Ergebnis 1 bis 6 von 6

Thema: Phishing bei American Express Karten

  1. #1
    Neues Mitglied
    Registriert seit
    14.10.2007
    Beiträge
    1

    Standard Phishing bei American Express Karten

    Habe soeben eine Mail von (angeblich) American Express erhalten. Quelltext hier:

    header:
    01: From - Sun Aug 31 xx:xx:xx 2008
    02: X-Account-Key: account1
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 1001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: Return-Path: <accountcenter [at] americanexpress.com>
    09: Received: from mailin12.aul.t-online.de (mailin12.aul.t-online.de
    10: [172.20.26.48])
    11: by mhead405 with LMTP; Sun, 31 Aug 2008 xx:xx:xx +0200
    12: X-Sieve: CMU Sieve 2.2
    13: Received: from ns1.securenameserver8.net ([83.172.148.42]) by
    14: mailin12.aul.t-online.de
    15: with esmtp ID: [ID filtered]
    16: Received: (qmail 28591 invoked by UID: [UID filtered]
    17: Date: 31 Aug 2008 xx:xx:xx +0200
    18: Message-ID: [ID filtered]
    19: To: poor [at] spamvictim.tld [anonymisiert]
    20: Subject: Vollen Zugriff auf Konto wiederherstellen
    21: Content-Type: text/HTML; charset="iso-8859-1"
    22: From: "American Express" <accountcenter [at] americanexpress.com>
    23: Reply-To: "American Express" <accountcenter [at] americanexpress.com>
    24: X-TOI-SPAM: u;0;2008-08-31Txx:xx:xxZ
    25: X-TOI-VIRUSSCAN: unchecked
    26: X-TOI-MSGID: [ID filtered]
    27: X-Seen: false
    28: X-ENVELOPE-TO: <poor [at] spamvictim.tld> [anonymisiert]

    <html>
    <head>
    <title>Guten Tag</title>
    <meta http-equiv="Content-Language" content="nl" />
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <style>
    .roundcorner { background:transparent url('http://mail.yimg.com/us.yimg.com/i/us/pim/th/el/blue/rcstrip_01.png') no-repeat scroll -100px 0px; } .roundcorner { background:transparent url('http://mail.yimg.com/us.yimg.com/i/us/pim/th/el/blue/rcstrip_01.png') no-repeat scroll -100px 0px; }
    </style>
    </head>
    <body>
    <pre><span lang="de">Guten Tag ,</span></pre>
    <pre><span lang="de"> Im Rahmen unserer Sicherheitsmaßnahmen prüfen wir regelmäßig alle Vorgänge im<br />American Express System. Bei einer Überprüfung haben wir kürzlich ein Problem im<br />Zusammenhang mit Ihrem Konto festgestellt.</span></pre>
    <pre><span lang="de">Bei einer kürzlichen Überprüfung Ihres Kontos haben wir festgestellt, dass wir<br />zusätzliche Angaben von Ihnen benötigen, um Ihnen weiterhin sicheren Service<br />bieten zu können. <br /><br />Bearbeitungsnummer: AMEX-3735-099 <br /><br />Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschränkt, bis <br /><br />zusätzliche Sicherheitsmaßnahmen getroffen werden können. Wir bitten um<br />Entschuldigung für eventuelle Unannehmlichkeiten. <br /> <br />Wie kann ich den Zugriff auf mein Konto wiederherstellen?<br /> <br /><a href="http://www.oranjeverenigingoudbeijerland.nl/Mambo/AmexSSLController/DE/">Besuchen Sie die Seite Konfliktlösungen hier</a></span><a href="http://www.oranjeverenigingoudbeijerland.nl/Mambo/AmexSSLController/DE/"> </a></pre>
    <pre> <br /><br /><font face="Courier New" size="2">Wir bedanken uns für die rasche Erledigung dieser Angelegenheit. Haben Sie bitte<br />Verständnis, dass dies eine Sicherheitsmaßnahme ist,<br />die Sie und Ihr Konto schützen soll. Wir bedauern eventuelle Unannehmlichkeiten. <br /><br />Vielen Dank für Ihre Kooperation. <br /><br />Herzliche Grüße, <br /><br />Ihr American Express Team. </font></pre>
    <pre>


    <table id="table1" cellspacing="0" cellpadding="0" width="600" border="0">
    <tbody>
    <tr>
    <td>
    <div align="center"> </div>
    <hr align="center" width="500" />
    <p><br /> </p>
    </td>
    </tr>
    <tr>
    <td valign="top" align="left" width="450" height="31"><font size="2"> © 2008 American Express Corporation. All rights reserved.</font><font face="Arial, Verdana, Helvetica, sans-serif" size="1"><br />Designated trademarks and brands are the property of their respective owners.</font></td>
    </tr>
    </tbody>
    </table></pre>
    <pre> </pre>
    </body>

    </html>


    Da ich kein American Express Konto besitze, vermute ich eine Phishing-Aktion.
    Mit meiner Virtuellen Maschine habe ich diesen Link mal aufgerufen. Dort verlangt man allen Ernstes die Eingabe aller Kreditkarten-Daten.

    Die Registrierung der Zieldomain sieht so aus:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Ist darüber bereits mehr bekannt?
    Geändert von actro (31.08.2008 um 18:52 Uhr) Grund: header, whois..

  2. #2
    Mitglied
    Registriert seit
    05.10.2007
    Beiträge
    156

    Standard


    header:
    01: Return-path: <accountcenter [at] americanexpress.com>
    02: Delivery-date: Sun, 31 Aug 2008 xx:xx:xx +0200
    03: Received: from [195.4.92.21] (helo=11.mx.freenet.de)
    04: by mbox95.freenet.de with esmtpa (ID: [ID filtered]
    05: ID: [ID filtered]
    06: for poor [at] spamvictim.tld; Sun, 31 Aug 2008 xx:xx:xx +0200
    07: Received: from ns1.securenameserver8.net ([83.172.148.42]:43902)
    08: by 11.mx.freenet.de with esmtps (TLSv1:AES256-SHA:256) (port 25) (Exim 4.69 #12)
    09: ID: [ID filtered]
    10: for poor [at] spamvictim.tld; Sun, 31 Aug 2008 xx:xx:xx +0200
    11: Received: (qmail 9998 invoked by UID: [UID filtered]
    12: Date: 31 Aug 2008 xx:xx:xx +0200
    13: Message-ID: [ID filtered]
    14: To: poor [at] spamvictim.tld
    15: Subject: Vollen Zugriff auf Konto wiederherstellen
    16: Content-Type: text/HTML; charset="iso-8859-1"
    17: From: "American Express" <accountcenter [at] americanexpress.com>
    18: Reply-To: "American Express" <accountcenter [at] americanexpress.com>
    19: X-Warning: americanexpress.com is listed at abuse.rfc-ignorant.org
    20: Delivered-To:yy [at] 01019freenet.de
    21: Delivered-To: poor [at] spamvictim.tld
    22: Envelope-to: poor [at] spamvictim.tld
    23: X-purgate-ID: [ID filtered]
    24: Delivered-To: poor [at] spamvictim.tld

    In meinem Account kann ich normalerweise "Spam melden".
    Nicht bei dieser Mail. Das hatte ich noch nie.

    Besonders dreist:
    © 2008 American Express Corporation. All rights reserved.Designated trademarks and brands are the property of their respective owners.

  3. #3
    Mitglied
    Registriert seit
    05.10.2007
    Beiträge
    156

    Standard

    Kann bitte jemand die Mail-Adresse löschen. Hab eine vergessen.
    danke

  4. #4
    Mitglied Avatar von headbanger
    Registriert seit
    10.09.2009
    Ort
    Sternzeit 48579,4
    Beiträge
    275

    Standard American Express Phishing

    Ich hatte per SuFu nichts gefunden, deshalb neu eingestellt:


    header:
    01: From - Thu Jan 06 xx:xx:xx 2011
    02: X-Account-Key: account1
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: Return-Path: <me [at] localhost.com>
    09: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    10: Received: (qmail invoked by alias); 05 Jan 2011 xx:xx:xx -0000
    11: Received: from smtpweb121.aruba.it (HELO smtpsmart2.aruba.it) [62.149.158.121]
    12: by mx0.gmx.net (mx079) with SMTP; 05 Jan 2011 xx:xx:xx +0100
    13: Received: (qmail 20878 invoked by UID: [UID filtered]
    14: Received: by simscan 1.2.0 ppID: [ID filtered]
    15: scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
    16: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
    17: smtpsmart2.fe.aruba.it
    18: X-Spam-Status: No, score=-1.0 required=5.0 tests=BAYES_00,MIME_HTML_ONLY,
    19: RDNS_NONE autolearn=disabled version=3.2.5
    20: Received: from unknown (HELO webs1241.aruba.it) (62.149.131.251)
    21: by smtpsmart2.fe.aruba.it with SMTP; 5 Jan 2011 xx:xx:xx -0000
    22: Received: from webs1241 ([127.0.0.1]) by webs1241.aruba.it with Microsoft
    23: SMTPSVC(6.0.3790.4675);
    24: Wed, 5 Jan 2011 xx:xx:xx +0100
    25: Date: Wed, 05 Jan 2011 xx:xx:xx +0100
    26: Subject: Please update your American Express contact details ( Case-6219522 )
    27: To: poor [at] spamvictim.tld
    28: From: American Express <contact [at] american-express.com>
    29: Reply-To: me [at] localhost.com
    30: MIME-Version: 1.0
    31: Content-Type: text/html
    32: Content-Transfer-Encoding: 8bit
    33: X-OriginalArrivalTime: 05 Jan 2011 xx:xx:xx.0162 (UTC)
    34: FILETIME=[88441A20:01CBAD29]
    35: X-GMX-Antivirus: 0 (no virus found)
    36: X-GMX-Antispam: 0 (Mail was not recognized as spam);

    American Express Security Notification - Please update your AMEX contact details

    Dear American Express card account holder,
    As you may already know we regularly ask our customers to update the contact details associated with they're American Express card account (s).
    This helps us better contact you with alerts, news, updates and to keep your American Express card safe and reliable 24 hours a day, 7 days a week.

    We protect the systems at our end but security is a mutual responsibility and a good communication between you and American Express is always required.
    A recent review of your account determined that you need to update the email address and phone number associated with your American Express card account.

    We encourage you to use the following link and update your contact details as soon as possible:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Note: Failure to update your contact details may result in account limitations or even account closure.

    Please understand that this is a safety measure meant to help protect you, your AMEX card account and the entire American Express system.

    Thank you for your prompt attention to this matter. We apologize for any inconvenience.

    Yours sincerely,
    Oscar Jones,
    Head of AMEX Security,
    American Express International
    Der eingebette Link löst auf nach:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    dann weiter zu

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Geht also wohl nach China.

    Ich habe den Link über ein jungfräuliches Ubuntu System aufgerufen, kann also nicht sagen, ob sich noch etwas "Gefährliches" dort versteckt, warne aber ausdrücklich vor dem Aufruf dieser Site.

    Wer das weiter sezieren möchte, sollte sich der potentiellen Gefahr einer Drive-by-Infection oder eines recht neuen Exploits für Windows bewusst sein.
    Aber auf den ersten Blick sieht es ganz nach einer gehackten Firmen Website aus.

    Meldung an die betroffene Firma habe ich verfasst. (Hoffentlich verstehen die mein Englisch)
    Geändert von Mittwoch (06.01.2011 um 16:11 Uhr) Grund: Auf Wunsch an einen bestehenden Fred angetackert
    ------------------------------------------------------
    Geben ist seliger denn Nehmen - Mike Tyson

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Die Russkis vs. American Express:


    header:
    01: Received: from bsh1.hostzone.co.uk (bsh1.hostzone.co.uk [83.166.171.168])
    02: by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis)
    03: ID: [ID filtered]
    04: xx:xx:xx +0100
    05: Received: from 31-222-184-152.static.cloud-ips.co.uk ([31.222.184.152]
    06: helo=User)
    07: by bsh1.hostzone.co.uk with esmtpa (Exim 4.69)
    08: (envelope-from <AmericanExpress [at] welcome.aexp.com>)
    09: ID: [ID filtered]

    Dear customer,

    Your American Express Account has been subject to compulsory
    update to secure it from electronic fraud.

    Please click here
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    to update.

    Thank you for your Cardmembership.

    Sincerely,
    American Express Customer Service
    IP: 85.249.230.35 ---> eltel.net, Russia
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Aus der ganz tiefen Mottenkiste: Kundenportal American-Express
    Absender gecrackt whois: [Link nur für registrierte Mitglieder sichtbar. ]" target="_blank"> [Link nur für registrierte Mitglieder sichtbar. ]
    Sehr geehrte Kundin, sehr geehrter Kunde,
    bei einer Überprüfung Ihres Kontos registrierte unser System, dass Sie Ihre Email-Adresse noch nicht mit Ihrem American-Express Kreditkartenbanking verknüpft haben. Ab sofort muss jeder American-Express Kunde seine Email-Adresse mit seinem Kreditkartenbanking verknüpfen um Gewährleisten zu können, das Sie alle Benachrichtigungen von uns erhalten wie zum Beispiel Fremdlogins, getätigten Zahlungen oder Ähnlichem. Donec quam felis.
    Bis Sie Ihre Email-Adresse verknüpft haben bleibt Ihre American-Express gesperrt sollten Sie diese nicht innerhalb der nächsten 48h verknüpfen ist eine Freischaltung nur noch durch einen unserer Mitarbeiter möglich. Bei Freischaltung durch unsere Mitarbeiter berechnen wir eine Servicepauschale in Höhe von 19.99 EUR.
    [Link nur für registrierte Mitglieder sichtbar. ]
    Wir danken Ihnen für Ihre Mithilfe und bitten um Ihr Verständnis.
    Mit freundlichen Grüßen, Ihr American-Express Kundenportal
    gmx hatte es nicht als Spam markiert. Stammt vom 5.3. Der Link ist schon tot.
    Geändert von Arthur (10.03.2020 um 17:39 Uhr)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen