Seite 1 von 10 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 99

Thema: Mail Account Phishing

  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard Mail Account Phishing

    Die Mugus brauchen wohl mal wieder frische Mail-Accounts zum Betrügen:


    header:
    01: Received: from makepeace.hvu.nl (makepeace.hvu.nl [145.89.38.8])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Thu, 20 May 2010 xx:xx:xx +0200 (CEST)
    04: Received: from umdwex04.medewerkers.ad.hvu.nl (unknown [145.89.196.233])
    05: by makepeace.hvu.nl (Postfix) with ESMTP ID: [ID filtered]
    06: Thu, 20 May 2010 xx:xx:xx +0200 (CEST)
    07: Received: from UMDWEXV01.medewerkers.ad.hvu.nl ([145.89.114.40]) by
    08: umdwex04.medewerkers.ad.hvu.nl with Microsoft SMTPSVC(6.0.3790.4675);
    09: Thu, 20 May 2010 xx:xx:xx +0200

    Your mailbox quota has been exceeded the storage limit which is 20GB as =
    set by your administrator, You are currently running on 20.9GB.

    You may not be able to send or receive new mails until you re-validate =
    your mailbox.

    To re-activate your account please click the link below:

    whois:http://www.mailsystemupdate.com/_upd_vti_mail/secure/mail/update/

    Thanks and we are sorry for the inconveniences

    Local Host.
    whois:http://www.mailsystemupdate.com/_upd_vti_mail/secure/mail/update/
    IP: 72.9.226.237 ---> Gnax


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  2. #2
    Mitglied Avatar von Mocca
    Registriert seit
    16.12.2005
    Ort
    Am Neckar
    Beiträge
    698

    Standard Dear Subscriber

    Hier eine andere Variante:

    header:
    01: From - Mon May 31 xx:xx:xx 2010
    02: X-Account-Key: account3
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0000
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: X-Envelope-From: <WEBADMIN [at] WEBMAIL.COM.CN>
    09: X-Envelope-To: <poor [at] spamvictim.tld>
    10: X-Delivery-Time: 1275204402
    11: X-UID: [UID filtered]
    12: Return-Path: <WEBADMIN [at] WEBMAIL.COM.CN>
    13: X-RZG-FWD-BY: info [at] moccasdomain.de
    14: Received: from RZmta-intern (client mail forwarder)
    15: by mailin.webmailer.de (zeb mi9) (RZmta 23.2)
    16: for <poor [at] spamvictim.tld>; Sun, 30 May 2010 xx:xx:xx +0200 (MEST)
    17: X-RZG-CLASS-ID: [ID filtered]
    18: Received: from mail.mersin.edu.tr ([193.255.128.3])
    19: by mailin.webmailer.de (zeb mi9) (RZmta 23.2)
    20: with ESMTP ID: [ID filtered]
    21: Sun, 30 May 2010 xx:xx:xx +0200 (MEST)
    22: Received: from localhost (localhost [127.0.0.1])
    23: by mail.mersin.edu.tr (Postfix) with ESMTP ID: [ID filtered]
    24: Sat, 29 May 2010 xx:xx:xx +0300 (EEST)
    25: X-Virus-Scanned: amavisd-new at mersin.edu.tr
    26: Received: from mail.mersin.edu.tr ([127.0.0.1])
    27: by localhost (mail.mersin.edu.tr [127.0.0.1]) (amavisd-new, port 10024)
    28: with ESMTP ID: [ID filtered]
    29: Received: from User (unknown [41.138.178.69])
    30: by mail.mersin.edu.tr (Postfix) with ESMTPSA ID: [ID filtered]
    31: Sat, 29 May 2010 xx:xx:xx +0300 (EEST)
    32: Reply-To: <mrssunwang_1967 [at] yahoo.com.cn>
    33: From: "CN Admin Server"<WEBADMIN [at] WEBMAIL.COM.CN>
    34: Subject: Dear Subscriber,
    35: Date: Sat, 29 May 2010 xx:xx:xx -0700
    36: MIME-Version: 1.0
    37: Content-Type: text/plain;
    38: charset="Windows-1251"
    39: Content-Transfer-Encoding: 7bit
    40: X-Priority: 3
    41: X-MSMail-Priority: Normal
    42: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    43: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    44: X-Antivirus: avast! (VPS 100129-0, 01/28/2010), Outbound message
    45: X-Antivirus-Status: Clean
    46: Message-ID: [ID filtered]
    47: To: undisclosed-recipients:;

    Dear Webmail User

    This message is from the Webmail CN Service messaging center to all subscribers/webmail users. We are currently upgrading our data base and e-mail center due to an unusual activities identified in our email system.

    We are deleting all unused Webmail Accounts. You are required to verify your webmail account by confirming your Webmail identity.This will prevent your Webmail account from been closed during this exercise.

    In order to confirm your Webmail identity, you are to provide the
    following data;

    First Name:
    Last Name:
    Username/ID:
    Password:
    Date of Birth:

    *Important*
    Please provide all these information completely and correctly otherwise due to security reasons we may have to close your account temporarily.

    We thank you for your prompt attention to this matter. Please understand that this is a security measure intended to help protect you and your Webmail Account. We apologise for any inconvenience.

    Regards,
    Webmail CN Service
    Scheint für ganz Doofe gedacht zu sein.

    Grüße
    Mocca
    Sie wollen nur unser Bestes, aber sie werden es nicht bekommen.

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard

    Und nicht vergessen, viel Post geht an:

    mrssunwang_1967@yahoo.com.cn


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  4. #4
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard

    Und wieder mal:


    header:
    01: Received: from correo.euskaltel.es (ektmail1mta2.euskaltel.es [212.55.8.13])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Sun, 4 Jul 2010 xx:xx:xx +0200 (CEST)
    04: Received: from ejlp023.ejgv ([212.55.29.247]) by ektmail1mta2.euskaltel.es
    05: (Sun Java System Messaging Server 6.2-9.09 (built Jan 8 2008))
    06: with ESMTP ID: [ID filtered]
    07: xxxxx; Sun, 04 Jul 2010 xx:xx:xx +0200 (CEST)
    08: Received: from posta.irakasle.net ([10.200.197.11])
    09: by ejlp023.ejgv (8.13.1/8.13.1) with ESMTP ID: [ID filtered]
    10: 04 Jul 2010 xx:xx:xx +0200
    11: Received: from HZEX01.irakasle.net ([10.200.197.15]) by
    12: posta.irakasle.net with
    13: Microsoft SMTPSVC(6.0.3790.4675); Sun, 04 Jul 2010 xx:xx:xx +0200

    Your mailbox quota has exceeded the storage limit which is 20GB
    as set by your administrator, you are currently running on 20.9GB.

    You may not be able to send or receive new mails until you re-validate
    your mailbox.

    To re-activate your account please click the link and login with the
    username and password provided for you below:

    whois:http://alamatweb.com/form/use/admin/form1.html

    Thanks and we are sorry for the inconveniences.

    System Administrator.
    whois:http://alamatweb.com/form/use/admin/form1.html

    IP: 203.217.173.85 ---> f-0-15.maria.imb.sw2.jkt.imediabiz.com


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard

    Die Russkis müssen wieder Accounts cracken, um sie an die Mugus zu verscherbeln:


    header:
    01: Received: from searshc.com (uskihdeveis3.dev.mykmart.com [208.247.100.71])
    02: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    03: (No client certificate requested)
    04: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    05: for xxxxx; Thu, 22 Jul 2010 xx:xx:xx +0200 (CEST)
    06: Received: from ([157.241.173.135])
    07: by usdmzsvpsmtpct4.searshc.com with ESMTP ID: [ID filtered]
    08: Wed, 21 Jul 2010 xx:xx:xx -0400
    09: Received: from ustrysvpexch21.kih.kmart.com ([157.241.184.51]) by
    10: ustrysvpsmtp04.kih.kmart.com with Microsoft SMTPSVC(6.0.3790.4675);
    11: Wed, 21 Jul 2010 xx:xx:xx -0400

    https://uskihsvpowa.mykmart.com/exchweb/bin/redir.asp?URL=3Dhttp://n7wiy.9hz.com/
    ist natürlich nur die 1. Weiterleitung zu:

    whois:http://n7wiy.9hz.com

    IP: 79.170.89.30 ---> web1.desktopmachine.com

    von da dann die Weiterleitung auf einen gecrackten Server:

    whois:http://www.epawn.biz/p/use/Demmama/form1.html

    IP: 7.222.155.114 ---> gibbs.ryleejames.com/Tailor Made Servers


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard

    Heute ganz gezielt auf einen Uni-Account:


    header:
    01: Received: from web180114.mail.gq1.yahoo.com
    02: (web180114.mail.gq1.yahoo.com [67.195.8.102])
    03: by xxxxx (Postfix) with SMTP ID: [ID filtered]
    04: for xxxxx; Wed, 4 Aug 2010 xx:xx:xx +0200 (CEST)
    05: Received: (qmail 2058 invoked by UID: [UID filtered]
    06: Received: from [115.240.51.10] by web180114.mail.gq1.yahoo.com via HTTP;
    07: Wed, 04 Aug 2010 xx:xx:xx PDT

    IP: 115.240.51.10 ---> Reliance Communications Ltd., IN

    Lieber Universität xxxx Internet User,

    Um Ihren Account Verification-Prozess, sind Sie auf diese Nachricht und
    geben Sie Ihre ID und das Passwort in das dafür vorgesehene Feld
    (**********), Sie verpflichtet sind, diese vor der nächsten 48 Stunden
    nach Erhalt dieses zu tun E-Mail, oder Ihr Webmail-Konto wird
    de-aktiviert und aus unserer Datenbank gelöscht.

    Vollständiger Name:
    Webmail Benutzer-ID:
    Webmail-Passwort:

    Ihr Konto kann auch überprüft werden;
    https://mail.uni-xxxxxx.de/squirrelmail/src/login.php
    Vielen Dank für Ihr www.uni-xxxxx.de Support Copyright 2008 Die
    Universität xxxxx Internet Support.
    Abgesehen von dem grauenhaften Deutsch, Putzi muss sich gezielt mit der Website der Uni beschäftigt haben. Der Name der Uni ist nämlich anders, als es die Maildomain vermuten läßt. Beides war aber völlig korrekt, ebenso der Login-Link für WebMail. Maschinell per Harvesting kommt man da nicht drauf, da muss schon jemand manuell recherchiert haben. Ach ja, Putzi hätte gerne Post:

    alertnotice@mail2webmaster.com

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  7. #7
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard

    Anscheinend hat Phiski einen größeren Angriff auch auf andere deutsche Unis durchgeführt, jetzt geht es darum, an einen Horde Account zu phishen:


    header:
    01: Received: from web180105.mail.gq1.yahoo.com
    02: (web180105.mail.gq1.yahoo.com [67.195.8.93])
    03: by xxxxx (Postfix) with SMTP ID: [ID filtered]
    04: for xxxxx; Fri, 6 Aug 2010 xx:xx:xx +0200 (CEST)
    05: Received: (qmail 46621 invoked by UID: [UID filtered]
    06: Received: from [115.240.74.44] by web180105.mail.gq1.yahoo.com via HTTP;
    07: Fri, 06 Aug 2010 xx:xx:xx PDT

    IP: 115.240.74.44 ---> Reliance Communications Ltd., IN

    Lieber Technische Universität xxx Internet User,

    Um Ihren Account Verification-Prozess, sind Sie auf diese Nachricht und
    geben Sie Ihre ID und das Passwort in das dafür vorgesehene Feld
    (**********), Sie verpflichtet sind, diese vor der nächsten 48 Stunden
    nach Erhalt dieses zu tun E-Mail, oder Ihr Webmail-Konto wird
    de-aktiviert und aus unserer Datenbank gelöscht.

    Vollständiger Name:
    Webmail Benutzer-ID:
    Webmail-Passwort:

    Ihr Konto kann auch überprüft werden;
    https://oldwebmail.tu-xxx.de/horde/imp/login.php
    Vielen Dank für Ihr www.tu-xxx.de Support Copyright 2008 Die Technische
    Universität xxx Internet Support.
    Post wieder an:

    alertnotice@mail2webmaster.com


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  8. #8
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.386

    Standard

    Sehr eindeutig von den Mugus:


    header:
    01: Received: from smtp.grupposandonato.it (smtp.grupposandonato.it
    02: [77.72.25.26])
    03: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    04: (No client certificate requested)
    05: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Tue, 10 Aug 2010 xx:xx:xx +0200 (CEST)
    07: Received: from User ([219.223.252.40])
    08: (authenticated bits=0)
    09: by smtp.grupposandonato.it (8.13.1/8.13.1) with ESMTP ID: [ID filtered]
    10: Tue, 10 Aug 2010 xx:xx:xx +0200

    IP: 219.223.252.40 ---> Shenzhen University City

    Dear user,
    Your mailbox has exceeded the storage limit which is 20 GB as set by your
    administrator,
    due to hidden files On your mailbox.you are currently running on 20.9
    GB,you may
    not be
    able to send or receive new mail until you re-validate your mailbox.

    To re-validate your mailbox please Click the link below
    whois:www.afrimarkltd.com/formindex.php

    IP: 174.133.28.51 ---> hybrid.abimco.com/Planet

    Im Whois findet man dann: Abuja, Nigeria. Alles klar....

    Mailfutter gibt es auch noch nach alter Mugu-Art:

    ghf00000@financier.com

    wma@mail2webmaster.com

    info@abimco.com


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  9. #9
    Mitglied Avatar von drboe
    Registriert seit
    19.07.2005
    Beiträge
    674

    Standard

    On your mailbox.you are currently running on 20.9 GB
    Das müssen dann 250.000 - 400.000 Mails sein. Respekt! Ich bin in den letzten 10 Jahren nur auf ca. 25.000 gekommen (Ein-/Ausgang zusammen, ohne spam).

    M. Boettcher
    Für eine kritsche Gegenöffenlichkeit http://www.nachdenkseiten.de lesen

  10. #10
    Senior Mitglied
    Registriert seit
    22.03.2006
    Ort
    unknown
    Beiträge
    1.221

    Standard

    Peinlich Peinlich für GMX. Die verschicken Phishingmails über die eigenen Server.


    header:
    01: Return-Path: <SRS0=Auag=PZ=gmx-gmbh.de=info [at] srs.kundenserver.de>
    02: Delivered-To: GMX delivery to xxx
    03: Received: (qmail invoked by alias); 20 Aug 2010 xx:xx:xx -0000
    04: Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de)
    05: [212.227.126.171] by mx0.gmx.net (mx031) with SMTP; 20 Aug 2010 xx:xx:xx +0200
    06: Received: from icpu540.kundenserver.de (infong17.kundenserver.de
    07: [212.227.109.5])
    08: by mrelayeu.kundenserver.de (node=mreu2) with ESMTP (Nemesis)
    09: ID: [ID filtered]
    10: Received: from 198.54.202.246 (IP may be forged by CGI script) by
    11: icpu540.kundenserver.de with HTTP ID: [ID filtered]
    12: X-Sender-Info: <15602591 [at] icpu540.kundenserver.de>
    13: Date: Fri, 20 Aug 2010 xx:xx:xx +0200
    14: Message-ID: [ID filtered]
    15: Precedence: bulk
    16: X-Apache-Env: www-ip="MTk4LjU0LjIwMi4yNDY=";helo="aWNwdTU0MC5rdW
    17: 5kZW5zZXJ2ZXIuZGU=";script="L2h0bWwvYmFubmVycGVuLX
    18: Nob3AvaW1hZ2VzL2Rlc3QucGhw"
    19: To: xxx
    20: Subject: E-Mail und Datenschutz!
    21: From: GMX Internet Services GmbH <info [at] gmx-gmbh.de>
    22: MIME-Version: 1.0
    23: Content-Type: text/html
    24: Content-Transfer-Encoding: 8bit
    25: X-Provags-ID: [ID filtered]
    26: OuXfr72jWffs54ZE7L3Zndkw9ysGHQUxDDJ6tSSmBOuK/3tbaB
    27: kYPw1jm/d1oE3sU65+BYxNZCI9v+Eoe01lqjn3IVE84NfcV2HK
    28: yU7tUOZ7sX5Gpn+a9OuoWi3qPE+hbkjX6b58T7Is1r7AGLXqGB
    29: YjTsUD72ITVDASyFvd/hw==
    30: X-GMX-Antivirus: 0 (no virus found)
    31: X-GMX-Antispam: -2 (not scanned, spam filter disabled);
    32: Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;
    33: X-GMX-UID: [UID filtered]
    34: X-Flags: 1401

    Sehr geehrter Kunde,

    Zugriff auf Ihre E-Mail-Account läuft demnächst ab,
    Wir raten Ihnen, Ihr Konto aktualisieren, die Aussetzung zu vermeiden.
    Bitte klicken Sie auf den untenstehenden Link, um Ihre E-Mail-Zugang zu
    aktualisieren. whois:http://www.bouncehouses.com/images/wickets.html
    whois:http://mail.google.com/a/gala.net/initial whois:gmx.net/de/cgi/g.fcgi/login/wicket?area
    Danke.
    ---------------------------------------------

    Geht es eigentlich noch dümmer?

    Gruß Antispam2006

Seite 1 von 10 123 ... LetzteLetzte

Ähnliche Themen

  1. Aion Account Phishing
    Von kjz1 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 20
    Letzter Beitrag: 01.08.2010, 18:01
  2. WoW Account Phishing
    Von bsd5543 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 9
    Letzter Beitrag: 12.05.2010, 21:39
  3. ARCOR - Account Phishing
    Von Wurgl im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 5
    Letzter Beitrag: 08.10.2008, 19:07
  4. Mail mit Subject: PayPal Account Suspension Notice - PayPal Account Limited
    Von SpamRam im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 31.10.2005, 14:47
  5. [phishing] NCUA - Account Verification
    Von Motte im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 11.06.2005, 22:13

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen