Blog

#Internet – Recherchemöglichkeiten für Anfänger

Gründe für Internetrecherchen und was möglich ist

Warum sollten wir Stunden über Stunden investieren und Recherchen im Internet durchführen? Nun, das kann unterschiedliche Gründe haben: Wir wollen anderen helfen an Informationen zu kommen, oder wir wollen selbst Informationen finden, um uns selbst zu helfen, vielleicht auch nur aus Neugierde. Natürlich gibt es auch die Kandidaten unter uns, die ihr Leben gerne als Betrüger und Verbrecher verschwenden, statt etwas sinnvolles zu tun und Informationen sammeln, um diese in Geld umzuwandeln. Andere wiederum Recherchieren von Berufswegen.

Nehmen wir in unserem Fall an, dass uns Betrüger unerwünscht mit SPAM-eMails zuwerfen und unter anderem auch unberechtigte Abmahnungen zusenden. Ihre Informationen haben sie natürlich auch auf die eine oder andere Art von Recherche. Um uns jetzt besser zu verteidigen, benötigen wir Hintergrundwissen. Einmal, um vielleicht eine Anzeige fundierter zu unterstreichen, oder, um bei Gerichtsverhandlungen die Gegenseite unglaubwürdig zu machen.

Nehmen wir als Beispiel, dass uns ein Verrückter mit SPAM-eMails das Postfach zerbombt und zwischendurch noch eine Abmahnung eintrifft. Das passiert in der Regel ziemlich häufig. Wenn das passiert, haben wir als Nutzer in der Regel neben einem Schaden folgende Möglichkeiten, um mehr über unseren Gegner festzustellen:

1. Die eMail-Adresse des Absenders, Bsp: spam.von.der@emailadresseeineskriminellen.xxx , kann uns behilfleich sein. Genauer gesagt die Domain: emailadresseeineskriminellen.xxx . Wir können die Inhaber der Domain feststellen, die IP-Adresse und den geografischen Standort, sowie den Hoster. Durch die Nutzung von Suchmaschinen können wir bereits dokumentierte Fälle oder Neuigkeiten zu der Domain erfahren.

2. Die eMail im Ganzen kann zurückverfolgt werden. Das ermöglicht uns den Weg der eMail durch das Internet nachzuvollziehen. Auch dabei werden Domains und IP-Adressen bekannt, die wiederum nach Inhaber, Standort und Hoster geprüft werden können.

3. In SPAM-eMails werden meist unnötige Dinge beworben oder Betrugsversuche unternommen. Da wir uns im Internet befinden, werden in der Regel Links (URLs) von Webseiten mitgeschickt. Auch diese eMails und die enthaltenen Domains können wie oben zurückverfolgt werden.

4. Und wenn in Abmahnungen der Vorwurf steht auf irgendeiner Webseite oder mit irgendeiner IP irgendwas gemacht zu haben, so können wir auch das versuchen zu prüfen.

Die Puzzlearbeit kann Spaß machen, da man allein mit dem Ergebnis einer Analyse einer SPAM-eMail ein ganzes Verbrechersyndikat darstellen kann.

In den folgenden Schritten werde ich keine Ergebnisse eines realen Vorgangs oder Testverlaufs veröffentlichen, sondern einfach nur die Webtools, die verwendet werden können. Zusätzlich möchte ich darauf hinweisen, dass Ihr alle Ergebnisse ausdrucken oder/und anders dokumentieren solltet (Bsp: Bildschirmvideo), anschließend eine zweite Person Eure Analyse durchführen lasst. Dann habt Ihr richtig gehandelt, denn Fehleinschätzungen könnten Euch zum Nachteil angerechnet werden.

Webwerkzeuge für Recherchearbeiten

Whois für Domains

In der Regel werden Domains von realexistierenden Personen oder Organisationen registriert. Diese Daten sind bei den jeweils zuständigen NICs abrufbar. Es ist natürlich auch möglich über reguläre Hostingangebote Informationen zu bereits registrierten Domains herauszufinden. Ich nutze meistens kommerzielle Anbieter wie whois.com oder uniteddomains.de. Wenn ich dort einen Domainnamen in das entsprechende Feld eintrage, wirft mir das System die Information aus, dass die Domain bereits registriert ist. Dann kann ich mit Klick auf einen Whois-Button herausfinden, wem die Domain gehört. Einige NICs erlauben keine direkte Abfrage der Daten. Ein Beispiel wäre sogar die deutsche Denic. Dort muss man erst die Webseite denic.de besuchen und vor der Datenherausgabe eine Bestätigung hinterlassen. Das ist auch sinnvoll, da es tatsächlich Serviceanbieter gibt, die diese öffentlichen Daten kopieren, auf der eigenen Webseite veröffentlichen und die Veröffentlichung gegen Geldzahlung wieder beenden. So ein schmutziges Geschäft kommt in der Regel aus den USA. Die USA bzw. Unternehmen aus den Staaten sind deshalb auch kein gesunder Partner, wenn man Geschäfte macht, die mit Daten zu tun haben, oder einfach nur Daten hinterlassen muss, um Geschäfte zu machen.

Mit so einer Whois-Abfrage erhält man den Inhaber der Domain und technisch Verantwortliche. Es kann aber auch sein, dass bei einer Whois-Abfrage ein Anonymisierungsdienst als Inhaber angezeigt wird. Meist Firmen aus Panama, Großbritannien kommt auch vor, in Deutschland rutscht das auch mal durch. Dann hat man kaum Chancen an die Hintermänner zu kommen. Diese Dienste werden bei fast allen Hostingfirmen in den USA angeboten, auch in anderen Staaten kann man sowas mitbuchen. Bsp. Türkei. Webseiten mit anonymem Hintergrund sollte jedoch eher nicht vertraut werden. Finger weg! Wenn aber alles richtig ist, erfährt man außerdem bei welchen Registrar die Domain gesichert wurde, das Registrierungsdatum und den Gültigkeitszeitraum. Interessant sind auch die NS-Server. Da kann es einen ersten Hinweis geben wo der Inhalt der Webseite wirklich liegt. Es ist ja möglich eine Domain bei Anbieter X in den USA zu mieten, einen Inhaber aus Panama zu buchen, um geheim zu bleiben, aber die Webseite auf seinem in Deutschland liegenden Server zu legen.

IP herausfinden

Die IP kann man auf die Schnelle herausfinden, wenn man einen PING sendet. Bei Windows drücken wir die WINDOWS-Taste + R , geben cmd.exe ein und drücken Enter, anschließend den Befehl (ohne Anführungszeichen): “ping www.meine-ziel-domain.xxx“. Dann wirft die Konsole uns die IP mit aus. Sollte die Domain ein Anonymisierungsproxy sein, kommt aber in der Regel keine Antwort!

Eine andere Möglichkeit ist einen Webservice zu nutzen. Unter anderem bietet sich http://centralops.net/ an. Hier hat man auch noch die Möglichkeit ein paar Sachen mehr anzustellen. 😉 Wenn uns die Angaben auf diesem Service zur Domain und zu IP nicht ausreichen, kann man die gewonnene IP-Information auch über andere Seiten abchecken, bspw.: http://www.iplocation.net/ oder http://www.find-ip-address.org/. Das sollte man auch tun. Doppelt geprüft, hält besser.

Mit Hilfe der IP können wir feststellen in welchem Land der Server mit dem Inhalt steht und welcher Hostinganbieter die Hardware stellt.

IP-Nachbarn herausfinden

Jetzt ist es noch bedeutsam festzustellen, ob die Webseiten auf einem eigenen Server liegen, oder nur einem shared Webhostingangebot und, ob neben dieser Domain bspw. weitere Domains aus Betrügereien auf einem solchen Server liegen. Dafür müssen wir einen Webservice finden mit dem wir alle oder viele Domains herausfinden können, die auf einer gleichen IP zu finden sind. Dafür nutzen wir bspw. http://www.yougetsignal.com/tools/web-sites-on-web-server/ oder http://www.find-ip-address.org/reverse_lookup/ oder http://www.ipneighbour.com/.

Geolocation

Den geografischen Standort einer IP finden wir mit den oben genannten Diensten auch heraus. Ich erwähne es nur deshalb, um auch darauf hinzuweisen, dass Eure IP von Werbenetzwerken und Werbetrackern genutzt werden können, um gezielte Werbung für eure Region einblenden zu können. Ihr geht mit eurem bspw. Hamburger Internetanschluss ins Netz, sucht in einer Suchmaschine nach dem Wort Pizza und erhaltet neben den Suchergebnissen Werbung für Pizza in Hamburg. In unserem Fall können wir den Standort und Hoster der Datensysteme der Kriminellen feststellen. Der oben genannte Dienst http://www.find-ip-address.org ist dafür ganz niedlich.

Hostinganbieter herausfinden

Mit der Whois-Abfrage und der IP-Recherche haben wir mittlerweile den Hostinganbieter der Inhalte festgestellt. Wenn dieser Anbieter zufällig in Deutschland liegt, kann das hilfreich sein. Einmal kann man direkt anrufen und sich beschweren! Zweitens kann man die IP und den dazugehörigen Hostinganbieter der Polizei in einer Anzeige nennen. Das erleichtert einiges im Verfahren. Aus eigener Erfahrung würde ich die großen Hoster anrufen!!! Solltet Ihr auf einen kleinen unbedeutenden Treffen und Opfer eines Betruges sein, ruft die Leute nicht an. Vor allem wenn es Ltd.s oder Ein-Euro-GmbHs sind. Glaubt mir: Ruft sie nicht an! Diese kleinen Unternehmen kennen Ihre Kunden definitiv und wissen was die machen. Andernfalls wären sie ziemlich … schlecht.

Deutsche Hostinganbieter haben Haftungsrisiken und müssen Euch zuhören und reagieren!

eMails zurückverfolgen

Geht das? Klar! Besser als mit anonymen Briefen. Ein netter Beitrag findet sich hier: http://www.datenschutz-praxis.de/fach… . Wie in diesem Beitrag beschrieben, kann man sich den eMail-Header anschauen. Da steht alles drin. Wer Hilfe benötigt, kann den Service http://www.spamcop.net/ nutzen. Kostenlos anmelden, kostenlos nutzen (bisher). Den Quelltext einer eMail reinkopieren und die Analyse durchgehen. Der Service gibt einige Hinweise, wirft Domains aus, IP-Adressen etc., die dann wiederum mit den oben genannten Tools analysiert werden können. Leichter geht es nicht!

Googlehacks

Was wären wir ohne Google? Ohne Google wären wir um die Erfahrung ärmer, was Vorratsdatenspeicherung bedeutet. Wenn wir also über Domains, IPs und die Hostinganbieter mehr erfahren wollen, dann suchen wir die einzelnen Teilstücke unserer Recherche einfach mit Google oder anderen Suchmaschinen. Wenn Ihr das jetzt alles anwendet, regt Euch bitte nicht mehr über die Vorratsdatenspeicherung auf. :c)

Wir stürzen uns jetzt mal auf Google. Google ist eine rieisige Datenbank, die alles in sich aufsaugt was im Internet öffentlich zugänglich ist. Selbst, wenn es versehentlich öffentlich gemacht wurde. Hat man auf Webseiten bspw. keine noindex oder nofollow Anweisung in den Metatags hinterlegt, oder die robots.txt nicht entsprechend mit Inhalt gefüllt, speichert Google einfach alles an Daten was es findet. Es kann aber sein, dass man mit der Eingabe eines Wortes nicht das findet, was man braucht. Dafür gibt es dann die sogenannten Googlehacks. Legale Datenbankbefehle. Heißen nur Hacks. Keine Sorge.

Listen und Erklärungen dazu findet Ihr hier:

http://www.gaijin.at/mangoogle.php

http://www.netzwelt.de/forum/aktuelle-themen/91253-google-hacks-so-hackst-internet-google.html

http://it.toolbox.com/blogs/managing-infosec/google-hacking-master-list-28302

http://airodump.net/complete-google-hacks-list/

Ich schreibe das nicht alles ab. Man kann mit diesen Befehlen in die tiefsten Srukturen von Webserven einsteigen. Mit dem richtigen Befehl findet Ihr komplette PC-Backups mit den privatesten Details der Anwender, die glauben, dass es eine gute Idee ist seine privaten Daten ungeschützt auf einen Webserver (Cloud) zu kopieren. Oder komplette private Musik- und Videosammlungen. Stellenweise katastrophal. Es hilft aber auch an Daten zu kommen, um das Euch nervende kriminelle Zielobjekt näher zu identifizieren.

Internetrecherche zur Selbstverteidigung

Mit Internetrecherchen kann man in der Regel nur auf öffentlich zugängliche Daten zugreifen. Mit einigem Wissen kann man auch intensiver Suchen und schwer zugängliche, aber trotzdem öffentliche Infos finden, die der normale Noob bei Licht nicht erkennen kann. Wenn man Opfer von Spam ist, oder von Betrugsversuchen und natürlich unberechtigten Abmahnungen, ist es jedoch von Vorteil mehr über seinen Gegner zu erfahren. Jede Information kann helfen sich selbst zu verteidigen und einzuschätzen, ob ein Konflikt lohnt, oder nicht, ob eigene Risiken vorhanden sind, oder ob es einen ultimativen Spaß machen würde kriminelle Subjekte ans Messer zu liefern. Außerdem schulen Internetrecherchen die eigenen Fähigkeiten im Umgang mit dem Internet und angebotenen Diensten. Absolut toll ist, wenn man deutsche Firmen oder Personen identifiziert. Hier ist die Spur des Geldes für polizeiliche Ermittler von großem Interesse. Sie könnten feststellen, ob die Verdächtigen für die Einrichtung von Servern etc. gezahlt haben.

 

Fragen, Anregungen und Kritik, wie immer gerne per eMail!

Tagged , , , ,