Seite 16 von 75 ErsteErste ... 614151617182666 ... LetzteLetzte
Ergebnis 151 bis 160 von 746

Thema: Paypal-Phishing

  1. #151
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Paypal ist mal wieder dran (Spam mit HTML-Anhang):


    header:
    01: Received: from w101.prosygma-asp.com (EHLO mail.cobelsip.be) [62.39.109.101]
    02: by mx0.gmx.net (mx109) with SMTP; 05 Jun 2011 xx:xx:xx +0200
    03: Received: from User ([88.214.240.250])
    04: by mail.cobelsip.be (Merak 7.5.2) with ASMTP ID: [ID filtered]
    05: Sun, 05 Jun 2011 xx:xx:xx +0200

    IP: 88.214.240.250 ---> Hosting Solutions Ltd.

    Das Skript liegt auf gecracktem Server:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/info/info.php

    IP: 199.58.184.101 ---> venus1.mission-web-hosting.com

    Grafiken werden nachgeladen von:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/shoutpro/images/pixel.gif

    IP: 208.109.181.3 ---> p3slh062.shr.phx3.secureserver.net/Godaddy


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #152
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Tja die Dreckskiste ist noch immer offen und bläst Spam in die Welt:

    [Link nur für registrierte Mitglieder sichtbar. ] hätte wohl gerne Post.


    header:
    01: Received: from w101.prosygma-asp.com (EHLO mail.cobelsip.be) [62.39.109.101]
    02: by mx0.gmx.net (mx045) with SMTP; 07 Jun 2011 xx:xx:xx +0200
    03: Received: from User ([74.218.165.9])
    04: by mail.cobelsip.be (Merak 7.5.2) with ASMTP ID: [ID filtered]
    05: Tue, 07 Jun 2011 xx:xx:xx +0200

    IP: 74.218.165.9 ---> rrcs-74-218-165-9.midsouth.biz.rr.com

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/info/info.php

    IP: 64.120.224.50 ---> vip19.370911.cn/Hostnoc

    Bilder von_:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 66.235.133.1 ---> *.112.2o7.net/Adobe


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #153
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard


    header:
    01: Received: from s15525528.onlinehome-server.info (EHLO S15525528.home)
    02: [82.165.37.62]
    03: by mx0.gmx.net (mx077) with SMTP; 13 Jun 2011 xx:xx:xx +0200
    04: Received: from User ([127.0.0.1]) by home with MailEnable ESMTP; Sun, 12 Jun
    05: 2011 xx:xx:xx +0200
    06: [...]
    07: Subject: Sie erhalten eine Zahlung
    Im Anhang eine kleine Zip-Datei welche eine Paypal.exe enthält.
    Die Analyseresultate finden sich hier:
    • [Link nur für registrierte Mitglieder sichtbar. ]
    • [Link nur für registrierte Mitglieder sichtbar. ]

    Interessante Information darüber auch unter [Link nur für registrierte Mitglieder sichtbar. ]
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  4. #154
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Phiski crackt auch gerne deutsche Server:


    header:
    01: Received: from 10.198.119.87.ip.2-host.de (EHLO bettina.adm24.de)
    02: [87.119.198.10]
    03: by mx0.gmx.net (mx056) with SMTP; 15 Jun 2011 xx:xx:xx +0200
    04: Received: from wvps46-163-67-80.dedicated.hosteurope.de ([46.163.67.80]
    05: helo=User)
    06: by bettina.adm24.de with esmtpa (Exim 4.69)
    07: (envelope-from <service [at] paypall.com>)
    08: ID: [ID filtered]

    Im HTML-Anhang werden dann per <form> Skript die Daten weitergeleitet:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/finish2.php

    IP: 93.186.195.26 ---> e034.enterprise.fastwebserver.de


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #155
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder mal ist Phishki via HTML-Anhang und gecrackten Servern unterwegs:


    header:
    01: Received: from spamwall.stk.com.tw (mail.stk.com.tw [122.146.7.250])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Sat, 18 Jun 2011 xx:xx:xx +0200 (CEST)
    04: Received: from localhost.localdomain (unknown [127.0.0.1])
    05: by spamwall.stk.com.tw (Postfix) with ESMTP ID: [ID filtered]
    06: Sat, 18 Jun 2011 xx:xx:xx +0800 (CST)
    07: X-Mailbox-Line: From secure [at] email.paypal.com Sat Jun 18 xx:xx:xx 2011
    08: Received: from localhost.localdomain ([127.0.0.1])
    09: by localhost (spamwall.i-trust.com.tw [127.0.0.1]) (amavisd-new, port
    10: 10023)
    11: with ESMTP ID: [ID filtered]
    12: Received: from stktpenos2.stk.com.tw (unknown [172.17.1.243])
    13: by spamwall.stk.com.tw (Postfix) with ESMTP ID: [ID filtered]
    14: Sat, 18 Jun 2011 xx:xx:xx +0800 (CST)
    15: Received: from User ([2.136.28.63])
    16: by stktpenos2.stk.com.tw (Lotus Domino Release 6.5)
    17: with ESMTP ID: [ID filtered]
    18: Sat, 18 Jun 2011 xx:xx:xx +0800

    IP: 2.136.28.63 ---> 63.Red-2-136-28.dynamicIP.rima-tde.net

    Schadseiten:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/src/imgs/cr.png

    IP: 87.63.186.234 ---> hholme.dk/TDC-BREDBAANDSADSL-STATIC-NET


    whois: [Link nur für registrierte Mitglieder sichtbar. ]/images/pp.php

    IP: 208.131.150.170 ---> WESTHOST


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #156
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard


    header:
    01: Received: from smtp-imu1.infomaniak.ch (smtp-imu1.infomaniak.ch [84.16.68.109])
    02: by mx5.*.de (*) with ESMTP ID: [ID filtered]
    03: for <*>; Wed, 20 Jul 2011 xx:xx:xx +0200 (CEST)
    04: Received: from imu297.infomaniak.ch (imu297.infomaniak.ch [93.88.241.67])
    05: by smtp-imu1.infomaniak.ch (8.14.2/8.14.2) with ESMTP ID: [ID filtered]
    06: for <*>; Wed, 20 Jul 2011 xx:xx:xx +0200
    07: Received: from imu297.infomaniak.ch (localhost [127.0.0.1])
    08: by imu297.infomaniak.ch (8.14.2/8.14.2) with ESMTP ID: [ID filtered]
    09: for <*>; Wed, 20 Jul 2011 xx:xx:xx +0200
    10: Received: (from httpd [at] localhost)
    11: by imu297.infomaniak.ch (8.14.2/8.14.2/Submit) ID: [ID filtered]
    12: Wed, 20 Jul 2011 xx:xx:xx +0200
    13: Date: Wed, 20 Jul 2011 xx:xx:xx +0200
    14: X-Authentication-Warning: imu297.infomaniak.ch: httpd set sender to
    15: webmaster [at] mybig-city.com using -f
    16: To: *
    17: Subject: Ihr PayPal-Konto ist eingeschrankt
    18: From: "service [at] paypal.de" <service [at] int.paypaI.com>
    19: MIME-Version: 1.0
    20: Content-Type: text/html; charset=utf-8

    Ihr PayPal-Konto ist eingeschränkt

    Guten Tag,

    PayPal arbeitet fortlaufend an der Gewährleistung der Sicherheit.
    Dazu werden die Konten in unserem System regelmäßig überprüft. Kürzlich haben wir Ihr Konto geprüft und benötigen weitere Informationen, damit wir Ihnen einen sicheren Service anbieten können. Solange uns diese Informationen nicht zur Verfügung stehen, ist Ihr Zugang zu vertraulichen Kontofunktionen eingeschränkt. Wir möchten Ihren Zugang schnellstmöglich wiederherstellen und entschuldigen uns für diese Unannehmlichkeit.
    Bla bla bla... Weiter unten ist dann eine URL zur Konfiktlösung. Wer weiß, was er tut kann die Seite mal aufrufen und ein paar Fakedaten eingeben.
    [Link nur für registrierte Mitglieder sichtbar. ]

    Die URL ist IMHO nicht personalisiert, da ich die Mail mehr mals auf unterschiedliche Konten bekam und sie immer gleich lautet.

    Die Putzies sind recht dreist, wenn man schon einen hat, dann kann man auch gleich alle Daten abgreifen, die von Belang sind für den Phiski.
    [Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ]
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  7. #157
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Heute wieder per Formular im HTML-Anhang:


    header:
    01: Received: from mail.mobitel.az (EHLO mailhub.mobitel.az) [62.217.135.4]
    02: by mx0.gmx.net (mx049) with SMTP; 20 Jul 2011 xx:xx:xx +0200
    03: Received: from User (unknown [212.26.44.66])
    04: by mailhub.mobitel.az (Postfix) with ESMTPA ID: [ID filtered]
    05: Wed, 20 Jul 2011 xx:xx:xx +0500 (AZST)

    IP: 212.26.44.66 ---> King Abdulaziz City for Science and Technology, SA

    Die Daten im Formular werden dann verarbeitet über:

    form method="post" action="whois: [Link nur für registrierte Mitglieder sichtbar. ]/adv/.p.php"

    IP: 212.3.147.89 ---> Smolensk branch of the JSC "CenterTelecom"


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #158
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Paypal mal wieder:


    header:
    01: Received: from mail-fx0-f47.google.com (EHLO mail-fx0-f47.google.com)
    02: [209.85.161.47]
    03: by mx0.gmx.net (mx098) with SMTP; 21 Nov 2011 xx:xx:xx +0100
    04: Received: by mail-fx0-f47.google.com with SMTP ID: [ID filtered]
    05: for xxxxx; Mon, 21 Nov 2011 xx:xx:xx -0800 (PST)
    06: Received: by 10.204.157.156 with SMTP ID: [ID filtered]
    07: Mon, 21 Nov 2011 xx:xx:xx -0800 (PST)
    08: Received: from SYSTEM32-PC (s15237884.onlinehome-server.info.
    09: [87.106.102.171])
    10: by mx.google.com with ESMTPS id
    11: a10sm15057736fam.20.2011.11.21.01.45.19
    12: (version=SSLv3 cipher=OTHER);
    13: Mon, 21 Nov 2011 xx:xx:xx -0800 (PST)

    Hello,,

    Your PayPal account has been accessed from a different country. We have LOCKED your account to avoid any fraud attempt.
    Please log in into your account in the next 24h and confirm your details or we are forced to CLOSE your account and debit 400 USD from your last transaction.
    CONFIRM ACCOUNT DETAILS


    Thanks,
    PayPal Email ID PP031

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 213.186.33.4 ---> cluster003.ovh.net

    Also mal wieder einen Server von Frankreichs Schwarzhut Nr. 1 gecrackt.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #159
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder die Vlads/Russkis per HTML-Anhang. Man hat dazugelernt und jetzt den Sourcecode des HTML-Anhangs via Unescape verschlüsselt.

    Wieder mal Versand über den franz. Schwarzhut OVH via kompromittierten Server:


    header:
    01: Received: from host2.irrsinn.de (EHLO host2.irrsinn.de) [194.26.176.136]
    02: by mx0.gmx.net (mx111) with SMTP; 24 Nov 2011 xx:xx:xx +0100
    03: Received: (qmail 13363 invoked from network); 24 Nov 2011 xx:xx:xx +0100
    04: Received: from vps18096.ovh.net (46.105.26.33)
    05: by host2.irrsinn.de with ESMTPA; 24 Nov 2011 xx:xx:xx +0100

    im Anhang dann das Skript auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ] (SC-EQUILIBRIUM-LIFE-SRL, Romania)

    und die Bilder auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ] (BASCOL-NET, Russia)
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #160
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder mal sind die Vlads unterwegs:


    header:
    01: Received: from smtp.zbds.com (smtp.zbds.com [66.203.158.17])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Wed, 30 Nov 2011 xx:xx:xx +0100 (CET)
    04: Received: from 92.83.35.72 [92.83.35.72] by smtp.zbds.com with SMTP;
    05: Tue, 29 Nov 2011 xx:xx:xx -0600

    IP: 92.83.35.72 ---> Romtelecom, Romania

    Dear*PayPal Customer*,


    You have added *Matthew_1978 (at) btconnect.com* as a new email address for your
    Paypal account.

    If you did not authorize this change, check with family members and
    others who
    may have access to your account first. If you still feel that an
    unauthorized
    person has changed your email, submit the form attached to your email in
    order
    to keep your original email and restore your Paypal account.

    NOTE: The form needs to be opened in a modern browser which has javascript
    enabled (ex: Internet Explorer 7, Firefox 3, Safari 3, Opera 9)

    Please understand that this is a security measure intended to help
    protect you
    and your account. We apologize for any inconvenience.

    If you choose to ignore our request, you leave us no choice but to
    temporary
    *suspend your account*.


    Sincerely, PayPal Account Review Department.

    --------------------------------------------------------------------------------

    Please do not reply to this e-mail. Mail sent to this address cannot be
    answered. For assistance, log in to your PayPal account and choose the
    "Help"
    link in the footer of any page.

    Copyright © 1999-2011 PayPal. All rights reserved.
    Im HTML-Anhang dann der Verweis auf das Schadskript:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 16 von 75 ErsteErste ... 614151617182666 ... LetzteLetzte

Ähnliche Themen

  1. Paypal Phishing von deutschem Server?
    Von Coke1984 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 3
    Letzter Beitrag: 11.04.2007, 15:17
  2. [phishing] PayPal Security Measures
    Von Sirius im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 14
    Letzter Beitrag: 11.08.2005, 00:05
  3. [phishing] PayPal
    Von Maq im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 11
    Letzter Beitrag: 19.03.2005, 20:21
  4. PayPal Phishing ?
    Von rumbarumbatätärräää im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 19.12.2004, 00:04

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen