[Image "www.commerzbank.de (http://www.commerzbank.de)" ignored]

[Image ignored][Image ignored][Image ignored]
Sehr geehrter Kunde,

Die Sicherheitsabteilung unserer Bank hat beschlossen, ein neues Datenschutzssystem zu entwickeln. Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kundschaften öfters geworden sind, sind wir gezwungen, eine zusätzliche Autorisation von den Konten unserer Bankkunden vorzunehmen. Von unseren Spezialisten wurden sowohl die Protokolle der Informationsübertragung, als auch die Methoden der Kodierung der übertragenen Daten neu gestaltet.

Auf Grund dessen, bitten wir unsere Kunden inständig, eine spezielle Form der zusätzlichen Autorisation auszufüllen

[Image ignored] [links to http://www.commerz-account-access.com]
Diese Schutzmaßnahmen wurden nur zur Sicherheit der Interessen unserer Kunden eingesetzt.

Danke für Ihr Verständnis,
Mit freundlichen Grüßen,
Administration der COMMERZBANK

[Image ignored][Image ignored][Image ignored][Image ignored]
[Image ignored][Image ignored]

[Image ignored]
[Image ignored][Image ignored][Image ignored]
Copyright ?[Image ignored]CommerzBank, 2004



[Image ignored]

Der zugehörige Header

Return-Path: <info [at] commerzbanking.net>
Delivery-Date: Wed, 20 Jul 2005 09:42:39 +0200
Received: from [61.193.77.47] (helo=commerzbanking.net)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
id 0MKqIe-1Dv9Dx25Ra-0006Iq for ; Wed, 20 Jul 2005 09:42:37 +0200
Date: Wed, 20 Jul 2005 07:43:07 +0000
From: COMMERZBANKING.NET <info [at] commerzbanking.net>
Subject: COMMERZBANK ONLINE BANKING (!)
To: Acquisition <>
References: <IDBL199313EFAB9F@ (IDBL199313EFAB9F [at] trafficklau.de)>
In-Reply-To: <IDBL199313EFAB9F@ (IDBL199313EFAB9F [at] trafficklau.de)>
Message-ID: <5D8E57FK4FJFGADC [at] commerzbanking.net>
Reply-To: COMMERZBANKING.NET <info [at] commerzbanking.net>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Envelope-To:

Spamlinks bitte mit dem entsprechenden tag [ spamlink ] umgeben, ich habe es mal geändert.

Ein Klick darauf führt uns nun zur der selben Bande:


Domain Name : commerz-account-access.com

::Registrant::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Administrative Contact::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

...

::Name Servers::
nsa7.sx2xp.com

:: Dates & Status::
Created Date 2005-07-18 13:44:04 EDT
Updated Date 2005-07-18 13:44:04 EDT
Valid Date 2006-07-18 13:44:04 EDT
Status ACTIVE

Eniac

was genau macht eigentlich der Spamlink Tag mit dem Spam Link? Irgendwie entschärfen?


Grüssle Pat

was genau macht eigentlich der Spamlink Tag mit dem Spam Link? Irgendwie entschärfen?

Grüssle Pat

Sowohl entschärfen (alle @ werden zu [at] umgewandelt) als auch lesbarer darstellen. So werden zum Beispiel sämtliche Zeilen-Informationen des Headers in fett gedruckte received, Envelope-To: bzw. Return-Path: geändert. Das macht die Header lesbarer und verständlicher.

Sowohl entschärfen (alle @ werden zu [at] umgewandelt) als auch lesbarer darstellen. So werden zum Beispiel sämtliche Zeilen-Informationen des Headers in fett gedruckte received, Envelope-To: bzw. Return-Path: geändert. Das macht die Header lesbarer und verständlicher.

Nein, das macht der header-Tag. Der spamlink-Tag entschärft die Links und führt gleichzeitig zu einer whois-Abfrage.


Eniac

Korrekt, hab nicht richtig geschaltet. Liegt wohl daran, daß ich nachts zu lange im Netz bin.

dankööööööööö

Nachtschicht und Wochenendarbeit bei den Phishern an der Newa. Ach nein, im Osten ist es ja schon wieder Montagmorgen. Der Phisher verwendet eine Tastatur mit kyrillischem Zeichensatz:

Return-Path: <accounting [at] commerz-banking.org>
Delivery-Date: Sun, 07 Aug 2005 23:09:59 +0200
Received: from [80.53.66.226] (helo=go226.internetdsl.tpnet.pl)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
id 0MKqIe-1E1sP23Qka-0004zW for abuse [at] ....de; Sun, 07 Aug 2005 23:09:52 +0200
Received: from [80.27.239.109] (port=5560 helo=[Coby])
by go226.internetdsl.tpnet.pl with esmtp
id 3512536927Grant44071
for abuse [at] ....de; Sun, 7 Aug 2005 23:09:42 +0200
Mime-Version: 1.0
Content-Transfer-Encoding: 7bit
Message-Id: <1529213035.6317581363 [at] go226.internetdsl.tpnet.pl>
Content-Type: text/html; charset=US-ASCII
To: abuse [at] ....de
From: CommerzBank Account Service <accounting [at] commerz-banking.org>
Subject: COMMERZBANK ONLINE BANKING
Date: Sun, 7 Aug 2005 23:09:41 +0200
X-Mailer: Urgent notice mailer
X-RBL-Warning: warn.bl.kundenserver.de says: This mail has been received from a dialup host.
Envelope-To: info [at] ....de
X-SpamScore: 0.55
tests= SUBJ_ALL_CAPS
X-Spam-Flag: No
X-Spam-Level: 4/5





Sehr geehrte Kundin,
Sehr geehrter Kunde,

Die Sicherheitsabteilung unserer Bank hat beschlossen, ein neues Datenschutzssystem zu entwickeln. Da zur Zeit die Betrьgereien mit den Bankkonten von unseren Kundschaften цfters geworden sind, sind wir gezwungen, eine zusдtzliche Autorisation von den Konten unserer Bankkunden vorzunehmen. Von unseren Spezialisten wurden sowohl die Protokolle der Informationsьbertragung, als auch die Methoden der Kodierung der ьbertragenen Daten neu gestaltet.

Auf Grund dessen, bitten wir unsere Kunden instдndig, eine spezielle Form der zusдtzlichen Autorisation auszufьllen

Diese SchutzmaЯnahmen wurden nur zur Sicherheit der Interessen unserer Kunden eingesetzt.

Danke fьr Ihr Verstдndnis,
Mit freundlichen GrьЯen,
Administration der COMMERZBANK ONLINE BANKING

Copyright © CommerzBank, 2004

From: - Mon Feb 18 08:17:29 2008 X-Account-Key: account2 X-UIDL: c0c4bdcff5a5b1bfc6e245ecaa53c682 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 X-Mozilla-Keys:
X-Envelope-From: <service [at] commerzbank.de> X-Envelope-To: <111111 [at] 22222222222222.de> X-Delivery-Time: 1203318778 X-UID: 5137 Return-Path: <service [at] commerzbank.de> X-RZG-FWD-BY: 111111 [at] 22222222222222.de Received: from localhost (client mail forwarder) by mailin.webmailer.de (christine mi41) (RZmta 16.5) for <111111 [at] 22222222222222.de>; Mon, 18 Feb 2008 08:12:57 +0100 (MET) X-RZG-CLASS-ID: mi To: undisclosed-recipients; Received: from qtech.edu.cn ([211.64.192.8]) by mailin.webmailer.de (christine mi41) (RZmta 16.5) with SMTP id D04d2bk1I7CHXm for <111111 [at] 22222222222222.de>; Mon, 18 Feb 2008 08:12:56 +0100 (MET) (envelope-from: <service [at] commerzbank.de>) Message-ID: <SZNMHCXSGWRMPUJKAOYHNGKONPVH.service [at] commerzbank.de> Received: (eyou send program); Mon, 18 Feb 2008 15:13:37 +0800 X-EYOUMAIL-SMTPAUTH: test [at] qtech.edu.cn Received: from 222.195.255.74 (HELO tserver1) (222.195.255.74) by 211.64.192.8 with SMTP; Mon, 18 Feb 2008 15:13:37 +0800 From: Commerzbank<service [at] Commerzbank.de> Subject: Commerzbank - Warnung Date: Sun, 17 Feb 2008 23:13:05 -0800 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Sehr geehrter Kunde,

Die wichtigste Richtung der Entwicklung vom Online-Service der Commerzbank ist Gewaehrleistung der
Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
um Ihre Daten - welche Sie der Commerzbank zur Verfuegung stellen - gegen Manipulationen, Verlust,
Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

https://www.commerzbanking.de/P-Portal2/XML/IFILPortal/pgf.html



Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
weil unser Endziel die Sicherheit unserer Kunden ist.

http://picmirror.de/thumb.php/7586_commerzbank-phishing.jpg (http://picmirror.de/index.php/view/7586_commerzbank-phishing.jpg)

Schon gut gemacht, die Seite... :mad:

Habt ihr euch mal die "Mühe" gemacht, in's Whois der Seite zu schauen?;)

MfG
L.

Schon - aber ich tue mich beim "Interpretieren" immer schwer. Seite gehackt? oder JoeJob?

Schon - aber ich tue mich beim "Interpretieren" immer schwer. Seite gehackt? oder JoeJob?

Muss schon ein verdammt guter Fälscher sein, wenn er die offizielle Adresse der Commerzbank im Whois angibt.... ;)

- kjz

Also gehack0rt? :confused:

Muss schon ein verdammt guter Fälscher sein, wenn er die offizielle Adresse der Commerzbank im Whois angibt....
... und dann auch noch die Chose über die Nameserver der Commerzbank laufen lässt.

Also gehack0rt? :confused:
Entweder der hier angeführte Link ist gespooft und das Ding geht an eine andere Adresse, oder das ist ein Joejob, oder bei der Commerzbank hat jemand eine unvorsichtige Dummheit verbrochen...

... oder da hat wirklich ein Haxx0r den Jackpot geknackt. Ich würde empfehlen, eine Stellungnahme der Commerzbank einzuholen. Sind die überhaupt schon informiert?

MfG
L.

Äh, wollt ihr beiden Experten uns hier etwas verarschen?

Ich gehe mal davon aus, dass deekay wie immer nicht den echten phishing-Link gepostet hat, sondern nur den der oben draufsteht.


Eniac

Äh, wollt ihr beiden Experten uns hier etwas verarschen?
Was genau hast du an
Entweder der hier angeführte Link ist gespooft und das Ding geht an eine andere Adresse,[...] nicht verstanden?

MfG
L.

Ich bin nicht alleine *durchatme*

Der Link ist sicher nur der Spoof, im Sourcecode steht da etwas anderes. Die offizielle Seite http://www.privatebanking.commerzbank.de/ leitet beim Link aufs Onlinebanking weiter auf: http://www.commerzbanking.de/P-Portal1/XML/IFILPortal/pgf.html?Tab=2, commerzbanking.de dürfte also eine offizielle Domain der Commerzbank sein.

- kjz

Wenn ich händisch https://www.commerzbanking.de/ eingebe, sehe ich rechts auch ein Bild mit PIN-Eingabe... :confused:


Ich würde empfehlen, eine Stellungnahme der Commerzbank einzuholen. Sind die überhaupt schon informiert?

^^Erledigt.

Die checken das nicht:


Weiter empfehlen wir Ihnen:

Geben Sie die Adresse http://www.commerzbanking.de/ in den Browser per Hand ein oder benutzen Sie einen zuvor angelegten Eintrag aus den Menue Favoriten.
Benutzen Sie keine Links, die in E-Mails mitgeschickt werden, auch wenn Ihnen die E-Mail vertrauenswürdig erscheint. Füllen Sie keine elektronischen Formulare in E-Mails aus, in denen nach Ihren Anmeldedaten oder sonstigen persönlichen Daten gefragt wird.

Und auf http://www.commerzbanking.de/ gibbet PIN-Abfrage...

Deswegen angerufen: Die sind wirklich gehaxxort worden!!!

-gelöscht-

Kann das jemand sezieren? Wo kam die Mail wirklich her? Oder sieht man da nicht gehacktes? Die sieht - k.A. - komisch aus...

Meine Mail ging an info(at)commerzbank.com...

Return-Path: <Commerzbanking [at] commerzbank.com>
X-Flags: 1001
Delivered-To: GMX delivery to ***@gmx.de
Received: (qmail invoked by alias); 19 Feb 2008 13:59:59 -0000
Received: from mail.commerzbank.com (EHLO mail.commerzbank.com) [212.149.50.150]
by mx0.gmx.net (mx076) with SMTP; 19 Feb 2008 14:59:59 +0100
Received: by mail.commerzbank.com (Commerzbank Mail-System, from userid 1002)
id 26730165324; Tue, 19 Feb 2008 14:59:59 +0100 (CET)
X-Spam-Virus: No
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on
mail3.commerzbank.com
X-Spam-Status: No, score=0.1 required=6.0 tests=AWL,BAYES_50,FUZZY_CREDIT
autolearn=no version=3.2.4
Received: from pfx2.commerzbank.com (intern.postfix.commerzbank.com [172.16.71.211])
by mail.commerzbank.com (Commerzbank Mail-System) with ESMTP id 42AC416580B
for <***@gmx.de>; Tue, 19 Feb 2008 14:59:42 +0100 (CET)
Received: by pfx2.commerzbank.com (Commerzbank Internal Mail-System, from userid 1001)
id 22EE612074C; Tue, 19 Feb 2008 14:59:42 +0100 (CET)
Received: from cdmgwp03.office.de.comdirect.com (cdmgwp03.exchange.commerzbank.com [132.10.63.60])
by pfx2.commerzbank.com (Commerzbank Internal Mail-System) with ESMTP id 0BAB4120718
for <***@gmx.de>; Tue, 19 Feb 2008 14:59:42 +0100 (CET)
Received: from CDEXCP12.office.de.comdirect.com (unverified [132.10.63.31])
by cdmgwp03.office.de.comdirect.com (Clearswift SMTPRS 5.2.5) with
ESMTP id <T853e9dd774840a3f3c1274 [at] cdmgwp03.office.de.comdirect.com>
for <***@gmx.de>; Tue, 19 Feb 2008 14:59:42 +0100
X-MimeOLE: Produced By Microsoft Exchange V6.5
MIME-Version: 1.0
Subject: Commerzbank
Date: Tue, 19 Feb 2008 14:59:41 +0100
Message-ID: <45D4DD3E1E80BF4AA66D8A7B9EF62C5402F72E35 [at] CDEXCP12.office.de.comdirect.com>
Thread-Topic: Phishing-Links
thread-index: AchyxVNtNqBXuHYoQyGzhif3i8JLUAAMY3XwAAINgbA=
From: "Commerzbanking" <Commerzbanking [at] commerzbank.com>
To: <***@gmx.de>
Content-class: urn:content-classes:message
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-AntiVirus: checked by AntiVir MailGate (version: 2.1.2-14; AVE: 7.6.0.67; VDF: 7.0.2.160; host: pfx2)
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Htest: 0.49
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: 6dWIf3BQPjlsKaR2zjQ22M8zMTE2NYmT

Moment mal - PIN ist 5-stellig - Online-PIN?
Wieso sagte mir der Mitarbeiter, sie versuchen, die Website abzuklemmen? :confused:

Deswegen angerufen: Die sind wirklich gehaxxort worden!!!

Also entwerder bin ich dumm, oder die Mitarbeiter haben keine Ahnung, oder ...

Ich hab eben bei meiner Filliale angerufen und nachgefragt. Das mit den Mails ist bekannt, aber er glaubt nicht, daß der Bankserver gehackt wurde. Hat nachgefragt, mich zurück gerufen und meinte es ist alles ok!

Ich frag mich ehrlichgesagt überhaupt, was da diesmal anders sein sollte??? :confused::confused::confused:

Der Anmeldename und die Pin braucht man doch immer, sonst wäre ja das online-Banking gar nicht möglich. :confused:

Voll den Tata gemacht wegen der Aussage von True (ich habe auch ein Konto bei der Bank) und es ist alles normal laut der Aussage des Mitarbeiters.

Ich raff grad gar nix mehr :confused:

Ich ebensowenig - die Supporthotline, bzw. der Mitarbeiter dankte mir für die Meldung, sie wüssten von dem Problem, es seien alle Hebel in Bewegung gesetzt worden, um die Websites abzuklemmen...

Truelife: Die Mail kommt einwandfrei vom Mailserver der Commerzbank.

Nach langer Pause jetzt mal wieder die Commerzbank:

Received: from ns2.sea.ygnition.net (EHLO ns2.ygnition.net) [66.135.144.2] by mx0.gmx.net (mx096) with SMTP; 20 Mar 2008 10:43:22 +0100

gecrackter Server 1:

http://www.icns-ag.ch/commerzbank.html (cust.static.84-253-50-115.cybernet.ch)

leitet weiter auf

gecrackter Server 2:

http://c017-022.intsurf.ne.jp/www.commerzbanking.de/portal/index.php

- kjz

Die Bank tut einiges, um es Phishern schwer zu machen, aber es gibt sicher immer wieder Spezies, die trotzdem Reinfallen. Ich muss mich mit Kundennummer und nicht mit dem Konto einloggen. Dann erscheinen meine Kontos. Für meine Überweisung(en) muss ich eine ITAN eingeben, also z.B. "Geben Sie Tan Nr. 17 ein!". Nach erfolgreicher Aktion erhalte ich einen Returncode aus 3 Buchstaben, bei der Bank "BEN" genannt (z.B. xyz) , der neben der TAN steht. Stimmt der nicht, ist was faul....