Seite 1 von 16 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 160

Thema: Amazon-Phishing

  1. #1
    Mitglied
    Registriert seit
    02.01.2008
    Ort
    Schläfrig-Holzbein
    Beiträge
    987

    Standard Amazon-Phishing


    header:
    01:
    02: Received: from [72.52.151.33] (helo=host.uni dots.com)
    03: by mx38.web.de with smtp (WEB.DE 4.110 #314)
    04: ID: [ID filtered]
    05: for *@*.de; Tue, 16 Feb 2010 xx:xx:xx +0100
    06: Date: Tue, 16 Feb 2010 xx:xx:xx +0100
    07: From: Support <Jane.Ferelli [at] service.amazon.com>
    08: To: <*@*.de>
    09: X-Priority: 3 (Normal)
    10: Message-ID: [ID filtered]
    11: Subject: {Spam?} Confirmation #******
    12: MIME-Version: 1.0
    13: Content-Type: text/html; charset=us-ascii
    14: Content-Transfer-Encoding: 7bit
    15: Return-Path: jonmccain_cr [at] mail2martin.com

    Your Order id: ********** Accepted.
    Info (darunter verbirgt sich der Link nach: whois: [Link nur für registrierte Mitglieder sichtbar. ])

    Thank you.
    Amazon.com Customer Support
    Don't pay the ferryman,
    Until he gets you to the other side (Chris De Burgh)

  2. #2
    jens69
    Gast

    Standard

    hatte ich auch, bei mir ging der Link auf die Domainwhois:http://vascotrade.ro.

    Den genauen Link veröffentliche ich hier nicht wegen Infektionsgefahr. Aber auch die Hauptdomain würde ich nicht empfehlen aufzurufen.

  3. #3
    Mitglied
    Registriert seit
    02.01.2008
    Ort
    Schläfrig-Holzbein
    Beiträge
    987

    Standard

    Nahezu zeitgleich gleich zweimal aufgeschlagen. Merkwürdigerweise ging es einmal gleich in den SPAM-Filter, das andere Mal nicht ...
    Die beiden Header:


    header:
    01:
    02: Received: from [62.149.36.44] (helo=server16.dedicateduk.com)
    03: by mx44.web.de with smtp (WEB.DE 4.110 #314)
    04: ID: [ID filtered]
    05: for *@*.de; Mon, 08 Mar 2010 xx:xx:xx +0100
    06: Date: Mon, 8 Mar 2010 xx:xx:xx -0600 (UTC)
    07: From: "order-update [at] amazon.com" <order-update [at] amazon.com>
    08: To: <*@*.de>
    09: Message-ID: [ID filtered]
    10: Subject: {Spam?} Amazon.com - Your Cancellation (000-0000000-00000000)
    11: MIME-Version: 1.0
    12: Content-Type: text/html; charset=UTF-8
    13: Content-Transfer-Encoding: 7bit
    14: X-AMAZON-CLIENT-HOST: online-gp-19p06.iad7.amazon.com
    15: bounce[BOUNCE filtered]@bounces.amazon.com
    16: X-AMAZON-MAIL-RELAY-TYPE: notification
    17: X-AMAZON-RTE-VERSION: 2.0
    18: Return-Path: support [at] grade1.co.uk
    19: X-OriginalArrivalTime: 08 Mar 2010 xx:xx:xx.0280 (UTC)
    20: FILETIME=[4812DC00:01CABE7F]


    header:
    01: Received: from [62.149.36.44] (helo=server16.dedicateduk.com)
    02: by mx39.web.de with smtp (WEB.DE 4.110 #314)
    03: ID: [ID filtered]
    04: for *@*.de; Mon, 08 Mar 2010 xx:xx:xx +0100
    05: Date: Mon, 8 Mar 2010 xx:xx:xx -0600 (UTC)
    06: From: "order-update [at] amazon.com" <order-update [at] amazon.com>
    07: To: <*@*.de>
    08: Message-ID: [ID filtered]
    09: Subject: Amazon.com - Your Cancellation (000-0000000-0000000)
    10: MIME-Version: 1.0
    11: Content-Type: text/html; charset=UTF-8
    12: Content-Transfer-Encoding: 7bit
    13: X-AMAZON-CLIENT-HOST: online-gp-19p06.iad7.amazon.com
    14: bounce[BOUNCE filtered]@bounces.amazon.com
    15: X-AMAZON-MAIL-RELAY-TYPE: notification
    16: X-AMAZON-RTE-VERSION: 2.0
    17: Return-Path: fontenot [at] kayakers.com
    18: X-OriginalArrivalTime: 08 Mar 2010 xx:xx:xx.0468 (UTC)
    19: FILETIME=[482F8BC0:01CABE7F]
    Der jeweils identische Text und die darin versteckte Umleitung:

    Dear Customer,

    Your order has been successfully canceled. For your reference, here`s a summary of your order:

    You just canceled order #0000-0000000-000000 (geä.)

    Status: CANCELED

    _____________________________________________________________________

    ORDER INFORMATION whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Sold by: Amazon.com, LLC

    _____________________________________________________________________

    Because you only pay for items when we ship them to you, you won`t be charged for any items that you cancel.

    Thank you for visiting Amazon.com!

    ---------------------------------------------------------------------
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Earth`s Biggest Selection
    ---------------------------------------------------------------------
    Und - abweichend - in der zweiten Mail:

    ORDER INFORMATION whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Sold by: Amazon.com, LLC
    Don't pay the ferryman,
    Until he gets you to the other side (Chris De Burgh)

  4. #4
    Neues Mitglied
    Registriert seit
    16.09.2005
    Beiträge
    37

    Standard

    Hier auf genau dieselbe Art und Weise.
    Verlinkt sind:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    und
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    In meinem Fall gemein: ich hatte gerade etwas bei amazon bestellt und musste diese beiden Mails zwischen den "richtigen" heraus erkennen. web.de verschob im Eifer des Gefechts eine korrekte amazon-Bestellbestätigung auch in den Spam-Ordner, während eine der beiden Spam-Mails im "Unbekannt"-Ordner lag.

  5. #5
    Mitglied
    Registriert seit
    31.07.2006
    Beiträge
    73

    Standard

    heute habe ich die auch bekommen :

    header:
    01: Received: from [198.66.239.203] (helo=aztex.com.au)
    02: by mx44.web.de with smtp (WEB.DE 4.110 #314)
    03: ID: [ID filtered]
    04: for ... [at] web.de; Sun, 07 Mar 2010 xx:xx:xx +0100
    05: Date: Sun, 7 Mar 2010 xx:xx:xx +0400 (UTC)
    06: From: "order-update [at] amazon.com" <order-update [at] amazon.com>
    07: To: <... [at] web.de>
    08: Message-ID: [ID filtered]
    09: Subject: Amazon.com - Your Cancellation (205-9912853-2397947)
    10: MIME-Version: 1.0
    11: X-AMAZON-CLIENT-HOST: online-gp-88i06.iad8.amazon.com
    12: bounce[BOUNCE filtered]@bounces.amazon.com
    13: X-AMAZON-MAIL-RELAY-TYPE: notification
    14: X-AMAZON-RTE-VERSION: 2.0
    15: Return-Path: jonathon.kingsburyq [at] ci.minneapolis.mn.us
    16: Content-Type: text/html; charset="iso-8859-15"
    17: Content-Transfer-Encoding: 8bit

    Dear Customer,

    Your order has been successfully canceled. For your reference, here`s a summary of your order:

    You just canceled order #795-0649594-4606283

    Status: CANCELED

    _____________________________________________________________________

    ORDER INFORMATION
    Sold by: Amazon.com, LLC

    _____________________________________________________________________

    Because you only pay for items when we ship them to you, you won`t be charged for any items that you cancel.

    Thank you for visiting Amazon.com!

    ---------------------------------------------------------------------
    Amazon.com
    Earth`s Biggest Selection
    [Link nur für registrierte Mitglieder sichtbar. ]


    Der Link führt über whois: [Link nur für registrierte Mitglieder sichtbar. ] auch nur wieder zu Pillenspam

  6. #6
    Senior Mitglied
    Registriert seit
    17.07.2005
    Ort
    Mitteldeutschland
    Beiträge
    1.563

    Standard


    header:
    01: x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
    02: Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 46.252.21.49)
    03: header.from=info [at] amazon.de; dkim=none header.d=amazon.de; x-hmca=fail
    04: X-SID-PRA: info [at] amazon.de
    05: X-SID-Result: SoftFail
    06: X-DKIM-Result: None
    07: X-AUTH-Result: FAIL
    08: X-Message-Status: n:n
    09: X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
    10: X-Message-Info:
    11: 11chDOWqoTk0YUhubESZPKHCZ+EV0sai0evrwbDTgw6kB+5KiMJ1GhmpwxRTrcSDLWnrifSVjOvAbau7AYYEXNaPlkwaFN
    12: DFhWaFGgQY96vPj3o+gIs/EFxoFMaAKWv+7Iba+9u13Q=
    13: Received: from j29632.servers.jiffybox.net ([46.252.21.49]) by
    14: COL0-MC3-F33.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
    15: Thu, 16 Aug 2012 xx:xx:xx -0700
    16: Received: from j29632.servers.jiffybox.net (localhost.localdomain [127.0.0.1])
    17: by j29632.servers.jiffybox.net (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
    18: for <poor [at] spamvictim.tld>; Thu, 16 Aug 2012 xx:xx:xx +0200
    19: Received: (from nobody [at] localhost)
    20: by j29632.servers.jiffybox.net (8.13.8/8.13.8/Submit) ID: [ID filtered]
    21: Thu, 16 Aug 2012 xx:xx:xx +0200
    22: Date: Thu, 16 Aug 2012 xx:xx:xx +0200
    23: Message-ID: [ID filtered]
    24: To: poor [at] spamvictim.tld
    25: Subject: Bitte LESEN
    26: From: Amazon <info [at] amazon.de>
    27: Reply-To:
    28: MIME-Version: 1.0
    29: Content-Type: text/plain
    30: Content-Transfer-Encoding: 8bit
    31: Return-Path: nobody [at] j29632.servers.jiffybox.net
    32: X-OriginalArrivalTime: 16 Aug 2012 xx:xx:xx.0711 (UTC)
    33: FILETIME=[A267FC70:01CD7BC5]
    Sehr geehrter Kunde, sehr geehrte Kundin,


    Unser Sicherheitssystem hat einen Fremdzugriff oder eine Adressänderung in Ihrem
    Account festgestellt, Da unser System stets auf die Kundensicherheit bedacht ist,
    wurde Ihr Account zeitweise deaktiviert.
    Dies sind Sicherheitsmaßnahmen um Fremde Bestellungen oder Ähnlichem
    vorzubeugen.

    Sie können Ihren Account wieder Aktivieren dazu ist eine kurze Verifizierung Ihrer
    Daten erforderlich. Hierfür ist lediglich eine Verifizierung unter:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Nötig, um Ihren Amazon - Account zu reaktivieren und dauerhaft Freizuschalten.

    Ihr Account bleibt bis zu 7 tagen deaktiviert.Bitte haben Sie Verständnis dafür,
    dass es aufgrund erhöhter Sicherheitsmaßnahmen derzeit zu Einschränkungen
    kommen kann. Sollten Sie noch Fragen haben kontaktieren Sie unser Service-Center


    Wir bitte um Ihr Verständnis und bedanken uns für Ihr Vertrauen.

    Ihr Amazon - Team Deutschland
    whois:46.252.21.49

  7. #7
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    [x] Fake-Daten eingeworfen
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  8. #8
    Mitglied
    Registriert seit
    17.10.2011
    Beiträge
    85

    Standard

    Code:
    Return-Path: nobody [at] j29632.servers.jiffybox.net
    Da gibt es eine auffällige Häufung:

    37.200.98.1 12-08-15 j29562.servers.jiffybox.net
    37.200.98.2 12-08-15 j29563.servers.jiffybox.net
    46.252.21.49 12-08-16 j29632.servers.jiffybox.net
    176.221.43.183 12-08-16 j29601.servers.jiffybox.net
    176.221.46.130 12-08-16 j29603.servers.jiffybox.net
    176.221.46.180 12-08-16 j29609.servers.jiffybox.net

  9. #9
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Scheint entweder schon aus der Zone geflogen zu sein oder noch nicht vollständig bekannt - im DNS Cache von Google findet sich noch/schon die IP der Webseite. Die Nameserver sind mal wieder sehr aussagekräftig.
    Code:
    > sperre.biz
    Server:  google-public-dns-a.google.com
    Address:  8.8.8.8
    
    Nicht autorisierende Antwort:
    Name:    sperre.biz
    Address:  192.162.101.101
    > set q=ns
    > sperre.biz
    Server:  google-public-dns-a.google.com
    Address:  8.8.8.8
    
    Nicht autorisierende Antwort:
    sperre.biz      nameserver = ns1.2x4hosting.ru
    fsperre.biz      nameserver = ns2.2x4hosting.ru
    Ganz frisch registriert
    Code:
    Domain Registration Date:                    Thu Aug 16 12:03:26 GMT 2012
    Domain Expiration Date:                      Sat Aug 15 23:59:59 GMT 2015
    Domain Last Updated Date:                    Thu Aug 16 12:03:51 GMT 2012
    Gehostet wird der Rotz in Russland
    Code:
    netnum:         192.162.100.0 - 192.162.103.255
    netname:         MAXHOSTING-NET
    descr:           MediaServicePlus Ltd.
    country:         RU
    org:             ORG-ML167-RIPE
    admin-c:         NIKI-RIPE
    tech-c:          NIKI-RIPE
    status:          ASSIGNED PI
    mnt-by:          RIPE-NCC-END-MNT
    mnt-by:          MNT-MAXHOSTING
    mnt-lower:       RIPE-NCC-END-MNT
    mnt-routes:      MNT-MAXHOSTING
    mnt-domains:     MNT-MAXHOSTING
    changed:         
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] 20111221
    source:          RIPE
    Ebenso ganz frisch wäre dann auch noch whois:sperrung.info, whois:entsperrung.biz und vom 04.08.2012 whois:accounthilfe.org, whois:accountsicherheit.org und whois:accountsperre.com.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #10
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.334

    Standard

    Wir brauchen Ihre Hilfe,

    aufgrund der steigenden Zahlungsausfälle mittels Lastschrift- und
    Rechnungszahlung,
    ist es in Zukunft leider nicht mehr möglich, eine Zahlung bei
    Amazon.de mit diesen Zahlungsarten ohne hinterlegte Kreditkarte zu
    tätigen. Daher ist es notwendig, dass alle Kunden eine Kreditkarte als
    Zahlungsmittel hinterlegen.
    Sollten Sie bereits eine Kreditkarte hinterlegt haben, bitten wie Sie,
    diese zu verifizieren. Sollten Sie noch keine Kreditkarte besitzen,
    legen wir Ihnen die Amazon VISA- Kreditkarte ans Herz.

    Bitte beachten Sie, dass Sie Ihr Amazon.de-Kundenkonto ohne
    hinterlegte Kreditkarte in Zukunft nicht mehr nutzen können.

    Mit freundlichen Grüßen,
    Ihr Amazon.de Kundenservice
    Was mache ich jetzt?

    Nutzen Sie zur Verifizierung folgenden Link:

    Konto jetzt verifizieren
    Konto jetzt verifizieren --> führt zu: whois: [Link nur für registrierte Mitglieder sichtbar. ], dieser dann zu whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Die Domain secure-costumer.eu wurde durch einen 1und1-Kunden mit einer GMX-Adresse registriert, sieh Abfrage der Whois-Informationen unter [Link nur für registrierte Mitglieder sichtbar. ] Abuse-Meldung ist raus.

    Die IP liegt im Netzwerk der FASTIT-DE-DUS1-COLO4 / fast IT Colocation. Dahinter steht die myLoc managed IT AG. Auch hier: Abuse ist raus.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

Seite 1 von 16 12311 ... LetzteLetzte

Ähnliche Themen

  1. Amazon
    Von Fixi63 im Forum 5.1 Allgemeines & Smalltalk
    Antworten: 22
    Letzter Beitrag: 12.02.2010, 16:59
  2. Spam von Amazon Clouds
    Von Trulliator im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 5
    Letzter Beitrag: 24.08.2009, 10:36
  3. Update your amazon Account
    Von cmds im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 11.12.2006, 12:53
  4. Auch Amazon bleibt nicht verschont vom Phishing
    Von SpamRam im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 25.03.2006, 19:59
  5. amazon
    Von webeinspunktnull im Forum 4.2 Diskussion
    Antworten: 1
    Letzter Beitrag: 29.04.2004, 19:31

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen