUTSCHEN Trojaner-Seiten
 
Home
Spam - Mails "Lucky Casino" und 35 Euro Geschenk

Wer kennt nicht diese E-Mails, wo eine kostenlose Casino - Software beworben und zum Download angeboten und 35 Euro als Geschenk versprochen werden. Viele vermuten dahinter einen Dialer, was jedoch in diesem hier vorliegenden Fall so nicht richtig ist. Also haben wir uns mal dieser Sache angenommen und es überprüft.

Zunächst einmal hätten wir die in HTML verfasste E-Mail, die uns mit nachfolgenden Headerdaten erreichte:

Return-path: <bank5081i81@freenet.de>
Envelope-to: eisbaer@allnews.de
Delivery-date: Mon, 07 Oct 2002 17:44:40 +0200
Received: from [200.164.71.132] (helo=freenet.de)by webpool.strohe.de with smtp (Exim 3.15 #1)id 17ya3R-0001rT-00; Mon, 07 Oct 2002 17:44:27 +0200
Received: from unknown (40.37.25.139)by anther.webhostingtotalk.com with smtp; 07 Oct 2002 15:51:54 +0700
Received: from unknown (HELO mta85.snfc21.pibi.net) (138.160.63.174)by rly-xl05.dohuya.com with esmtp; Mon, 07 Oct 2002 22:48:54 +1100
Received: from unknown (HELO da001d2020.loxi.pianstvu.net) (169.143.122.228)by rly-yk04.aolmd.com with QMQP; Tue, 08 Oct 2002 09:45:54 -0100
Received: from 78.215.252.138 ([78.215.252.138]) by f64.law4.hottestmale.com with QMQP; Tue, 08 Oct 2002 08:42:54 -1000
Received: from unknown (66.89.215.204)by rly-xr01.nihuyatut.net with QMQP; Mon, 07 Oct 2002 22:39:54 -0700
Reply-To: "Bank" <bank5081i81@freenet.de>
Message-ID: <012e47d17d1a$7486b1d7$8dd12dd4@gvxesq>
From: "Bank" <bank5081i81@freenet.de>
To: Webmaster
Subject: Sehr Wichtig
Date: Tue, 08 Oct 2002 02:29:58 -1100
MiME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2616
Importance: Normal
Status:

Diese E-Mail schaut wie hier auf diesem Screenshot aus:


(Originalgrösse bitte auf das Bild klicken)

Es ist richtig, die Software gibt es kostenlos und ist auch kein Dialer. Aber die Aussage "Sie brauchen nur die Casino Software kostenlos downloaden und starten. Das ist schon alles :-) Auf Ihrem Casinokonto werden sofort 35 Euro ( 70 DM ) gutgeschrieben. Das Geld, das Sie gewinnen, dürfen Sie selbstverständlich behalten. Sollten Sie verlieren, ist es auf Kosten des Casinos." ist so nicht richtig. Darauf gehen wir aber später noch einmal ein.

Wir haben uns also die "Lucky-Casino.exe" (rund 80 KB) runtergeladen (bei einem kostenlosen Webspaceanbieter gehostet - wie auch die Bilder aus der HTML-Mail) und gestartet. Das kleine Programme versucht die Standard - DFÜ - Verbindung aufzubauen. Dieses ist auch noch nicht weiter schlimm, da so etwas viele Programme machen, die eine Internetverbindung benötigen. In unserem Test haben wir jedoch eine Verbindung "von Hand" aufgebaut, da wir keine Zugangspasswörter abspeichern und sonst nie eine Verbindung zustandegekommen wäre.

"Lucky-Casino.exe" baut eine Verbindung zu einem Server mit der IP-Nr.: 209.171.44.236 auf und lädt die Datei cinstall.exe (2,06 MB) herunter. Diese wird nach Ende des Downloads installiert. Es handelt sich hier also um eine Software für ein Casino Spiel, wo auch echtes Geld eingesetzt werden kann. Die Spielechips können unter verschiedenen Zahlungsmethoden käuflich erworben werden.


(Originalgrösse bitte auf das Bild klicken)

Wo sind nun die 35 Euro, welche in der Spamnachricht versprochen worden sind ? - Des Rätsels Lösung ist ganz einfach, der neue Spieler bekommt den Betrag in Höhe von 30 US-$ (die 35 Euro kommen also ungefähr hin) erst dann, wenn er zum ersten Mal Spielechips käuflich erworben hat. - Also nichts mit "Software einfach starten" ! - Siehe den Hinweis des Anbieters im nachfolgenden Bild:


(Originalgrösse bitte auf das Bild klicken)

Ob der Anbieter wirklich Wort hält, haben wir nicht überprüft, da wir keine Chips gekauft haben.

Gibt man nun die IP-Nr. in den Browser ein, von wo die "Lucky-Casion.exe" die Software heruntergeladen hat, gerät man auf die Webseite des eigentlichen Anbieters:


(Originalgrösse bitte auf das Bild klicken)

Es handelt sich um keinen Anbieter aus Deutschland, was wir schon erwartet haben. Online-Casinos sind in Deutschland bisher noch nicht erlaubt, schon gar nicht in dieser Form. Die Domain "casinolux.com", die ebenfalls auf die oben gezeigte Webseite verweist gehört laut Whois-Abfrage einer Firma mit Sitz auf den Niederländischen Antillen. Es gibt viele Onlinecasinos im Netz die ihren Sitz auf einem Inselstaat in der Karibik, Ozeanien oder anderswo haben. Die Gründe liegen auf der Hand, da in diesen Länder es erlaubt ist, so ein Geschäft zu betreiben und die deutsche Gesetzgebung nicht greift. Oft spielen steuerliche Vorteile dabei ebenfalls eine nicht unwesentliche Rolle.

Der hier genannte Anbieter bietet auch sogenannte Partnerprogramme an. Für jeden neu vermittelten Kunden wird der Partner am Umsatz beteiligt. Somit hat in unserem hier vorliegenden Fall scheinbar einer der Partner diese Spamnachrichten verschickt um Geld damit zu verdienen.

Es ist natürlich nicht auszuschliessen, dass einige dieser Onlinecasinos durchaus trotzdem seriös arbeiten. Trotzdem können wir von derartigen Angeboten dringend abraten, da auch persönliche Daten zur Zahlung preisgegeben werden müssen. Auch erfolgt keinerlei staatliche Überprüfung von Deutschland aus, wie man es von Spielbanken hier vor Ort gewohnt ist. "Casinolux.com" hat auch noch nicht einmal ein Impressum auf seinen Seiten veröffentlicht, wie es jedoch einige andere Anbieter sehr wohl tun und sogar erklären, warum sich das Unternehmen in einem Staat aus der Karibik befindet.

Infos und Schutz gegen unerwünschte Dialersoftware

(tt) 08.10.2002