Paypal-Phishing

[carkiller08]

header:

01: Received: from spmx-01.siscompnetwork.com ([50.22.52.18]) by
02: 	SNT0-MC2-F7.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
03: 	 Mon, 30 Apr 2012 xx:xx:xx -0700
04: Received: from www.make-over.jp ([49.212.0.252] helo=User)
05: 	by spmx-01.siscompnetwork.com with esmtpa (Exim 4.69)
06: 	(envelope-from <paypal [at] paypal.de>)
07: 	ID: [ID filtered]
08: From: "PayPal"<paypal [at] paypal.de>
09: Subject: Fortsetzung blockiert !
10: Date: Mon, 30 Apr 2012 xx:xx:xx +0300
11: From: "PayPal"<paypal [at] paypal.de>
12: Subject: Fortsetzung blockiert !
13: Date: Mon, 30 Apr 2012 xx:xx:xx +0300

Phiski hat einen neuen Link.
^whois:http://paypal-warnung.ssh01.com
/de/cgi-bin/webscrscmd=login-submit-dispatch=**********c0db1f8e263663d3faee8dcbcd55a50598f04d34b4bf**********/index.htm

[kjz1]

Und noch einer:

header:

01: Received: (qmail invoked by alias); 30 Apr 2012 xx:xx:xx -0000
02: Received: from unknown (EHLO cpanel.avblinkhost.co.uk) [109.235.145.27]
03:   by mx0.gmx.net (mx021) with SMTP; 30 Apr 2012 xx:xx:xx +0200
04: Received: from [109.230.217.31] (port=51379)
05: 	by cpanel.avblinkhost.co.uk with esmtpa (Exim 4.77)
06: 	(envelope-from <Service [at] Spplus.net>)
07: 	ID: [ID filtered]

gephisht wird hier:

^whois:http://seocompany.com/js/Int

bzw.

^whois:http://seocompany.com/js/Int/MKmooontoinformationen.php

IP: 184.173.127.32 ---> 184.173.127.32-static.reverse.softlayer.com/Planet, also mal wieder der Schwarzhut 'Planet of Spam'.

[kjz1]

Und wieder einer:

header:

01: Received: from server2.longevitydesign.com (EHLO
02: server2.longevitydesign.com) [184.107.48.11]
03:   by mx0.gmx.net (mx023) with SMTP; 01 May 2012 xx:xx:xx +0200
04: Received: from localhost (unknown [127.0.0.1])
05: 	by server2.longevitydesign.com (Postfix) with ESMTP ID: [ID filtered]
06: 	Tue,  1 May 2012 xx:xx:xx +0000 (UTC)
07: X-Virus-Scanned: amavisd-new at server2.longevitydesign.com
08: X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char E4 hex):
09: 	Subject: Der Zugriff auf Ihr Konto wurde eingeschr\344nkt.
10: Received: from server2.longevitydesign.com ([127.0.0.1])
11: 	by localhost (server2.longevitydesign.com [127.0.0.1]) (amavisd-new,
12: port 10024)
13: 	with ESMTP ID: [ID filtered]
14: Received: from User (ifs169.internetdsl.tpnet.pl [79.189.148.169])
15: 	(Authenticated sender: pc [at] longevitydesign.com)
16: 	by server2.longevitydesign.com (Postfix) with ESMTP ID: [ID filtered]
17: 	Tue,  1 May 2012 xx:xx:xx -0400 (EDT)

IP: 79.189.148.169 ---> TPNet, Polen

gecrackt: pc@longevitydesign.com

gephisht wird auf gecracktem Uni-Server in Vietnam:

^whois:http://portal.ufm.edu.vn/login.htm

bzw.

^whois:http://portal.ufm.edu.vn/de/sicherheit.php

IP: 118.69.38.117 ---> FPT, Vietnam

[kjz1]

Wieder der altbekannte Phishki mit HTML-Formular (Javascript verschlüsselt) im Anhang:

header:

01: Received: from server.bdmension.com (EHLO server.bdmension.com)
02: [208.116.36.119]
03:   by mx0.gmx.net (mx069) with SMTP; 02 May 2012 xx:xx:xx +0200
04: Received: from host186-248-static.25-87-b.business.telecomitalia.it
05: ([87.25.248.186]:2093 helo=User)
06: 	by server.bdmension.com with esmtpa (Exim 4.77)
07: 	(envelope-from <Sicherheitsmabnahme [at] paypal.net>)
08: 	ID: [ID filtered]

Sendescript auf:

HTML-Code:

<form name="raf" action="http://uhz001728.hichina.com/topics.php"
method="post" onsubmit="return validate(this)"><input type="hidden"
name="redir" value="https://www.paypal.com/" />

IP: 223.4.119.108 ---> ip223.hichina.com

header:

01: Received: from mail.prototyp-ltd.com (EHLO mail.prototyp-ltd.com)
02: [213.130.75.98]
03:   by mx0.gmx.net (mx022) with SMTP; 03 May 2012 xx:xx:xx +0200
04: Received: (qmail 23278 invoked by UID: [UID filtered]
05: Received: from unknown (HELO User) (office [at] prototyp-ltd.com@69.15.148.242)
06:   by mail.prototyp-ltd.com with ESMTPA; 3 May 2012 xx:xx:xx -0000

Sendescript auf:

HTML-Code:

<form name="raf" action="http://res.xantv.cn/send.php" 
method="post" onsubmit="return validate(this)"><input type="hidden" 
name="redir" value="https://www.paypal.com/" />

IP: 113.140.13.199 ---> CHINANET SHAANXI

[kjz1]

Es wird weiter gephisht:

header:

01: Received: from post.esaars.dk (EHLO sif.uv.esaars.dk) [194.182.84.12]
02:   by mx0.gmx.net (mx004) with SMTP; 05 May 2012 xx:xx:xx +0200
03: Received: from [109.230.217.31] ([109.230.217.31]) by sif.uv.esaars.dk
04: with Microsoft SMTPSVC(6.0.3790.4675);
05: 	 Sat, 5 May 2012 xx:xx:xx +0200

IP: 109.230.217.31 ---> XSSERVER-EU

Willkommen bei PayPal

Hallo ,
Legen Sie zu Beginn Ihres PayPal-Kontos, wird es nur bestätigen Ihrer
persönlichen Information.


Bestätigen Sie meine persönlichen Daten
Ein anderer Weg, um Ihre Daten zu bestätigen :

Einloggen Ihr PayPal-Konto.
befolgen Sie die Schritte zur Aktivierung Ihres Kontos.
Geben Sie die Bestätigungsnummer : 0658-8686-7184-4170-6195

Starten Sie mit PayPal

Machen Sie Ihre Einkäufe auf eBay und tausend Online-Shops, die PayPal
akzeptieren.
Gehen Sie schnell auf die Zahlung, indem Sie einfach Ihre E-Mail-Adresse
und PayPal-Passwort. Keine Notwendigkeit, Ihre persönlichen
Informationen eingeben!


Copyright © 2012 PayPal. Alle Rechte vorbehalten.

Im HTML Teil dann:

^whois:http://clinicarazoesparaviver.com.br/tot
IP: 173.203.29.167 ---> painel01.lecomhost.com.br/Rackspace

leitet weiter auf:

^whois:http://paypal.112.2o7.net/b/ss/paypalglobal/1/H.20.3/s6882449644835
IP: 66.235.133.8 ---> Adobe

Letzteres dürfte eine Adobe-Cloud sein, die sich - mangels Abuse-Managements - genauso wie die Amazon-Cloud zur gemeinen Landplage entwickelt.

[kjz1]

Paypal ist Vlads Liebling:

header:

01: Received: from unknown (EHLO mail.anamariapop.ro) [92.86.10.113]
02:   by mx0.gmx.net (mx005) with SMTP; 07 May 2012 xx:xx:xx +0200
03: Received: (qmail 13597 invoked by UID: [UID filtered]
04: Received: by simscan 1.3.1 ppID: [ID filtered]
05:          scanners: attach: 1.3.1
06: Received: from unknown (HELO User) (office [at] anamariapop.ro@79.189.148.169)
07:   by mail.anamariapop.ro with ESMTPA; 7 May 2012 xx:xx:xx -0000

IP: 79.189.148.169 ---> ifs169.internetdsl.tpnet.pl

gecrackt: office@anamariapop.ro

^whois:http://www.paypal.de.132918e13123165836.20332932data.com/login-de.htm
IP: 221.10.127.26 ---> China Unicom SiChuan

leitet weiter auf:

^whois:http://www.paypal.de.031092814141094.com/de.php
IP: 173.254.28.22 ---> just22.justhost.com

[Solli]

offtopic:

Paypal selbst verhält sich aber auch sehr Phisher-freundlich: Soeben bekam ich eine Mail, dass sdie AGB geändert werden. Um die Änderungen zu lesen, soll ich auf einen Link in der Mail klicken und mich einloggen. Und ja, die Mail stammte tatsächlich von Paypal. Vermutlich dauert es nicht lange, bis gefälschte Exemplare dieser Mail im Umlauf sind, mit einer Phishing-Seite als landing page.

Woran man erkennen kann, dass die Mail tatsächlich von Paypal stammt:
- Received-Header: Die Mail wurde von einem Paypal-Server abgeschickt (in meinem Fall ^whois:96.47.30.215)
- Korrekter Vor- und Nachname in der Anrede
- Links verweisen auf https://email-edg.paypal.com
- Besagte Seite verwendet ein Zertifikat, ausgestellt auf Paypal Inc., verifiziert von Verisign Inc.

Aus Sicherheitsgründen rate ich dennoch davon ab, auf Links in derartigen Mails zu klicken und auf diesen Seiten Benutzername und Passwort einzugeben. Statt dessen sollte man von Hand "paypal.com" in die Adresszeile des Browsers eintippen.

[kjz1]

Paypal Phishki ist wieder aktiv:

header:

01: Received: from mail.orangerca.com (EHLO mail.orangerca.com) [41.223.184.20]
02:   by mx0.gmx.net (mx023) with SMTP; 27 May 2012 xx:xx:xx +0200
03: Received: from ([75.151.64.57])
04:         by mail.orangerca.com (IceWarp 10.4.1) with ASMTP ID: [ID filtered]
05:         Sun, 27 May 2012 xx:xx:xx +0100

IP: 75.151.64.57 ---> 75-151-64-57-WestFlorida.hfc.comcastbusiness.net

Dear*PayPal Customer*,


We noticed that you have added *jhon1178@btconnect.com* as a new email
address for your Paypal account.

If you did not authorize this change, check with family members and
others who may have access to your account first. If you still feel that an
unauthorized person has changed your email, submit the form attached to your email in
order to keep your original email and restore your Paypal account.

NOTE: The form needs to be opened in a modern browser which has javascript
enabled (ex: Internet Explorer 7, Firefox 3, Safari 3, Opera 9)

Please understand that this is a security measure intended to help
protect you and your account. We apologize for any inconvenience.

If you choose to ignore our request, you leave us no choice but to
temporary *suspend your account*.

Sincerely, PayPal Account Review Department.

--------------------------------------------------------------------------------

Please do not reply to this e-mail. Mail sent to this address cannot be
answered. For assistance, log in to your PayPal account and choose the
"Help" link in the footer of page.

Copyright Copyright symbol 1999-2012 PayPal. All rights reserved.

Im HTML Formular Anhang dann die Schadseite:

HTML-Code:

<form method="post" action="http://gushterul.com/css/eg1.php">

IP: 66.96.147.101 ---> 101.147.96.66.static.eigbox.net

[kjz1]

Der Nächste bitte:

header:

01: Received: from smtp01.iberwall.net (EHLO mail.iberwall.net) [87.111.199.166]
02:   by mx0.gmx.net (mx061) with SMTP; 25 Jun 2012 xx:xx:xx +0200
03: Received: from correo.almazor-espuny.com ([81.33.29.82]) by
04: mail.iberwall.net with Microsoft SMTPSVC(6.0.3790.4675);
05: 	 Mon, 25 Jun 2012 xx:xx:xx +0200
06: Received: from User ([178.195.28.97]) by correo.almazor-espuny.com with
07: Microsoft SMTPSVC(6.0.3790.4675);
08: 	 Mon, 25 Jun 2012 xx:xx:xx +0200

IP: 178.195.28.97 ---> 97-28.195-178.cust.bluewin.ch

Liebe User PayPal,
Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto
einzugrenzen
bis zusätzliche Informationen zur Überprüfung gesammelt werden.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir
bitten Sie
daher die von uns angeforderten Kontodaten zu enrneuern.

*Bitte klicken Sie hier »*
^whois:http://glowstonedust.provisionhost.com/germany.htm


Copyright © 1999-2012 PayPal. All rights reserved
PayPal Germany Pty Limited
ABN 93 111 195 389 (AFSL 304962)

IP: 64.31.13.45 ---> static.provisionhost.com/Limestone

leitet weiter auf das eigentliche Schadskript:

^whois:http://tiptopshop.ch/www.paypal.de/germany.php

IP: 94.126.17.91 ---> tts-circle.ch.17.126.94.in-addr.arpa/METANET AG, CH

[kjz1]

Dieselbe Bande und die Schweizer haben ihren Server immer noch nicht dicht...

header:

01: Received: from mails.okuoku.com (EHLO mails.okuoku.com) [77.92.154.183]
02:   by mx0.gmx.net (mx064) with SMTP; 26 Jun 2012 xx:xx:xx +0200 
03: Received: from User ([79.189.148.169]) by okuoku.com with MailEnable
04: ESMTP; Tue, 26 Jun 2012 xx:xx:xx +0300

IP: 77.92.154.183 ---> Mars Global Datacenter Services, Turkey

IP: 79.189.148.169 ---> ifs169.internetdsl.tpnet.pl

Liebe User PayPal,
Ungewöhnliche Kontobewegungen haben es notwendig gemacht Ihr Konto
einzugrenzen
bis zusätzliche Informationen zur Überprüfung gesammelt werden.

Zur Zeit haben Sie nur begrenzten Zugang zu Ihrem Pay Pal Konto. Wir
bitten Sie
daher die von uns angeforderten Kontodaten zu enrneuern.

*Bitte klicken Sie hier »*
^whois:http://www.paypal.de.5885d80a13c0db1f8e263663d3faee8d8494db9703d295b4a21164.app.goonow.com/umleiten.htm


Copyright © 1999-2012 PayPal. All rights reserved
PayPal Germany Pty Limited
ABN 93 111 195 389 (AFSL 304962)

IP: 60.195.250.68 ---> Beijing Teletron Telecom Engineering Co.

und das Umleiten führt zu:

^whois:http://www.shopadministrator.ch/einelogen.php

IP: 94.126.17.91 ---> tts-circle.ch.17.126.94.in-addr.arpa/METANET AG, Switzerland