Sparkasse (schon wieder)

**loxami** · 21.12.2006 19:52

Da hat sich aber einer nicht viel Mühe gemacht:

Die Adresse, die verlinkt ist:
^whois:http://bankingportal.sparkasse.de.web5203700.ykhosez.info/confirm/banking/index.html?link=Bestatigung&ref=24113

Folgender freundlicher Herr betreibt die Site:
Stanitskiy Oleg
Melovaya street, 16-28
Belgorod
Belgorodskaya oblast
308001
RU

Natürlich konnte ich nicht widerstehen, meine unverbrauchten TANs und andere Zugangsdaten in die Datenbank zu füttern.

**Lachsy** · 26.12.2006 12:41

^whois:http://bankingportal.sparkasse.de.web720wy.eosendm.net/confirm/banking/index.html?link=3DBestatigung&ref=3D1960

**schara56** · 27.12.2006 05:32

header:

01: Return-Path: <refnummer-15936sp [at] sparkasse.de>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 27 Dec 2006 xx:xx:xx -0000
05: Received: from 20119131198.user.veloxzone.com.br (HELO
06: 	20119131198.user.veloxzone.com.br) [201.19.131.198]
07:   by mx0.gmx.net (mx060) with SMTP; 27 Dec 2006 xx:xx:xx +0100
08: Received: from hotbox.com (unknown [12.54.58.127])
09:          by absolutist.com with SMTP ID: [ID filtered]
10:          for <x>; Wed, 27 Dec 2006 xx:xx:xx -0000
11: From: "Sparkasse" <refnummer-15936sp [at] sparkasse.de>
12: To: <x>
13: Subject: Achtung -Tue, 26 Dec 2006 xx:xx:xx -0600
14: Sender: "Sparkasse" <rechnungen-52516553sp [at] sparkasse.de>
15: User-Agent: SmartMailer Version 1.56 -German Privat License-
16: X-Mailer: SmartMailer Version 1.56 -German Privat License-
17: X-Priority: 3 (Normal)
18: MIME-Version: 1.0
19: Content-Type: multipart/related; 
20: 	boundary="SJ71DGMH3CHJ8D9M9X7"
21: Date: Wed, 27 Dec 2006 xx:xx:xx +0100
22: Message-ID: [ID filtered]
23: X-GMX-Antivirus: 0 (no virus found)
24: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
25: X-GMX-UID: [UID filtered]

^whois:http://sparkasse.de.finanzen_kunden_374417811028.fueresd.ws/index.htm

Gespamt über Brasilien und gehostet in Korea

Der Microsoft Phishing-Filter vom IE7 schlägt auch nicht an

**Lachsy** · 28.12.2006 01:32

^whois:http://sparkasse.de.finanzen_kunden_124590132768.yoret.info/index.htm

**schara56** · 31.12.2006 11:31

header:

01: Return-Path: <operator-num411656066943597sp [at] sparkasse.de>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 31 Dec 2006 xx:xx:xx -0000
05: Received: from AMontpellier-157-1-183-118.w90-27.abo.wanadoo.fr (HELO
06: 	amontpellier-157-1-183-118.w90-27.abo.wanadoo.fr) [90.27.38.118]
07:   by mx0.gmx.net (mx042) with SMTP; 31 Dec 2006 xx:xx:xx +0100
08: Received: from google.com [30.6.32.196]
09:        by tgpservers.com with SMTP ID: [ID filtered]
10:        for <x>; Sun, 31 Dec 2006 xx:xx:xx -0000
11: Received: from smapxsmap.net [108.162.14.176]
12:        by ukrsat.com with SMTP ID: [ID filtered]
13:        for <x>; Sat, 30 Dec 2006 xx:xx:xx -0500
14: From: "Sparkasse" <operator-num411656066943597sp [at] sparkasse.de>
15: To:  <x>
16: Subject: eilige Information
17: X-Originating-Server: riscom.com (berth.poetic.com [131.176.146.232])
18: User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
19: X-Priority: 3 (Normal)
20: MIME-Version: 1.0
21: Content-Type: multipart/related; 
22: 	boundary="C6ZGETW1C3UBAWQ"
23: Date: Sun, 31 Dec 2006 xx:xx:xx +0100
24: Message-ID: [ID filtered]
25: X-GMX-Antivirus: 0 (no virus found)
26: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
27: X-GMX-UID: [UID filtered]

^whois:http://sparkasse.de.finanzen_kunden_48756365363944.kilopo.ws/index.htm

Gespamt über Frankreich und gehostet in Korea/Lettland.
Das DNS ist mal wieder von Interesse:

> set q=soa
> kilopo.ws

Nicht autorisierte Antwort:
kilopo.ws
primary name server = kilopo.ws
responsible mail addr = support@kilopo.ws
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)

Die TTL ist mit 10 Stunden ordentlich hoch; entweder haben die Phisher ein hohes Vertrauen in die Verfügbarkeit von A-Einträgen und der DNS-Zone (man beachte die FQDNs der Nameserver: 'new-god-ns.net') oder aufgrund des weihnachtlichen Bot-Schwundes keine andere Wahl.

kilopo.ws nameserver = ns1.new-god-ns.net
kilopo.ws nameserver = ns2.new-god-ns.net
kilopo.ws nameserver = ns3.new-god-ns.net
ns1.new-god-ns.net internet address = 200.50.118.193
ns2.new-god-ns.net internet address = 218.49.150.100
ns3.new-god-ns.net internet address = 200.207.127.103

Die ersten beiden DNS-Server sind dynamisch - nur die 200.207.127.103 ist statisch; dort läuft neben einem DNS- auch ein SMTP-, ein http- und ein POP3-Server

Die A-Einträge zeigen derzeit in zwei Richtungen:
- ^whois:220.149.207.121 - Korea und
- ^whois:80.81.48.238 - Lettland

**Lachsy** · 01.01.2007 01:33

frohes Neues Antispam

^whois:http://sparkasse.de.finanzen_kunden_23283012554513.onlineslive.info/index.htm

**schara56** · 01.01.2007 14:09

Dito frohe neue Spammerjagt:

^whois:http://sparkasse.de.finanzen_kunden_67022977.deheofcha.us/index.htm
^whois:http://sparkasse.de.finanzen_kunden_5433431603.poopo.biz/index.htm

**schara56** · 02.01.2007 11:18

und weiter im Text:
^whois:http://sparkasse.de.finanzen_kunden_9905615.thetplanet.biz/index.htm

**schara56** · 03.01.2007 05:21

^whois:http://sparkasse.de.finanzen_kunden_863478056914.ahsedfk.org/index.htm
...ich nehme an Mr. Phish hofft, dass zwischen den Feiertagen (und etwas danach) die Kunden leichter geschröpft werden können.

Oh, ich sehe gerade die identische IP: der koreanische Server ist wohl recht stabil (http://www.antispam-ev.de/forum/show...59&postcount=5)

**Lachsy** · 08.01.2007 15:30

^whois:http://bankingportal.sparkasse.de.web382p.inforeits.info/confirm/banking/index.html?link=3DBestatigung&ref=3D38159

Thema: Sparkasse (schon wieder)

Themen-Optionen

Anzeige

Sparkasse (schon wieder)

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen