Spamcop hat übrigens niemadem gefunden um einen Report zuzustellen und deshalb nur intern verschickt.
Nachtrag
Jetzt muß ich mich doch korrigieren, mein Mailer hat keinen html-Part angezeigt, aber in Horde wird es dann doch sichtbar mit dem Link zur Pishing-seite:
whois:http://adsl-068-017-096-203.sip.btr.bellsouth.net/index.html
Geändert von Chinchilla (19.08.2011 um 14:41 Uhr)
Dazu müssten die Täter die Postbank-Seite hacken, was, wie ich annehme, kein allzu leichtes Unterfangen ist. Wenn sie das geschafft haben, hat ein Admin das bereits bemerkt und Hand angelegt, denn die angegebene Adresse ist der normale Zugang zum Online-Banking und ich kann keine Weiterleitung feststellen. Wäre angesichts des verwendeten SSL-Zertifikats auch ein wenig sinnvoller Angriffspunkt, denn nahezu jeder Browser würde warnen, wenn das verwendete Zertifikat nicht zur Seite passt.
Bei meinem Mailclient werden standardmäßig nur die Textversionen angezeigt. Ich kann entweder auf HTML umschalten oder mir den Quelltext ansehen. Häufig bekomme ich Phishingmails mit gemischtem Inhalt, bei denen der Textlink zur Zielseite führt und nur der HTML-Link zur Phishingseite.
Schönen Gruß
Mittwoch
Siehe mein Nachtrag dazu.
Standardmäßig schaue ich mir auch nur den Textteil an.
ahhhhh ich könne mich so aufregen, ich weiss ihr werdet sicher denken mei is die doof, aber ganz ehrlich ich habe schon ein anti malware program, auch von postbank empfohlen nun war ich leider so doof, und bin auf so einen doofen trojaner reingefallen... wobei ich ja auch davon ausgegangen bin, dass ich ja ein aktives virenprogram habe, und desweiteren bei meinem trojaner vorher ich mich nie anmelden konnte, was ich diesesmal konnte, deswegen dachte ich ja wenn ich ja reinkomme wird es schon von "[piiiep]-Bank" sein, nichts war, rief ich "[piiiep]-Bank" an und da sagte man mir man könne nichts tun, super das ergebniss onlinebanking gesperrt 19euro weniger 6euro wird "[piiiep]-Bank" sicher wieder einkassieren für pin und das alles kurz vorm urlaub, ich könnte sowas von kotzen, bin schon kurz davor eine andere bank zunehmen, wie ich hier sehe ist ja die postbank ein beliebtes ziel....
Geändert von siebich (30.08.2011 um 11:42 Uhr) Grund: Fäkalsprache entfernt. Bitte überdenken Sie Ihre Formulierungen
Auch alle anderen größeren Geldinstitute sind regelmäßig Ziel von Betrügern!
Nachfolgende "Regeln" sind auf nahezu jeder Bankwebsite immer wieder zu lesen, und sollten jedem Onlinenutzer bekannt sein.
Eine dieser Regeln lautet z.B:
Zitat von Postbank
Du solltest Deinen Rechner dringend von einem Fachmann überprüfen und absichern lassen (auch wenn das oft den Verlust mancher "Bequemlichkeit bedeutet).
Desweiteren solltest Du Dich in Deinem "Onlineverhalten" beraten lassen, bzw. dieses überdenken.
[Link nur für registrierte Mitglieder sichtbar. ]
Die Installation eines "Anti-Viren Programmes" reicht heutzutage bei weitem nicht mehr aus.
Nur eine Kombination aus einem aktuellem Betriebssystem, Sicherheitsprogrammen (Antivirus/Firewall/Browsererweiterungen) und gesundem Menschenverstand schützt zuverlässig!
Ignorantia non est argumentum
Moin,
die geben's einfach nicht auf....
header:01: Return-Path: <service [at] postbank.de>02: Received: from compute1.internal (compute1.nyi.mail.srv.osa [10.202.2.41])03: by sloti19d4p1 (Cyrus git2.5+0-git-fastmail-7334) with LMTPA;04: Mon, 24 Oct 2011 xx:xx:xx -040005: X-Sieve: CMU Sieve 2.406: X-Spam-charsets: html='Windows-1251'07: X-Resolved-to: ute [at] ute.ute08: X-Delivered-to: ute [at] ute.ute09: X-Mail-from: service [at] postbank.de10: Received: from mx4.nyi.mail.srv.osa ([10.202.2.203])11: by compute1.internal (LMTPProxy); Mon, 24 Oct 2011 xx:xx:xx -040012: Received: from server1.alomartransport.com (static-64-115-143-250.isp.broadviewnet.net13: [64.115.143.250])14: by mx4.nyi.mail.srv.osa (Postfix) with ESMTP ID: [ID filtered]15: for <poor [at] spamvictim.tld>; Mon, 24 Oct 2011 xx:xx:xx -0400 (EDT)16: Received: from User ([213.200.224.87] RDNS failed) by17: server1.alomartransport.com with Microsoft SMTPSVC(6.0.3790.4675);18: Mon, 24 Oct 2011 xx:xx:xx -040019: From: "PostBank"<service [at] postbank.de>20: Subject: PostBank - Sehr WICHTIG!21: Date: Mon, 24 Oct 2011 xx:xx:xx +020022: MIME-Version: 1.023: Content-Type: text/html;24: charset="Windows-1251"25: Content-Transfer-Encoding: 7bit26: X-Priority: 127: X-MSMail-Priority: High28: X-Mailer: Microsoft Outlook Express 6.00.2600.000029: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.000030: Message-ID: [ID filtered]31: X-OriginalArrivalTime: 24 Oct 2011 xx:xx:xx.0593 (UTC)32: FILETIME=[F72A1E90:01CC920B]33: X-Truedomain-Domain: postbank.de34: X-Truedomain-SPF: Fail (mx4: domain of postbank.de does not designate 64.115.143.250 as35: permitted sender)36: X-Truedomain-DKIM: No Signature37: X-Truedomain-ID: [ID filtered]38: X-Truedomain: Neutral
Phishki Phishkovich hat sich offensichtlich wieder so dämlich angestellt, daß mein E-Mail-Provider schmunzeln mußte und den Unsinn selbsttätig abgewürgt hat, siehe dessen nachstehenden Vermerk in blau:
Von: PostBank
Datum: 18/08/2011
Wir mцchten Sie darьber informieren, dass Ihr Konto von jemand anderem zugegriffen wurde.
Melden Sie sich bei Ihrem Internet-Banking und bestдtigen, dass Sie der Eigentьmer sind:
FastMail.FM WARNING: URL text and host don't match, possible phishing attempt. URL disabled. Original URL='http://dsl-213-233-248-024.solcon.nl/www.postbank.de/index.php'. Original text='https://banking.postbank.de/app/welcome.do'. For more information on phishing click here.
© 2011 Deutsche Postbank AG
lG
Ute
Mein mühsam lesbares Avatar sagt "You won't find me on Facebook". Auf allen anderen "social networks" wirst Du mich auch nicht finden. Etwas Privatsphäre muß bleiben...
Das war wohl ein größerer Phish-Zug:
header:01: Received: from mail.fileserveronline.com (smtp.fileserveronline.com02: [204.155.60.84])03: by xxxxx (Postfix) with ESMTP ID: [ID filtered]04: for xxxxx; Mon, 24 Oct 2011 xx:xx:xx +0200 (CEST)05: Received: from [213.200.224.87] by mail.fileserveronline.com06: [192.168.1.84] with SmartMax MailMax for07: kzh7ggbu7vso [at] 8rue69tbm8axonztbfcz.de; Mon, 24 Oct 2011 xx:xx:xx -0500
charset=Windows-1251, i.e. kyrillisch, also die Russkis oder Vlads
IP: 213.200.224.87 ---> cust.static.213-200-224-87.cybernet.ch
gecrackt: X-SmartMax-AuthUser: jim [Link nur für registrierte Mitglieder sichtbar. ]
**
Wir mцchten Sie darьber informieren, dass Ihr Konto von jemand anderem
zugegriffen wurde.
Melden Sie sich bei Ihrem Internet-Banking und bestдtigen, dass Sie der
Eigentьmer sind:
https://banking.postbank.de/app/welcome.do
whois: [Link nur für registrierte Mitglieder sichtbar. ]
© 2011 Deutsche Postbank AG
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Entweder WIEDER aktiv - oder wir waren diesen Vögeln bisher entgangen, jedenfalls werden wir seit vorgestern täglich "bedacht" ;-)
header:01: From: - Mon Oct 24 xx:xx:xx 201102: X-Account-Key: account1203: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000005: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07: X-Envelope-From: <service [at] postbank.de>08: X-Envelope-To: <poor [at] spamvictim.tld>09: X-Delivery-Time: 131943328410: X-UID: [UID filtered]11: Return-Path: <service [at] postbank.de>12: X-RZG-FWD-BY: xxxxx [at] yyyyy-online.de13: Received: from mailin.rzone.de (blert mi52) ([unix socket]) by mailin.rzone.de14: (blert mi52) (RZmta 26.11) with LMTPA; Mon, 24 Oct 2011 xx:xx:xx +0200 (MEST)15: To: poor [at] spamvictim.tld16: X-RZG-CLASS-ID: [ID filtered]17: Received: from mail.d-scan.com ([65.254.167.170]) by mailin.rzone.de (blert18: mi52) (RZmta 26.11 OK) with ESMTP ID: [ID filtered]19: Received: from User ([213.200.224.87]) by mail.d-scan.com with Microsoft20: SMTPSVC(6.0.3790.1830); Mon, 24 Oct 2011 xx:xx:xx -040021: From: PostBank<service [at] postbank.de>22: Subject: PostBank - Sehr WICHTIG!23: Date: Mon, 24 Oct 2011 xx:xx:xx +020024: MIME-Version: 1.025: Content-Type: text/html; charset="Windows-1251"26: Content-Transfer-Encoding: 7bit27: X-Priority: 128: X-MSMail-Priority: High29: X-Mailer: Microsoft Outlook Express 6.00.2600.000030: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.000031: Message-ID: [ID filtered]32: X-OriginalArrivalTime: 24 Oct 2011 xx:xx:xx.0295 (UTC)33: FILETIME=[C4EB43F0:01CC920B]34: X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.42; AVE:35: 8.2.6.84; VDF: 7.11.16.107)
Der Link führt tatsächlich nach whois: [Link nur für registrierte Mitglieder sichtbar. ] bzw. in anderen Mails IDENTISCHER Form und Formulierung nach whois: [Link nur für registrierte Mitglieder sichtbar. ]
Geändert von Mittwoch (26.10.2011 um 16:39 Uhr) Grund: [QUOTE]-Tags gesetzt
Ja, der Vlad gibt nicht auf:
header:01: Received: from server1.alomartransport.com02: (static-64-115-143-250.isp.broadviewnet.net [64.115.143.250])03: by xxxxx (Postfix) with ESMTP ID: [ID filtered]04: for xxxxx; Wed, 26 Oct 2011 xx:xx:xx +0200 (CEST)05: Received: from User ([64.151.191.46] RDNS failed) by06: server1.alomartransport.com with Microsoft SMTPSVC(6.0.3790.4675);07: Tue, 25 Oct 2011 xx:xx:xx -0400
IP: 64.151.191.46 ---> 46.191.151.64.static.egix.net
Der Link geht dann zu:Von*: PostBank
Datum: 18/08/2011 *
**
Wir mцchten Sie darьber informieren, dass Ihr Konto von jemand anderem
zugegriffen wurde.
Melden Sie sich bei Ihrem Internet-Banking und bestдtigen, dass Sie der
Eigentьmer sind:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
© 2011 Deutsche Postbank AG
whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 213.207.121.41 ---> Interconnect Services, NL/WIDEXS (ist wohl schon totgelegt)
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Lesezeichen