Redtube-Stream Abmahnungen von U+C: Phishing über Vertipper-Domain „retdube.net“, Virus oder beides?

Nachdem wir gestern von dem uns gemeldeten Fall berichteten, wonach kurz vor dem in der Abmahnung der Rechtsanwälte U+C genannten „Tatzeitpunkt“ eine Meldung über den Missbrauch des Anschlusses der Telekom einging, erhielten wir heute mehrere übereinstimmende Mitteilungen anderer Betroffener.

Damit kann es als sehr wahrscheinlich angesehen werden, dass mittels eines Virus Videos der Plattform „redtube.com“ geladen werden, anders können wir die Häufigkeit der zwischenzeitlichen Meldungen uns nicht erklären.

Dies klärt aber noch nicht, ob der Virus tatsächlich dem Zweck dient, Streams aufzurufen und dies dann dem (vermeintlichen) Rechteinhaber mitzuteilen.

Hiergegen könnte eine Nachricht sprechen, die wir ebenfalls per Mail erhalten haben. Hierin wurden wir darauf hingewiesen, dass in den Kommentaren bei dem bereits zitierten Kollegen Udo Vetter der Nutzer TKowalski berichtet hat, dass er nach Erhalt einer Abmahnung seinen Browserverlauf durchsucht hat, dort aber nicht die Domain „redtube.com“ sondern einen Eintrag einer Domain namens „retdube.net“ gefunden hat.

Diese Seite wurde offenbar erst am 21. Juli 2013 anonym über Panama angemeldet und zeigt, wenn man sie aufruft (bitte nicht nachmachen!) das Angebot von redtube.com an.

Insoweit erscheint es uns als nahezu sicher, dass über die Domain „retdube.net“ das Surfverhalten des Nutzers auf „redtube.com“ aufgezeichnet und damit auch für Dritte zugänglich gemacht wird, ohne dass es einer Anfrage bei redtube.com bedürfte.

Die Kalkulation dahinter ist recht einfach: (internationale) Streaming-Portale enden meist mit „com“ oder „net“, vereinzelt auch mit „org“.

Da der Name „Redtube“ recht bekannt ist, ist es auch nicht unwahrscheinlich, dass ein Nutzer diese Seite unter „redtube.net“ suchen wird. Hier ein Vertipper, schon ist „retdube.net“ aufgerufen.

Der Betreiber dieser Domain kann nun mittels verschiedener technischer Wege das Surfverhalten des versehentlichen Gastes nachvollziehen und aufzeichen. Insbesondere kennt er die IP-Adresse des Nutzers und kann somit auch an die „echten“ Daten des Nutzers kommen (wie nun wohl tauesendfach geschehen).

Es scheint daher sicher, dass die Abgemahnten vorliegend entweder Opfer einer „Phishing“-Falle oder eines Virus geworden sind, ggfs. sogar beides, denn es erscheint uns nicht ausgeschlossen, dass über die Seite „retdube.net“ (oder eine andere, ähnlich klingende Seite, von der derzeit noch keine Kenntnis besteht) auch Malware auf ein unzureichend geschütztes System aufgespielt wird.

Das letzte Wort dieses Beitrages möchten wir aber demjenigen Menschen überlassen, der uns auf diesen Umstand hingewiesen hat:

Wenn hinter dieser Sache wirklich so viel böswillige Planung stecken
sollte dann ist der Schritt mit einem Virus evtl. einfach selber für
entsprechende Seitenabrufe zu sorgen auch gar nicht mehr so
unrealistisch und aus dem Reich der Spionagefilme.

Dem hätte ich nichts hinzuzufügen.

Wenn auch Sie uns Anregungen oder Ihren Fall mitteilen wollen, gehen Sie bitte auf folgende Seite, die alle notwendigen Informationen zur Kontaktaufnahme enthält:

http://www.it-recht-deutschland.de/?p=281391

 

JuraBlogs - Die Welt juristischer Blogs

Dieser Beitrag wurde unter Abmahnung abgelegt und mit , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten auf Redtube-Stream Abmahnungen von U+C: Phishing über Vertipper-Domain „retdube.net“, Virus oder beides?

  1. Steve sagt:

    Oder U+C steckt hinter der Vertipperdomain. Dieser dubiosen Anwaltskanzlei ist alles zuzutrauen.

  2. Zufall? sagt:

    Vielleicht bedeutsam: http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-323378321/Speedport-W-723V-Typ-B

    Ein Firmware-Update der Telekom für Speedport-Router? Stil, heimlich, diskret, von der Netz-Öffentlichkeit unbemerkt? Fragen über Fragen :(

  3. Erasmus sagt:

    Damit ist immer noch nicht erklärt, warum

    1. den Berichten nach ausschließlich Telekom-Kunden betroffen sind und
    2. bei U+C die Benutzerkennungen der Betroffenen vorliegen.

    Insbesondere der zweite Punkt wirft einige Fragen auf. Nach meinem technischen Verständnis setzt die Kenntnis der Benutzerkennung Zugriff auf den Router voraus, da die Zugangsdaten in der Regel dort und nur dort gespeichert sind. Mir fällt auch keine Möglichkeit ein, wie eine Seite solche Informationen auslesen könnte.

    Möglicherweise liegt hier (neben 08/15-Viren) auch ein Befall des Routers vor. Was eine UE dann für eine Steilvorlage wäre, mag sich jeder selber ausmalen…

  4. Sepp sagt:

    Naja, die sind halt dann wahrscheinlich mit ihren so gewonnenen IP Adressen nach Köln zum Landgericht. Scheinbar sind die Leute im Kölner Landgericht nicht die kompetentesten.

  5. Paule sagt:

    Ich hatte am dem Tag als die ersten Abmahnungen eintrudelten eine Phishing-Mail mit dem Absender „Deutsche Telekom“ bekommen.
    Diese ging merkwürdiger weise an eine Email Adresse welche ich ausschließlich für meinen adobe.com account nutzte.
    Es war auch die erste Spam mail die ich nach dem großen adobe hack an diese Adresse bekommen habe. Da bisher scheinbar nur Telekom Kunden angeschrieben wurden existiert hier ggf ein Zusammenhang.

  6. Berserkus sagt:

    @Paule:
    Wenn ich mich recht erinnere wurde doch Adobe Opfer von Hackern, die dort wüteten und Adobe Accountdaten gestohlen haben.
    http://www.chip.de/news/Adobe-gehackt-Gestohlene-Passwoerter-entschluesselt_64687665.html

  7. Heike sagt:

    Habe heute auch so eine Abmahnung bekommen. Kenne die betreffende Webpage überhaupt nicht und habe mit Sicherheit nix gestreamt, da nix vorhanden. Bin auch kein Telekom-Kunde und sehr verunsichert. Was tun?

  8. Christian sagt:

    Hallo, kann es sein, dass es zu dieser dubiosen Abmahnwelle nun Trittbrettfahrer gibt?!?

    Bekam heute eine Mail von Adresse xjtom@citiz.net, hinter der sich angeblich die Rechtsanwälte U+C verbergen sollen. Alles sieht für mich sehr unglaubwürdig und nach Phishing aus (Mail hat Anhang mit angeblichen Beweisen, die ich natürlich nicht geöffnet habe). Siehe allein für Uhrzeit des Anmeldung Streams! Zudem soll alles am 07.12 gewesen sein. Laut Betreff der Mail war es aber der 10.12.

    Wer hat ähnliches bekommen?

    Hier der Wortlaut der Mail:

    Sehr geehrte/r …..,

    Grund unserer Beauftragung ist eine von Ihrem Internetanschluss aus begangene Urheberrechtsverletzung an dem Werk Miriams Adventures. Unserer Mandantin The Archive AG steht das ausschließliche Recht zu, dieses Werk zu vervielfältigen (§§ 16, 94 f. UrhG). Dieses Recht wurde durch das Streamen des betreffenden Werkes über Ihren Internetanschluss verletzt.

    Weiter aufgelisteten Daten konnte die seitens unserer Mandantschaft beauftragte Ermittlungsfirma feststellen und beweissicher speichern:

    Datum/Uhrzeit: 07.12.2013 21:62:04
    IP-Adresse: xxx und mein Name
    Produktname: Miriams Adventures
    Benutzerkennung: 39750248350
    Tauschbörse: Redtube

    Unserer Mandant hat daher vor dem Landgericht Köln Ihren Internet-Service-Provider gemäß § 101 Abs. 9 UrhG auf Auskunft in Anspruch genommen. Das Landgericht hat für diesen Vorfall sowohl die Rechtsinhaberschaft als auch die ordnungsgemäße Erfassung der Rechtsverletzung und Funktionsweise der Ermittlungssoftware bejaht. In dem Beschluss mit dem Aktenzeichen 233 0 173/13 wurde Ihrem Internetserviceprovider die Herausgabe Ihrer Daten gestattet.

    Namens und in Vollmacht unserer Mandantin fordern wir Sie hiermit auf, die gegebenenfalls noch vorhandene rechtswidrige Kopie unverzüglich von Ihrem Computer zu löschen. Weiter fordern wir Sie auf zur Ausräumung der Wiederholungsgefahr eine Unterlassungserklärung gegenüber unserer Mandantin abzugeben, für deren Eingang in unserer Kanzlei eine Frist bis spätestens 14.12.2013 notiert wurde. Die Unterlassungserklärung muss hier im Original mit Unterschrift vorliegen. Eine Kopie oder eine Übermittlung per Telefax ist nicht ausreichend. Die Unterlassungserklärung muss ausreichend strafbewehrt, unbedingt und unwiderruflich sein. Ein entsprechender Formulierungsvorschlag mit einer Vertragsstrafenregelung nach dem gängigen Hamburger Brauch ist in der Anlage beigefügt. Sofern Sie beabsichtigten, diesen abzuändern (§ 97 a Abs. 2 Nr. 4 UrhG), weisen wir darauf hin, dass nur eine Unterlassungserklärung mit einer ausreichenden Vertragsstrafe die Wiederholungsgefahr beseitigt. Im Falle von Änderungen der Unterlassungserklärung tragen Sie das Risiko, dass diese von uns nicht akzeptiert wird.

    Gemäß § 97a Abs. 3 UrhG besteht weiterhin ein Kostenerstattungsanspruch gegen Sie. Sie haben unserer Mandantin den durch die unerlaubte Verwertung entstandenen Schaden zu ersetzen, den wir hier mit 84,68 Euro beziffern. Weiterhin haben Sie die Kosten der Ermittlungsfirma zur Feststellung der Rechtsverletzung, die Gerichtskosten des Verfahrens vor dem Landgericht Köln und die anteiligen Aufwendungen, die Ihrem Provider gemäß § 101 Abs. 2 UrhG zu erstatten waren zu ersetzen. Hierfür sind 60,00 Euro anzusetzen. Die erstattungspflichtigen Kosten unserer Inanspruchnahme bemessen sich nach dem Rechtsanwaltsvergütungsgesetz (RVG) und werden wie folgt beziffert:

    Gegenstandswert: 1342,00 Euro
    Geschäftsgebühr §§ 13, 14, Nr. 2030 VV RVG: 190,47 Euro
    Pauschale für Post und Telekommunikation: 22,95 Euro
    Schadensersatz: 84,68 Euro
    Aufwendung für Ermittlung der Rechtsverletzung pauschal: 60,00 Euro

    Die Beweisdaten sowie die Bankdaten und unsere Kontaktdaten ersehen Sie in der beigefügten Datei.

    Mit freundlichen Grüßen

    Kanzlei U + C Rechtsanwälte URMANN + COLLEGEN Rechtsanwaltsgesellschaft mbH

  9. Julia sagt:

    Mir geht es ähnlich wie Heike. Nicht dass ich noch nie etwas gestreamt hätte, aber das ist nicht meine Lieblingsseite und den Film kenne ich auch nicht (ist er wenigstens sehenswert? :)) Außerdem stehet in meiner Mail: Datum/Uhrzeit: 11.12.2013 22:15:42, demnach werde ich ihn wohl erst morgen abend schauen. Sehr verwirrend das ganze. Wie verhalte ich mich jetzt am besten?

  10. Bernd Funken sagt:

    Seltsam. Wieso schaut sich keiner mal The Archive AG mal an? U+C vertritt ja angeblich den Rechteinhaber, aber The Archive AG ist gar kein Rechteinhaber, sondern diese Firma beschäftigt sich damit den eigentlichen Rechteinhabern Daten über illegale Nutzung ihrer Werke zukommen zu lassen bzw die eigentlichen Rechteinhaber zu beraten beim Schutz ihrer Werke. Und laut eigener Aussage auf deren Website benutzen die zum erlangen dieser Daten eine hochentwickelte Software (Spyware?).

  11. Wolf sagt:

    Interessanterweise soll ich morgen! (11.12.2013) die GlamourShowGirls gestreamt haben. Ist das nun Prophylaxe, Typo oder ein Trojaner, der mich dann morgen streamen lassen soll, wenn ich das angehängte ZIP-File öffne? Wenn ich die GlamourShowGirls googele, finde ich ein Heer von interessierten Trittbrettfahrer-Advokaten, die sich zum Schnäppchenpreis von 200 Euro andienen, die Abmahnung professionell abzuwehren. Ist das gar ein organisiertes Netzwerk? Aber abgesehen von dem offensichtlich „vorausschauenden“ Streamingdatum: kann denn eine Abmahnung per Email überhaupt wirksam sein? Bedarf es dazu keiner bestätigten Zustellung? (So eine Email bleibt doch auch gern mal im Spamordner hängen!) Gibt es denn niemanden, der hier uneigennützig und trotzdem kompetent beraten kann und gibt es keine standesrechtlichen Maßnahmen, solchen Massenabmahn-Advokaten zumal mit offenkundig betrügerischen Machenschaften und Praktiken das Handwerk zu legen?

  12. Christian sagt:

    wo ist mein posting, das ich – mit der vermutlich unechten abmahnung, die viele bekommen – vorhin eingestellt habe?

    lg christian

  13. Julia sagt:

    Mein Mac öffnete die zip-Datei nicht, also weiß ich leider/zum Glück nicht was da drin steht, aber wie ich schon sagte, bei mir ist „das Verbrechen“ auch auf morgen datiert. Würde mich auch über eine kompetente Beratung zum weiteren Vorgehen sehr freuen.

  14. Christian sagt:

    …nachtrag: es hat sich erledigt, ich hab mein altes posting übersehen. sorry.

    aber wie nun verfahren bei diesen offensichtlichen fake-mails, die viele bekommen, wie ich unter einem anderen beitrag in den kommentaren sehe?
    vermutlich gar nix machen, oder?! diese mails sind ja nicht ernst zu nehmen und kommen doch bestimmt nicht aus einer RA-Kanzlei.

    was ist mit dem evtl. vorhandenen virus, der manche rechner befallen hat? ist es einer und ist er bekannt und mit entsprechenden programmen auffindbar und zu entfernen?

    lg christian

  15. Harald sagt:

    Hallo,

    zur Entspannung aller die die Abmahnung per Email erhalten haben – die Abmahnungen wurden nur per Post verschickt – die Emails sind gemeinste Trittbrettfahrer, die den Fall für Virus, Trojaner etc. nur kopieren.
    Als Bestättigung siehe Erklärung von U+C
    http://www.urmann.com/

  16. Wolf sagt:

    Die brauchen gar keinen Virus oder Trojaner! Zufälligerweise hatte ich bei einer AVAAZ-Petition am 6.12. gegen das am Wochenende auf Bali verhandelte Transpazifische Freihandelsabkommen stundenlang einen Gateway-Timeout-Error (dadurch weiss ich jetzt auch dass die abgemahnte IP-Adresse nicht die meine ist). Kurz zuvor gab es eine Nachricht, dass am Vortag 2 Millionen Passwörter von Yahoo (jetzt auch AOL), Facebook, Twitter und Google+ gehackt wurden (siehe auch: http://www.henning-uhle.eu/informatik/passwortklau-bei-facebook-google-und-twitter) angeblich über einen russischen Server. Mit den entführten Passwörtern kann man natürlich auch die GlamourShowGirls ferngesteuert streamen lassen aber dann dürfte die IP-Adresse ja auch nicht unbedingt passen – also eigene IP-Adresse mit der abgemahnten vergleichen – nur zur Beruhigung!.

  17. sven sagt:

    au man habe die kacke auch heute bekommen

    aber ich schaue das erst am 13.12.2013
    Die uhrzeit finde ich auch gut um 23:62:61

    Au man was ein driss

    MFG Sven

  18. sven sagt:

    Hamm würde ja sagen so ein mist kann man ignorieren zumal meinen frist bis zum 15.12.2013 ist das wäre sonntag

  19. steve sagt:

    Hallo,

    an alle die bei denen die Daten des Streams in der Zukunft sind oder andere Unstimmigkeiten vorhanden sind. Nicht den Anhang öffnen. Das ist von Trittbrettfahrern die so Vieren einschleusen wollen. Quelle:
    http://www.focus.de/digital/finger-weg-vom-anhang-falsche-redtube-abmahnungen-im-umlauf_id_3472223.html

    Hoffe dies beruhigt einige.

  20. Ursula Reinhardt sagt:

    Wurde heute von GMX über eine Mail informiert die einen Virus enthält.
    Beim nachsehen stellte ich fest daß es sich auch um die Redtube-Stream Abmahnung handelt. Die Mail wurde um 12.26 Uhr an einen GMX Adresse gesendet, die ich nur für unseren Sportverein angelegt habe. Die betreffende Website ist mir unbekannt, habe deshalb auch mit Sicherheit nichts gestreamt. Bin außerdem nicht bei der Telekom Kunde. Die betroffene GMX Mail-Adresse habe ich inzwischen deaktiviert. Was ist jetzt noch zu tun?

  21. Franzl sagt:

    Nichts, und vergessen. Spam von Trittbrettfahrern.

  22. Mick sagt:

    Hier 2 sehr interessante Links, die auf die it-technische Seite hinweisen, wie das abgelaufen sein könnte und einen möglichen betrügerischen Hintergrund, bei dem die Betroffenen direkt in eine Falle gelockt wurden – durch eine im Hintergrund abgelaufene Umleitung, die sie nicht bemerkten:

    http://www.heise.de/newsticker/meldung/Porno-Abmahnungen-Indizienkette-zur-IP-Adressen-Ermittlung-verdichtet-sich-2065879.html

    http://www.chip.de/news/Redtube-Wurden-die-Opfer-in-die-Falle-gelockt_66033141.html

    Es sei zudem angemerkt, dass der in die Abmahnungen involvierte RA Sebastian, Partner von The Archive AG ist, ein Umstand, der von der Seite gelöscht wurde: http://archive.is/zqjvS

    Die Gründung der Firma „itGuards Inc.“, die die IP Adressen angeblich ermittelte und die Gründung von The Archive AG und das Erwerben der Rechte an den abgemahnt gestreamten Filmen durch The Archie AG liegen im Übrigen zeitlich um wenige Tage auseinander. The Webseiten von The Archive AG und die der FA „itGuards Inc.“, die die angebliche Software „GLADII 1.1.3.“ zur Verfügung stellte, wurden nach Recherchen eine Technik-Zeitschrift zudem mit dem selben Homepage Baukasten erstellt, liegen auf dem selben Sever und wurden vom selben Nutzer angelegt, so dass nahe liegt, dass beide nur zum Zweck des Abmahnens von Nutzern gegründet wurden von ein und der selben Interessengruppe.

    Riecht alles nach ziemliche illegaler Machenschaft und Richtung Betrug und Ausnutzen von Schamgefühlen der „Überführten“.

  23. Mick sagt:

    Ach ja und unbedingt hier die Infos lesen, die belegen, dass The Archive AG und itGuards auf dem selben Server liegen und vom selben User angemeldet wurden:

    http://blog.kowabit.de/porno-sein/

Die Kommentarfunktion ist geschlossen.