Paypal-Phishing

[FSnyder]

Hi,

header:

01:  Return-Path: <service [at] paypal.de>
02: Received: from eccobold01.aul.t-online.de ([172.20.27.226])	by
03: 	ehead311.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
04: Received: from localhost.localdomain ([127.0.0.1]) by
05: 	eccobold01.aul.t-online.de	with esmtp ID: [ID filtered]
06: Received: from apmail.rentokil-initial.com ([202.172.243.4]) by mx-ha.web.de
07: 	(mxweb003) with ESMTP (Nemesis) ID: [ID filtered]
08: Received: from [100.74.218.125] ([104.40.138.131]) by
09: 	apmail.rentokil-initial.com with Microsoft SMTPSVC(6.0.3790.3959); Mon, 1 Sep 2014 xx:xx:xx
10: 	+0800
11: Message-ID: [ID filtered]
12: From: service [at] paypal.de <service [at] paypal.de>
13: To: poor [at] spamvictim.tld
14: Subject: Paypal Sicherheitssperre
15: Date: Sun, 31 Aug 2014 xx:xx:xx GMT
16: X-Bounce-Tracking-Info:
17: 	<CQkJdG93by1nbGlAd2ViLmRlCVBheXBhbCBTaWNoZXJoZWl0c3NwZXJyZQkxMTEJCTkxMjgyCWJvdW5jZQlubwlubw
18: 	=>
19: X-OriginalArrivalTime: 31 Aug 2014 xx:xx:xx.0361 (UTC)
20: 	FILETIME=[BFE7B210:01CFC572]
21: Envelope-To: <poor [at] spamvictim.tld>
22: X-UI-Filterresults: unknown:5;V01:K0:IIb68YdKU2g=:tb4PXhNAye8gZaog4Uh8Y6+lZm
23: 	U07RPQncSE62t3NiBf1gazigH9FiPnbhngH3zgG2kdOY5AU5Rexx4ATwvLwAzEB5jswE1+qMz
24: 	G6vjKY4nYR/W2A8jQ6pjtnvzuMPKzcEN79shbwNsu8DPSppZZVPIAqUXLkFvbNUV+/tUVkXaA
25: 	vdXInemf2bVtUiRsULaYGy5O5B7sU8sOjXY66Y54U9CDegH6U5/BVV8vlhN+xTtJsZ9G3AJYc
26: 	HEG8yD9JCAV/Ov0/GDjIOifAO+lfDBamJd1iya30s+PsQtNZ87zc13nXMCX3a7xZvbywUvStQ
27: 	FUJXWU+lpFvn/QD317tXjJUYh+KOkViKMxcy71BJl+E1z9WhOrAnzCVvVtie1XXMUuxXfBLV4
28: 	O2tGPxVO575f4/PuE76wkST02fWUC1y3VlvsyO63o8cPmAW/VeXyFqdd7tnfgljw9C/N23z7N
29: 	JEsde9lUw6YdGIV/9HKqGu89JI7frIFMEN5TQbYlp25hrUN6toNNsEJRiDJjT1oVXG/ktKfUS
30: 	99kSN08iVlTOS3vs1GhV7mmvEKo16IR2k5JEd9XflwNGypWMq7LameUWhwfyCVOd9KpkHmrSo
31: 	eBJXcwe/ygA6I3Svc/LXHJH5f3qmWRkB0YCEgfK3DoiE8AJQ/CuVdz4/dEESLGDW+VF9OOcG4
32: 	yj4J+z+WQ+efEdr1NDF4m2Vx/ZFDTsj4qVYxczbS9rR76XFDXudKvwekspU06FvYjn+6vLO1E
33: 	DaRvQoKfN1FAKD145rX9I/iW62qcz7fnnG12S4mUvQimiMn3mU5OQfbkHgY7G45H2VKC6p2Y7
34: 	FoclTyxrylTN4nz397NsyqNoKINbiJPafPVHWmJKe3J48+Suf/54hHwD3vnVF2/lJ0/J84Hwp
35: 	SkPIPrN8knaEvueOBXhh40cXxYfav96tK8Ijyr/XYD1RwAq9B4D873SQYSiqdTHAPkNIxtP61
36: 	Rlg/DdzGZzi34nHjLbgnNHaeuM5OsFYMC1whUh95xvHXzcYV5S6LEq/gGevxSQVDAs9ARFct6
37: 	3kkDf1F7/rE+akLXtlq95N/yxQbvBAt0j6ka0qFKUp12Wz9UGrl0XvqYmOty+KMuvUvhhKlv0
38: 	7DF/elk3a7WdCQkxkRsbeGxYIOcg6lDbc5v3l9AuwpX5rO4bCDZFOAYN+N/RFUUeIIu1dz8tn
39: 	JWV8spkOq8iS+afUQl/MwJPKmZI601404VzXdF/BJ9aAZY2c7zHxJoKOmxcr5/jTamU1jhvnv
40: 	BgoeZ+nikeJ30/KXWAfa+oKxqE+pfGz4byV6Dn5Ms7m434qq+cXt2xpodYp7VQo2z0EMgvHlH
41: 	Pup5t45qo8ikFOqJ3EQGZMdV/ASNZEbjEUTlJIQN/5BIwKQtb5CBBHMwSESAui/suqMOJGuRs
42: 	SxiuqcxIm/7kjC4te88vlUQwcmhuC4/wvzz1so62W6t9BTDrnvcd1azJ9+u
43: X-TOI-EMC: web
44: X-TOI-SPAM: u;0;2014-09-01Txx:xx:xxZ
45: X-TOI-VIRUSSCAN: clean
46: X-TOI-EXPURGATEID: [ID filtered]
47: X-TOI-MSGID: [ID filtered]
48: X-Seen: false
49: MIME-Version: 1.0
50: Content-Type: text/html; charset=utf-8
51: Content-Transfer-Encoding: quoted-printable

Ich muss schon sagen, fehlerfreies Deutsch, eine passende Begründung (der Hack der Datenbank bei ebähhhhhh), da müsste man sehr genau hinsehen.
Der komplette Text ist leider in einem Bild "eingebaut", deshalb kann ich ihn nicht reinsetzen. Der Link, auf den man klicken soll, verweist natürlich auf irgendeine kryptische Adresse.
Mich trifft es aber sowieso nicht, isch 'abe gar kein PayPal (mehr)!
Und mein damaliger Account lief auf einer völlig anderen Mailadresse.

Grüße
Snyder

[carkiller08]

header:

01: Received: from rg.rg-ideas.com ([198.1.127.151]) by BAY004-MC5F10.hotmail.com
02: 	over TLS secured channel with Microsoft SMTPSVC(7.5.7601.22712);
03: 	 Mon, 15 Sep 2014 xx:xx:xx -0700
04: Received: from rs213191.rs.hosteurope.de ([5.35.255.50]:62456)
05: 	by rg.rg-ideas.com with esmtpa (Exim 4.82)
06: 	(envelope-from <verifizierung [at] support.de>)
07: 	ID: [ID filtered]
08: From: Konto Sicherheit <verifizierung [at] support.de>
09: To: Undisclosed-Recipients:;
10: Subject: Verifizierung Ihrer Daten erforderlich

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[carsten.gentsch]

Hallo neue Runde
Hier wird abgefischt und die Seite hat vieles zu bieten für jeden was dabei. Mal schauen wie lange die Online ist.
^whois: [Link nur für registrierte Mitglieder sichtbar. ] Domain gehostet bei 1und 1 prima oder?
wenn mann dann hier schaut sieht man den ganzen Salat

http://www.pp-befugnis-de.net/konflikt/de/

^whois:192.232.194.136 und gesendet via ^whois:37.48.74.79 die dürfen ja nicht fehlen.

header:

01: Return-Path: service [at] paypal.de
02: Received: from web.tickledpinkandblue.com ([192.232.194.136]) by mx-ha.web.de
03:  (mxweb008) with ESMTPS (Nemesis) ID: [ID filtered]
04:  <me>; Sun, 05 Oct 2014 xx:xx:xx +0200
05: Received: from [37.48.74.79] (port=50720 helo=probant)
06: 	by web.tickledpinkandblue.com with esmtpa (Exim 4.82)
07: 	(envelope-from <service [at] paypal.de>)
08: 	ID: [ID filtered]
09: 	for me; Sat, 04 Oct 2014 xx:xx:xx -0500
10: From: "PayPal" <service [at] paypal.de>
11: Subject: =?utf-8?Q?Ihr_Paypal_Konto_ist_eingeschr=C3=A4nkt!_Ihre_Mithilfe_?=
12:  =?utf-8?Q?ist_gefragt?=
13: To: me
14: Content-Type: multipart/alternative;
15: 	boundary="GUNUPBGZ857R5SuEC9uVvMXwR74j=_Pqxm"
16: MIME-Version: 1.0
17: Date: Sun, 5 Oct 2014 xx:xx:xx +0200
18: Message-ID: [ID filtered]
19: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
20: 	report
21: X-AntiAbuse: Primary Hostname - web.tickledpinkandblue.com
22: X-AntiAbuse: Original Domain - web.de
23: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
24: X-AntiAbuse: Sender Address Domain - paypal.de
25: X-Get-Message-Sender-Via: web.tickledpinkandblue.com: authenticated_ID: [ID filtered]

ab in die Tonne damit.... Leider kann ich nicht sehen wohin die Reise geht bzw. wie bekommt man das raus. Das würde ich gern bei meinem Vortrag in der Schule zeigen.

[KaiHH]

Ob es etwas bringt, wenn man US-Seiten an das FBI meldet? Unter [Link nur für registrierte Mitglieder sichtbar. ] bieten sie zumindest die Möglichkeit.

Gruß
Kai

[carsten.gentsch]

Ich habe auf der Webseite mal über Kontakt darauf hingewiesen schauen wir mal.

[kjz1]

Wieder mal Paypal-Phishing von der Russenmafia:

header:

01: Received: from 37.212.130.136 (unknown [37.212.130.136])
02: 	by xxxxx (Postfix) with SMTP ID: [ID filtered]
03: 	for xxxxx; Tue,  7 Oct 2014 xx:xx:xx +0200 (CEST)
04: 7.0.100.09170, virus records: 5447568, updated: 10.09.2014]
05: Received: from unknown (HELO ay3i6) ([191.175.159.62])
06: 	by 37.212.130.136 with ESMTP; Tue, 7 Oct 2014 xx:xx:xx +0200

IP: 37.212.130.136 ---> Republican Unitary Telecommunication Enterprise Beltelecom, Minsk

Guten Tag!
Sehr geehrte/r Benutzer/in!

Helfen Sie uns bitte dabei, Ihr PayPal Konto in Sicherheit zu bringen.
Es sind uns auffallige Aktivitaten aufgefallen in der Zeit Ihres letzen
Aufrufs,
Ihr PayPal-Konto ist vorubergehend gesperrt



Was kann ich machen?
Bitte bestatigen Sie Ihre Personalitat durch folgenden Button und fullen
Ihre
Personliche Daten ein, damit wir Ihr Account freischalten konnen.
Schliesslich, Zugang zur Konto wird wiederhergestellt.

Klicken Sie bitte Jetzt Zugriff wiederherstellen.
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
Viele Grube!

IP: 27.0.12.93 ---> mx1293.superdata.vn

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 141.105.69.239 ---> help.sweb.ru

[carsten.gentsch]

Und ganz sicher interessant das hier
[Link nur für registrierte Mitglieder sichtbar. ]
und
[Link nur für registrierte Mitglieder sichtbar. ]
Die Täter sind also wiedereinmal im Osten zu finden.

[carsten.gentsch]

Heute ist Paypal Tag ohne Frage schon 5 emails alle auf die selbe Mailaddy mit der selben Masche. Es sollte nun wirklich keden auffallen das das nicht paypal sein kann.
Was mir aber immer wieder unterkommt es ist das selbe Pfischingkit mit Rus Wurzeln und bei den Russen gehosteter Domain.
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

header:

01: Return-Path: <mic [at] ilk.de>
02: X-Original-To: me
03: Delivered-To: me
04: X-Greylist: delayed 305 seconds by postgrey-1.32 at c5; Tue, 07 Oct 2014 xx:xx:xx MEST
05: Received: from 93.74.163.223 (tournamentless-mickey.volia.net [93.74.163.223])
06: 	byme (Postfix) with SMTP ID: [ID filtered]
07: 	for <me>; Tue,  7 Oct 2014 xx:xx:xx +0200 (MEST)
08: Received: from unknown (HELO gbve7) ([115.99.192.46])
09: 	by 93.74.163.223 with ESMTP; Tue, 7 Oct 2014 xx:xx:xx +0200
10: Message-ID: [ID filtered]
11: From: "PayPal" <mic [at] ilk.de>
12: To: <me>
13: Subject: Das Problem: Ihr Paypal Uberprufung
14: Date: Tue, 7 Oct 2014 xx:xx:xx +0200
15: MIME-Version: 1.0
16: Content-Type: text/html;
17: 	format=flowed;
18: 	charset="iso-8859-2";
19: 	reply-type=original
20: Content-Transfer-Encoding: 7bit
21: X-Priority: 3
22: X-MSMail-Priority: Normal
23: X-Mailer: Microsoft Outlook Express 6.00.2900.2180
24: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
25: X-Antivirus: avast! (VPS 141007-1, 07.10.2014), Inbound message
26: X-Antivirus-Status: Clean
27: <html><body>
28: ------------------------------------------------------------<BR><BR>

Guten Tag!<BR>
Sehr geehrte/r Benutzer/in!
Wir bitten Sie um einer Unterstutzung bei der Freistellung Ihres PayPal Konto.
Es sind uns auffallige Aktivitaten aufgefallen in der Zeit Ihres letzen Aufrufs,
Ihr PayPal-Konto ist vorubergehend blockiert

Was kann ich machen?
Bitte bestatigen Sie Ihre Personalitat durch folgenden Button und geben Ihre Personliche Daten ein, damit wir Ihr PayPal Konto freischalten konnen.
Schliesslich, konnen Sie Ihr Paypal-Konto wieder uneingeschrankt nutzen.
<A href="http://tonimelis.com/wp-content/themes/twentythirteen/sysre.php">Klicken Sie bitte Jetzt Zugriff wiederherstellen.</A>

[kjz1]

Die Täter sind also wiedereinmal im Osten zu finden.

Das sieht der Kenner schon auf den ersten Blick:

Viele Grube

Auf den kyrillischen Tastaturen bekommt man halt Umlaute und das 'ß' nicht hin und greift dann zum 'b'.

[carsten.gentsch]

Allerding weiss ich nicht wo das ganze dann abgespeichert wird bzw. die reise der Daten hingeht. Das habe ich noch nicht finden können. Wo muss ich da suchen denn gerade das ist für Veranschaulichung des Datenklaus interessant. Wer möchte mich mal aufklären auch gern per pn.

danke