Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 95

Thema: Amazon-Phishing

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Mitglied
    Registriert seit
    02.01.2008
    Ort
    Schläfrig-Holzbein
    Beiträge
    987

    Standard Amazon-Phishing


    header:
    01:
    02: Received: from [72.52.151.33] (helo=host.uni dots.com)
    03: by mx38.web.de with smtp (WEB.DE 4.110 #314)
    04: ID: [ID filtered]
    05: for *@*.de; Tue, 16 Feb 2010 xx:xx:xx +0100
    06: Date: Tue, 16 Feb 2010 xx:xx:xx +0100
    07: From: Support <Jane.Ferelli [at] service.amazon.com>
    08: To: <*@*.de>
    09: X-Priority: 3 (Normal)
    10: Message-ID: [ID filtered]
    11: Subject: {Spam?} Confirmation #******
    12: MIME-Version: 1.0
    13: Content-Type: text/html; charset=us-ascii
    14: Content-Transfer-Encoding: 7bit
    15: Return-Path: jonmccain_cr [at] mail2martin.com

    Your Order id: ********** Accepted.
    Info (darunter verbirgt sich der Link nach: whois:http://gasstation.ir/assessment.html)

    Thank you.
    Amazon.com Customer Support
    Don't pay the ferryman,
    Until he gets you to the other side (Chris De Burgh)

  2. #2
    jens69
    Gast

    Standard

    hatte ich auch, bei mir ging der Link auf die Domainwhois:http://vascotrade.ro.

    Den genauen Link veröffentliche ich hier nicht wegen Infektionsgefahr. Aber auch die Hauptdomain würde ich nicht empfehlen aufzurufen.

  3. #3
    Mitglied
    Registriert seit
    02.01.2008
    Ort
    Schläfrig-Holzbein
    Beiträge
    987

    Standard

    Nahezu zeitgleich gleich zweimal aufgeschlagen. Merkwürdigerweise ging es einmal gleich in den SPAM-Filter, das andere Mal nicht ...
    Die beiden Header:


    header:
    01:
    02: Received: from [62.149.36.44] (helo=server16.dedicateduk.com)
    03: by mx44.web.de with smtp (WEB.DE 4.110 #314)
    04: ID: [ID filtered]
    05: for *@*.de; Mon, 08 Mar 2010 xx:xx:xx +0100
    06: Date: Mon, 8 Mar 2010 xx:xx:xx -0600 (UTC)
    07: From: "order-update [at] amazon.com" <order-update [at] amazon.com>
    08: To: <*@*.de>
    09: Message-ID: [ID filtered]
    10: Subject: {Spam?} Amazon.com - Your Cancellation (000-0000000-00000000)
    11: MIME-Version: 1.0
    12: Content-Type: text/html; charset=UTF-8
    13: Content-Transfer-Encoding: 7bit
    14: X-AMAZON-CLIENT-HOST: online-gp-19p06.iad7.amazon.com
    15: bounce[BOUNCE filtered]@bounces.amazon.com
    16: X-AMAZON-MAIL-RELAY-TYPE: notification
    17: X-AMAZON-RTE-VERSION: 2.0
    18: Return-Path: support [at] grade1.co.uk
    19: X-OriginalArrivalTime: 08 Mar 2010 xx:xx:xx.0280 (UTC)
    20: FILETIME=[4812DC00:01CABE7F]


    header:
    01: Received: from [62.149.36.44] (helo=server16.dedicateduk.com)
    02: by mx39.web.de with smtp (WEB.DE 4.110 #314)
    03: ID: [ID filtered]
    04: for *@*.de; Mon, 08 Mar 2010 xx:xx:xx +0100
    05: Date: Mon, 8 Mar 2010 xx:xx:xx -0600 (UTC)
    06: From: "order-update [at] amazon.com" <order-update [at] amazon.com>
    07: To: <*@*.de>
    08: Message-ID: [ID filtered]
    09: Subject: Amazon.com - Your Cancellation (000-0000000-0000000)
    10: MIME-Version: 1.0
    11: Content-Type: text/html; charset=UTF-8
    12: Content-Transfer-Encoding: 7bit
    13: X-AMAZON-CLIENT-HOST: online-gp-19p06.iad7.amazon.com
    14: bounce[BOUNCE filtered]@bounces.amazon.com
    15: X-AMAZON-MAIL-RELAY-TYPE: notification
    16: X-AMAZON-RTE-VERSION: 2.0
    17: Return-Path: fontenot [at] kayakers.com
    18: X-OriginalArrivalTime: 08 Mar 2010 xx:xx:xx.0468 (UTC)
    19: FILETIME=[482F8BC0:01CABE7F]
    Der jeweils identische Text und die darin versteckte Umleitung:

    Dear Customer,

    Your order has been successfully canceled. For your reference, here`s a summary of your order:

    You just canceled order #0000-0000000-000000 (geä.)

    Status: CANCELED

    _____________________________________________________________________

    ORDER INFORMATION whois:http://fmsanders.com/silhouettes.html
    Sold by: Amazon.com, LLC

    _____________________________________________________________________

    Because you only pay for items when we ship them to you, you won`t be charged for any items that you cancel.

    Thank you for visiting Amazon.com!

    ---------------------------------------------------------------------
    whois:http://www.amazon.com
    Earth`s Biggest Selection
    ---------------------------------------------------------------------
    Und - abweichend - in der zweiten Mail:

    ORDER INFORMATION whois:http://absolut.intway.info/unlock.html
    Sold by: Amazon.com, LLC
    Don't pay the ferryman,
    Until he gets you to the other side (Chris De Burgh)

  4. #4
    Neues Mitglied
    Registriert seit
    16.09.2005
    Beiträge
    37

    Standard

    Hier auf genau dieselbe Art und Weise.
    Verlinkt sind:
    und
    In meinem Fall gemein: ich hatte gerade etwas bei amazon bestellt und musste diese beiden Mails zwischen den "richtigen" heraus erkennen. web.de verschob im Eifer des Gefechts eine korrekte amazon-Bestellbestätigung auch in den Spam-Ordner, während eine der beiden Spam-Mails im "Unbekannt"-Ordner lag.

  5. #5
    Mitglied
    Registriert seit
    31.07.2006
    Beiträge
    73

    Standard

    heute habe ich die auch bekommen :

    header:
    01: Received: from [198.66.239.203] (helo=aztex.com.au)
    02: by mx44.web.de with smtp (WEB.DE 4.110 #314)
    03: ID: [ID filtered]
    04: for ... [at] web.de; Sun, 07 Mar 2010 xx:xx:xx +0100
    05: Date: Sun, 7 Mar 2010 xx:xx:xx +0400 (UTC)
    06: From: "order-update [at] amazon.com" <order-update [at] amazon.com>
    07: To: <... [at] web.de>
    08: Message-ID: [ID filtered]
    09: Subject: Amazon.com - Your Cancellation (205-9912853-2397947)
    10: MIME-Version: 1.0
    11: X-AMAZON-CLIENT-HOST: online-gp-88i06.iad8.amazon.com
    12: bounce[BOUNCE filtered]@bounces.amazon.com
    13: X-AMAZON-MAIL-RELAY-TYPE: notification
    14: X-AMAZON-RTE-VERSION: 2.0
    15: Return-Path: jonathon.kingsburyq [at] ci.minneapolis.mn.us
    16: Content-Type: text/html; charset="iso-8859-15"
    17: Content-Transfer-Encoding: 8bit

    Dear Customer,

    Your order has been successfully canceled. For your reference, here`s a summary of your order:

    You just canceled order #795-0649594-4606283

    Status: CANCELED

    _____________________________________________________________________

    ORDER INFORMATION
    Sold by: Amazon.com, LLC

    _____________________________________________________________________

    Because you only pay for items when we ship them to you, you won`t be charged for any items that you cancel.

    Thank you for visiting Amazon.com!

    ---------------------------------------------------------------------
    Amazon.com
    Earth`s Biggest Selection
    http://www.amazon.com


    Der Link führt über whois:http://Flatingirlcosmetics.com/confirmation.html auch nur wieder zu Pillenspam

  6. #6
    Senior Mitglied
    Registriert seit
    17.07.2005
    Ort
    Mitteldeutschland
    Beiträge
    1.113

    Standard


    header:
    01: x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
    02: Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 46.252.21.49)
    03: header.from=info [at] amazon.de; dkim=none header.d=amazon.de; x-hmca=fail
    04: X-SID-PRA: info [at] amazon.de
    05: X-SID-Result: SoftFail
    06: X-DKIM-Result: None
    07: X-AUTH-Result: FAIL
    08: X-Message-Status: n:n
    09: X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
    10: X-Message-Info:
    11: 11chDOWqoTk0YUhubESZPKHCZ+EV0sai0evrwbDTgw6kB+5KiMJ1GhmpwxRTrcSDLWnrifSVjOvAbau7AYYEXNaPlkwaFN
    12: DFhWaFGgQY96vPj3o+gIs/EFxoFMaAKWv+7Iba+9u13Q=
    13: Received: from j29632.servers.jiffybox.net ([46.252.21.49]) by
    14: COL0-MC3-F33.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
    15: Thu, 16 Aug 2012 xx:xx:xx -0700
    16: Received: from j29632.servers.jiffybox.net (localhost.localdomain [127.0.0.1])
    17: by j29632.servers.jiffybox.net (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
    18: for <poor [at] spamvictim.tld>; Thu, 16 Aug 2012 xx:xx:xx +0200
    19: Received: (from nobody [at] localhost)
    20: by j29632.servers.jiffybox.net (8.13.8/8.13.8/Submit) ID: [ID filtered]
    21: Thu, 16 Aug 2012 xx:xx:xx +0200
    22: Date: Thu, 16 Aug 2012 xx:xx:xx +0200
    23: Message-ID: [ID filtered]
    24: To: poor [at] spamvictim.tld
    25: Subject: Bitte LESEN
    26: From: Amazon <info [at] amazon.de>
    27: Reply-To:
    28: MIME-Version: 1.0
    29: Content-Type: text/plain
    30: Content-Transfer-Encoding: 8bit
    31: Return-Path: nobody [at] j29632.servers.jiffybox.net
    32: X-OriginalArrivalTime: 16 Aug 2012 xx:xx:xx.0711 (UTC)
    33: FILETIME=[A267FC70:01CD7BC5]
    Sehr geehrter Kunde, sehr geehrte Kundin,


    Unser Sicherheitssystem hat einen Fremdzugriff oder eine Adressänderung in Ihrem
    Account festgestellt, Da unser System stets auf die Kundensicherheit bedacht ist,
    wurde Ihr Account zeitweise deaktiviert.
    Dies sind Sicherheitsmaßnahmen um Fremde Bestellungen oder Ähnlichem
    vorzubeugen.

    Sie können Ihren Account wieder Aktivieren dazu ist eine kurze Verifizierung Ihrer
    Daten erforderlich. Hierfür ist lediglich eine Verifizierung unter:

    whois:http://sperre.biz

    Nötig, um Ihren Amazon - Account zu reaktivieren und dauerhaft Freizuschalten.

    Ihr Account bleibt bis zu 7 tagen deaktiviert.Bitte haben Sie Verständnis dafür,
    dass es aufgrund erhöhter Sicherheitsmaßnahmen derzeit zu Einschränkungen
    kommen kann. Sollten Sie noch Fragen haben kontaktieren Sie unser Service-Center


    Wir bitte um Ihr Verständnis und bedanken uns für Ihr Vertrauen.

    Ihr Amazon - Team Deutschland
    whois:46.252.21.49

  7. #7
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    379

    Standard

    Hallo zusammen,

    das habe ich grade angeblich von Amazon bekommen.

    Der Absender macht mich jedoch stutzig.
    Received: from whois:rechner3.hofmann-online.com



    Amazon.de Meine Bestellungen | Mein Konto | Amazon.de



    Guten Tag Vorname Name,



    ab dem 01.02.2013 sind wir gesetzlich dazu verpflichtet Zahlungen, die mit einer Kreditkarte getätigt werden, gesondert zu verifizieren.

    Daraus folgt, dass wir ab diesem Zeitpunkt nur noch Zahlungen entgegennehmen können, die einen 3-D Secure Code hinterlegt haben.Diese Maßnahme sorgt für zusätzliche Sicherheit bei Online-Transaktionen, sichert den Zahlungseingang und reduziert den Datenmissbrauch.

    Dieser Vorgang wird nur einige Minuten in Anspruch nehmen.

    Bitte klicken Sie auf folgenden Link, um den 3-D Secure Code zu hinterlegen.

    http://www.amazon.de/3d-securecode/Vorname+Name



    Mit freundlichen Grüßen,
    Ihr Amazon Kundenservice.



    (Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.)

    header:
    01: Return-Path: <service [at] amazon.de>
    02: Received: from rechner3.hofmann-online.com (rechner3.hofmann-online.com
    03: [193.254.184.244]) by xxx.mein Provider.xx (Internet Inbound) with ESMTP ID: [ID
    04: filtered]
    05: Received: from Boss-PC (localhost.localdomain [127.0.0.1]) by
    06: rechner3.hofmann-online.com (Postfix) with ESMTP ID: [ID filtered]
    07: From: service [at] amazon.de <service [at] amazon.de>
    08: Subject: Das 3-D Securecode verfahren, jetzt auch bei Amazon!
    09: To: Meine Emailadresse
    10: Content-Type: multipart/alternative;
    11: boundary="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
    12: MIME-Version: 1.0
    13: Reply-To: service [at] amazon.de
    14: Date: Sat, 19 Jan 2013 xx:xx:xx +0100
    15: Message-ID: [ID filtered]

    Gruß Frechdachs

    Meldung an Amazon ist raus
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  8. #8
    Mittwoch
    Gast

    Standard

    Zitat Zitat von Frechdachs Beitrag anzeigen
    Der Absender macht mich jedoch stutzig.
    Received: from whois:rechner3.hofmann-online.com
    Gehört einer Firma aus Wallenhorst bei Osnabrück. Wenn der zweite Received-Eintrag Ernst genommen werden kann, dürfte der PC des Chefs Zombie-verseucht sein. Ich würde an Deiner Stelle die Mail auch an den Abuse-Dek von gmx.de weiterleiten, denn whois:www.hoffmann-online.com liefert den Hinweis, dass GMX involviert ist.

    Schönen Gruß
    Mittwoch

  9. #9
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    7.497

    Standard


    header:
    01: Received: from werk4.werkbank.com (werk4.werkbank.com [5.199.134.150])
    02: by x (Postfix) with ESMTP ID: [ID filtered]
    03: for <x>; Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)
    04: Received: from g1679600d001.krueger.ads (mail.krueger.ms [195.226.178.50])
    05: by werk4.werkbank.com (Postfix) with ESMTP ID: [ID filtered]
    06: Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)
    07: Received: from User ([217.86.231.91]) by g1679600d001.krueger.ads with
    08: Microsoft SMTPSVC(6.0.3790.4675);
    09: Mon, 21 Jan 2013 xx:xx:xx +0100
    whois:http://mail.incodema.com/ama/

    Schlecht gemachter Phish...
    Angehängte Grafiken Angehängte Grafiken
    • Dateityp: jpg 001.jpg (167,8 KB, 25x aufgerufen)
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #10
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.392

    Standard

    Von den Vlads über einen gecrackten Server:


    header:
    01: Received: from s16728631.onlinehome-server.info ([212.227.58.176]) by
    02: mx-ha.gmx.net (mxgmx101) with ESMTP (Nemesis) id
    03: 0MQgtd-1USiGX1bK9-00U4CM for
    04: xxxxx; Fri, 25 Jan 2013 xx:xx:xx +0100
    05: Received: by s16728631.onlinehome-server.info (Postfix, from userID: [ID filtered]
    06: ID: [ID filtered]

    Seine Ratware hat der Vlad auch nicht im Griff:


    header:
    01: X-PHP-Originating-Script: 0:11.php
    02: From: Kundendienst <9713732506@*RAMDOM*.de>

    Guten Tag geehrter Amazon Kunde,

    leider müssen wir Ihnen bekannt geben, dass fremde auf Ihr

    Kunden-Account zugriff beschaffen konnten.

    Die Bestellungen die von Ihrem Account an die nicht übliche eingetragene
    Adresse:

    P[gekürzt] K[gekürzt]

    Ludwig-Beckstraße 52

    37348 Göttingen

    getätigt wurde, haben wir mit erfolg annulliert.

    Wir bitten Sie daher, Ihr Kundenkonto eilig zu kontrollieren

    und weitere Probleme dem Amazon Kundenservice zu melden.

    Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:

    whois:http://www.sfx-bank.net/?www.amazon.de/ap/signin/281-9736138-2418341?_encoding=UTF8&openid.assoc_handle=deflex&openid.claimed_id

    Wir entschuldigen uns für dadurch entstandene Probleme und Bitten Sie

    um Verständniss.

    Ihr Amazon Kunden-Support.
    IP: 88.247.131.76 ---> mail.tariffinder24.com/TIER-Data-Center, Romania

    Von der ICANN wird wieder die Ausrede kommen, dass es sich ja nur (!!!) um Phishing handeln würde und man da nichts machen könne. Man kann eigentlich nur hoffen, dass irgendwann einer der 2000 Pfd.-Gorillas mal die ICANN in den USA auf Millionensummen verklagt, da man dort bei Cyberkriminalität vorsätzlich wegzuschauen scheint. Vielleicht bekommt die ICANN ja dann endlich mal den Allerwertesten hoch...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Amazon
    Von Fixi63 im Forum 5.1 Allgemeines & Smalltalk
    Antworten: 22
    Letzter Beitrag: 12.02.2010, 16:59
  2. Spam von Amazon Clouds
    Von Trulliator im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 5
    Letzter Beitrag: 24.08.2009, 10:36
  3. Update your amazon Account
    Von cmds im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 11.12.2006, 12:53
  4. Auch Amazon bleibt nicht verschont vom Phishing
    Von SpamRam im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 25.03.2006, 19:59
  5. amazon
    Von webeinspunktnull im Forum 4.2 Diskussion
    Antworten: 1
    Letzter Beitrag: 29.04.2004, 19:31

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen