Received: from [221.145.22.233] (helo=217.72.192.188) by mx22.web.de with smtp (WEB.DE 4.105 #323) id EGAL; Sun, 23 Oct 2005 03:17:28 +0200
FCC: mailbox://support_num_1868 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 23 Oct 2005 07:15:24 +0500 (04:15 CEST)
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_num_1868 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx [at] web.de
Subject: Die wichtige Mitteilung [Sun, 23 Oct 2005 07:12:24 +0500]
Content-Type: multipart/related;
Message-Id: <EBNFALSEGAL [at] mx22.web.de>
Sender: support_num_1868 [at] volksbank.de


Der Rest ist ein blosses GIF, mit einem Link für den mein email-client zu "blöd" ist...

allerdings ist die Source-Ansicht nicht uninteressant.

<html><p><font face="Arial"><A HREF="http://www.volksbank.de/__C1256B56003097E2.nsf/X851A68E4F14128EFC1256C670055579C"><map name="ZcWalm"><area coords="0, 0, 788, 331" shape="rect" href="http://210.75.27.231/rpm/"></map><img SRC="cid:part1.00060606.05010402 [at] support_id_14500@volksbank.de" border="0" usemap="#ZcWalm"></A></a></font></p><p><font color="#FFFFF5">Real bad. Carmen Electra vs. town, Network Digimon in 1855 </font></p></html>

Received: from [211.255.190.76] (helo=217.72.192.149)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
id 1ETY1x-0001Bg-00; Sun, 23 Oct 2005 07:04:26 +0200
FCC: mailbox://custservice_ref_56469571014 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 23 Oct 2005 09:02:23 +0300
From: Volksbanken Raiffeisenbanken <custservice_ref_56469571014 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: ES IST WICHTIG! [Sun, 23 Oct 2005 02:59:23 -0300]
Content-Type: multipart/related;
boundary="------------050008030200010808060000"
Message-Id: <E1ETY1x-0001Bg-00 [at] mx33.web.de>
Sender: custservice_ref_56469571014 [at] volksbank.de

Link - http://210.21.119.123/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

in diesem Sinne

Oliver

Received: from [219.81.230.107] (helo=kcs-2f) by mx29.web.de with smtp
(WEB.DE 4.105 #323) id xxx for xxx [at] web.de; Thu, 27 Oct 2005
02:41:36 +0200
Message-ID: <xxx>
From: "Volksbank Kundenbetreuung" <Kundenbetreuung43 [at] vr-networld.de>
To: xxx [at] web.de
Subject: Bestatigen Sie bitte die Angaben von Ihrem online- Konto. (REF xxx)
Date: Thu, 27 Oct 2005 08:41:28 +0900
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_xxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: Kundenbetreuung43 [at] vr-networld.de

Nochn Volksbank-Phish... ein Link auf die Phillipinen

202.164.185.98:8081/__F5793BCFE4343540.nsf/(WWWFrame)/XCFDTGHFYHJNFGHNDGBDR545343635F21/index.htm

dto.

From Kontounterstutzung08 [at] vr-web.net.df-webhosting.de Wed Oct 26 23:53:07 2005
Return-Path: <Kontounterstutzung08 [at] vr-web.net.df-webhosting.de>
X-Flags: 1001
Delivered-To: GMX delivery to xxxx [at] xxx.xx
Received: from yxyxyx.de [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for xxxx [at] xxx.xx (single-drop); Thu, 27 Oct 2005 01:53:07 +0200 (CEST)
Received: from rafa-jhhh9tgjgr (81-203-17-214.user.ono.com [81.203.17.214])
by xxxx.xxx.xx (8.12.10/8.12.10) with SMTP id j9QNiDWW002461
for <xxx [at] xxxx.xx>; Thu, 27 Oct 2005 01:44:25 +0200
Message-ID: <000801c5da87$d00dd3d0$d611cb51 [at] rafa-jhhh9tgjgr>
From: "Volksbank Kontounterstutzung" <Kontounterstutzung08 [at] vr-web.net.df-webhosting.de>
To: xxx [at] xxxx.xx
Subject: {Spam?} Volksbank: Bitte, erneuern Sie Die Angaben von Ihrem Konto. (ref: 520)
Date: Thu, 27 Oct 2005 01:48:49 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0004_01C5DA98.93938550"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=11.76, benoetigt 6,
autolearn=spam, BAYES_50 0.00, FROM_ENDS_IN_NUMS 0.99,
HTML_50_60 0.10, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, HTML_TAG_BALANCE_A 0.20, MIME_BASE64_ILLEGAL 1.58,
NORMAL_HTTP_TO_IP 0.10, NO_DNS_FOR_FROM 1.65, RCVD_IN_DSBL 0.71,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10, RCVD_IN_SORBS_MISC 0.69,
WEIRD_PORT 1.41)
X-MailScanner-SpamScore: sssssssssss
X-MailScanner-From: kontounterstutzung08 [at] vr-web.net
X-Collected-By: GMX/xxx [at] xxxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: tHMSYy4zeSEiccJKenQhaXN1IGRvb0AF

Abgekippt über 81.203.17.214 -> Cableuropa - ONO -> abuse[at]ono.com
Die Reply-to Zeile hat eine interessante Domain für die Volksbank...

VOLKSBANKEN RAIFFEISENBANKEN AG sehr aufschlussreich bei einer eingetragenen Genossenschaft.
Wer auf die Rechtsform achtet gewinnt.

Erneute "Sicherheitsverifikation"...

Received: from [61.156.17.196] (helo=217.72.192.149) by mx23.web.de with smtp (WEB.DE 4.105 #323) id xxxx; Thu, 03 Nov 2005 06:42:15 +0100
FCC: mailbox://identdep_opblabla [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Thu, 03 Nov 2005 09:39:24 +0400 (06:39 CET)
From: Volksbanken Raiffeisenbanken <identdep_opblabla [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx [at] web.de
Subject: Volksbanken Raiffeisenbanken Online-Banking [Thu, 03 Nov 2005 06:39:24 +0100]
Content-Type: multipart/related; boundary="------------xxxx"
Message-Id: <E1EXXrZ-0006Ne-00 [at] mx23.web.de>
Sender: identdep_opblabla [at] volksbank.de

Wieder die Volksbank.

Diesmal führte ein GIF Bild auf :

http: 210.96.80.124/rpm


Als ich draufkam hiess es:

Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Firefox hat die datei geblockt und gleich gelöscht

DIE IP ist registriert:
lookup failed 210.96.80.124
Could not find a domain name corresponding to this IP address.
Domain Whois record

Don't have a domain name for which to get a record
Network Whois record

Queried whois.apnic.net with "210.96.80.124"...

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 210.96.0.0 - 210.96.127.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: hm-changed [at] apnic.net 19980521
changed: hm-changed [at] apnic.net 20010606
changed: hm-changed [at] apnic.net 20040322
status: ALLOCATED PORTABLE
source: APNIC

person: Host Master
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
e-mail: hostmaster [at] nic.or.kr
nic-hdl: HM127-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster [at] nic.or.kr 20020507
source: APNIC



DNS records

DNS query for 124.80.96.210.in-addr.arpa returned an error from the server: NameError

No records to display
Traceroute

Tracing route to 210.96.80.124 [210.96.80.124]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.145 port-64-1949841-zzt0prespect.devices.datareturn.com
3 0 0 0 64.29.192.226 daa.g921.ispb.datareturn.com
4 0 0 0 168.215.241.133 hagg-01-ae0-1001.dlfw.twtelecom.net
5 0 0 0 66.192.253.120 core-01-ge-3-1-0-506.dlfw.twtelecom.net
6 40 197 105 66.192.250.100 core-01-so-1-1-0-0.okld.twtelecom.net
7 54 41 41 66.192.250.44 peer-01-so-0-0-0-0.palo.twtelecom.net
8 41 41 41 198.32.176.43 paix-dacom.bora.net
9 41 41 52 203.255.234.44
10 167 167 167 203.255.234.141
11 185 185 175 210.120.248.87
12 169 169 168 211.180.11.22
13 168 166 166 202.30.94.69
14 171 171 171 210.204.254.221
15 170 170 172 210.104.3.150
16 168 168 168 211.253.254.230
17 178 238 198 210.204.252.215
18 * * *
19 175 185 179 210.96.80.124

Trace complete
Service scan
FTP - 21 220 (vsFTPd 1.1.3)
500 OOPS: vsf_sysutil_recv_peek: no data
500 OOPS: child died
SMTP - 25 Error: ConnectionRefused
HTTP - 80 HTTP/1.1 200 OK
Date: Fri, 11 Nov 2005 18:02:36 GMT
Server: Apache/2.0.40 (Red Hat Linux)
Last-Modified: Thu, 05 Feb 2004 01:51:08 GMT
ETag: "153565-152-2b427b00"
Accept-Ranges: bytes
Content-Length: 338
Connection: close
Content-Type: text/html; charset=EUC-KR
POP3 - 110 Error: ConnectionRefused
NNTP - 119 Error: ConnectionRefused


DIe IP die in der e-mail war ist 62.245.120.171 ist registriert auf einen:

person: Martin Krautwurst
address: UPC Ceska republika, a.s.
address: Zavisova 502/5
address: Prague 4 - Nusle
address: 140 00
address: the Czech Republic
phone: +420 2 61107198
fax-no: +420 2 61107100

Dies mit dem ...IP.../rpm dürtfte mit ziemlicher Sicherheit wieder Leo sein.

- kjz

hallo,
habe heute folgendes bekommen (siehe grafik).

http://free.pages.at/skullhead76///vb.jpg

interessant für mich: die adresse skuld1 [at] web.de gehört mir gar nicht, wieso wird sie mir dann zugestellt? hinter dem link steckt übrigens die seite 80.203.175.66:680/rock/lsap, die aber down ist.

vielen dank für weitere infos :)

Wie üblich, wenns um Phishe geht, wurde auch ich wieder beglückt...

Received: from [217.144.192.201] (helo=192-201.is.net.pl) by mx30.web.de
with smtp (WEB.DE 4.105 #323) id 1EaeFe-0004el-00; Fri, 11 Nov 2005
20:07:55 +0100
FCC: mailbox://custservice_id_3426140 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Fri, 11 Nov 2005 14:03:53 -0500
From: VOLKSBANKEN RAIFFEISENBANKEN <custservice_id_3426140 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx [at] web.de
Subject: Die wichtige Information
Content-Type: multipart/related; boundary="------------030408020603080309080008"
Message-Id: <E1EaeFe-0004el-00 [at] mx30.web.de>
Sender: custservice_id_3426140 [at] volksbank.de

spamvertized wurde ebenfalls: http://210.96.80.124/rpm/

Das gif hört übrigens auf den netten Namen "decatur.gif" - vielleicht ein Hinweis?

Google man ein wenig, so findet man ein Bildchen gleichen Namens (zeigt ne Viagra-Pille) in einem Medz-Spam für jzbsadzd.info. Und die im Whois genannte (ungültige) Adresse (juliafizberg @ hotmail.com) ist auch schon bei mehreren Spamruns zur Registrierung verwendet worden.

- kjz

kann mir bitte jemand erklären warum ich diese mails bekomme, mit adressaten skull-birth oder auch skuld1 [at] web.de, obwohl mir diese adressen gar nicht gehören?? und woher kommen die mails? bin spam-newbie :D

Nun, deine Adresse steht im Envelope der Mail bzw. im BCC (Blind Carbon Copy), das wird vom Mailreader nicht angezeigt. Die Mails selber werden in der Regel heute von Botnetzen versendet, i.e. ahnungslose Homeuser, die sich einen Virus auf ihrem PC eingefangen haben. Der Virus öffnet eine 'Hintertür' auf dem PC, dadurch wird Mail-Software des Spammers nachgeladen, der dann den PC zum Spam versenden missbraucht.

- kjz

Received: from [80.96.70.11] (helo=MONICA)
by mx25.web.de with smtp (WEB.DE 4.105 #323)
id 1EbGRX-0008E2-00; Sun, 13 Nov 2005 12:54:44 +0100
FCC: mailbox://identdep_op31258958931 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 12:47:40 +0100
From: Volksbanken Raiffeisenbanken AG <identdep_op31258958931 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Online-Banking [Sun, 13 Nov 2005 14:50:40 +0300]
Content-Type: multipart/related;
boundary="------------060600040907070901080004"
Message-Id: <E1EbGRX-0008E2-00 [at] mx25.web.de>
Sender: identdep_op31258958931 [at] volksbank.de

Link : http://210.94.148.110/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [211.216.162.71] (helo=217.72.192.188)
by mx25.web.de with smtp (WEB.DE 4.105 #323)
id 1EbAAB-0005wQ-00
for xxx; Sun, 13 Nov 2005 06:12:24 +0100
FCC: mailbox://supprefnum795941801 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 04:10:20 -0100
From: VOLKSBANKEN RAIFFEISENBANKEN <supprefnum795941801 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: DIE INFORMATION FÜR DIE KUNDEN
Content-Type: multipart/related;
boundary="------------070003090703060306020005"
Message-Id: <E1EbAAB-0005wQ-00 [at] mx25.web.de>
Sender: supprefnum795941801 [at] volksbank.de


Received: from [222.167.113.129] (helo=cm222-167-113-129.hkcable.com.hk)
by mx26.web.de with smtp (WEB.DE 4.105 #323)
id 1Eb8FM-0006o7-00
for xxx; Sun, 13 Nov 2005 04:09:36 +0100
FCC: mailbox://identdep_op5629220403 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 22:07:33 -0500
From: VOLKSBANKEN RAIFFEISENBANKEN <identdep_op5629220403 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Banking
Content-Type: multipart/related;
boundary="------------060308050303070601030006"
Message-Id: <E1Eb8FM-0006o7-00 [at] mx26.web.de>
Sender: identdep_op5629220403 [at] volksbank.de

http://210.96.80.124/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [67.10.133.26] (helo=cpe-67-10-133-26.houston.res.rr.com)
by mx32.web.de with smtp (WEB.DE 4.105 #323)
id 1Eb26B-00045g-00
for xxx; Sat, 12 Nov 2005 21:35:44 +0100
FCC: mailbox://support_ref_435113649 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 01:34:39 +0500
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_ref_435113649 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING
Content-Type: multipart/related;
boundary="------------020500050507040201070006"
Message-Id: <E1Eb26B-00045g-00 [at] mx32.web.de>
Sender: support_ref_435113649 [at] volksbank.de

http://210.94.148.110/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [200.138.141.109] (helo=200-138-141-109-radio.allsat.com.br)
by mx25.web.de with smtp (WEB.DE 4.105 #323)
id 1Eb0QX-0004wQ-00; Sat, 12 Nov 2005 19:48:48 +0100
FCC: mailbox://custservice_ref_725908926920713 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 12:38:56 -0600
From: Volksbanken Raiffeisenbanken <custservice_ref_725908926920713 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Online-Banking
Content-Type: multipart/related;
boundary="------------070706040107010400070007"
Message-Id: <E1Eb0QX-0004wQ-00 [at] mx25.web.de>
Sender: custservice_ref_725908926920713 [at] volksbank.de

http://210.96.80.124/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [70.104.170.182] (helo=pool-70-104-170-182.norf.east.verizon.net)
by mx30.web.de with smtp (WEB.DE 4.105 #323)
id 1Eauil-0005JU-00; Sat, 12 Nov 2005 13:43:04 +0100
FCC: mailbox://support_num_1675807 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 10:38:00 -0200
From: Volksbanken Raiffeisenbanken AG <support_num_1675807 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Banking [Sat, 12 Nov 2005 10:36:00 -0200]
Content-Type: multipart/related;
boundary="------------020305050606040600080000"
Message-Id: <E1Eauil-0005JU-00 [at] mx30.web.de>
Sender: support_num_1675807 [at] volksbank.de

http://210.196.82.167/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [66.214.136.70] (helo=66-214-136-70.dhcp.gldl.ca.charter.com)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
id 1Eat6X-0007cH-00; Sat, 12 Nov 2005 11:59:29 +0100
FCC: mailbox://support_num_484132 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 03:53:19 -0700
From: VOLKSBANKEN RAIFFEISENBANKEN <support_num_484132 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Die wichtige Mitteilung [Sat, 12 Nov 2005 13:57:19 +0300]
Content-Type: multipart/related;
boundary="------------010801010902000405040004"
Message-Id: <E1Eat6X-0007cH-00 [at] mx33.web.de>
Sender: support_num_484132 [at] volksbank.de

http://210.96.80.124/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [216.255.122.76] (helo=D8FF7a4c.cst.lightpath.net)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
id 1EanOP-0002l5-00
for xxx; Sat, 12 Nov 2005 05:53:34 +0100
FCC: mailbox://support_num_1288081201978 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 03:49:32 -0100
From: Volksbanken Raiffeisenbanken <support_num_1288081201978 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING [Fri, 11 Nov 2005 23:51:32 -0500]
Content-Type: multipart/related;
boundary="------------060004070502040002050006"
Message-Id: <E1EanOP-0002l5-00 [at] mx33.web.de>
Sender: support_num_1288081201978 [at] volksbank.de

http://210.196.82.167/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [141.156.220.59] (helo=pool-141-156-220-59.res.east.verizon.net)
by mx30.web.de with smtp (WEB.DE 4.105 #323)
id 1Ealhq-0005th-00; Sat, 12 Nov 2005 04:05:31 +0100
FCC: mailbox://identdep_op0421527 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Fri, 11 Nov 2005 21:58:27 -0500
From: Volksbanken Raiffeisenbanken AG <identdep_op0421527 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING
Content-Type: multipart/related;
boundary="------------090307000706080208030002"
Message-Id: <E1Ealhq-0005th-00 [at] mx30.web.de>
Sender: identdep_op0421527 [at] volksbank.de

http://210.196.82.167/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [83.81.70.208] (helo=535146D0.cable.casema.nl)
by mx29.web.de with smtp (WEB.DE 4.105 #323)
id 1EaebD-0002oP-00; Fri, 11 Nov 2005 20:30:11 +0100
FCC: mailbox://custservice_91 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Fri, 11 Nov 2005 15:29:06 -0400
From: Volksbanken Raiffeisenbanken AG <custservice_91 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: ES IST WICHTIG! [Sat, 12 Nov 2005 00:30:06 +0500]
Content-Type: multipart/related;
boundary="------------090603040601080105020009"
Message-Id: <E1EaebD-0002oP-00 [at] mx29.web.de>
Sender: custservice_91 [at] volksbank.de

http://80.203.175.66:680/rock/Isap/

Da kann dieser Verbrecher mir ruhig noch mehr schicken, ich fall nicht drauf rein. :p

in diesem Sinne

Oliver

Hallo
Bekomme seit 2 Tagen mehrmals am Tag eine email angeblich von der Volksbank wo ich meine Kontodaten eingeben soll.
Bin kein Kunde der Bank, habe aber angst das ich mir einen virus eingfangen habe.
Habe den link nicht angeklickt aber die email von web.de mit outlook auf meinen Rechner geholt aber sofort gelöscht.

Bekomme auch öfters mal einen email von einer Pharma adresse wo ich Viagra und andere Sachen kaufen könnte.

Hab ich mir bereits was eingefangen? und was kann ich gegen diese nervigen mails unternehmen?

...Hab ich mir bereits was eingefangen? und was kann ich gegen diese nervigen mails unternehmen?
...ne, eingefangen - im Sinne von Virus od. Trojaner - glaube ich eher nicht.
Da haben höchstens Spammer Deine Emaildresse "eingefangen". Und nutzen Dich als (eines von Millionen) Spammopfer!

Daher die phishing Mails von der "Volksbank"! Nie Angaben machen! Mail sofort löschen!

Als guter Rat: NIE wirklich NIE, irgendwelche Anhänge/Datein öffnen. Denn diese sind oft "verseucht"! Am besten die Mails, die Dir suspekt vorkommen, gar nicht erst öffnen/lesen!
Weil die Mails auch oft einen HTML-Code enthalten, die dann dem Absender erst signalisieren, der Mailaccount ist aktiv und die Add. gültig. Dadurch wirst Du noch meht dieser Spammails bekommen.

Zum weiterlesen und informieren:

Spam & Mail (http://de.wikipedia.org/wiki/Spam)

Phishing (http://de.wikipedia.org/wiki/Phishing)

Habe auch ein paar solcher Mails erhalten. Die Mails sind sauber, der Imagelink der letzten Mail führt auf http://210.96.80.124/rpm/ und Antivir meldet: "PHISH/CitiBkfraud.R-Virus".

Received: from [217.219.182.105] (helo=217.72.192.149)
by mx27.web.de with smtp (WEB.DE 4.105 #323)
id 1EbWrH-0006JN-00; Mon, 14 Nov 2005 06:26:24 +0100
FCC: mailbox://support_ref_628135944340 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Mon, 14 Nov 2005 06:17:15 +0100
From: Volksbanken Raiffeisenbanken AG <support_ref_628135944340 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: DIE INFORMATION FÜR DIE KUNDEN
Content-Type: multipart/related;
boundary="------------000902070906080304010004"
Message-Id: <E1EbWrH-0006JN-00 [at] mx27.web.de>
Sender: support_ref_628135944340 [at] volksbank.de

http://210.94.148.110/rpm inkl.PHISH/CitiBkfraud.R-Virus

Received: from [71.11.194.176] (helo=71-11-194-176.dhcp.ftwo.tx.charter.com)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
id 1EbQ2f-0006Vv-00; Sun, 13 Nov 2005 23:09:42 +0100
FCC: mailbox://custservice_id_669548443985369 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Mon, 14 Nov 2005 00:01:39 +0200
From: Volksbanken Raiffeisenbanken <custservice_id_669548443985369 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN BANKING [Mon, 14 Nov 2005 04:02:39 +0600]
Content-Type: multipart/related;
boundary="------------080007080907050808030007"
Message-Id: <E1EbQ2f-0006Vv-00 [at] mx33.web.de>
Sender: custservice_id_669548443985369 [at] volksbank.de

http://210.96.80.124/rpm/ inkl.PHISH/CitiBkfraud.R-Virus

Received: from [68.119.250.212] (helo=68-119-250-212.dhcp.cpgr.mo.charter.com)
by mx22.web.de with smtp (WEB.DE 4.105 #323)
id 1EbO23-0005Th-00; Sun, 13 Nov 2005 21:00:56 +0100
FCC: mailbox://support_id_605695391435589 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 17:52:50 -0200
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_id_605695391435589 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------080607020601070605000002"
Message-Id: <E1EbO23-0005Th-00 [at] mx22.web.de>
Sender: support_id_605695391435589 [at] volksbank.de

http://210.196.82.167/rpm/ inkl.PHISH/CitiBkfraud.R-Virus

Received: from [71.67.103.112] (helo=cpe-71-67-103-112.woh.res.rr.com)
by mx31.web.de with smtp (WEB.DE 4.105 #323)
id 1EbICX-0002KQ-00; Sun, 13 Nov 2005 14:47:21 +0100
FCC: mailbox://custservice_283280940 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 14:38:17 +0100
From: VOLKSBANKEN RAIFFEISENBANKEN <custservice_283280940 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: DIE INFORMATION FÜR DIE KUNDEN [Sun, 13 Nov 2005 17:38:17 +0400]
Content-Type: multipart/related;
boundary="------------080809080404020008020001"
Message-Id: <E1EbICX-0002KQ-00 [at] mx31.web.de>
Sender: custservice_283280940 [at] volksbank.de

http://210.94.148.110/rpm/ inkl.PHISH/CitiBkfraud.R-Virus

Irgendwie hab ich das Gefühl, dass der dezent um Schläge bettelt ! :rolleyes:

in diesem Sinne

Oliver

auch hier 6-mal beglückt übers WE:

Alle über bots gemailt (aus der ganzen Welt)

spamvertized wurde(n):

http://80.203.175.66:680/rock/Isap/
Scheint off zu sein.

http://210.94.148.110/rpm/
Ohne /rpm/ erscheint die Apache-Testpage. Offensichtlich ein rootkit am werkeln, oder einfach ein "Eindringling"...

http://210.96.80.124/rpm/
Ohne /rpm/ erscheint ein lustiger Hinweis. Da wird die Software "EduSecure" benutzt. Tagline: "We will make your network safe." - was für ein Lacher...

HALLO

Ich bekomme seit Tagen irgendwelche Phising Mails von Irgend so einem Idioten der Volksbank Spam M [at] ils Verschickt wo man seine Bankdaten Angeben muss obwohl nicht bei der Volksbank bin logischer weise. Ich bekomme jetzt mittlerweile 5 dieser M [at] il am Tag und es Fuckt mich ab... !!!!!

Ich habe die M [at] ils hier für den Fall das ihr beweise braucht.

Hier der Header

X-Kaspersky: Checked
Content-Type: image/gif;
name="infant.GIF"
Received: from [207.144.100.200] (helo=217.72.192.149) by mx25.web.de with smtp (WEB.DE 4.105 #323) id 1Eb5dz-0002Pg-00; Sun, 13 Nov 2005 01:22:52 +0100
Content-Transfer-Encoding: base64
FCC: mailbox://support_num_1843 [at] volksbank.de/Sent
Content-ID: <part1.00090803.03080602 [at] support_id_567667@volksbank.de>
X-Identity-Key: id1
Content-Disposition: inline;
filename="infant.GIF"
Date: Sun, 13 Nov 2005 03:19:47 +0300
From: "VOLKSBANKEN RAIFFEISENBANKEN" <support_num_1843 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <anselm.nemela [at] web.de>
Subject: Nachricht wurde desinfiziert : Volksbanken Raiffeisenbanken Internet Banking
Message-ID: <E1Eb5dz-0002Pg-00 [at] mx25.web.de>
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: <support_num_1843 [at] volksbank.de>



Name : VOLKSBANKEN RAIFFEISENBANKEN
Em [at] il Adresse : support_num_1843 [at] volksbank.de

und So langsam werde Ich extrem Sauer ... was kann ich dagegen machen ich hoffe ihr könnt mir helfen wuhaha ...

MFG Silver1980NRW

bye

Wurde anscheinend über Web.de abgekippt - schick doch mal die Beschwerde an Web.de

@Admins
Gehört wohl mehr in die Rubrik Phishing

web.de sieht sich bei sowas nicht in der Verantwortung.

ausserdem, guggstu: http://antispam-ev.de/forum/showthread.php?t=9404&highlight=volksbank

Die Mail wurde auch nicht von web.de versendet, sondern bei web.de EMPFANGEN (welch Wunder, wenn man da sein Konto hat :D )...

Gesendet wurde sie von der IP-Adresse 207.144.100.200, die gehört zu einem Provider namens "Info Avenue Internet Services" - wenn sie nicht sowieso gefälscht ist. Ohne SPAM-Filter kann man da halt nix dran machen.

Nur so zur Info: Solche Mails kommen aus Bot-Netzen, also meistens von irgendeinem unbescholtenen Rechner, der selbst infiziert ist und dadurch von bösen Menschen zum Versand von so was missbraucht werden kann. Man kann also im Prinzip nicht mal ganz ausschließen, dass man sich den Kram eventuell sogar selbst geschickt hat, ohne was zu merken.

Ich bin Administrator einer relativ kleinen Domäne und habe heute schon 71 Volksbank-, 26 Postbank- und 18 Citibank-Phishing-Mails in meinem Quarantäneverzeichnis gehabt. Glaubt mir, dass mich das auch echt ankotzt. Von mir aus könnte man das ganze Internet abschalten, kommt eh nur Scheiße raus. Die Leute sollen halt wieder faxen und Briefe schreiben. Da meine Chefs und wahrscheinlich 80% der zivilisierten Bevölkerung auf diesem Planeten das aber anders sehen, müssen wir halt damit leben.

Hi,
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:

Hi,
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:
Also du bist wenigstens schon mal im richtigen Forum hier.
Lese dich erst mal etwas hier ein. Spam ist tatsächlich ein riesen Problem.
Der Wechsel von web.de ist eher nicht die Lösung. Besorg dir einen Spamfilter,
recherchiere hier danach. Web.de hat übrigens einen recht guten.(wobei ich mit denen durchaus auch meine Probleme habe)
Aber finde dich damit ab, dass man bis auf weiteres mit Spam leben werden muss, so nervig das ist.

Hi,
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:
Auf meine verbrannte Addy gehen derzeit täglich bis zu 70 Spams ein (im Oktober waren es teilweise bis 130). Der Phishing-Anteil hat zwar in den letzten Tagen zugenommen, hält sich mit bis zu 5 Phishing-Mails pro Tag aber in Grenzen. Wenn sich bei Dir die Spammenge ansonsten in Grenzen hält, ist ein Spamfilter sicher eine gute Wahl.

Für meine Zwecke bin ich einen anderen Weg gegangen. Dafür habe ich jedem Kontakt eine individuelle und zeitlich begrenzt gültige Emailadresse (z.B.: Präfix.ID-99-ttmmjjjj [at] domain.tld) zugeordnet, die auf einem gemeinsamen Postfach eingehen. Spam habe ich auf eine solche Adresse bisher noch nicht erhalten und im Falle einer Spam-Mail weiß ich, wer die Addy unberechtigter- oder unerwünschterweise weitergegeben hat. Zudem kann ich die Email-Addy nur für den betreffenden Kontakt sofort durch eine neue ersetzen.

Thomas

habe für den server auf dem das ganze läuft ein Vulnerability entdeckt wofür es bereits einen exploit gibt ... irgendwie verspüre ich große lust bei der nächsten mail den server abzuschießen und nen schönen hinweis draufzusetzen ... :cool:


- greetz out - ibor.tk

Moin!
Auch ich bekomme seit ein paar Tagen täglich Post von der "Volksbank" :sick:
Hier der Haeder:

Return-Path: <identdep_op408 [at] volksbank.de>
Delivery-Date: Mon, 14 Nov 2005 23:17:40 +0100
Received: from [84.29.78.28] (helo=cp252192-b.venlo1.lb.home.nl)
by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis),
id 0MKpV6-1Ebmdt2CLq-0005Et for mail [at] novakdimon.de; Mon, 14 Nov 2005 23:17:40 +0100
FCC: mailbox://identdep_op408 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Tue, 15 Nov 2005 02:09:38 +0400
From: Volksbanken Raiffeisenbanken <identdep_op408 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: mail [at] novakdimon.de
Subject: Volksbanken Raiffeisenbanken Online-Banking [Tue, 15 Nov 2005 00:16:38 +0200]
Content-Type: multipart/related;
boundary="------------010603050201050603070007"
Message-ID: <0MKpV6-1Ebmdt2CLq-0005Et [at] mx.kundenserver.de>
X-RBL-Warning: yes
X-RBL-Warning-Info: warn.bl.kundenserver.de says: Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?84.29.78.28
Envelope-To: mail [at] novakdimon.de
X-SpamScore: 3.448
tests= FROM_ENDS_IN_NUMS VOLKSBANK_PHISHING_SUBJECT1
FROM_HAS_ULINE_NUMS

Link nach: http://210.94.148.110/rpm/
Der Virus "PHISH/CitiBkfraud.R-Virus" wurde von Antivir ordnungsgemäß erkannt und beseitigt. :skull:

Gruß
Novak

Und auch mein Postfach wurde wieder einmal beglückt:

Received: from [210.4.33.132] (helo=217.72.192.188) by mx32.web.de with
smtp (WEB.DE 4.105 #323) id 1Ebnpk-0002So-00; Tue, 15 Nov 2005 00:33:57
+0100
FCC: mailbox://identdep_op35077783360 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Mon, 14 Nov 2005 21:25:49 -0200
From: Volksbanken Raiffeisenbanken AG <identdep_op35077783360 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx [at] web.de
Subject: Die wichtige Mitteilung
Content-Type: multipart/related; boundary="------------000404010207010008000004"
Message-Id: <E1Ebnpk-0002So-00 [at] mx32.web.de>
Sender: identdep_op35077783360 [at] volksbank.de

beworben wird: http://210.94.148.110/rpm/
gifname: stuyvesant.GIF

Da ich auch mehrmals täglich auf mehreren Adressen von diesem Phising-Versuch beglückt werde, habe ich mal versucht, eine eMail an "Korea Network" zu schicken. Obwohl gleich ein "Mailer Daemon Fehler" zurückkam, habe ich trotzdem eine (nichts sagende) Antwort bekommen. Zunächst meine Anfrage:
We daily receive fraud phishing eMails, using the following IP address of the Korea Network:

http://210.94.148.110/rpm

The above mentioned IP address is part of your IP space (see WHOIS excerpt below). This is a massive phishing violence against ICANN rules. We ask you to examine this case and shut down the IP address.

Additionally we request your statement.

Rgds, xxx/GERMANY

[Hier folgt der WHOIS-Eintrag, auch wenn die Jungs den sicherlich schon auswendig kennen]Und hier die eben angekommene Antwort mit Zeitverschiebung aus Korea:
Von: ??? <...>
An: mich
Betreff: Re: Korea Network Abuse: Phishing Spam
Datum: Tue, 15 Nov 2005 20:07:32 +0900

Dear Sir or Madam

Thank you for your information.

We have informed out customer of this accidents, and requested that the site be brought down.

Thanks

Sincerely,
xxx

ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:
Es wird Dir über kurz oder lang anderswo ebenso gehen. Als erstes aktivierst Du bei WEB.DE einmal den sogn. "Drei-Wege-Spamschutz". Der kostet nichts. Das Ganze geht über "Einstellungen->Sicherheit". Als Aktion wählst Du entweder

- Ausgewählte E-Mail(s) in den Papierkorb verschieben, oder
- Ausgewählte E-Mail(s) sofort löschen

"Sortierung von Mails mit Spamwahrscheinlichkeit 75% - 26%" setzt Du auf "Ordner Unbekannt". Sobald das gemacht ist fliegen die meisten der Dreckmails in den Ordner "Unerwünscht". Die Zuverlässigkeit ist recht ordentlich. Dann musst Du unter "Einstellungen->Ordner->Eigenschaften" die Aufbewahrungszeit für Papierkorb und den Odner "Unerwünscht" soweit senken, dass die Mails möglichst zügig gelöscht werden, Du aber noch eine Chance hast, das Filterergebnis zu kontrollieren (1-3 Tage). Wenn Du der Sache nach einiger Zeit traust, setzt Du die Aktion auf "Ausgewählte E-Mail(s) sofort löschen" (s. o.).

Lokal installierst Du Dir einen POP3 spam-Filter. Es gibt mehrere, die nichts kosten aber recht gut arbeiten. Einmal Google mit den Begriffen 'spam filter bayes' füttern. Als letzte Maßnahme nutzt Du die Filtermöglichkeiten Deines Mail-Clients. Mails mit Anhängen werden z. B. grundsätzlich in einen Quarantäne-Ordner verschoben. Das kann sogar Outlook Express, obwohl man auf das Teil besser verzichtet. TheBat! oder Mozilla Thunderbird sind gute Alternativen.

Dann verzichte darauf, Mails mit vertrauenswürdigen Leuten über dieselbe Mail-Adresse abzuwickeln, die Du in Foren, bei ebay etc. benutzt. Ich habe einige Mail-Adressen, die sind praktisch spamfrei, weil ich sie nur innerhalb der Familie und ausgewählter Freunde verwende.

M. Boettcher

Hallihallo!

Wie alle hier bin auch ich tägliches Opfer der Phishing-Banden.
Ich habe mir mal ein paar Gedanken gemacht wie man diesen bervtötenden Betrügern den Spaß an Ihrem "Job" nehmen könnte. Hier mal der m. M. nach sinnvollste Gedanke, zu dem ich gerne eure Meinung hören würde:

1. Als erstes definiere man sich einen Mailfilter der diese Phishing-mails auf einen extra dafür eingerichteten email-Account weiterleitet.
2. Dieser Account kann entweder bei einem selber sein oder jemand richtet ihn für die Allgemeinheit ein und postet die Adresse hier.
3. Dann müsste ein pfiffiger Programmierer ein kleines Skript schreiben welches auf dem Rechner mit dem spzeillen email-Account läuft.
4. Im Idealfall ist dieser rechner rund um die uhr online und empfängt die ankommenden mails sofort.
5. Das dort laufende Skript liest automatisch die ankommenden emails und sucht die hinter der, in jeder Phishing-mail enthaltenen, Imagemap versteckte URL
6. Das Skript generiert nun per Zufall völlig sinnfrei Kombinationen von TANs, PIN und Kontonummer sowie allen anderen gefagten Daten
7. Das Skript ruft die Seite auf, füllt diese Daten in die Formularfelder der Phishing-Seite und klickt automatisch auf Bestätigen.
8. Das Skript schließt die Seite automatisiert und startet wieder mit Punkt 6, so lange bis eine bestimmte Anzahl an Einträgen in der Datenbank der Phisher erreicht ist.
9. Erreicht eine weitere email mit einer anderen URL den email-Account so liest das Skript die neue URL und startet eine weitere Session um auch diese Spam-datenbank zu füllen!

Wozu würde ein solches Skript führen? Nun, dazu das die Spammer und Phisher nicht mehr in der Lage wären in den tausenden generierten datensätzen zwischen "echten" Daten und absichtlich falschen zu unterscheiden! :D Vor allem nicht wenn möglichst viele Leute mit verschiedenen IP-Adressen das skript laufen lassen würden!

Also, was denkt Ihr? Wäre sowas programmiertechnisch möglich? Wer ist fit genug für solch einen Gegenschlag?

Beste Grüße

Finn76

Hallo,

AFAIK gibt es einen solchen Dienst schon, ich find die URL aber grad nicht. Dummerweise kommen die falschen Einträge immer von der gleichen IP, sind also sehr leicht zu filtern. Die Phishers sind keine Dummköpfe, die kriegst so leicht nicht dran.

PS: Ich hab mir mal den Spaß gemacht und die "Volksbankseite" man in einem ungepachten IE besucht. Die versuchen sogar die URL in der Browserzeile zu verstecken:

http://img495.imageshack.us/img495/5007/volksbankphising25ws.png

Leider sitzt das Programm ein paar Pixel zu hoch und zu weit links.

Dummerweise kommen die falschen Einträge immer von der gleichen IP, sind also sehr leicht zu filtern. Die Phishers sind keine Dummköpfe, die kriegst so leicht nicht dran.

Hi Exe,

Ja, genau deswegen hatte ich ja auch die Idee, das Skript möglichst breit zu streuen und auf den jeweiligen User-Rechnern laufen zu lassen! ;) Dann wäre das IP-Problem gelöst - wenn nur genügend Leute mitmachen!

Könnte sich solch ein Skript nicht auch von einem webservice (gibts solche Anbieter?) jeweils vor Absenden der Daten mit einer dynamischen IP versorgen lassen? Das wäre die absolute Lösung! :skull:

Gruß

Leo ist nicht dumm. Wer sagt denn, dass nicht Leo ebenfalls ein automatisiertes Skript einsetzt, um mit den gephishten Daten eine Überweisung (via Botnetz natürlich) zu versuchen? Die meisten Versuche gehen natürlich schief, aber das kostet Leo ja keine Rechenzeit. Nur erfolgreiche Versuche werden an Leo zurückgemeldet. Ich mein' ja nur.....

- kjz

Hallo kjz1!

Ja, das wird der wohl so machen wie Du es beschreibst! Ich denke auch dass das Abuchungs-Skript regelmäßig wieder an die jeweiligen Einlog-Seiten der bevorzugten angepasst wird... deswegen kommen die Phishing-mails meiner Meinung nach auch immer gehäuft für 1 bis 3 Banken... Postbank, Citibank, Raiffeisen... eben für diejenigen auf die das Abbuchungs-Skript gerade anktualisiert wurde.

Aber zum eigentlichen Zweifel dass das von mir angedachte Skript möglicherweise wegen der Automation auf Seiten der Phisher nichts bringen würde:

Wenn auf Phisher-Seite bzw. in deren Botnetz ein Skript zum automatischen Abbuchungsversuch läuft, so müsste doch bei den Banken registrierbar sein, dass hunderte fehlerhafter Zugriffsversuche in kürzester Zeit stattfinden, nicht wahr? Wäre es dann nicht bankseits möglich, eine bestimmte IP-Adresse (der Phisher selbst, dessen Bot#1, Bot#2 ...) automatisch zu blocken sobald von dort mehr als x erfolglose Zugriffsversuche je Zeitintervall kommen? Ein Normaluser der sich bei seiner Bank einloggt würde wohl kaum hunderte Einloggversuche für diverse Kontonummern in wenigen Sekunden schaffen, oder?

Also, Meinungen bitte! :-)

Gruß

Finn76

Na ja, ein Botnet besteht oft aus vielen tausend Drohnen und wenn man pro Zombie nur 3 Versuche startet und dann zyklisch wieder von vorne anfängt? So etwas intelligent zu blocken, dürfte nicht völlig trivial sein. Und ob die Banken so viel Aufwand betreiben? Ist ja schliesslich nicht ihr Geld.....

- kjz

Leo ist nicht dumm.
Bist Du sicher? Nimm einmal an, Du hättest noch nie von der Masche der Phisher gehört. Würde es Dir nicht dennoch seltsam vorkommen, wenn Du eines abends vom Job heim kommst und sich 10-12 Mails mit unterschiedlichen Betreffzeilen und unterschiedlichen Absendern, die alle irgend etwas mit Deinem Volksbankkonto zu tun haben wollen, in Deinem Mail-Postfach befinden? Spätestens dann fällt Dir vermutlich auch ein, dass die von der Volksbank gar nicht wissen können, dass Du diese Mail-Adresse hast. Und dann da telefonisch nachzufragen, ist wohl einigermaßen logisch.

Ich denke daher, dass die massierten Versuche wohl doch auf Dummheit durch Gier schliessen lassen. Abgesehen davon, dass die meisten Empänger vermutlich kein Konto bei einer Volksbank haben, dürfte durch das massives Mail-Bombardement noch der letzte Trottel mit Volksbank-Konto merken, dass da etwas nicht stimmen kann, wenn er nämlich entsprechende Mails im Dutzend bekommt. Und dann machen die den Versuch schon über Tage hinweg. Nicht jeder liest täglich Mails. Die Wahrscheinlichkeit Phishing-Mails im Zusammenhang mit den Volksbanken vorzufinden steigt dann noch einmal an. Bzw. im Gegenzug senken die Gauner ihre Erfolgschance deutlich.

M. Boettcher

...wenn man pro Zombie nur 3 Versuche startet und dann zyklisch wieder von vorne anfängt?

Dann haben wir durch die dafür nötige Koordination der bots untereinander zumindest einen massiven Zeitverlust bis es mal einen erfolgreichen Versuch gibt. Und noch was, selbst wenn die bots nur je 3 Versuche machen und sich danach abwechseln würden, so wäre doch in den Banklogfiles auffällig, dass diese Versuche zum Großteil in kurzen Zeitabständen nacheinander und meist mit nicht existenten Kontonummern geschehen würden... dafür würde das Skript ja genau die sinnfreien Nummern generieren! Dieses ließe sich sicher registrieren und automatisiert blocken.


Ist ja schliesslich nicht ihr Geld.....

Nicht? Ich dachte die Banken sind bei Onlinebetrug mittlerweile zur Erstattung verpflichtet worden! Wenn es so ist besteht dort sicher ein starkes Interesse dem ganzen möglichst viele Steine in den Weg zu legen respektive das Phishing zu unterbinden.

Gruß

Finn76

Nicht? Ich dachte die Banken sind bei Onlinebetrug mittlerweile zur Erstattung verpflichtet worden! Wenn es so ist besteht dort sicher ein starkes Interesse dem ganzen möglichst viele Steine in den Weg zu legen respektive das Phishing zu unterbinden.

Gruß

Finn76
Da gibt es sicherlich kein Gesetz, das die Banken verpfllichtet den Schaden zu erstzen. Wenn die das tun, machen sie das freiwillig um einen Vertrauensschaden zu vermeiden.

Da gibt es sicherlich kein Gesetz, das die Banken verpfllichtet den Schaden zu erstzen. Wenn die das tun, machen sie das freiwillig um einen Vertrauensschaden zu vermeiden.

Stimmt leider, jetzt wo ich mich etwas schlauer gelesen habe. :(

Bist Du sicher? Nimm einmal an, Du hättest noch nie von der Masche der Phisher gehört. Würde es Dir nicht dennoch seltsam vorkommen, wenn Du eines abends vom Job heim kommst und sich 10-12 Mails mit unterschiedlichen Betreffzeilen und unterschiedlichen Absendern, die alle irgend etwas mit Deinem Volksbankkonto zu tun haben wollen, in Deinem Mail-Postfach befinden?

Ich würde nicht drauf reinfallen, aber Spammer arbeiten nach Barnum's Gesetz: 'Jeden Morgen stehen mindestens 10 neue Dumme auf, und genau die gilt es zu erwischen...'. Da die Ausbeute anscheinend nachlässt, versucht man es jetzt halt mit 'Brute Force' Attacken. Das war auch schon immer Spammer-Logik: wenn der Umsatz nachlässt, hilft nur noch mehr Spam... Und leider stehen den Spammern durch Botnetze jetzt auch massiv Kapazitäten zur Verfügung. Früher, als der Spam noch von wenigen spammereigenen Servern abgesetzt wurde, wäre so etwas nicht möglich gewesen. Langsam aber sicher kommen wir in Regionen, wo das weltweite Mail-System wegen dDoS-ähnlichem Spamdauerfeuer zunehmend unbrauchbar wird.

- kjz

Früher, als der Spam noch von wenigen spammereigenen Servern abgesetzt wurde, wäre so etwas nicht möglich gewesen. Langsam aber sicher kommen wir in Regionen, wo das weltweite Mail-System wegen dDoS-ähnlichem Spamdauerfeuer zunehmend unbrauchbar wird.

- kjz
Ja, Du hast uneingeschränkt recht.
Es ist langsam ein Katstophe!
Und es gibt bisher keine überzeugende Lösung.

Ich würde nicht drauf reinfallen, aber Spammer arbeiten nach Barnum's Gesetz: 'Jeden Morgen stehen mindestens 10 neue Dumme auf, und genau die gilt es zu erwischen...'. Da die Ausbeute anscheinend nachlässt, versucht man es jetzt halt mit 'Brute Force' Attacken. Das war auch schon immer Spammer-Logik: wenn der Umsatz nachlässt, hilft nur noch mehr Spam...
Das mag für Viagra-Spam gelten. Hier geht es aber um phishing, und das funktioniert etwas subtiler. Wenn man da eine einzige Mail sieht, die auf den ersten, flüchtigen Blick von der eigenen Bank stammt, mag die Zahl der Dummen noch hoch sein. Aber wenn man 10 Stück oder mehr davon an einem einzigen Tag im Postfach findet, mit ähnlichem, aber doch abgewandelten Subjekt und leicht unterschiedlichem Absender, sinkt die Quote sicher drastisch. Einfach deshalb, weil auch Dummheit noch abgestuft ist.

Zudem kann man bei Viagra ein relativ gleichmäßiges "Interesse" bei den Empfängern noch vermuten. Beim Phishing aber ist nur der Teil interessant, der bei den Target-Kreditinstituten überhaupt ein Konto hat. Da ist das Potential schon um Größenordnungen geringer, die Streuverluste per se höher. M. E. hat man beim Phishing pro Bank genau einen Schuss. D. h., dass man jedem potentiellen Deppen eine Mail zustellt. Entweder es funktioniert, oder es funktioniert nicht. Und ggf. klappt das 4 Wochen später noch einmal. Das aber wie spam jedem täglich mehrfach und in in Massen zuzusenden, das bedeutet nahezu jeden auf die Fälschung aufmerksam zu machen.

M. Boettcher

Und der Aufwand bei Phishing ist auch ungleich höher.
Der "Begünstigte" muss ja auch erst einen Geldwäscher finden, über dessen Konto er die Transaktion durchführen kann. Und dieser ist nach der ersten Transaktion verbrannt, weil er sofort idendifiziert werden kann.
Wahrscheinlich ist dieser die eigentlich "arme Sau".
Ich gebe dieser Methode kein allzulange Lebendauer mehr.
Die Banken reagieren, die Masche wird bekannt und "Geldwäscher" werden auch immer schwierige zu finden.
Und die ersten Jungs hat man in Estland festgenommen, die dort festgestellten Beträge von einigen 100 tsd.€ sind ein Witz gegenüber den erzielten Gewinnen im Dialgeschäft.

Das Problem der Phisher, wie aller anderen Spammer ist, dass sie einen erreichbaren Host für die "echte" Website brauchen. Im Gegensatz zu den Viagra-Spammern, die oftmals einfach nach dem Referrer-Prinzip arbeiten (leiten mit dem Link auf eine echte, wenn auch zweifelhafte Medizin-Seite, und werden prozentual am gemachten Umsatz beteiligt), ist nach "Verbrennen" des Hosts jeglicher Link auf diese Seite nutzlos. Was mich ärgert ist, dass es in manchen Fällen eeeeewig dauert, bis diese Seite überhaupt gedroppt wird.

Die Phishe, die ich momentan erhalte (hauptsächlich Volksbank), leiten meist auf asiatische Deppenserver, deren Provider nur einen abartigen Dialekt ihrer Landessprache mächtig sind, weshalb jegliche Kommunikation von aussen sinnlos ist, und wenn einer mal englisch versteht, ist der MQ (Merkbefreiungs-Quotient) weit über 100 Punkten anzusiedeln...

Die Phishe, die ich momentan erhalte (hauptsächlich Volksbank), leiten meist auf asiatische Deppenserver, deren Provider nur einen abartigen Dialekt ihrer Landessprache mächtig sind, weshalb jegliche Kommunikation von aussen sinnlos ist, und wenn einer mal englisch versteht, ist der MQ (Merkbefreiungs-Quotient) weit über 100 Punkten anzusiedeln...

Die Chinesen wissen haargenau, was da läuft, oder glaubst Du, in einem völligen Überwachungsstaat wie China würde so etwas in diesem Umfang längere Zeit ohne Wissen des staatl. Geheimdienstes stattfinden können? Nein, ich glaube, die Spam-Hosterei geschieht dort vorsätzlich und mit voller staatlicher Billigung. Und keiner traut sich etwas zu sagen, schliesslich machen alle (USA, EU, etc.) mit China Milliardengeschäfte....

Und falls mal völlig 'Not am Mann' ist, hosten die Spammer auch mit rotierenden IPs auf Botnetzen.

- kjz

Das Problem der Phisher, wie aller anderen Spammer ist,
Ich würde die Phisher nicht einfach mit spammern in einen Topf werfen. spam ist sehr, sehr lästig aber meist lange nicht in dem Maße kriminell wie phishing, wenn man vom Trend Bot-Netze für spamming einzusetzen einmal absieht. Wobei in den Fällen der Bot-Netz-Betreiber der eigentlich Kriminelle und nicht unbedingt mit dem "Werbetreibenden" identisch ist. Bei spam zu Marketingzwecken steht bei Erfolg der Aktion schließlich der Kauf einer Ware an. Da erfolgt also lediglich die Geschäftsanbahnung unter Ausnutzung der von dritten bezahlten Infrastruktur. Beim Angebot geklauter SW ist die kriminelle Energie natürlich höher. phishing betrachte ich aber wie Einbruch, schweren Diebstahl und Raub noch höher, was die kriminelle Energie angeht. Und Provider im Ausland, die diesen Leuten eine Plattform bieten, sind als Handlanger ebenso zu betrachten. Interessant finde ich dabei, dass totalitäre Staaten offenbar jedem Gangster eine Fülle von Möglichkeiten bieten seinen kriminellen "Geschäften" nachzugehen, solange anzunehmen ist, dass vor allem Bürger von Drittstaaten Ziel der Machenschaften sind.

M. Boettcher

Mein Kommentar zu den Problemen der Phisher bezog sich auf den rein technischen Aspekt der Geschichte, weniger um die Schwere des ausgeübten Verbrechens. Ansonsten stimme ich drboe, was den Wirtschaftsterrorismus angeht, voll und ganz zu. Jedoch wäre es jederzeit möglich - da momentan noch die USA eine Quasi-Hohheit über das Internet inne haben (mittels ICANN), dem entgegenzutreten, was aus ebenfalls wirtschaftlichen Interessen niemals geschehen wird - leider.

Irgendwie verlernen die die deutsche Sprache wieder, die Texte waren doch schon besser.
Oder sind das Nachwuchskräfte die die Arbeit der verhafteten Cheffs übernehmen wollen?
Heute um 11.45 h erhalten:

Bemerken Sie: Das ist eine Dienstnachricht mit der mit Ihrer Bank verbundenen Information. Es kann spezifische Details uber Transaktionen, Produkte oder On-Line-Dienstleistungen einschlie?en. Wenn Sie kurzlich Ihre Rechnung annullierten, ignorieren Sie bitte diese Nachricht.





Liebe PostBank Kunde:

Im Zusammenhang mit der komplizierten Situation, die in unserem Land mit online - Banking zustande gekommen ist, haben wir die Verordnung bekommen, alle online - Konten von unserer Bank zu uberprufen. Diese Ma?nahme wurde wegen der "Tageskonten" getroffen, die von den Missetatern fur Geldwasche der gestohlenen Mittel benutzt werden.

Wir bitten unsere Kunden instandig, die Form der Kontobestatigung auf unserer offiziellen Seite https://login.postbank.de/app/login.prep.do

Die Konten, die bis zum 17.11.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umstande ihrer Eroffnung und Verwendung gebunden. Diese Kontrolle ist sowohl fur die Privatkunden, als auch fur die Firmenkunden aktuell.

Wir entschuldigen uns fur die Unannehmlichkeiten, die wir Ihnen mit der Durchfuhrung der Ma?nahme bereitet haben, wir hoffen auf Ihre Mithilfe und Verstandnis.

Mit freundlichen Gru?en, Sicherheitsabteilung,


PostBank




©2005 PostBank




Was die tun, wissen sie wohl.

die von den Missetatern fur Geldwasche der gestohlenen Mittel benutzt werden.

Heute ist mal wieder die Volksbank dran. Wie verzweifelt muss Leo wohl sein, wenn er permanent dieselben Leute anschreibt: "Steter Tropfen höhlt den Stein"? Mich würde die Statistik interessieren, wieviele DAUs da noch reagieren.Return-Path: <custservice_id_41 [at] volksbank.de>
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.74 ([206.11.245.249]) by .de
with smtp id 012345-6789012; Tue, 31 Jan 2006 08:02:43 +0100
FCC: mailbox://custservice_id_41 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Tue, 31 Jan 2006 19:01:23 -0400
From: Volksbanken Raiffeisenbanken <custservice_id_41 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <...>
Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING [Wed, 01 Feb 2006 02:02:23 +0300]
Content-Type: multipart/related;
Spam-Link: http://202.108.97.139/rpm/

Ein Telnet auf 202.108.97.139:80 bringt folgende Ausgabe (interessant ist die uns um 6 Stunden vorauslaufende chinesische Uhrzeit):

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<title>Cannot process request!</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rev="made" href="mailto:root [at] localhost" />
<style type="text/css">
<!--
body {color: #000000; background-color: #FFFFFF; }
a:link { color: #0000CC; }
-->
</style>
</head>
<body>
<h1>Cannot process request!</h1>
<dl>
<dd>

The server does not support the action requested by the browser.

</dd></dl><dl><dd>
If you think this is a server error, please contact the <a href="mailto:root [at] localhost">webmaster</a>

</dd></dl>
<h2>Error 501</h2>
<dl>
<dd>
<address>
<a href="/">127.0.0.1</a>
<br />

<small>Tue 31 Jan 2006 04:23:33 PM EST</small>
<br />
<small>Apache/2.0.40 (Red Hat Linux)</small>
</address>
</dd>
</dl>
</body>
</html>

Heute beworben:

http://211.157.100 .75:180/r1/v/ ---> Volksbank

früher:

http://218.28.165. 168:180/rock/e/ ---> eBay

http://218.28. 165.168:180/rock/d/ ---> Deutsche Bank

Man merkt, Leo geht systematisch vor: Port 180, v=Volksbank, e=eBay, d=Deutsche Bank evtl. gibt es da schon Skripte, um die Phishing-Server (bzw. Server-Proxies) automatisiert anzulegen?

-kjt

http://202.108.97. 139/rpm/

ist immer noch aktiv. Vermieten die Chinesen jetzt auch schon offen illegale Server zum Phishen?

- kjz

Einmal direkt:

header:
01: Return-Path: <support_id_8 [at] volksbank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to xxxxx [at] gmx.net
04: Received: (qmail invoked by alias); 02 Feb 2006 10:20:31 -0000
05: Received: from adsl-71-133-234-251.dsl.scrm01.pacbell.net (HELO
06: adsl-71-133-234-251.dsl.scrm01.pacbell.net) [71.133.234.251]
07: by mx0.gmx.net (mx065) with SMTP; 02 Feb 2006 11:20:31 +0100
08: FCC: mailbox://support_id_8 [at] volksbank.de/Sent
09: X-Identity-Key: ID1
10: Date: Thu, 02 Feb 2006 19:03:33 -0700
11: From: VOLKSBANKEN RAIFFEISENBANKEN <support_id_8 [at] volksbank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: xxxxx [at] gmx.net
15: Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING [Fri, 03 Feb 2006 08:03:33 +0600]

... und gleich nochmal als BCC:
header:
01: Return-Path: <identdep_op6883520070520 [at] volksbank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 02 Feb 2006 01:10:15 -0000
05: Received: from 84-122-131-42.onocable.ono.com (HELO 84-122-131-42.onocable.ono.com)
06: [84.122.131.42]
07: by mx0.gmx.net (mx059) with SMTP; 02 Feb 2006 02:10:15 +0100
08: FCC: mailbox://identdep_op6883520070520 [at] volksbank.de/Sent
09: X-Identity-Key: ID1
10: Date: Thu, 02 Feb 2006 23:11:25 +0600
11: From: VOLKSBANKEN RAIFFEISENBANKEN <identdep_op6883520070520 [at] volksbank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: notme [at] gmx.net
15: Subject: Volksbanken Raiffeisenbanken Online-Banking


http://211.157.100.75:180/r1/v/

Ebenfalls:
From supprefnum0458071017 [at] volksbank.de Thu Feb 2 11:30:44 2006
Return-Path: <supprefnum0458071017 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 02 Feb 2006 11:30:35 -0000
Received: from 212.118.20.16.ua.batelco.jo (HELO 212.118.20.16.ua.batelco.jo) [212.118.20.16]
by mx0.gmx.net (mx070) with SMTP; 02 Feb 2006 12:30:35 +0100
FCC: mailbox://supprefnum0458071017 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Fri, 03 Feb 2006 05:30:46 +0200
From: VOLKSBANKEN RAIFFEISENBANKEN <supprefnum0458071017 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Es ist wichtig!
Content-Type: multipart/related;
boundary="------------080104090908070607070001"
Message-ID: <20060202113044.27198gmx1 [at] mx070.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=4.024; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO)
X-GMX-UID: M4iTY1oLeSEkNC4gGHQhaXN1IGRvbwD2
http://211.157.100.75:180/r1/v/

Plus ein wenig Belletristik:

They may even recognize you for one of their own, Paul. what a surprise! Open Directory he wanted to ask her, and didn't.

He took three dry, then crawled back to the door and lay down against it, blocking it with the weight of his body. The fourth was their father, Adrian Krenmitz, 41. I'll be right back. It was the first day of summer. So the doctor never came. An hour later, full of dope and drifting off to sleep, the sound of the howling wind now soothing rather than frightening, he thought: I'm not going to escape. The riding mower was a small tractor-like vehicle meant for keeping larger-than-average lawns neat and clipped. It's O.K.
Is' eigentlich heute schon Freitag?

Von: VOLKSBANKEN RAIFFEISENBANKEN <supprefnum0458071017 [at] volksbank.de>
An: XXX
Betreff: Es ist wichtig!
Datum: Fri, 03 Feb 2006 05:30:46 +0200
:D

Leo legt wieder los:

http://www. volksbank.de.dhlmailcorp.com/r1/v/

Domain Name : dhlmailcorp.com ---> 218.54.91.50 ---> Hanaro

Nameserver: nsa28.serverbackup64.com ---> 210.21.113.207 ---> CNCGROUP-GD

Bei der Phishing-Domain legt er sich auch noch mit DHL (Markenrechte) an. Der Nameserver steht bereits auf Registrar Hold, also auch hier wieder massives DNS-Spoofing.

- kjz

From support_refnum_1121461798689 [at] volksbank.de Mon Feb 20 16:40:13 2006
Return-Path: <support_refnum_1121461798689 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 20 Feb 2006 16:40:10 -0000
Received: from dsl82-163-80-25.as15444.net (HELO dsl82-163-80-25.as15444.net) [82.163.80.25]
by mx0.gmx.net (mx082) with SMTP; 20 Feb 2006 17:40:10 +0100
FCC: mailbox://support_refnum_1121461798689 [at] volksbank.de/Sent
X-Identity-Key: Id3823
Date: Tue, 21 Feb 2006 03:44:04 -0500
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_refnum_1121461798689 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Volksbanken Raiffeisenbanken Online-Banking
Content-Type: multipart/related;
boundary="------------080109030406040307010001"
Message-ID: <20060220164013.4608gmx1 [at] mx082.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=6.902; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 SUB_ONLINE VOLKSBANK_PHISHING_SUBJECT1 FROM_HAS_ULINE_NUMS)
X-GMX-UID: upWLY2RzeSEkIC4gGHQhaXN1IGRvb8Ct
http://218.38.43.61:180/r1/v/

"Lyrik":

He couldn't tell. What a painful loss. Dr. Dree She rolled over, struggling to her knees.

and then suddenly changing direction and speeding up from an amble to an all-out bolt which had ended in the bathroom. "They're out to get me, all of them! He didn't want to cry out here in the hall, but he might. That was all. Complain to the management, Paul. Geoffrey had been chiming in his own memories of the adventure, wholly in the grip of his grief by then, and he cursed that grief how, because to him (and to Ian as well, he supposed), Shinny had barely been there. Then, from the front page of the June 1st Denver Post:Anne Wilkes, the thirty-nine-year-old head nurse of the maternity ward at Boulder Hospital, is being questioned today about the deaths of eight infants — deaths which have taken place over a span of some months. ?? ???

From custservice_858694883657 [at] volksbank.de Mon Feb 20 23:54:58 2006
Return-Path: <custservice_858694883657 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 20 Feb 2006 23:54:56 -0000
Received: from d36-182-71.home1.cgocable.net (HELO d36-182-71.home1.cgocable.net) [24.36.182.71]
by mx0.gmx.net (mx064) with SMTP; 21 Feb 2006 00:54:56 +0100
FCC: mailbox://custservice_858694883657 [at] volksbank.de/Sent
X-Identity-Key: ID04
Date: Tue, 21 Feb 2006 09:52:21 -0600
From: VOLKSBANKEN RAIFFEISENBANKEN <custservice_858694883657 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------060104020803090800070004"
Message-ID: <20060220235457.11322gmx1 [at] mx064.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=3.303; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS)
X-GMX-UID: hjOIY15NeSEkMi4gGHQhaXN1IGRvb8A4
http://218.38.43.61:180/r1/v/

Nette Idee übrigens, das Bild alcoholism.gif zu nennen. ;)

Die wichtigen Mitteilungen gehen auch bei mir wieder los. Leider hat es Leo offenbar geschafft, das Script von <phishfighting.com> abzufangen. Obwohl die Phishing-Server erreichbar sind, funktionieren eingegebene Adressen dort nicht mehr (Timeout).

Return-Path: <support_refnum_x [at] volksbank.de>
Received: from usr203091163212.usr.starcat.ne.jp ([203.91.163.212]) by .de
with smtp id 000000-0000000; Tue, 21 Feb 2006 12:xx:39 +0100
FCC: mailbox://support_refnum_x [at] volksbank.de/Sent
X-Identity-Key: Id00000
Date: Wed, 22 Feb 2006 05:xx:29 +0200
From: Volksbanken Raiffeisenbanken <support_refnum_x [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <..>
Subject: Die wichtige Mitteilung
218.54.91.50:180/r1/v/

Return-Path: <online-support_id_1251184466563 [at] volksbank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 01 Mar 2006 00:46:43 -0000
Received: from 201-40-151-102.paemt700.dsl.brasiltelecom.net.br (HELO 201-40-151-102.paemt700.dsl.brasiltelecom.net.br) [201.40.151.102]
by mx0.gmx.net (mx091) with SMTP; 01 Mar 2006 01:46:43 +0100
Received: from protgp.com (naturopath.zoneedit.com [91.236.128.54])
by pinnaclesports.com with SMTP id 4LGMSIJMKF
for <xxx>; Tue, 28 Feb 2006 16:46:16 -0800
Received: from surfeador.com [81.84.20.53]
by realboys4u.com with SMTP id 3I00E0IY3F
for <xxx>; Tue, 28 Feb 2006 19:38:16 -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <infonum-9702716 [at] volksbank.de>
To: "xxx" <xxx>
Subject: Die wichtige Mitteilung
Sender: "Volksbanken Raiffeisenbanken AG" <online-support_id_96223394622592 [at] volksbank.de>
X-Mailer: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="Y9OURK7M494KIXRSJ"
Date: Wed, 1 Mar 2006 01:46:47 +0100
Message-ID: <20060301004647.2170gmx1 [at] mx091.gmx.net>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=2.349; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3)
X-GMX-UID: r4t2ZB5peSEkKcJKenQhaXN1IGRvbwCc

http://www.volksbank.de.custsupportref1007.lohanna.com/r1/vf/

Und wahrscheinlich auf derselben IP:

http://www.volksbank.de. custsupportref1007.mabberas.com/r1/vf/

Domain Name: MABBERAS.COM ---> 218.147.2.81 ---> KORNET, KR
Registrar: ALANTRON BLTD.
Whois Server: whois.alantron.com
Referral URL: http://www.alantron.com
Name Server: MPTR02.ALANTRON.COM ---> 85.105.185.210 ---> TurkTelekom
Name Server: NSA28.SERVERBACKUP64.COM ---> 210.21.113.207 ---> CNCGROUP-GD
Status: ACTIVE
Updated Date: 27-feb-2006
Creation Date: 27-dec-2005
Expiration Date: 27-dec-2006


The server returned the following data:

www.volksbank.de.custsupportref1007.lohanna.com A 218.147.2.81
esrreta.com A 218.147.2.81
custsupportref1007.esrreta.com A 218.147.2.81
de.custsupportref1007.esrreta.com A 218.147.2.81
volksbank.de.custsupportref1007.esrreta.com A 218.147.2.81
www.volksbank.de.custsupportref1007.esrreta.com A 218.147.2.81
marthaeke.com A 218.147.2.81
www.volksbank.de.custsupportref1007.marthaeke.com A 218.147.2.81
manicte.com A 218.147.2.81
www.manicte.com A 218.147.2.81
mabberas.com A 218.147.2.81
mgmcomps.com A 218.147.2.81
de-custsupportref1007.alysass.com A 218.147.2.81
volksbank.de-custsupportref1007.alysass.com A 218.147.2.81
www.volksbank.de-custsupportref1007.alysass.com A 218.147.2.81
finemoviess.com A 218.147.2.81
tigehat.com A 218.147.2.81


- kjz

Jetzt hat Leo einen Rechner der Uni in Brasilia gekapert:

http://164.41.57. 42/rpm/

- kjz

Drei neue Domains in Leos Phishing Kit:

http://www.volksbank.de. finemoviess.com/r1/vf/

http://www.volksbank.de. mgmcomps.com/r1/vf/

http://www.volksbank.de. alysass.com/r1/vf/

- kjz

Und wieder Lohanna:

Domain Name: LOHANNA.COM ---> 218.206.148.190 ---> CMNET-jiangsu

Name Server: NSA33.SERVERBACKUP64.COM ---> 221.146.130.189 ---> Kornet

Name Server: NSA34.SERVERBACKUP64.COM ---> 211.194.75.128 ---> Kornet

Serverbackup64.com ist von Yesnic schon länger auf Registrar-Hold gesetzt, aber das kümmert Leo nicht, der hält (wie bei seinen Medz Spams) seine bespammten Domains per DNS Spoofing alive.

- kjz

Und wieder eine neue Domain:

http://www.volksbank.de. lawases.com/r1/vf/

Domain Name: LAWASES.COM ---> 218.202.105.6 ---> China Mobile

Name Server: NSA33.SERVERBACKUP64.COM ---> 218.51.159.200 ---> Hanaro, KR
Name Server: NSA34.SERVERBACKUP64.COM ---> 211.194.75.128 ---> Kornet, KR

Kost Leo ja wahrscheinlich nichts. Wenn man mit gephishten Kreditkarten bezahlt....

- kjz

vorab...

mir wird desöfteren vorgeworfen, ich jage ungeziefer mit atombömbchen...

einstweilen war der grundgedanke folgender:
je länger eine liste zum abklappern ist, desto länger dauert das.
demnach bietet es sich an, zu bereichen (ranges) zusammenzufassen.
in meinem fall habe ich die möglichkeit root-server zu fahren, bei denen ich nach herzenslust würzen kann...
heißt im klartext: ich lasse spammer ihre versuche unternehmen und die logdateien analysieren...
dann fliegen die in eine liste, die brav sortiert wird.
am ende geht der unfug pauschal erstmal in die firewall, nachdem sichergestellt ist, daß ein serversuizid nicht vorkommen kann.
ende der vorstellung...

man läßt die liste wachsen und kontrolliert sie nach und nach, faßt die ranges zusammen gemäß dem unten gezeigten beispiel...

das ergebnis: ich habe meine ruhe und die patienten bleiben draußen

~~~

es sind die üblichen spaßvögel mit dabei: comcast, koreanet, bisschen ttnet.tr incl. der doch sehr dubios agierenden aol-proxies *g*

have phun!



Hostanzahl Subnetzmaske
--------------------------------
/8 16777216 255.0.0.0
/9 128x65536 255.128.0.0
/10 64x65536 255.192.0.0
/11 32x65536 255.224.0.0
/12 16x65536 255.240.0.0
/13 8x65536 255.248.0.0
/14 4x65536 255.252.0.0
/15 2x65536 255.254.0.0
/16 65536 255.255.0.0
/17 128x256 255.255.128.0
/18 64x256 255.255.192.0
/19 32x256 255.255.224.0
/20 16x256 255.255.240.0
/21 8x256 255.255.248.0
/22 4x256 255.255.252.0
/23 2x256 255.255.254.0
/24 256 255.255.255.0
/25 128 255.255.255.128
/26 64 255.255.255.192
/27 32 255.255.255.224
/28 16 255.255.255.240
/29 8 255.255.255.248
/30 4 255.255.255.252



Range: 4.0.0.0/8
Range: 10.0.0.0/8
Range: 12.0.0.0/8
Range: 24.0.0.0/8
Range: 30.0.0.0/8
Range: 52.0.0.0/8
Range: 53.0.0.0/8
Range: 54.0.0.0/8
Range: 55.0.0.0/8
Range: 56.0.0.0/8
Range: 57.0.0.0/8
Range: 58.0.0.0/8
Range: 59.0.0.0/8
Range: 60.0.0.0/8
Range: 61.0.0.0/8
Range: 62.72.72.0/24
Range: 62.134.13.0/24
Range: 62.134.53.0/24
Range: 62.153.103.0/24
Range: 62.154.215.0/24
Range: 62.156.178.0/24
Range: 62.193.128.0/24
Range: 62.225.52.0/24
Range: 62.236.76.0/24
Range: 62.245.207.0/24
Range: 64.12.83.0/24
Range: 64.12.115.0/24
Range: 64.12.118.0/24
Range: 64.12.119.0/24
Range: 64.12.120.0/24
Range: 64.62.133.0/24
Range: 64.238.0.0/16
Range: 65.52.0.0/16
Range: 65.53.0.0/16
Range: 65.55.0.0/16
Range: 65.202.26.0/24
Range: 67.160.0.0/16
Range: 67.161.0.0/16
Range: 67.162.0.0/16
Range: 67.163.0.0/16
Range: 67.164.0.0/16
Range: 67.165.0.0/16
Range: 67.166.0.0/16
Range: 67.167.0.0/16
Range: 67.168.0.0/16
Range: 67.169.0.0/16
Range: 67.170.0.0/16
Range: 67.171.0.0/16
Range: 67.172.0.0/16
Range: 67.173.0.0/16
Range: 67.174.0.0/16
Range: 67.175.0.0/16
Range: 67.176.0.0/16
Range: 67.177.0.0/16
Range: 67.178.0.0/16
Range: 67.179.0.0/16
Range: 67.180.0.0/16
Range: 67.181.0.0/16
Range: 67.182.0.0/16
Range: 67.183.0.0/16
Range: 67.184.0.0/16
Range: 67.185.0.0/16
Range: 67.186.0.0/16
Range: 67.187.0.0/16
Range: 67.188.0.0/16
Range: 67.189.0.0/16
Range: 67.190.0.0/16
Range: 67.191.0.0/16
Range: 68.0.0.0/8
Range: 69.19.14.0/24
Range: 69.62.0.0/16
Range: 69.136.0.0/16
Range: 69.137.0.0/16
Range: 69.138.0.0/16
Range: 69.139.0.0/16
Range: 69.140.0.0/16
Range: 69.141.0.0/16
Range: 69.142.0.0/16
Range: 69.143.0.0/16
Range: 70.0.0.0/8
Range: 71.96.0.0/16
Range: 71.97.0.0/16
Range: 71.98.0.0/16
Range: 71.99.0.0/16
Range: 71.110.0.0/16
Range: 71.111.0.0/16
Range: 71.112.0.0/16
Range: 71.113.0.0/16
Range: 71.114.0.0/16
Range: 71.115.0.0/16
Range: 71.116.0.0/16
Range: 71.117.0.0/16
Range: 71.118.0.0/16
Range: 71.119.0.0/16
Range: 71.120.0.0/16
Range: 71.121.0.0/16
Range: 71.122.0.0/16
Range: 71.123.0.0/16
Range: 71.124.0.0/16
Range: 71.125.0.0/16
Range: 71.126.0.0/16
Range: 71.127.0.0/16
Range: 72.0.0.0/8
Range: 75.0.0.0/8
Range: 80.75.192.0/24
Range: 80.190.242.0/24
Range: 81.7.200.0/24
Range: 81.24.32.0/24
Range: 81.219.160.0/24
Range: 82.96.81.0/24
Range: 82.139.8.0/24
Range: 82.141.128.0/24
Range: 82.193.65.0/24
Range: 82.208.10.0/24
Range: 83.142.112.0/24
Range: 83.230.18.0/24
Range: 84.96.0.0/16
Range: 84.97.0.0/16
Range: 84.98.0.0/16
Range: 84.99.0.0/16
Range: 84.110.0.0/16
Range: 84.112.0.0/16
Range: 84.113.0.0/16
Range: 84.114.0.0/16
Range: 84.115.0.0/16
Range: 84.116.0.0/16
Range: 84.117.0.0/16
Range: 84.118.0.0/16
Range: 84.119.0.0/16
Range: 84.120.0.0/16
Range: 84.121.0.0/16
Range: 84.122.0.0/16
Range: 84.123.0.0/16
Range: 84.124.0.0/16
Range: 84.125.0.0/16
Range: 84.126.0.0/16
Range: 84.127.0.0/16
Range: 84.176.241.0/24
Range: 84.205.223.0/24
Range: 85.222.164.0/24
Range: 85.98.0.0/16
Range: 85.99.0.0/16
Range: 86.105.128.0/24
Range: 90.0.0.0/8
Range: 96.0.0.0/8
Range: 97.0.0.0/8
Range: 98.0.0.0/8
Range: 99.0.0.0/8
Range: 100.0.0.0/8
Range: 101.0.0.0/8
Range: 102.0.0.0/8
Range: 103.0.0.0/8
Range: 104.0.0.0/8
Range: 105.0.0.0/8
Range: 106.0.0.0/8
Range: 107.0.0.0/8
Range: 108.0.0.0/8
Range: 109.0.0.0/8
Range: 110.0.0.0/8
Range: 111.0.0.0/8
Range: 112.0.0.0/8
Range: 113.0.0.0/8
Range: 114.0.0.0/8
Range: 115.0.0.0/8
Range: 116.0.0.0/8
Range: 117.0.0.0/8
Range: 118.0.0.0/8
Range: 119.0.0.0/8
Range: 120.0.0.0/8
Range: 124.0.0.0/8
Range: 125.0.0.0/8
Range: 128.139.226.0/24
Range: 129.11.77.0/24
Range: 129.35.232.0/24
Range: 129.212.0.0/16
Range: 130.13.0.0/16
Range: 130.81.0.0/16
Range: 131.181.251.0/24
Range: 132.5.72.0/24
Range: 136.206.1.0/24
Range: 137.164.143.0/24
Range: 139.161.2.0/24
Range: 141.76.0.0/16
Range: 142.35.144.0/24
Range: 143.0.0.0/8
Range: 144.95.32.0/24
Range: 145.97.65.0/24
Range: 145.253.3.0/24
Range: 147.0.0.0/8
Range: 148.177.129.0/24
Range: 157.181.161.0/24
Range: 158.125.1.0/24
Range: 158.195.32.0/24
Range: 160.136.109.0/24
Range: 164.3.200.0/24
Range: 167.80.244.0/24
Range: 169.145.3.0/24
Range: 170.20.11.0/24
Range: 170.56.0.0/16
Range: 171.16.4.0/24
Range: 192.168.0.0/16
Range: 192.205.0.0/16
Range: 193.1.88.0/24
Range: 193.1.229.0/24
Range: 193.23.182.0/24
Range: 193.63.235.0/24
Range: 193.92.123.0/24
Range: 193.95.0.0/16
Range: 193.110.46.0/24
Range: 193.111.93.0/24
Range: 193.136.120.0/24
Range: 193.136.173.0/24
Range: 193.144.16.0/24
Range: 193.170.64.0/24
Range: 193.172.19.0/24
Range: 193.189.247.180
Range: 193.200.15.0/24
Range: 193.202.26.0/24
Range: 194.2.22.0/24
Range: 194.7.176.0/24
Range: 194.8.197.0/24
Range: 194.64.31.0/24
Range: 194.65.23.0/24
Range: 194.71.243.0/24
Range: 194.89.68.0/24
Range: 194.100.242.0/24
Range: 194.109.22.0/24
Range: 194.115.88.0/24
Range: 194.145.121.0/24
Range: 194.152.104.0/24
Range: 194.154.0.0/16
Range: 194.158.104.0/24
Range: 194.162.162.0/24
Range: 194.165.0.0/16
Range: 194.206.254.0/24
Range: 194.232.85.0/24
Range: 194.246.108.0/24
Range: 194.246.109.0/24
Range: 194.251.142.0/24
Range: 194.254.136.0/24
Range: 195.34.133.0/24
Range: 195.93.17.0/24
Range: 195.93.18.0/24
Range: 195.93.19.0/24
Range: 195.93.20.0/24
Range: 195.93.21.0/24
Range: 195.93.24.0/24
Range: 195.93.58.0/24
Range: 195.93.59.0/24
Range: 195.93.60.0/24
Range: 195.93.61.0/24
Range: 195.93.64.0/24
Range: 195.93.65.0/24
Range: 195.93.66.0/24
Range: 195.93.96.0/24
Range: 195.93.97.0/24
Range: 195.93.102.0/24
Range: 195.93.103.0/24
Range: 195.93.104.0/24
Range: 195.117.211.0/24
Range: 195.127.188.0/24
Range: 195.131.84.0/24
Range: 195.145.0.0/16
Range: 195.148.82.0/24
Range: 195.156.245.0/24
Range: 195.162.49.0/24
Range: 195.167.52.0/24
Range: 195.178.33.0/24
Range: 195.206.40.0/24
Range: 195.226.104.0/24
Range: 195.234.144.0/24
Range: 195.243.99.0/24
Range: 195.244.244.0/24
Range: 198.102.219.0/24
Range: 199.0.0.0/8
Range: 200.0.0.0/8
Range: 201.0.0.0/8
Range: 202.0.0.0/8
Range: 203.0.0.0/8
Range: 204.0.0.0/8
Range: 205.0.0.0/8
Range: 206.0.0.0/8
Range: 207.0.0.0/8
Range: 208.0.0.0/8
Range: 209.0.0.0/8
Range: 210.0.0.0/8
Range: 211.0.0.0/8
Range: 212.18.80.0/24
Range: 212.42.244.0/24
Range: 212.45.53.0/24
Range: 212.59.0.0/16
Range: 212.64.160.0/24
Range: 212.66.14.0/24
Range: 212.71.202.0/24
Range: 212.87.148.0/24
Range: 212.96.160.0/24
Range: 212.101.4.0/24
Range: 212.130.38.0/24
Range: 212.135.1.0/24
Range: 212.185.179.0/24
Range: 212.194.0.0/16
Range: 212.195.0.0/16
Range: 212.200.112.0/24
Range: 213.25.78.0/24
Range: 213.148.129.0/24
Range: 213.153.32.0/24
Range: 213.158.123.0/24
Range: 213.160.254.0/24
Range: 213.167.129.0/24
Range: 213.169.107.0/24
Range: 213.175.2.0/24
Range: 213.184.200.0/24
Range: 213.188.206.0/24
Range: 213.191.111.0/24
Range: 213.216.209.0/24
Range: 213.228.0.0/16
Range: 216.109.121.0/24
Range: 216.221.81.0/24
Range: 217.6.39.0/24
Range: 217.17.202.0/24
Range: 217.70.48.0/24
Range: 217.79.181.118
Range: 217.110.35.0/24
Range: 217.144.192.0/24
Range: 218.0.0.0/8
Range: 219.0.0.0/8
Range: 220.0.0.0/8
Range: 221.0.0.0/8
Range: 222.0.0.0/8

That´s all folks!

nice greetz from HeLL
Fatal-Error

Return-Path: <custservice-ref-36746080 [at] vr-networld.de>
X-Flags: 0000
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 05 Mar 2006 15:47:21 -0000
Received: from 82-77-99-57.cable-modem.hdsnet.hu (HELO 82-77-99-57.cable-modem.hdsnet.hu) [82.77.99.57]
by mx0.gmx.net (mx027) with SMTP; 05 Mar 2006 16:47:21 +0100
Received: from [84.63.212.209] (HELO interim.poczta.onet.pl)
by labshost.com with SMTP id RBXIZ7DP84
for <martinstrickmann [at] gmx.de>; Sun, 05 Mar 2006 07:47:30 -0800
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
From: "Volksbanken Raiffeisenbanken 2006" <onlinesupport_id_896194932 [at] volksbank.de>
To: "Martinstrickmann" <x>
Subject: Volksbanken Raiffeisenbanken AG Internet Banking
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="9B4CIFPQXR8W00OKKHU"
Date: Sun, 5 Mar 2006 16:47:22 +0100
Message-ID: <20060305154722.14098gmx1 [at] mx027.gmx.net>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: XW15ZHZWeSEkacJKenQhaXN1IGRvb0A5


http://www.volksbank.de.alysass.com/r1/vf/

Leo startet wieder eine neue Welle gegen die Volksbank:

www.volksbank.de. confproc. cc/r1/vf/

Warum eigentlich in letzter Zeit bevorzugt gegen die Volksbank? Sind da die Kunden 'unbedarfter'? Auffällig auch, dass die Phishing-Seiten sehr oft in Korea gehostet sind. Die Chinesen sind schon skrupellos, scheinen aber noch von den Koreanern übertroffen zu werden.

- kjz

Hab die Mail auch bekommen *arg*. Was mich wundert das die Volksbank scheinbar nur zuschaut, auf Ihrer Seite sind nur Hinweise das die Mail gelöscht werden soll, aber nix mit melden oder so.

Ist nen billiger Apache Server der auf "http://www.volksbank.de. confproc. cc/r1/vf/" läuft...

spannender finde ich die verteilungswege...

etwas sorge bereiten mir seit einigen tagen die patienten aus rumänien

Name: 86-104-182-76.dotro.net
IP-Addrese: 86.104.182.76
Location: BUCURESTI (44.433N, 26.100E)
Netzwerk: 86-RIPE

von dem hatte ich heute etwas zum thema volksbank.

da wird es wohl dringend nötig, mal ein bisschen aktiv zu werden ;-)

schaut mal in eure ssh protokolle, was aus dem rumänischen sektor da rumfleucht *g*

so wäre mein vorschlag der, daß ein spezieller tarn-daemon mal die augen aufreißt, nach sogenannten scannern. das macht nur dann sinn, wenn viele mitmachen. so wäre es möglich, die eingehenden datenpakete zu speichern.
eine essentielle grundlage um heraus zu bekommen, wie leo sich ohne die gängigen proxy-listen zu helfen weiß. zumal ich nicht selten feststellen muß, daß die zielrechner über die der mist letztendlich abgesetzt wird, zumeist gar keine offenen relays bzw. mailserver sind !?!

Und mgmcomps.com/r1/vf/ ist seit über einer Woche auch noch im Spiel. Entweder ist die Rechtsabteilung bei der Dachorganisation der Volksbanken (DIE Volksbank gibt es ja nicht, das ist ja eher ein Bankenverbund) unfähig und Leo nutzt das natürlich gnadenlos aus oder die Koreaner scheren sich absolut den Teufel um Recht und Gesetz, weshalb man sie eigentlich weltweit in ihrem eigenen Intranet schmoren lassen sollte.

- kjz

Fatal-Error: zumal ich nicht selten feststellen muß, daß die zielrechner über die der mist letztendlich abgesetzt wird, zumeist gar keine offenen relays bzw. mailserver sind !?!Leo benutzt keine offenen Proxys für seinen Schund. Der greift auf Tausende von Rechnern in seinen Trojaner-verseuchten Botnetzen zu.

Ich dachte schon, ich krieg garnix mehr :D aber soeben aufgeschlagen:

Return-Path: <reference-id_47273243795 [at] vr-networld.de>
Received: from mailin20.aul.t-online.de (mailin20.aul.t-online.de [172.20.26.74])
by mhead18 with LMTP; Thu, 16 Mar 2006 16:54:00 +0100
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.10 ([196.201.88.53]) by mailin20.sul.t-online.de
with smtp id 1FJudr-0PjAi80; Thu, 16 Mar 2006 16:43:59 +0100
Received: from vidsweb.com (helo yimg.com.damcash.com [78.16.84.255])
by infopact.com with SMTP id OD772MBMAP
for <mein.email [at]accouont.de>; Thu, 16 Mar 2006 07:43:38 -0800
Received: from ciberaula.infase.es (ciberaula.infase.es.revsharehosting.com [75.64.36.119])
by dedicatedcentral.com with SMTP id E1NYK1WQ19
for <mein.email [at] account.de>; Thu, 16 Mar 2006 14:34:38 -0100
From: "Volksbanken Raiffeisenbanken AG Online banking" <operate-ref82455296 [at] vr-networld.de>
To: "Mein Name" <mein.email [at] account.de>
X-MSMail-Priority: 3 (Normal)
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4JKOC0RHHGMOMGBGI.1W"
X-TOI-SPAM: u;0;2006-03-16T15:54:00Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: b2b74507-75cd-4a0b-b6a7-f8f5866cc6a1
X-Seen: false
X-NAS-BWL: No match found for 'operate-ref82455296 [at] vr-networld.de' (59 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] VOLKSBANKEN RAIFFEISENBANKEN INTERNET-BANKING
X-NAS-Classification: 1
X-NAS-MessageID: 246
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


der link geht auf http://www.volksbank.de.dllinfo.cc/r1/vf/

Besonders lustig is dass es die Volksbanken Raiffeisenbanken AG schickt.

Vielleicht sollte man unsere fröhlichen Pisher mal auf nen Kurs bezüglich der Rechtsformen schicken :roflpmp:

ich glaub ich werd mal fröhlich ein paar daten einhacken, vielleicht krieg ich ja dann auch mal wieder ein angebot als money-agent

:jedi:

vorab...

mir wird desöfteren vorgeworfen, ich jage ungeziefer mit atombömbchen...

[...]

man läßt die liste wachsen und kontrolliert sie nach und nach, faßt die ranges zusammen gemäß dem unten gezeigten beispiel...

das ergebnis: ich habe meine ruhe und die patienten bleiben draußen

~~~

es sind die üblichen spaßvögel mit dabei: comcast, koreanet, bisschen ttnet.tr incl. der doch sehr dubios agierenden aol-proxies *g*

have phun! That´s all folks! nice greetz from HeLL
Fatal-Error
@all ich habe nichts gegen sinnvolle Aufzählungen von Fakten, im Zusammenhang von Spam etc.

Aber was nun diese - unendliche - Aneinanderreihung von "Hostanzahl- Subnetzmaske" & "Range:" praktisch für einen Nutzen haben soll, muss mir mal einer glaubhaft erklären.

IMHO außer - langsam aber sicher - das Forum zuzumüllen vielleicht?

Erklaerbaer32.exe wurde gestartet...
Debug:

das sind die bereiche, aus denen ich seit jahren nichts als müll (nicht nur spam alleine) bekommen habe.

fein säuberlich zusammengefaßt. nicht mehr, nicht weniger.

aus dem betrachtungswinkel einer klassischen hausfrau mit windows-xp und aol ist das sicher sinnlos. aus sicht eines administrators durchaus brauchbar, sofern man halbwegs etwas von seinem handwerk versteht. nehmen wir einmal an, daß 1000 server mit populären domains das durchziehen. wer jammert dann wo ?

nicht wir mit belächelnswerten abuse mails voller bitte-bitte, weil man derer patienten mit seinen bescheidenen mitteln auf internationaler ebene nicht habhaft wird, sondern die dortigen provider werden lecker von ihren kunden vollgeweint und die drohen mit anbieterwechsel. das bedeutet image- und kapitalverlust. damit bekommst du sie, nicht aber mit traurigen schreiben in merkwürdigem englisch. falls der witz nicht angekommen sein sollte, der belastungsgrad nimmt zu und nicht ab.

für verschiedene probleme gibt es verschiedene lösungsansätze. das da ist füllmaterial als vorschlag für die lösung bestimmter teilprobleme. ein ultimatives manual gibt es offensichtlich nicht, ansonsten gäbe es dies forum und dem bedürfnis tausender leute, hier zu lesen, nicht. in anderen themenbereichen sind weitere teillösungsvorschläge gepostet. die ganz harten klopapierrollen hab ich zum download verschlimmlinkt. offenbar besteht bei einigen dann doch interesse, denn die statistik erzählt mir, wie oft welches dokument abgerufen wurde. dem einen fehlt hier, dem anderen dort noch etwas. in der kombination erst entfalten sich die neuen optionen.

wenn ich weiß, daß aus dem rumänischen und ungarischen raum ssh-exploits übelster art gefahren werden, dann macht diese liste durchaus sinn. ein server ist zwar noch immer mit dem leck am netz, jedoch greift die wall vorher und drückt die eingehenden anfragen aus dem risiko-bereich sofort in die rundablage. von den speziellen ssh-bugs sind nach derzeitigem erkenntnisstand alle unix-derivate betroffen. die werksinstallation von linux-systemen beinhaltet diesen dienst auf port 22 standardmäßig.
nach dem connect wird in weniger als 10 sekunden die kiste komplett gekapert und fährt wie ein virus, daß sich selbst repliziert, seine umliegenden ranges ab. sucht, wird fündig und schlägt zu...

ich habe hier eigens dafür eine präparierte kiste aufgestellt und daneben gesessen, um mir dieses spiel mal live anzusehen. was in den rechenzentren derzeit abgeht kann man sich kaum vorstellen. bei 1&1 sackt die infrastruktur auf weniger als 30 % ab. schlecht aufgestellt ist man dort in sachen technischer kapazitäten nicht. dazu kommen noch ein paar koreaner, die mit bots permanent versuchen für hanmail.net irgendwelchen unfug abgeben zu lassen. diese fraktion hat in spitzenzeiten (ich hab´s mal drauf ankommen lassen) sage und schreibe 4 GB traffic am tag nur mit fehlermeldungen, die aus den drei zeichen "550" bestanden, produziert.

präventionsmaßnahmen, wie sie vor einem jahr vielleicht noch brauchbar waren, sind definitiv überaltert, wenn man sich ansieht, welchen methoden man heute gegenübersteht. geh davon aus, daß ich meine kisten im griff habe. dennoch laufen diese kisten in einer art gesellschaft. unterstütze ich diese gesellschaft durch mein wissen nicht, bricht die infrastruktur in sich zusammen. dann kann ich meine kisten abschalten, weil sie nicht mehr erreichbar sind. legt jeder dieser gesellschaft sein wissen dabei, haben alle etwas davon und die nummer hat eine vernünftige zukunft...

beispiel: der allseits beliebte freund "leo"...
er zettelt unfug an. was passiert hier ? richtig, es wird fleißig header-material gesammelt und gepostet... sucht man nach taktik und aufhängern.
es gibt aus verschiedenen bereichen techniken und methoden, denen er sich bedient. nun nochmal schnell zurückgekurbelt und kalender rausgezottelt, wie lange der nun schon sein unwesen treibt. huch, neben jedem thread steht ja auch ne hit-zahl *g*... warum diese mitunter so hoch sind, kann ich mir auch nicht erklären. bis zu einem gewissen grad lassen sich manche seiner aktionen zurückverfolgen. bleibt das problem, der verteilung. aus allen headern die ip´s zusammengesammelt und in eine liste gekurbelt, stellt man mit erstaunen fest, daß dieser patient keiner der üblichen sorte ist. desweiteren benutzt er ein uns unbekanntes spielzeug, bzw. eine kombination verschiedener spielzeuge. soweit so gut. diese werden benötigt, damit man sie zerlegen kann. ist das erledigt, kann man sich ein antispielzeug basteln, um diesen irren zu busten...

so, da stehen wir... fernab vom bundesamt für sicherheit und information (-slosigkeit), fernab schwafelnder politiker (entschuldigung frau verbraucherschutzministerin), die mit anderen sorgen um ihr diplomatisches ansehen fürchten...


Schäuble: Bürger-CERT bietet Online-Sicherheit für jedermann (http://www.antispam-ev.de/forum/showthread.php?t=10293)
soviel zum thema
IMHO außer - langsam aber sicher - das Forum zuzumüllen vielleicht?

ich hoffe, daß du nun halbwegs im bilde bist...

um das forum (und die dahiner stehende datenbank) brauchst du dich nicht so sehr sorgen. da fehlen noch einige tausend beiträge, bevor hier was ins ruckeln kommt.

die masse der kleinen ist übrigens schlimmer als die einzelnen großen, weil (my)sql da mehr beim
select $piep from $muh where $bla='$suelz' abklappern muß ;-)

mumpf, ich habe meine gruppe verpaßt :eek:

so wäre mein vorschlag der, daß ein spezieller tarn-daemon mal die augen aufreißt, nach sogenannten scannern. das macht nur dann sinn, wenn viele mitmachen. so wäre es möglich, die eingehenden datenpakete zu speichern.
Gibt es da was von der Stange oder muß man sich das selbst stricken? Ich hätte da zwei Maschinen auf denen man sowas laufen lassen könnte, auf denen läuft auf Port 22 kein SSH. :)

der allseits beliebte freund "leo"

Ein entscheidender Unterschied: im Gegensatz zu vielen 'Dummspammern' hat Leo Informatik am MIT in Boston studiert. Das MIT dürfte weltweit zu den absoluten Spitzeninstitutionen im Bereich Informatik zählen. Und auch wiss. publiziert, Bsp.:

http://www.aaai.org/Library/AAAI/1997/aaai97-082.php

- kjz

seine vorgehensweise ist alles andere als "dumm".
wo er studiert hat, ist dennoch sekundärer natur.

er nutzt rechtslücken für jedes seiner teile. letztes jahr kamen die ssh attacken noch aus ungarn und bulgarien. dort hat man inzwischen von seiten des gesetzgebers reagiert. aber, rumänien sei dank, geht der unfug heiter weiter.

gutgläubigkeit und hierzulande sehr etalblierte kleinbeigeberei machen diesen unfug aber erst wirksam.

zu dem daemon für port 22...
ich gedachte da einen minimal-daemon in perl zu basteln, der nur auf port 22 lauscht und die eingaben loggt. reagieren soll er nur zum schein mit der üblichen antwort eines ssh servers.
hier gibt es zwei fraktionen...
1. die angriffe absetzer
2. die angriffe von infiltrierten servern

zu dem zweiten spielzeug auf port 25...
hier geht es darum, einen mailserver zu simulieren. funktionell soll auch er nur loggen, aber nichts machen können. kerninformationen hierbei zu sammeln ist das ziel. zum einen, ip´s der infizierten rechner, zum anderen ports von denen aus diese software agiert. im anschluß daran portscans, ob irgendwo remote-ports existieren, mit denen man etwas anfangen kann...

ziel ist es insgesamt die kette zu unterbrechen und damit eine rückverfolgbarkeit zu realisieren, damit wir was zum verhandeln haben.
ich meine damit nicht, mit leo zu verhandeln, sondern mit den staaten, deren rechtsgrundlage straffrei diese teile gewähren läßt.

im übrigen ist heute eine neue variante der phishing-mails aufgetaucht.

Wurde ja bereits gemeldet: http://www.volksbank.de.confproc.cc/r1/vf/
Leider funktioniert Phishfighting bei mir nicht, also tippe ich einfach manuell jede Menge falsche Daten ein. Hat schonmal jemand gecheckt, ob gültige VoBa-BLZ angegeben werden müssen? Das Formular nimmt bei mir ungeprüft jeden Blödsinn an.

was fällt dir an der X2B0CB84.htm dort im quelltext auf ?

was fällt dir an der X2B0CB84.htm dort im quelltext auf ?Da hat wohl doch endlich mal jemand reagiert, die Seite ist weg. Es müsste doch im Interesse der Volksbank (und aller anderen Banken auf der Welt) sein, den durch Imageverlust erlittenen finanziellen Schaden anstatt an die Opfer lieber zur Verbrechensbekämpfung einzusetzen.

Da hat wohl doch endlich mal jemand reagiert...

Liegt an einem bedauerlichen Problem mit seinen DNS-Servern.

Serverbackup64 ist ja nun schon seit einiger Zeit tot. Leo scheint zur Zeit ja nur noch über DNS-Spoofing zu arbeiten. Und wenn das nicht klappt....

- kjz

document.write("<link href='/gwm5/webdbs/xct900x.nsf/(GrafikAnhaenge)/styles_ns.css/$File/styles_ns.css' rel='stylesheet' type='text/css'>")



<script language="JavaScript" type="text/javascript">
rdm=Math.random()*10000000+10000000;
document.write('<img src="http://as1.falkag.de/sel?cmd=ban&dat=176370&opt=16&rdm='+rdm+'" width="1" height="1" border=0>');
</script>
<noscript><img src="http://as1.falkag.de/sel?cmd=ban&dat=176370&opt=16" width="1" height="1" border=0></noscript>
<!-- END:AdSolution-Tag 4.0 -->



<!--
XSL-Script Versionen
$RCSfile: Component3.xsl,v $ $Revision: 4.2 $, $Date: 2004/01/21 11:02:00 $
$RCSfile: homepage_templates.xsl,v $ $Revision: 4.2 $, $Date: 2003/10/28 11:30:32 $
$RCSfile: project_templates.xsl,v $, $Name: GWM-5-1-3-Portal-a $, $Revision: 4.7 $, $Date: 2004/02/05 12:18:02 $
$RCSfile: global_templates.xsl,v $ $Revision: 4.17 $, $Date: 2004/04/26 12:58:00 $
-->



<!--IFRAME Tag (URL Tag for Rich Media) //Tag for network: VR-Networld (ID: 10) ++ website:H_0_0_0_0_Home ++ content unit: A_1_1_0_0_BaSuÜbersicht_B01 (CU ID: 62849) ++ created at: Mon Jan 05 12:34:28 CET 2004 -->
<AD- ME WIDTH=120 HEIGHT=90 NORESIZE SCROLLING=No FRAMEBORDER=0 MARGINHEIGHT=0 MARGINWIDTH=0 SRC="http://adserver.adtech.de/?adiframe|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;target=_blank;"><!-- pt language=javascript src="http://adserver.adtech.de/?addyn|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;target=_blank;loc=700;"></scri--><noscript><a href="http://adserver.adtech.de/?adlink|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;loc=300;" target=_blank><FONT size=1>[AD]</FONT><AD- ech.de/?adserv|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;loc=300;" border=0 width=120 height=90></a></noscript><AD- AME>



<!--Anzahl Me: 0 homepage:false xml_url -->

<!-- Begin Sitestat4 code -->
<script language="JavaScript1.1">
<!--
function sitestat(ns_l) {
ns_l+="&ns__t="+(new Date()).getTime();
ns_pixelUrl=ns_l;
ns_0=document.referrer;
ns_0=(ns_0.lastIndexOf("/")==ns_0.length-1)?ns_0.substring(ns_0.lastIndexOf("/"),0):ns_0;
if(ns_0.length>0) ns_l+="&ns_referrer="+escape(ns_0);
if(document.images) {
ns_1=new Image();
ns_1.src=ns_l;
}
else document.write('<img src="/gwm5/webdbs/xct900.nsf/d4fe5d22e2372b31c1256a0a006ae242/'+ns_l+'" width=1 height=1>');
}
sitestat("http://de.sitestat.com/vr-networld/vr-networld/s?Bankensuchekomp.bas.mitspeichern");
//-->
</script>
<noscript>
<img src="http://de.sitestat.com/vr-networld/vr-networld/s?Bankensuchekomp.bas.mitspeichern" width=1 height=1>
</noscript>
<!-- End Sitestat4 code -->


da taucht noch ein anderer bekannter auf, der sich sowohl in deutschland, alsauch in der schweiz kürzlich sehr unbeliebt gemacht hat

ich kommentiere das jetzt mal nicht weiter ;)

wer die kopie dessen, was ich dort abgegriff, haben möchte, als zip-datei haben zu haben... handelsübliche pn

Kaum ist es Wochenende, die Bank-Admins sind alle zu Hause, schon wirft Leo wieder die Phishing-Kiste an:

http://www.volksbank.de.isapdl1.com

Und wie üblich scheint das DNS auch noch kaputt zu sein. Gecrackte Kisten?

- kjz

Gecrackte Kisten?

Na ja, zumindestens auf einem Botnet gehostet...

- kjz

dein frage läßt sich für diesen fall mit ja beantworten.

es bedarf der manipulation der http-server config, mehr nicht.

die dns-abfrage gibt nur die ip der tld zurück.
alles weitere übernimmt der http-server an dieser stelle.

um solche manipulation vorzunehmen, muß man entweder in die kiste einsteigen, oder sie dazu bringen, sich die änderungen zu holen.

bevorzugt sind apache2 server mit php unterstützung.
treffen tut es gelegentlich auch apache1 server, wobei auch hier das leck php ist.

Ich denke, dass diese Domain hier noch nicht genannt wurde:http://www.volksbank.de.sysdll.ws/r1/vf/

Kam am Samstag hier an und wurde von mir schon mit vielen ungültigen Daten gefüllt.

From support-ref221268793231 [at] vr-networld.de Thu Mar 30 04:50:23 2006
Return-Path: <support-ref221268793231 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 30 Mar 2006 04:50:22 -0000
Received: from p2116-ipbf312fukuokachu.fukuoka.ocn.ne.jp (HELO p2116-ipbf312fukuokachu.fukuoka.ocn.ne.jp) [58.90.249.116]
by mx0.gmx.net (mx025) with SMTP; 30 Mar 2006 06:50:22 +0200
Received: from interptr.com (unknown [33.48.152.100])
by xairo.com with SMTP id 0VVUDHQ0GJ
for <XXX>; Thu, 30 Mar 2006 12:59:07 -0800
Received: from mrg.com (unknown [96.248.53.60])
by proext.com with SMTP id AX8KNLU0F9
for <XXX>; Thu, 30 Mar 2006 14:57:07 -0600
From: "VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET BANKING" <online_support_id_04307230225 [at] vr-networld.de>
To: "XXX" <XXX>
Comments: reference-id_7188847903637 [at] vr-networld.de
Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="XT14ELHVF85QUNY"
Date: Thu, 30 Mar 2006 06:50:23 +0200
Message-ID: <20060330045023.9950gmx1 [at] mx025.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=4.348; FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS SUB_ONLINE VOLKSBANK_PHISHING_SUBJECT1 FROM_HAS_ULINE_NUMS)
X-GMX-UID: u1Ecc3thbGI0QTY1HmRnaHVncmZ1ZtwY
http://www.volksbank.de.custsupportref1007.sysdll.ws/r1/vf/

boomerang.gif (http://img93.imageshack.us/img93/1553/boomerang1lo.gif)

Die Domain wurde inzwischen aus dem DNS genommen - vermutlich durch die Betreiber der .ws-TLD-Nameserver, in Übergehung des Registrars. :skull:

Registriert ist die Domain (immer noch) bei webnames.ru. Kennt die jemand? Mir noch nie untergekommen.
Gehostet war der crap natürlich im Land der lächelnden Reiskörner, bei unseren Freunden von der CNCGROUP.

Ich habe solche .ws Domains mal bei webnames.ru geLARTed und die Antwort erhalten, dass man die Domain sperren (set on Hold) werde. Da mir dies aber nicht unbedingt geheuer war, ging der LART auch an den 'Upstream' für die cc .ws. Hat anscheinend was genutzt.

- kjz

hallo,

es ist ja schön, wenn man solche spammer bremsen kann. aber ist das nicht unter dem strich ein kampf gegen windmühlen? wenn man einen platt tritt, stehen schon mindestens drei dahinter die noch schlimmer weiter machen. ausserdem fehlt es den banken an offenheit das phishing problem wirklich offensiv in ihren publikationen aufzuzeigen. scheinbar verdienen die da auch gut damit, wenn leuten das konto leer geräumt wird und die zinsen kassieren. oder was weiss ich warum.

jedenfalls solange es keine internationalen gesetze und echt drastische strafen gegen spammer gibt, und solange leute auf phishing mails in katastrophalem deutsch ohne zu nachzudenken wirklich ihre pin und tan eingeben, solange wird das sowieso nie etwas helfen.

solange ist der kampf gegen spam zwar notwendig, aber aussichtslos. denn das gilt im prinzip für alle spam mails. würde den müll keiner kaufen, würde ihn keiner anbieten. aber scheinbar meinen alle sie brauchen kleine blaue pillen oder sonstwas grosses.

sorry, aber so sehe ich das.

gruss
gewoell

Ja, leider ist es ein 'whack-a-mole' Game. Und kein schönes dazu, da es keine Chancengleicheit gibt. Die Großspammer verdienen in einem Monat mehr als wohl alle hier im Forum in einem ganzen Jahr, ausserdem haben sie bei weitem mehr techn. Resourcen und vor allem: eine gewaltige kriminelle Energie zu bieten. Ohne weltweite strenge Gesetze mit drakonischen Strafen wird sich da kaum entscheidend etwas ändern, dafür sind die Gewinnspannen und Verdienste der Spammer einfach zu gut. Mittlerweile vergleiche ich das ganze mit dem weltweiten Drogenhandel: selbst drastische staatliche Massnahmen haben diesen höchstens etwas eindämmen können, am Aussterben ist er aber nicht...

- kjz

From customersupport-20468 [at] vr-networld.de Wed Apr 5 20:23:02 2006
Return-Path: <customersupport-20468 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 05 Apr 2006 20:23:02 -0000
Received: from 62.181.46.200.psinetpa.net (HELO 62.181.46.200.psinetpa.net) [200.46.181.62]
by mx0.gmx.net (mx077) with SMTP; 05 Apr 2006 22:23:02 +0200
Received: from longitudinal.gayamore.com (compulsory.kulichki.com [69.48.140.146])
by qnx.com with SMTP id DVA1EIDYUP
for <XXX>; Thu, 06 Apr 2006 05:25:43 -0800
Received: from altern.org (unknown [94.247.67.221])
by americaneagle.com with SMTP id 7RB4HZVX1D
for <XXX>; Thu, 06 Apr 2006 10:21:43 -0300
From: "Volksbanken Raiffeisenbanken AG" <customerssupport_726068370391984 [at] vr-networld.de>
To: "XXX" <XXX>
Subject: Volksbanken Raiffeisenbanken AG Banking
X-MSMail-Priority: 3 (Normal)
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="W0R98R2A4ZKAW8LA59WGS9DA"
Date: Wed, 5 Apr 2006 22:23:03 +0200
Message-ID: <20060405202303.986gmx1 [at] mx077.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=2.883; FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO MISSING_MIMEOLE)
X-GMX-UID: bmFSLtgTaHI+XzURVSUlaGJqamdhZAR9
=> beardsley.gif (http://img141.imageshack.us/img141/7910/beardsley4iz.gif)

http://www.volksbank.de.custsupportref.dllconf.tv/r1/vf/

Der Server unter www.volksbank.de.custsupportref.dllconf.tv konnte nicht gefunden werden.
./. :death:

From reference_id_817299710 [at] vr-networld.de Sat Apr 15 16:57:35 2006
Return-Path: <reference_id_817299710 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 15 Apr 2006 16:57:29 -0000
Received: from AMarseille-252-1-149-70.w86-216.abo.wanadoo.fr (HELO AMarseille-252-1-149-70.w86-216.abo.wanadoo.fr) [86.216.108.70]
by mx0.gmx.net (mx076) with SMTP; 15 Apr 2006 18:57:29 +0200
Received: from earmark.surrealismo.com (decorous.surrealismo.com [48.106.187.154])
by flyingcroc.com with SMTP id WC6B0717UT
for <XXX>; Sun, 16 Apr 2006 01:59:53 -0800
In-Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <custsupport-6040134 [at] vr-networld.de>
From: "VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE BANKING" <custsupport_171672 [at] volksbank.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken AG Online-Banking
In-Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <custsupport-6040134 [at] vr-networld.de>
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4QTN7_8P2TUI09J0_JRNF72K"
Date: Sat, 15 Apr 2006 18:57:35 +0200
Message-ID: <XXX>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=2.699; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 SUB_ONLINE)
X-GMX-UID: t2MnLjELaHI+XzURVSUlaGJqamdhZASm
=> courtesy.gif (http://img124.imageshack.us/img124/4235/courtesy4tm.gif)

http://www.volksbank.de.custsupportref1007.dllexe.st/r1/vf/

Gemeldet wurde ebenfalls (http://www.antispam-ev.de/forum/showthread.php?p=57800#post57800) ein Trojan-Spy.HTML.Bankfraud.ot. :mad:

dllexe.st. A IN 43200 58.72.16.10 [bora.net, Korea]
nsa34.serverbackup64.com. 211.194.75.128
sexy3.ukstories.net. 60.196.158.130

Ganz klar mal wieder auf dem Kuvayev-Netz betrieben.

Hi Leute,

gerade is wieder eine Phising-Mail von Leo eingetrudelt.

der Server ist:
http://www.volksbank.de.custsupportref1007.confpr.ir/r1/v3/

Ganz die alte Masche. Neu ist nur, dass die Mail diesmal unter der Woche und nicht am Wochenende eintrudelt

:jedi:

Searching for confpr.ir A record at nsa34.serverbackup64.com. [211.194.75.128]: Server failure! [took 247 ms].

Answer:
Server failure. There's a problem with the DNS server for confpr.ir.

Hat sich Servski viel Problemski!
Ist sich heute nix mit Russki-Phishki. :D

Jau, da ist Leos DNS-Spoofing mal wieder kaputt....

nsa34.serverbackup64.com [211.194.75.128] [Broken DNS server: Reports a server failure] 326ms

sexy3.ukstories.net [60.196.158.130] [Error: Socket error 10054 [s=8964 tcp=0]]

- kjz

From reference_id_6664449758408 [at] vr-networld.de Mon May 1 17:58:37 2006
Return-Path: <reference_id_6664449758408 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 01 May 2006 17:58:37 -0000
Received: from host-24-149-180-125.patmedia.net (HELO host-24-149-180-125.patmedia.net) [24.149.180.125]
by mx0.gmx.net (mx078) with SMTP; 01 May 2006 19:58:37 +0200
Received: from grungecafe.com (unknown [58.152.160.182])
by ebonhost.com with SMTP id FLH6N9T577
for <XXX>; Tue, 02 May 2006 03:01:43 -0800
From: "Volksbanken Raiffeisenbanken AG 2006" <operator_28125514 [at] vr-networld.de>
To: "XXX" <XXX>
Subject: VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE-BANKING [Tue, 02 May 2006 13:01:43 +0200]
X-Originating-IP: 42.124.245.148
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="FWP75FAMAAOVRD3QJFW53O"
Date: Mon, 1 May 2006 19:58:37 +0200
Message-ID: <20060501175837.27257gmx1 [at] mx078.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=2.699; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 SUB_ONLINE)
X-GMX-UID: Kyg+CQYMbHIyXD17SjQ0MikqJihyalA9

Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Ralffelsenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
http://www.volksbank.de/custsupportref1007.nsf/X777733351414EFC7333655111000331C
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
©2006 Volksbanken Raiffeisenbanken AG
=> contrabass.gif (http://img291.imageshack.us/img291/7402/contrabass4sd.gif)

http://www.volksbank.de.custsupportref.grci.info/r1/v3/

Gemeldet wurde erneut (http://www.antispam-ev.de/forum/showthread.php?p=58003#post58003) ein Trojan-Spy.HTML.Bankfraud.ot.

Und tot ist sie:

Domain Name:GRCI.INFO
Created On:16-Jan-2006 10:37:36 UTC
Last Updated On:01-May-2006 09:10:56 UTC
Expiration Date:16-Jan-2007 10:37:36 UTC
Sponsoring Registrar:Alantron BLTD (R322-LRMS)
Status:INACTIVE

Ich empfehle hier bei Alantron:

Alantron Anti-Spam (http://www.alantron.com/eng/info/html/antispam.do)

- kjz

Return-Path: <infonum_34625 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 06 May 2006 07:27:58 -0000
Received: from 238.red-82-158-58.user.auna.net (HELO 238.red-82-158-58.user.auna.net) [82.158.58.238]
by mx0.gmx.net (mx083) with SMTP; 06 May 2006 09:27:58 +0200
Received: from spylog.com (EHLO batguano.com.vampiregals.com [104.220.69.212])
by moebelheinrich.de with SMTP id ZFXXQ8BTLB
for <x>; Sat, 06 May 2006 00:27:55 -0800
Received: from corporeal.priest.com (unknown [107.136.121.0])
by flyingcroc.com with SMTP id RB03V9JH3R
for <x>; Sat, 06 May 2006 10:26:55 +0200
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <customerssupport_77780 [at] volksbank.de>
To: "Martinswerk-rumaenien" <x>
Date: Sat, 06 May 2006 01:21:55 -0700
Subject: Volksbanken Raiffeisenbanken Internet Banking -Sat, 06 May 2006 03:26:55 -0500
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="5KWXGZYBO51_GFJA95YFE1L"
Message-ID: <20060506072759.15871gmx1 [at] mx083.gmx.net>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: zXZvfNxsMmAphMhFemFnjPIxMjQ1N922

http://www.volksbank.de.vrnetworld.c10133577.rim2s.biz/r1=/vr/

rim2s.biz

yepp, da kamen auch wieder einige am wochende bei mir an.

From online-support_id_759927 [at] vr-networld.de Mon May 8 17:48:56 2006
Return-Path: <online-support_id_759927 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 08 May 2006 17:48:48 -0000
Received: from ax213-2-82-224-191-150.fbx.proxad.net (HELO ax213-2-82-224-191-150.fbx.proxad.net) [82.224.191.150]
by mx0.gmx.net (mx044) with SMTP; 08 May 2006 19:48:48 +0200
Received: from kinki-kids.com (kinki-kids.com.name.com [80.158.201.168])
by youdraw.com with SMTP id ZSLLQJXJZU
for XXX; Tue, 09 May 2006 02:51:55 -0800
From: "Volksbanken Raiffeisenbanken" <support_reference5557092723 [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: Achtung
Comments: onlinesupport-id-5504607 [at] volksbank.de
User-Agent: Calypso Version 3.20.01.01 (4)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="MIDHOQ_0EOTHYECCE"
Date: Mon, 8 May 2006 19:48:48 +0200
Message-ID: <20060508174848.8904gmx1 [at] mx044.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=3.298; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 FROM_HAS_ULINE_NUMS)
X-GMX-UID: vLZtd5Q5PTRtDXhwQjIwNMAxc2tpZMux

Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
http://www.volksbank.de/vrnetworld/c101335777777.nsf/XC701133.asp
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
©2006 Volksbanken Raiffeisenbanken AG
=> capricorn.gif (http://img503.imageshack.us/img503/3836/capricorn3tn.gif)

http://www.volksbank.de.vrnetworld.c10133577.dir99k2.biz/r1/vr/

From custsupport-403931176287 [at] vr-networld.de Wed May 10 08:09:54 2006
Return-Path: <custsupport-403931176287 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 10 May 2006 08:09:53 -0000
Received: from MT10.prz.rzeszow.pl (HELO MT10.prz.rzeszow.pl) [62.93.39.31]
by mx0.gmx.net (mx021) with SMTP; 10 May 2006 10:09:53 +0200
Received: from verizon.com (verizon.com.aol.com [102.198.62.150])
by swiftwill.com with SMTP id ZE8MTFSGBG
for <XXX>; Wed, 10 May 2006 17:18:02 -0800
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customercare_03374986302 [at] volksbank.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: Wichtige Information -Wed, 10 May 2006 17:18:02 -0800
X-Originating-IP: 39.210.150.88
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="F24R1SV4GNTYJ2V"
Date: Wed, 10 May 2006 10:09:54 +0200
Message-ID: <20060510080954.25353gmx1 [at] mx021.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: neoAIMxva0AoXy4sBjEzTPE3Njh6dE6D
http://www.volksbank.de.vrnetworld.c10133577.dir99k2.biz/r1/vr/


Hat der GMX-Spamfilter die einfach übersehen? :rolleyes:

X-GMX-Antispam: 0 (Mail was not recognized as spam)
Oder ist da an der mail etwas "verbessert" worden, so dass der Filter keine Chance hatte? :confused:

Hat der GMX-Spamfilter die einfach übersehen? :rolleyes:

Oder ist da an der mail etwas "verbessert" worden, so dass der Filter keine Chance hatte? :confused:

also ich habe die auch schon mehrfach bekommen und jedemal hat gmx die mail nicht interessiert. erst spampal hat erkannt, was los ist.

gruss
gewoell

p.s.
und vielleicht sollte man nochmal für diejenigen sagen, die nicht genau wissen, was der sinn des ganzen ist, daß es sich hier um geldwäsche handelt und das ganze strafbar und mit finanziellen verlusten verbunden ist. man merkt deutlich, daß durch phishing mails offenbar so viele kontodaten geklaut wurden, daß man schon per massen-spam leute zur geldwäsche suchen muss.

jedesmal suchen die völlig verblödete egomanen, die geld über ihr konto laufen lassen. nur formulieren die das etwas eleganter.

p.p.s.
und irgendwer sollte das wohl auch mal gmx erklären, damit solche mails immer zuverlässig erkannt und gefiltert werden können. eine andere erklärung wäre, dass gmx flexibler geworden ist. es ist ja eigentlich kein spam, sondern eine anstiftung zu etwas kriminellen. also ein verbrechen. aber genau betrachtet ist das keine werbung/spam und gmx hat ja nur einen spamfilter und keinen crimefilter. vielleicht kommt so ein kriminalfilter bald gegen aufpreis.

Hallo!

Bekomme seit ein paar Tagen die Phishing-Mails von der "Volksbank".
Hab jetzt Mozilla Thunderbird und den SpamFilter aktiviert, zusätzlich noch SpamPal. Denke also, das ich keine neuen mehr bekomme. Außerdem hab ich das Ding an gmx gemeldet, weil der Spamfilter das ja immer durchlässt.

Leider findet mein AntiVir jetzt (seit gestern) ständig PHISH/Bankfrau.BH.2, die er als Virus identifiziert...was mach ich jetzt? Habe die Datei immer direkt nach dem Fund gelöscht.
Hab ich schon nen Virus? Was kann ich jetzt machen? :confused:
Hoffe, ihr könnt mir ein bisschen weiterhelfen..

LG Marissa

...man merkt deutlich, daß durch phishing mails offenbar so viele kontodaten geklaut wurden, daß man schon per massen-spam leute zur geldwäsche suchen muss.
Ich wäre mir nicht sicher, ob die Daten alle von unbedarften Phishing-Opfern stammen. Das Beste, was eine Bank tun kann, ist, den Phishern möglichst viele Falschdaten von gelöschten Konten unterzujubeln - wenn sie schon die gefälschte Webseite nicht platt bekommt.

Der Phisher hat nur eine Möglichkeit, zu prüfen, ob die Kontodaten brauchbar sind, und dafür braucht er vorher ein Muli, dem er das Geld überweisen kann.

Wuschel

Leider findet mein AntiVir jetzt (seit gestern) ständig PHISH/Bankfrau.BH.2, die er als Virus identifiziert
Wo sitzt der denn? D.h.: Wo wird er gefunden?

AntiVir-Guard, das residente Schutzprogramm, erkennt den "PHISH/Bankfraud.BH.2" beim Lesen der Mail und verhindert das Speichern und Aktivieren. Das ist auch kein echter Virus, sondern eher ein sog. "Keylogger" der die Eingaben der Tastatur (z.B. die PIN und TAN) registriert und irgendwann oder sofort an den "Auftraggeber" weitergeben soll.

Diese Mails werden bei mir garnicht erst abgeholt. Ich benutze Pegasus Mail, bei dem man den Inhalt der POP3-Mailbox beim Mailprovider (z.B. GMX) erstmal auflisten kann. Alles, was verdächtig oder deutlich als "Müll-Mail" erkennbar ist, wird gleich auf dem Server gelöscht.

Erstmal Danke für die schnelle Antwort!

Hier kommen sie her:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\goog-black-url.sst.tmp
Ich glaube er hat alle dort gefunden.
Allein heute schon 4 Stück... *krise*
Hab kein Bock auf Virus, hatte schon vor 2 Mon einen... :(

LG Marissa

"AntiVir-Guard, das residente Schutzprogramm, erkennt den "PHISH/Bankfraud.BH.2" beim Lesen der Mail und verhindert das Speichern und Aktivieren."

Ist allerdings PHISH/Bankfrau.BH.2, also ohne d....

Gut, mag sein, dass die das d vergessen haben in den Namen aufzunehmen. Hätte ja auch ein Tippfehler sein können. (Fraud == Betrug)

Die neueren Virenscanner haben diese betrügerischen Mails als Schädlinge in ihr Programm aufgenommen.

Er findet es ja auch jedes Mal und ich lösche es dann.
Allerdings frage ich mich, wo es herkommt?
Wenn ich es jedesmal lösche, kann es aber auch nix anstellen oder?
Ist aber nervig, ständig das gleiche wieder und wieder zu löschen.
Kann man da nichts gegen tun?

LG Marissa

Bei mir hatte sich der Bösewicht einmal in meinem mail-Programm eingenistet. Wie bei Dir: Kaum ist er dann gelöscht gewesen, war er wieder da. :mad: Ich habe ihn damals mit der Funktion "Ordner komprimieren" des mail-Programms wegbekommen.

Bevor ich nun mit dilettantischen Vorschlägen à la "TEMP"/ "Browser-Cache leeren" ankomme... :o
Frag' doch bitte auch im AntiVir Personal Support Forum (http://forum.antivir-pe.de/index.php) an. Dort wird Dir schnell und kompetent geholfen. :)

Ok Danke... Ich schau mal ob ich da was finde ^^
Danke an alle für die schnellen Antworten!
LG Marissa

=> "PHISH/Bankfrau.BH.2" (http://forum.antivir-pe.de/thread.php?threadid=7893)

noch eine möglichkeit gegen viren, wenn man nicht ständig mit der vorschau und pop3 etc. hantieren möchte, wäre einen viren scanner mit transparentem mail proxy zu benutzen, so dass viren beim transfer abgefangen werden, bevor die datei auf dem eigenen rechner landet man aber dennoch seine mails normal abrufen kann.

soweit ich weiss, kann das aber die freie version von antivir nicht. da wird nur geprüft was auf die platte geschrieben und gelesen wird. der mailverkehr wird direkt nicht überwacht und geschützt.

was ich damit sagen will: beim viren scanner und bei der firewall lohnt es sich etwas geld auszugeben. ist meine meinung.

auch ich hatte an den letzten mails so einen digitalen schädling dran. das ist jetzt scheinbar die nächste stufe. motto: "wenn einer nicht dumm genug ist auf den inhalt solcher mails rein zu fallen, wollen wir doch mal sehen, ob er seinen rechner geschützt hat und wir seine daten nicht mit gewalt bekommen."

man merkt deutlich, daß durch phishing mails offenbar so viele kontodaten geklaut wurden, daß man schon per massen-spam leute zur geldwäsche suchen muss.

Es geht den Vlads in erster Linie darum, Spuren zu verwischen. Dazu brauchen Sie jemand, der sie persoenlich nicht kennt. Per Spam findet man Drittpersonen am einfachsten.

Die Geldwaesche ist der Schritt, wo eigentlich die Gelder geklaut werden, denn der Kontoinhaber bekommt in der Regel das Geld von der Bank erstattet. Sie holt es sich dann beim Geldwaescher wieder. Der schwarze Peter bleibt beim Geldwaescher haengen, und das sind meist Leute denen es eh materiell nicht so gut geht.

Ueberweisungen per Onlinebanking fuehren zu einem Konto und damit Kontoinhaber. Deshalb will man das Geld per Western Union transferieren. Das geht nicht ohne Personal, das das Geld abhebt und mit WU ueberweist. Erst damit versickert es spurlos.

Mit Onlinebanking kann man in der Regel auch keine Auslandsueberweisungen nach Russland oder wo auch immer machen, ein zweiter Grund fuer die Beteiligung von Dritten.

Auslandsüberweisungen gehen inzwischen bei den meisten Banken per Online-Banking. Allerdings dauern sie mehrere Tage, und das dürfte der Grund sein, warum die Phisher davor zurückschrecken, das Geld direkt zu überweisen.
Das Risiko wäre zu groß.
Außerdem müssten sie in Rußland täglich etliche Konten unter Falschnamen neu gründen, denn nach kürzester Zeit wären die Konten aufgeflogen.
Die WU-Überweisung ist anonym und relativ risikolos. Aber dafür wird ein Muli gebraucht.

Ich kriege auch immer diese nervigen Spam-Mails, allerdings nur auf mein GMX-Account-komisch. Schön, daß ich schon seit Jahren kein Volksbank-Kunde mehr bin, ich melde denen das natürlich trotzdem weiter. Die sind wenigstens so freundlich und schreiben eine nette Mail zurück, wo das denn nun herkam. Das letzte Mal war es glaube ich China oder so.
Außerdem ist mein Freund Informatiker, bei uns zuhause läuft Ubuntu, da interessieren mich Viren wenig- zum Glück.

Mir ist aufgefallen, dass sich innerhalb der Volkbank-Spam-Mails unterhalb der Mitteilung immer ein versteckter Text befindet (weiß auf weiß). Was hat das zu bedeuten? Es sieht so aus, als ob das irgendwie ne Geschichte sein soll oder so... bis jetzt war in jeder neuen Mail ein anderer Text

Der übliche Trick um Spamfilter zu unterlaufen.


Eniac

Der übliche Trick um Spamfilter zu unterlaufen.
Echt? Soweit ich es weiß sind Spamfilter farbenblind. Schließlich wird der HTML-Dreck nicht angezeigt, sondern analysiert. Dabei spielen die Farben für die Bewertung "spam ja/nein" wohl keine entscheidende Rolle. Es ist vermutlich sogar so, dass solche Farb-Kombination als spam-Kriterium gilt. Es geht bei der genannten Farbkombination daher eher um die Täuschung eines menschlichen Betrachters.

Bei HTML-Mails zucken meine Filter reichlich und reine HTML-Mails sollte man m. E. ungelesen in die Tonne schieben. Das ist zu nahezu 100% Müll. Man kann seinen Freunden auch gut erklären, dass man besser erreichbar ist, wenn sie die Unsitte von HTML-Mails ganz unterlassen. Ist nur ein Flag im Mail-Programm um zu einer ordentlichen Mail-Betriebsart zu wechseln. HTML bläht nur den Mail-Umfang und hat eigentlich Null Informationsgehalt. Auf bunte Bilder, Textauszeichnungen und Monstersignaturen (Visitenkarten) kann ich gut und gern verzichten. Mein Mailer zeigt den HTML-Schrott nicht einmal an; jedenfalls nicht freiwillig.

M. Boettcher

(AnnaP): »Mich hat die Volks- und Raiffeisen netter Weise auch darauf hin gewiesen, dass ich meine Daten aktualisieren sollte. Um sicher zu gehen, erhielt ich von der selben Adresse neun Minuten später die selbe E-Mail«:

Von: customer_department-op_02ew [at] vr-networld.de
Betreff: [SPAM?]: Volksbank : obligatorisch zu lesen ref: 2804
Datum: 12. Januar 2007 13:55:49 MEZ
An: (Meine Adresse)
Return-Path: <customer_department-op_02ew [at] vr-networld.de>
Delivery-Date: Fri, 12 Jan 2007 16:19:30 +0100
Received-Spf: none (mxeu9: 213.76.135.225 is neither permitted nor denied by domain of vr-networld.de) client-ip=213.76.135.225; envelope-from=customer_department-op_02ew [at] vr-networld.de; helo=user-aef974858e;
Received: from [213.76.135.225] (helo=user-aef974858e) by mx.kundenserver.de (node=mxeu9) with ESMTP (Nemesis), id 0MKt64-1H5Mv31Vgz-0000Y7 for (Meine Adresse); Fri, 12 Jan 2007 14:59:30 +0100
Message-Id: <002801c73651$5d72d5aa$5240010a [at] user-aef974858e>
Mime-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0024_01C73659.BF34DB50"
X-Priority: 3
X-Msmail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Nemesis-Spam: rulefilter
X-Spamscore: 9.5 tests= DC_GIF_UNO_LARGO DC_IMAGE_SPAM_HTML EXTRA_MPART_TYPE FROM_HAS_ULINE_NUMS HTML_FONT_LOW_CONTRAST HTML_IMAGE_ONLY_28 HTML_MESSAGE SUBJ_HAS_SPACES
Envelope-To: (Meine Adresse)
(AnnaP): »Es folgt ein Bild [image], dass den aus obigen Beiträgen bekannten Wortlaut beinhält und als Ganzes (also auch außerhalb des gekennzeichneten Textlinks) verlinkt ist (erkennbar an der zeigenden Hand, die der Cursor annimmt, sobald er sich über dem Bild befindet).
Nach diesem Anhang steht mit weißer Schrift auf weißem Grund folgender Rütteltext geschrieben«:

zuerst den Tag, hierher kehrte er zurueck am Ende seiner grossen Bahn,
oede Einsamkeit herrschten ringsumher. Kein laut ertoent in diese Wueste
hatte sie gar nichts für sie empfunden, jetzt aber fühlte sie es
wahrnahm, daß dem Apotheker die Sache selbst zu Herzen ging, da faßte er
Höhleneingang. Der schönste derselben, der König des Landes, redete
beschwichtigte der Kaufmann. »Jetzt ist ja die beste Zeit vom Jahr.
ihren physiologischen Wirkungen auf den Organismus ist eins aber sicher
bedächtig die Dorfstraße herauf auf ihr Häuschen zukommen sahen. Die
durchfuhr ihn der Gedanke: »Es ist etwas geschehen -- du kannst nicht
Sorte zu bringen. Zierlich sich gegeneinander verneigend,
welche die kleine Ida bestimmt im Sommer gesehen hatte, denn sie
Perlmutter, sogenannter Mokkakaffee, der aber zum größten Theil aus den
Jedes brachte Däumelieschen ein Geschenk, aber das beste von allen waren
als manche andere.
Schloßverwalter, aber sehen kann er sie nicht.«
Vater mit den Worten entlassen: »Nun geh du in die Küche und mach dein
seine Tropfen gleich Traenen auf den gruenbemoosten Steinen eines
Ohren. »Das ist aber unerhört,« rief sie, »ich habe ja noch gar nicht
Mudir verstand etwas Englisch und war einer der besten ägyptischen
wohl schon reiflich überlegt war.
in einem schoenen, hochgewoelbten Saale gegeben, an welchen
schlichen die Kinder umher, jedes teilte die Angst der Eltern um die
(AnnaP: Ich hab mir erlaubt, die Leerzeizen zu löschen,)

(AnnaP): »Unnu?«

213.76.135.225 --> kommt anscheinend von den Polaken. Hast den Link auch noch irgendwo ? Hau ihn mal mit whois Abfrage rein.

Echt? Soweit ich es weiß sind Spamfilter farbenblind. Schließlich wird der HTML-Dreck nicht angezeigt, sondern analysiert. Dabei spielen die Farben für die Bewertung "spam ja/nein" wohl keine entscheidende Rolle. Es ist vermutlich sogar so, dass solche Farb-Kombination als spam-Kriterium gilt. Es geht bei der genannten Farbkombination daher eher um die Täuschung eines menschlichen Betrachters.

Natürlich soll der Mensch nicht sehen, wie Spammy den Bayes-Filter auszutricksen versucht. Deshalb 'weiss auf weiss'. Aber der Text im Mailbody durchläuft trotzdem die statistische Analyse nach Bayes. Und da gibt es (nach einigem Training) natürlich 'schlechte Buzz-Wörter' (z. Bsp. Viagra, Stock, bullish, Cialis, etc.) und 'gute Wörter' (z. Bsp. Büro, Nachricht, Antwort, etc.). Und durch solche Texte (oft aus irgendwelchen Büchern geklaut) versucht Spammy den prozentualen Anteil an 'guten Wörtern' zu erhöhen, damit sein Spam nicht mehr so hohe Punktwerte bei der Spamfilterung erzielt.

Der Betrachter soll davon natürlich nichts mitbekommen, das würde ja nur von der 'Payload' des Spams ablenken.

- kjz

Hallo, 007!
Woraus ist ersichtlich, dass es von Polen kommt; Erfahrungswert oder einschlägig bekannte Nummer?
Ich hab die gesamten (inzwischen drei) "Volksbank"-E-Mails behalten, da ich gelöschte nicht mehr gegen die Verbrecher verwenden kann. Bislang hab ich sie nur in der Vorschau angesehen und aus Angst vor Infektion nicht geöffnet. Die neueste E-Mail unterscheidet sich von den beiden vorherigen, indem der Weiß-auf-Weiß-Text ein anderer ist, und mir in der Vorschau das enthaltene Bild nicht angezeigt wird, so dass ich hier einen vermeindlichen Textlink nicht ansehen kann. Dieser lautet in den ersten beiden »http://www.volksbank.de/vr-web/networld/confirm/anmelden.cgi«.
Für die whois-Abfrage bräuchte ich Hilfestellung von Null.
Ich danke herzhaft; mein Frischlings-Syndrom ist wohl aufdringlich erkennbar! Anna P.

213.76.135.225

Der sichtbare Linktext in den Phishingmails http://www.volksbank.de/vr-web/networld/confirm/anmelden.cgi ist nicht der tatsächliche Link sondern z. B. http://www.volksbank.de.vr-web.networld22c.warbest.biz/confirm/anmelden.cgi mit dem das ganze gif oder jpg Bild verlinkt ist. Wenn Du über das Bild mit der Maus fährst, wird er unten Links in der Statusleiste Deines Mailprogrammes angezeigt. warbest.biz ist dann die eigentliche Betrugsdomain auf die Du geleitet wirst.

Na denn herzlich willkommen im härtesten Antispammerclub und weiterhin viel Spass. :)

Ich hab die gesamten (inzwischen drei) "Volksbank"-E-Mails behalten, da ich gelöschte nicht mehr gegen die Verbrecher verwenden kann.Liebe Anna,
ab sofort wirst Du auf Deiner eMail-Adresse täglich mindestens eine Volksbank-Betrugsmail erhalten (mach Dir nichts draus, bei vielen von uns ist dies seit knapp zwei Jahren der Fall). Da die russische Mafia eine Doppelnull-Lizenz zum Spammen hat, brauchst Du Dir über die Vermeidung dieses Mülls keine Gedanken zu machen :sick:.

Von nun an wird sich auch Dein Aufkommen an Viagra-, Rolex- und Aktienspam erhöhen, da Deine eMail-Adresse selbstredend an die anderen Spammer-Abteilungen weitergereicht wurde. Outlook2003 hat übrigens einen enorm wirksamen Junkmail-Filter, der sämtlichen Müll der russischen Spammer-Mafia mit wunderbarer Präzision in den Junkmail-Ordner verschiebt.

P.S.: Die Spam-Flut läßt sich am einfachsten ertragen, wenn Du sie katalogisiert in Deinem eMail-Client ablegst. Dann siehst Du auf einen Blick, wieviel Volksbank-Spam schon angekommen ist (bei mir sind es seit 07.08.2005 exakt 168 eMails auf einer Adresse).

Hallo

ich bin neu hier im Forum und lese auch schon ne weile mit. Heute hab ich mich entschlossen, auch mal was zu schreiben :).

Ich stelle mal so eine Idee von mir in den Raum, die mir kam, als ich das ganze hier mit den Volksbanken und Sparkassenmails usw. gelesen haben.
Ich bekomme ja auch in schöner regelmässigkeit solche Mails und hab mich daher gefragt, kann nicht mal einer ein kleines Script schreiben, womit man denen die Datenbanken mal so richtig zumüllen kann mit irgendwelchen sinnlosen Daten? Ich hab leider nicht viel Ahnung von solchen Scripten sonst hätte ich sowas schonmal gebastelt.
Aber wäre doch sicher für die Jungs ein wenig ärgerlich, wenn denen die Datenbanken mit sinnlosem Zeug gefüllt werden. Einige tausend Einträge pro Tag würden mich schon ein wenig verzweifeln lassen und mir den Spass daran ein wenig vermiesen. :D

Grüsse

Hallo darkman67, willkommen in Forum Deine Idee ist auch schon umgesetzt worden (http://www.phishfighting.com/) - viel Spaß beim Füttern :grin:!

thanks schara56 :)

Ich denke mal, den werd ich haben:D :D :D
Mach ich mich morgen gleich dran.


So long

kann nicht mal einer ein kleines Script schreiben, womit man denen die Datenbanken mal so richtig zumüllen kann mit irgendwelchen sinnlosen Daten?
Es steht zu vermuten, dass das verantwortungsbewusste Banken selber machen und sich damit vor weiteren Angriffen schützen.

Ein heftiger Hinweis darauf sind die Google-Ergebnisse:
"deutsche bank" phishing: 108.000 Ergebnisse
"Dresdner Bank" phishing: 12.100
Commerzbank phishing: 14.900
Hypo phishing: 15.400
Sparkasse phishing: 125.000
Volksbank phishing: 63.500
Raiffeisen phishing: 81.900
Postbank phishing: 143.000

Dresdner, Commerzbank und Hypo scheinen die Phisher mit einigem Erpholg phergrault zu haben. Aber sie werden sich hüten, zu sagen, wie sie das geschafft haben!

Eine Bank weiß im Gegensatz zu einem Kunden mit Zivilcourage, welche Kontonummern nicht ausgegeben sind und welche scheinbar echten Daten man einem Phisher geben kann. Der einzelne Bankkunde hat nicht die Hilfsmittel, die eine Bank hat. Aber wie bringt man z.B. Deutsche Bank, die Sparkassen oder die Postbank zu einem ophphensiveren Phorgehen gegenüber Phishern?

Das phragt sich der Postbank-Kunde
Wuschel

Ich dachte mir schon, dass die im GIF sichtbare Adresse nicht die richtige Link-Adresse ist, doch in meinem Apple-Mail-Programm finde ich keine Einstellung, die mir eine Statusleiste anzeigt.
Selbstverständlich erhalte ich seit langem täglich jede Menge verlockender Angebote, um meine Börse oder einzelne Körperteile zu stärken, aber kriminell waren, außer den erwähnten drei E-Mails von der "Volksbank", wohl nur eine von der "Postrbank" und eine utopische "T-Com"-Rechnung mit anhängendem Einzelverbindungsnachweis.

Ich danke für das Willkommen-Heißen und die Editierungen und gelobe Besserung! Anna P.

P.S.: Seit heute ist ein Trojaner an "GEZ"-Rechnungen unterwegs.

Kommt eine Welle?

VB Phishing Attacke (http://www.chip.de/news/c1_news_23811145.html?tid1=9226&tid2=0)

Chris