Ergebnis 1 bis 6 von 6

Thema: ARCOR - Account Phishing

  1. #1
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    388

    Standard ARCOR - Account Phishing


    header:
    01: From - Sun Aug 17 xx:xx:xx 2008
    02: Return-Path: <supports [at] mail2webmaster.com>
    03: X-Original-To: -Meine-Adresse- [at] arcor.de
    04: Received: from mail-in-02.arcor-online.net (mail-in-02.arcor-online.net
    05: [151.189.21.42])
    06: by mail-in-08-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    07: Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    08: Received: from webmail13.arcor-so.net (webmail13.arcor-online.net
    09: [151.189.8.66])
    10: by mail-in-02.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    11: Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    12: Received: from [67.159.45.51] by webmail13.arcor-so.net (151.189.8.66) with
    13: HTTP (Arcor Webmail); Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    14: Message-ID: [ID filtered]
    15: Date: Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    16: From: supports [at] mail2webmaster.com
    17: To: poor [at] spamvictim.tld
    18: Subject: ARCOR INTERNET USER
    19: MIME-Version: 1.0
    20: Content-Type: text/plain; charset=ISO-8859-1
    21: Content-Transfer-Encoding: quoted-printable
    22: X-ngMessageSubType: MessageSubType_MAIL
    23: X-WebmailclientIP: 67.159.45.51
    24: X-Arcor-Original-Account: AndererVornamePunktZuname [at] arcor.de
    25: X-DCC-ARCOR-Metrics: mail-in-08-z2 1241; bulk Body=694 Fuz1=694 Fuz2=784
    26: X-Arcor-Antispam: BULK_MAIL UPPER_CASE_SUBJECT SAME_FROM_AND_TO
    27: X-ArcorSpamBlocker: Spamcount: 8 Sensitivity: 13

    Dear Arcor Email Account Owner,

    To complete your Account Verification process, you are to reply this
    message and enter your password in the space provided (*******), you are
    required to do this before the next 48hrs of receipt of this e-mail, or
    your Webmail Account will be de-activated and erased from our database.

    Your account can also be verified at;
    http://www.arcor.de
    Thank you for using our Webmail Service.
    ARCOR INTERNET HELP SUPPORT

    Jetzt komfortabel bei Arcor-Digital TV einsteigen: Mehr Happy Ends, mehr He=
    rzschmerz, mehr Fernsehen! Erleben Sie 50 digitale TV Programme und optiona=
    l 60 Pay TV Sender, einen elektronischen Programmf=FChrer mit Movie Star Be=
    wertungen von TV Movie. Au=DFerdem, aktuelle Filmhits und spannende Dokus i=
    n der Arcor-Videothek. Infos unter www.arcor.de/tv
    Das ist das erste mal, dass ich über so eine Verifikation bei Arcor stolpere. Bisher kenn ich das nur von diversen Banken und zu Zeugs.

    Die URLs sind auch nicht irgendwie getürkt, das ist eine reine Textmail. Offenbar warten die darauf, dass einer so faul ist und tatsächlich das Angebot sein Passwort als Mail abzusenden annimmt. Ach ja, doof muß der auch sein, wer in Deutschland erwartet von einem deutschen Unternehmen eine rein englische Mail?

    Verwirrend ist dieses angebliche "Arcor Webmail" da drinnen. Hab mir selber eine Mail per Webinterface zugestellt, das stimmt wohl so:

    header:
    01: Received: from mail-in-17.arcor-online.net (mail-in-17.arcor-online.net
    02: [151.189.21.57])
    03: by mail-in-09-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    04: Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    05: Received: from webmail19.arcor-so.net (webmail19.arcor-online.net
    06: [151.189.8.77])
    07: by mail-in-17.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    08: Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    09: Received: from [meine-IP-Adresse] by webmail19.arcor-so.net (151.189.8.77) with
    10: HTTP (Arcor Webmail); Sun, 17 Aug 2008 xx:xx:xx +0200 (CEST)
    11: Message-ID: [ID filtered]
    Nur diese Zeile mit "X-Arcor-Original-Account:" kommt bei mir nicht. Seltsam.
    ←————————————————————→
    Will noch jemand bei Einstein@Home mitmachen?
    Das heise-Leser Team Special: Off-Topic bei Einstein@Home sucht immer Mitglieder! :)

  2. #2
    Neues Mitglied
    Registriert seit
    29.08.2008
    Beiträge
    1

    Standard

    Die Zeile X-Arcor-Original-Account: wird in die Mail nur eingefügt wenn der User eine externe Email-Adresse zur Verwendung angemeldet hat (supports [at] mail2webmaster.com), sonst ist das eine normal über das Webmail verschicke Email.

  3. #3
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    388

    Standard


    header:
    01: From - Sun Oct 5 xx:xx:xx 2008
    02: Return-Path: <jpwong11 [at] verizon.net>
    03: X-Original-To: meine_Mailadresse [at] arcor.de
    04: Received: from mail-in-02.arcor-online.net (mail-in-02.arcor-online.net
    05: [151.189.21.42])
    06: by mail-in-07-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    07: Sun, 5 Oct 2008 xx:xx:xx +0200 (CEST)
    08: Received: from vms173003pub.verizon.net (vms173003pub.verizon.net
    09: [206.46.173.3])
    10: by mx.arcor.de (Postfix) with ESMTP ID: [ID filtered]
    11: Sun, 5 Oct 2008 xx:xx:xx +0200 (CEST)
    12: Received: from vms032.mailsrvcs.net ([172.18.12.131])
    13: by vms173003.mailsrvcs.net
    14: (Sun Java System Messaging Server 6.2-6.01 (built Apr 3 2006))
    15: with ESMTPA ID: [ID filtered]
    16: 04 Oct 2008 xx:xx:xx -0500 (CDT)
    17: Received: from [80.89.176.35] by mailbox.verizon.net with HTTP; Sat,
    18: 04 Oct 2008 xx:xx:xx -0500
    19: Date: Sat, 04 Oct 2008 xx:xx:xx -0500 (CDT)
    20: From: Arcor Department <jpwong11 [at] verizon.net>
    21: Subject: Dear Arcor.De Account User
    22: X-Originating-IP: [80.89.176.35]
    23: To: Undisclosed recipients: ;
    24: Reply-to: upgradeaccount_team4 [at] hotmail.com
    25: Message-ID: [ID filtered]
    26: MIME-version: 1.0
    27: Content-type: text/plain; charset=UTF-8; format=flowed; delsp=no
    28: Content-transfer-encoding: 7bit
    29: Content-disposition: inline
    30: User-Agent: Verizon Webmail

    Dear Arcor.De Account User,

    We are currently performing maintenance for our Arcor.De Digital mail
    Account owners
    due to the rate of internet passwords and other informations problems.
    And
    we discovered that our mail account owners have been receiving phishing
    mails
    form imposters asking for their Personal informations.So we intend
    upgrading
    our Arcor.De Digital mail Security Server for better online services.

    In order to ensure you do not experience service interruption, you are
    advice
    to verify and confirm your account details below to enable us upgrade
    our
    Internet Service e.g. your Arcor.De Internet DSL connection and email
    account.
    Anyone who fails to do this may automatically lose his/her own account.

    Thanks for your understanding.

    To prevent the lost of your account please upadate it below before
    three days from now!

    Confirm Your email Account Details Below

    Last Name:...............................
    Password :.............. ................
    Username:.......... .....................

    Note that we request the above for Identification purpose
    only and you will be sent a new confirmation/alphanumerical password so
    that
    it will only be valid during this period and can be changed after this
    process.

    E-mail: upgradeaccount_team4@hotmail.com

    Thanks for using Arcor.De the Internet service.
    Noch ein Versuch. Witzigerweise rutschen die auch noch durch den Arcor Spamfilter. Und diesen Spamfilter hab ich schon recht scharf eingestellt.
    ←————————————————————→
    Will noch jemand bei Einstein@Home mitmachen?
    Das heise-Leser Team Special: Off-Topic bei Einstein@Home sucht immer Mitglieder! :)

  4. #4
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.404

    Standard

    80.89.176.35 = Nigeria

    Dazu diese typische Schreibe... Will da etwa ein cleverer Mugu an Accounts zum Spammen kommen?
    Wir kriegen euch alle!

  5. #5
    Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    388

    Standard

    Heute gabs eine Mail von Arcor. Ich kann nicht sagen, ob die an alle/viele Arcor-Kunden ging oder nur an mich. Aber sie ging nicht an die Mail-Adresse, die ich beim Verpetzen dieser zwei Phishing-Versuche verwendet hatte und auch nicht an die primäre Mail-Adresse bei Arcor (mit der hab ich verpetzt).

    Laut Header scheint die echt zu sein.

    header:
    01: Received: from mail-in-01.arcor-online.net (mail-in-01.arcor-online.net
    02: [151.189.21.41])
    03: by mail-in-04-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    04: for <MG>; Wed, 8 Oct 2008 xx:xx:xx +0200 (CEST)
    05: Received: from newsletter1 (newsletter1.arcor-online.net [151.189.8.122])
    06: by mail-in-01.arcor-online.net (Postfix) with SMTP
    07: for <MG>; Wed, 8 Oct 2008 xx:xx:xx +0200 (CEST)

    Und jetzt im vollen Wortlaut:

    Sehr geehrte Arcor-Kundin,
    sehr geehrter Arcor-Kunde,

    in den letzten Tagen erhielten auch Arcor.de-Kunden vereinzelt so genannte Phishing-E-Mails. Aus diesem Anlass bitten wir Sie: Schützen Sie sich. Die wichtigsten Informationen zum Thema haben wir für Sie zusammengestellt. Wie bei Spam hat Arcor auch beim Phishing keinen Einfluss darauf, dass Kunden von dubiosen Anbietern elektronische Post erhalten.

    Was ist Phishing?

    "Phishing" (sprich: "Fisching") ist ein Kunstwort und bedeutet "nach Informationen fischen". E-Mail-Nutzer erhalten eine E-Mail, die aussieht, als käme sie von einem Servicedienstleister, in diesem Fall also von Arcor. Sie werden aufgefordert, persönliche Daten, in diesem Fall das Passwort für ihren persönlichen Arcor-E-Mail-Account, zu versenden. Auf diese Weise erhalten Unbefugte Zugriff auf E-Mail-Accounts und alle darin enthaltenen Daten und Funktionen.

    Übrigens: Eine Frage nach dem Passwort ist immer ein Phishing-Angriff, Arcor-Mitarbeiter dürfen und werden unter keinen Umständen jemals schriftlich nach Ihrem E-Mail-Passwort, also ihren persönlichen Login-Daten, fragen!

    Die Phishing-Mail, die vereinzelt an Arcor-Accounts versendet worden ist, war in englischer Sprache formuliert und hatte den Betreff:
    [arcornews.de #1348] Dear Arcor.De Account User

    Wenn Sie eine solche Mail erhalten haben: Antworten Sie keinesfalls. Löschen Sie diese Mail umgehend.
    Wenn Sie in gutem Glauben Ihr Passwort herausgegeben haben: Ändern Sie Ihr Passwort bitte umgehend:

    HIER geht's zur PASSWORTVERWALTUNG:
    https://www.arcor.de/register/admin_password.jsp

    Sollten Sie ihren Arcor.de-Mail-Account nicht mehr erreichen, haben Sie zwei Möglichkeiten:

    1) Wenn Sie eine alternative E-Mail-Adresse angegeben haben, dann klicken Sie "Passwort vergessen?" und lassen Sie sich ein neues zuschicken. Dabei ist sichergestellt, dass nur Sie ein neues Passwort erhalten und gleichzeitig auch ein neues, vom Unbefugten eingegebenes, Passwort deaktiviert wird. Wenn Sie die Funktion "Passwortfrage" haben, müssen Sie auch hier eine Änderung vornehmen, damit der Unbefugte auch auf diesem Wege keinen Zugriff mehr hat.

    2) Wenn Sie keine alternative E-Mail-Adresse angegeben haben, melden Sie sich bitte telefonisch bei uns! Dann müssen Passwort und Passwortfrage von uns zurückgesetzt werden, um den Unbefugten auszuschließen. Wir haben zu diesem Zweck eine Servicenummer geschaltet, die Sie kostenfrei aus dem deutschen Festnetz anrufen können:

    0800 / 7575000

    Unsere Mitarbeiter werden Ihnen gerne weiterhelfen.

    Ihr Arcor-Team

    PS: Bitte antworten Sie nicht auf diese Nachricht. Wenn sie Hilfe brauchen, verwenden Sie bitte die oben genannte Telefonnummer.
    ←————————————————————→
    Will noch jemand bei Einstein@Home mitmachen?
    Das heise-Leser Team Special: Off-Topic bei Einstein@Home sucht immer Mitglieder! :)

  6. #6
    Urgestein Avatar von Liquid-Sky-Net
    Registriert seit
    31.08.2006
    Ort
    Quadratestadt
    Beiträge
    5.515

    Standard

    Die Mail haben einige (evtl sogar alle) bekommen. Bei uns ist heute das Tel heiß gelaufen.

    3 Leute wollten bei uns sogar das Passwort ändern lassen.
    Ich leb in meiner eigenen Welt, aber das ist o.k. - man kennt mich dort! :D
    Zitat Zitat von axys
    Wenn zwei Menschen immer dasselbe denken, ist einer von ihnen überflüssig.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen