Ergebnis 1 bis 7 von 7

Thema: UPS Phishing

  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard UPS Phishing

    Auch UPS ist natürlich mal dran:


    header:
    01: Received: from md2.mail.umd.edu (md2.mail.umd.edu [128.8.31.175])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Tue, 4 Jan 2011 xx:xx:xx +0100 (CET)
    04: Received: from User (208-96-195-214.static.cimcoisp.net [208.96.195.214])
    05: by md2.mail.umd.edu (MOS 3.10.4-GA)
    06: with ESMTP ID: [ID filtered]
    07: Mon, 3 Jan 2011 xx:xx:xx -0500 (EST)

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/MyUps/UPS.htm

    IP: 66.96.214.181 ---> dnode4.privatelabelns.com/Hostnoc


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Wohl dieselbe Bande, wieder über einen gecrackter Uni-Account:


    header:
    01: Received: from md2.mail.umd.edu (md2.mail.umd.edu [128.8.31.175])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Wed, 19 Jan 2011 xx:xx:xx +0100 (CET)
    04: Received: from User (adsl-99-153-83-126.dsl.chi2ca.sbcglobal.net
    05: [99.153.83.126])
    06: by md2.mail.umd.edu (MOS 3.10.4-GA)
    07: with ESMTP ID: [ID filtered]
    08: Tue, 18 Jan 2011 xx:xx:xx -0500 (EST)

    [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/MyUps/UPS.htm

    IP: 174.120.4.194 ---> napier.webserversystems.com/The Planet

    Also mal wieder 'gehostet' beim völlig merkbefreiten 'Planet of Spam'....

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    BSU-Accounts gibt's bei Scamski wohl tatsächlich im Sonderangebot:


    header:
    01: Received: from WA2EHSNDR002.bigfish.com (smtp-cpk.frontbridge.com
    02: [204.231.192.41])
    03: (using TLSv1 with cipher AES128-SHA (128/128 bits))
    04: (No client certificate requested)
    05: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Fri, 4 Feb 2011 xx:xx:xx +0100 (CET)
    07: Received: from VA3EHSOBE006.bigfish.com (10.2.40.3) by
    08: WA2EHSNDR002.bigfish.com (10.2.40.22) with Microsoft SMTP Server (TLS) id
    09: 14.1.225.8; Fri, 4 Feb 2011 xx:xx:xx +0000
    10: Received: from mail166-va3-R.bigfish.com (10.7.14.245) by
    11: VA3EHSOBE006.bigfish.com (10.7.40.26) with Microsoft SMTP Server id
    12: 14.1.225.8; Fri, 4 Feb 2011 xx:xx:xx +0000
    13: Received: from mail166-va3 (localhost.localdomain [127.0.0.1]) by
    14: mail166-va3-R.bigfish.com (Postfix) with ESMTP ID: [ID filtered]
    15: 2011 xx:xx:xx +0000 (UTC)
    16: X-BigFish:
    17: VPS30(zz179aM77f5I9feP12d4Lzz1202h1183rzz8275bhz37m2fh2a8h668ha7ji)
    18: X-FB-OUTBOUND-SPAM: yes
    19: X-SpamScore: 30
    20: X-Forefront-Antispam-Report:
    21: KIP:(null);UIP:(null);IPVD:NLI;H:EMAILCAS03.bsu.edu;RD:emailcas03.bsu.edu;EFVD:NLI
    22: Received: from mail166-va3 (localhost.localdomain [127.0.0.1]) by
    23: mail166-va3
    24: (MessageSwitch) ID: [ID filtered]
    25: (UTC)
    26: Received: from VA3EHSMHS019.bigfish.com (unknown [10.7.14.251]) by
    27: mail166-va3.bigfish.com (Postfix) with ESMTP ID: [ID filtered]
    28: Feb 2011
    29: xx:xx:xx +0000 (UTC)
    30: Received: from EMAILCAS03.bsu.edu (147.226.7.68) by VA3EHSMHS019.bigfish.com
    31: (10.7.99.29) with Microsoft SMTP Server (TLS) ID: [ID filtered]
    32: 2011
    33: xx:xx:xx +0000
    34: Received: from User (192.168.1.1) by EMAILCAS03.bsu.edu (192.168.1.17) with
    35: Microsoft SMTP Server ID: [ID filtered]

    [Link nur für registrierte Mitglieder sichtbar. ]

    Interessant auch:

    X-FB-OUTBOUND-SPAM: yes
    X-SpamScore: 30

    also eindeutig als Spam mit hohem Score identifiziert, aber trotzdem in die weite Welt geblasen. Das läßt auf einen hohen Grad von Merkbefreiung schließen.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 91.196.125.197 ---> host125-197.superhosting.bg

    Also mal wieder direkt einen Server bei den Vlads gecrackt.

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #4
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Die Vlads benötigen wohl wieder neue Bots:


    header:
    01: Received: from ns1.fastweb.ro (EHLO ns1.fastweb.ro) [195.254.135.2]
    02: by mx0.gmx.net (mx007) with SMTP; 06 Apr 2011 xx:xx:xx +0200
    03: Received: from ws01.fastweb.ro (ws01.fastweb.ro [193.169.145.2])
    04: by ns1.fastweb.ro (Postfix) with ESMTP ID: [ID filtered]
    05: for xxxxx; Wed, 6 Apr 2011 xx:xx:xx +0300 (EEST)
    06: Received: from ws01.fastweb.ro (unknown [127.0.0.1])
    07: by ws01.fastweb.ro (Postfix) with ESMTP ID: [ID filtered]
    08: for xxxxx; Wed, 6 Apr 2011 xx:xx:xx +0300 (EEST)
    09: Received: by ws01.fastweb.ro (Postfix, from userID: [ID filtered]
    10: ID: [ID filtered]

    Dear client
    Your package has arrived.
    The tracking# is : 8Z25EH6653036446285 and can be used at :
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    The shipping invoice can be downloaded from :
    whois: [Link nur für registrierte Mitglieder sichtbar. ] whois: [Link nur für registrierte Mitglieder sichtbar. ]/invoice6285.JPG.exe


    Thank you,
    United Parcel Service

    *** This is an automatically generated email, please do not reply ***
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/invoice6285.JPG.exe

    IP: 118.238.133.48 ---> USEN CORPORATION, JP

    Was in der als .jpg getarnten .exe steckt, braucht man wohl nicht näher zu erläutern...

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #5
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Man braucht UPS-Konten um die mit fremden Kreditkarten gekauften Waren in die Finger zu bekommen.

    header:
    01: Received: from fallbackmx06.syd.optusnet.com.au (fallbackmx06.syd.optusnet.com.au
    02: [211.29.132.8])
    03: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    04: (No client certificate requested)
    05: by x (Postfix) with ESMTPS ID: [ID filtered]
    06: for <x>; Tue, 18 Sep 2012 xx:xx:xx +0200 (CEST)
    07: Received: from mail27.syd.optusnet.com.au (mail27.syd.optusnet.com.au
    08: [211.29.133.168])
    09: by fallbackmx06.syd.optusnet.com.au (8.13.1/8.13.1) with ESMTP ID: [ID filtered]
    10: for <x>; Wed, 19 Sep 2012 xx:xx:xx +1000
    11: Received: from User (static-58-108-187-172.optusnet.com.au [58.108.187.172]
    12: (may be forged))
    13: (authenticated sender p.rey)
    14: by mail27.syd.optusnet.com.au (8.13.1/8.13.1) with ESMTP ID: [ID filtered]
    15: Wed, 19 Sep 2012 xx:xx:xx +1000
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Zitat Zitat von Scammy
    Dear Customer,

    Your Parcel has been returned to the UPS office nearest to you.
    The reason for the return is as a result of incorrect delivery address information.
    Kindly click on the below link to update us with your Mobile Number and in less than (42 hours) an agent will contact you on phone to correct your delivery address to enable delivery of parcel.

    To update us with your Mobile Number, please Click Here and enter the below tracking number of Parcel.

    Tracking # ( 1Z9575R2P297341747 )

    Note: Ensure you enter your correct email information and Mobile Number to enable us reach you on phone.

    UPS Logistic Service.
    ****************************** *
    Copyright © 1994-2012 United Parcel Service of America, Inc. All rights reserved
    Update:
    kaum verpetzt schon weg
    Quark - der Aufruf mit den Verzeichnissen geht leider noch.
    Geändert von schara56 (18.09.2012 um 20:59 Uhr) Grund: Update
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #6
    Mitglied Avatar von Helmi98
    Registriert seit
    12.02.2010
    Ort
    In Bayern ganz oben
    Beiträge
    311

    Standard

    Diese Mail schlug am Sonntag bei mir im Spamordner ein, eben erst entdeckt:

    Dear customer.

    The parcel number #1111424 was sent your home adress.
    And it will arrive within two days.

    More information and the tracking number are attached in document below.

    Thank you.
    Copyright© 2012 USPS. All Rights Reserved.
    Ein Anhang USPS.doc.zip ist angehängt. Der wird natürlich nicht geöffnet!

    Aber was seeehr seltsam ist. Im Header sind über 20 yahoo-Adressen angegeben, die auch diese Meldung erhalten (haben). Und alle mit der Nummer 1111424?
    Telefon: eine Erfindung des Teufels, die die erfreuliche Möglichkeit, sich einen lästigen Menschen vom Leib halten zu können, teilweise wieder zunichte macht.
    (Ambrose Bierce)

  7. #7
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard Yahoo spart am falschen Fleck

    Zitat Zitat von Helmi98 Beitrag anzeigen
    ... Im Header sind über 20 yahoo-Adressen angegeben, die auch diese Meldung erhalten (haben)...
    Die Adressen wurden also bei Yahoo "besorgt." Zeit für Yahoo, den Datendieb im Haus zu finden, siehe auch hier: [Link nur für registrierte Mitglieder sichtbar. ] oder im [Link nur für registrierte Mitglieder sichtbar. ].

    Wuschel
    Wer mir was tut, sei auf der Hut!

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen