Seite 2 von 10 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 99

Thema: Mail Account Phishing

  1. #11
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.387

    Standard

    Anscheinend war der Phish-Zug auf Uni-Accounts doch erfolgreich, am Wochenende kam Mugu-Spam über die Fernuni Hagen rein. Wie man mir bestätigte, waren es dort gephishte Accounts.

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  2. #12
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.387

    Standard

    Und wieder ein paar Beispiele:


    header:
    01: Received: from mailrg2.ecu.edu.au (mailhost.ecu.edu.au [139.230.225.74])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Thu, 16 Sep 2010 xx:xx:xx +0200 (CEST)
    04: Received: from XCHG-FE-ML.ads.ecu.edu.au (xchg-fe-ml.ads.ecu.edu.au
    05: [10.67.122.70])
    06: by mailrg2.ecu.edu.au (MOS 4.1.3-GA)
    07: with ESMTP ID: [ID filtered]
    08: Thu, 16 Sep 2010 xx:xx:xx +0800
    09: Received: from xchg-ms1.ads.ecu.edu.au ([fe80::e47f:8f3e:a0f1:924d]) by
    10: XCHG-FE-ML.ads.ecu.edu.au ([fe80::25b4:9872:918f:30d8%10]) with mapi;
    11: Thu, 16
    12: Sep 2010 xx:xx:xx +0800

    j.leng@ecu.edu.au

    Your mailbox is almost full.
    20GB 23GB

    Your mailbox has exceeded the storage limit which is 20GB as set by your ad=
    ministrator, you are currently running on 20.9GB,you may not be able to sen=
    d or receive new mail until you re-validate your mailbox. To re-validate yo=
    ur mailbox please click the link:

    whois:http://web-cleanupverification.yolasite.com

    whois:http://dentquote.com/php/use/levea/form1.html

    Thanks

    System Administrator.

    derselbe noch einmal:


    header:
    01: Received: from smtpout089B.attiva.biz (smtpout089B.attiva.biz [85.33.31.89])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Thu, 23 Sep 2010 xx:xx:xx +0200 (CEST)
    04: Received: from FBCMST03V03.fbc.local ([192.168.30.81]) by
    05: smtpout089B.attiva.biz with Microsoft SMTPSVC(6.0.3790.3959);
    06: Thu, 23 Sep 2010 xx:xx:xx +0200

    cooperat143@piccolapesca.191.it

    Your mailbox is almost full.
    20GB 23GB

    Your Mailbox Has Exceeded It Storage Limit As Set By Your Administrator,
    And You Will Not Be Able To Receive New Mails Until You Re-Validate It.
    To Re-Validate - > Click Here

    whois:http://www.cleanupvista-centre.vistahosting.cn

    System Administrator

    whois:http://south-gippsland.com/images/WebmasterLogo.png

    Und hier - zu ersten Mal für mich - ein Phiski direkt aus Nigeria, also ein 'Do-it-yourself'-Mugu auf einem gecrackten Schulserver, natürlich gehostet bei OVH, ihrem freundlichen Schwarzhut...


    header:
    01: Received: from fmmailgate02.web.de (EHLO fmmailgate02.web.de)
    02: [217.72.192.227]
    03: by mx0.gmx.net (mx053) with SMTP; 23 Sep 2010 xx:xx:xx +0200
    04: Received: from smtp08.web.de ( [172.20.5.216])
    05: by fmmailgate02.web.de (Postfix) with ESMTP ID: [ID filtered]
    06: Thu, 23 Sep 2010 xx:xx:xx +0200 (CEST)
    07: Received: from [82.128.81.212] (helo=User)
    08: by smtp08.web.de with asmtp (WEB.DE 4.110 #24)
    09: ID: [ID filtered]

    IP: 82.128.81.212 ---> Multilinks Telecommunications Limited, Nigeria

    henrickferriera@web.de

    Sehr geehrter E-Mail-User,
    Dies ist eine wichtige Botschaft ьber die Sicherheit Ihrer E-Mail-Konto.
    Sie mьssen Ihren E-Mail-Schutz vor Hackern und illegalen
    Internet-Aktivitдten
    _Klicken Sie auf Jetzt aktivieren zu aktivieren_

    whois:http://www.ecolesaintemarie-pm.fr//cache/antispamupdategermany/antispamupdate.htm

    Ihre E-Mail-Adresse gegen Hacker und verlorene E-Mail-Konto
    Danke
    Internet Security
    E-Mail-Konto

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  3. #13
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.404

    Standard

    Mitunter legen die Mugus auch extra Domains für das Accountphishing an: http://www.phishtank.com/phish_detai...hish_id=844857

    Das mit der Sprache muß er aber noch mal üben.
    Wir kriegen euch alle!

  4. #14
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.387

    Standard

    neuer Versuch:


    header:
    01: Received: from email.mps.k12.al.us (email.mps.k12.al.us [68.190.16.70])
    02: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Sat, 9 Oct 2010 xx:xx:xx +0200 (CEST)
    04: Received: from mps-mx-02.MPS.K12.AL.US ([10.100.1.19]) by
    05: mps-mx-02.MPS.K12.AL.US ([10.100.1.19]) with mapi; Sat, 9 Oct 2010 xx:xx:xx
    06: -0500

    X-CHKRCPT: Envelopesender vrfy amy.mracek@mps.k12.al.us

    gecrackter Schul-Account:

    amy.mracek@mps.k12.al.us

    IT Service,

    You have exceeded the limit of your mailbox set by your IT service provider=
    , you will be unable to receive new emails. Just before this message was se=
    nt, you are Currently running on 91624 KB, You have exceeded the storage li=
    mit which is 20GB.. To prevent this, please click to reset your account. CL=
    ICK HEREwhois:<http://pty3.9hz.com/>

    Regards,
    IT Service.
    whois:http://pty3.9hz.com

    IP: 178.18.81.116 ---> vps6026.xlshosting.net, NL


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  5. #15
    Senior Mitglied
    Registriert seit
    22.03.2006
    Ort
    unknown
    Beiträge
    1.221

    Standard

    Und wieder wird GMX-Phishing über die eigene Infrastruktur versandt. Peinlicher geht es immer


    header:
    01: Return-Path: <SRS0=4FMC=RP=gmx-gmbh.de=info [at] srs.kundenserver.de>
    02: Delivered-To: GMX delivery to xxx
    03: Received: (qmail invoked by alias); 13 Oct 2010 xx:xx:xx -0000
    04: Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de)
    05: [212.227.126.171] by mx0.gmx.net (mx093) with SMTP; 14 Oct 2010 xx:xx:xx +0200
    06: Received: from icpu1173.kundenserver.de (infong732.kundenserver.de
    07: [212.227.29.55])
    08: by mrelayeu.kundenserver.de (node=mreu0) with ESMTP (Nemesis) ID: [ID filtered]
    09: Received: from 41.242.148.84 (IP may be forged by CGI script) by
    10: icpu1173.kundenserver.de with HTTP ID: [ID filtered]
    11: X-Sender-Info: <241959595 [at] icpu1173.kundenserver.de>
    12: Date: Thu, 14 Oct 2010 xx:xx:xx +0200
    13: Message-ID: [ID filtered]
    14: Precedence: bulk
    15: X-Apache-Env: www-ip="NDEuMjQyLjE0OC44NA==";helo="aWNwdTExNzMua3
    16: VuZGVuc2VydmVyLmRl";script="L2luY2x1ZGVzL2Rlc3QucG
    17: hw"
    18: To: xxx
    19: Subject: E-Mail und Datenschutz!
    20: From: GMX Internet Services GmbH <info [at] gmx-gmbh.de>
    21: MIME-Version: 1.0
    22: Content-Type: text/html
    23: Content-Transfer-Encoding: 8bit
    24: X-Provags-ID: [ID filtered]
    25: XiAuuQoDN3asaCiKMs/oPZWAhkJLGLq78w2m5pmmQU9JgG5ja6
    26: evw0ggafPnKNh43vGo4hDEg6ld2TyuTC9h/+ig6CDrMX88w6Dq
    27: 23lsgv1XDHrIlVVSkrrfLApC4gTF3sorV36kN4QFTvOD0Q6T9P
    28: VadDxA83Yyj7QTR6H3SrA==
    29: X-GMX-Antivirus: 0 (no virus found)
    30: X-GMX-Antispam: -2 (not scanned, spam filter disabled);
    31: Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;
    32: X-Resent-For: xxx
    33: X-GMX-UID: [UID filtered]
    34: X-Flags: 1401

    <html>

    <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">

    Sehr geehrter Kunde,

    Zugriff auf Ihre E-Mail-Account lдuft demnдchst ab,
    Wir raten Ihnen, Ihr Konto aktualisieren, die Aussetzung zu vermeiden.
    Bitte klicken Sie auf den untenstehenden Link, um Ihre E-Mail-Zugang zu aktualisieren.
    whois:http://service.gmx.net/de/cgi/g.fcgi/login/wicket?area=
    whois:http://guramy.ru/images/stories/wickets.html
    ---------------------------------------------------------------------------------------------

    Gruß Antispam2006

  6. #16
    Urgestein Avatar von Eniac
    Registriert seit
    18.07.2005
    Ort
    Dragasani - Lagos - Moskau - Cloppenburg
    Beiträge
    5.188

    Standard


    header:
    01: Received: from mail195-va3-R.bigfish.com (10.7.14.248) by
    02: VA3EHSOBE004.bigfish.com (10.7.40.24) with Microsoft SMTP Server id
    03: 14.1.225.8; Thu, 14 Oct 2010 xx:xx:xx +0000
    04: Received: from mail195-va3 (localhost.localdomain [127.0.0.1]) by
    05: mail195-va3-R.bigfish.com (Postfix) with ESMTP ID: [ID filtered]
    06: 2010 xx:xx:xx +0000 (UTC)
    07: Received: from mail195-va3 (localhost.localdomain [127.0.0.1]) by mail195-va3
    08: (MessageSwitch) ID: [ID filtered]
    09: (UTC)
    10: Received: from VA3EHSMHS032.bigfish.com (unknown [10.7.14.251]) by
    11: mail195-va3.bigfish.com (Postfix) with ESMTP ID: [ID filtered]
    12: 2010 xx:xx:xx +0000 (UTC)
    13: Received: from mail.fresnounified.org (206.78.212.221) by
    14: VA3EHSMHS032.bigfish.com (10.7.99.42) with Microsoft SMTP Server (TLS) id
    15: 14.0.482.44; Thu, 14 Oct 2010 xx:xx:xx +0000
    16: Received: from MSC1.staff.fusd.local ([10.223.231.26]) by
    17: EX2007-HUB1.staff.fusd.local ([10.223.231.21]) with mapi; Thu, 14 Oct 2010
    18: xx:xx:xx -0700
    19: From: Matt Estes <Matt.Estes [at] fresnounified.org>
    20: Date: Thu, 14 Oct 2010 xx:xx:xx -0700
    21: Subject: Email Deactivation Warning
    22: Message-ID: [ID filtered]
    23: Accept-Language: en-US
    24: Content-Language: en-US
    25: Content-Type: multipart/alternative;
    26: boundary="_000_DB6BC60C736EF44BB3BE8B61F6B74A64D2E21C0E63MSC1stafffusd_"
    27: MIME-Version: 1.0
    28: To: Undisclosed recipients:;
    29: X-Junkmail-SD-Raw: score=unknown,
    30: refid=str=0001.0A0B020A.4CB7209E.02C2:SCFSTAT9938794,ss=1,fgs=0,
    31: ip=216.32.180.14,
    32: so=2009-06-02 xx:xx:xx,
    33: dmn=5.7.1/2009-08-27,
    34: mode=single engine
    35: Return-Path: Matt.Estes [at] fresnounified.org

    THIS MESSAGE IS FROM OUR TECHNICAL SUPPORT TEAM This message is sent
    automatically by the computer. If you are receiving this message it means
    that your email address has been queued for deactivation; this was as a
    result of a continuous error script (code:505)receiving from this email
    address. Click here and fillout the required field to resolve this problem

    --> whois:re-activate.tk

    Note: Failure to reset your email by ignoring this message or inputing wrong information will result to instant deactivation of this email
    address


    Eniac
    Die weltweit grösste Fakeseiten-Datenbank: http://db.aa419.org/fakebankslist.php
    Viele falsche Escrow-Seiten: http://escrow-fraud.com/search.php

    DER HERR ERSCHUF IN SEINEM ZORN - CLOPPENBURG UND BÜTTELBORN

  7. #17
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.432

    Standard

    Ist wohl bereits versenkt... Über 2 Frames landet man auf einer der üblichen "Searchpages" mit reichlich dubiosen "Ergebnissen" - was alles nichts mit Mails zu tun hat.

    Windowsnutzer, Achtung: In den Frames wird auch die IP-Adresse weitergereicht, was IMHO nur Sinn macht, wenn man retour mal nachschauen möchte, ob da etwas "brauchbares" steht.
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  8. #18
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.387

    Standard

    Erneuter Versuch, aber wohl bereits 'totgelegt':


    header:
    01: Received: from exchange.csun.edu (bittern.csun.edu [130.166.5.139])
    02: (using TLSv1 with cipher RC4-MD5 (128/128 bits))
    03: (No client certificate requested)
    04: by xxxxx (Postfix) with ESMTP ID: [ID filtered]
    05: for xxxxx; Wed, 20 Oct 2010 xx:xx:xx +0200 (CEST)
    06: Received: from CSUN-EX-V03.csun.edu ([130.166.5.49]) by bittern.csun.edu
    07: ([130.166.5.139]) with mapi; Tue, 19 Oct 2010 xx:xx:xx -0700

    wahrscheinlich über gecrackten Uni-Account versendet: manushak.movsisyan@csun.edu

    Your mailbox has exceeded one or more size limits set by your administrator=
    .
    You may not be able to send or receive new mail until your mailbox size is =
    reduced.
    To make more space available, please click on the link below and fill in yo=
    ur correct account details.

    whois:http://wholebackstage.com/form/use/sample/form1.html

    Thanks and we are sorry for the inconveniences.

    System Administrator.
    whois:wholebackstage.com/form/use/sample/form1.html

    IP: 205.134.252.112 ---> gs18.inmotionhosting.com

    leitet weiter auf:

    whois:http://216.120.231.11/~floorin/gallery1/g2data/ ---> host26.hrwebservices.net


    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  9. #19
    jens69
    Gast

    Standard

    Da ich keinen Account habe bei linkedin und er auf jeden Fall die kontakte in meinem Mailpostfach durchwühlen will, gehe ich von Pishing-Versuchen aus:


    header:
    01: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on
    02: X-Spam-Level: ***
    03: X-Spam-Status: No, score=3.9 required=10.0 tests=BAYES_20,FH_DATE_PAST_20XX,
    04: HTML_IMAGE_ONLY_16,HTML_MESSAGE,RCVD_IN_BSP_OTHER,SPF_PASS autolearn=no
    05: version=3.2.3
    06: Received: (qmail 16065 invoked from network); 21 Oct 2010 xx:xx:xx +0200
    07: Received-SPF: pass (: domain of gmx.net designates 213.165.64.100 as permitted sender)
    08: client-ip=213.165.64.100; envelope-from=srs0=ndp6=rx=bounce[BOUNCE filtered]@gmx.net;
    09: helo=mx0.gmx.net;
    10: Received: from mx0.gmx.net (213.165.64.100)
    11: by with SMTP; 21 Oct 2010 xx:xx:xx +0200
    12: Received: (qmail 9944 invoked by alias); 21 Oct 2010 xx:xx:xx -0000
    13: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    14: Received: (qmail invoked by alias); 21 Oct 2010 xx:xx:xx -0000
    15: Received: from mail16-d-ab.linkedin.com (EHLO mail16-d-ab.linkedin.com)
    16: [64.74.98.166]
    17: by mx0.gmx.net (mx002) with SMTP; 21 Oct 2010 xx:xx:xx +0200
    18: DomainKey-Signature: q=dns; a=rsa-sha1; c=nofws;
    19: s=prod; d=linkedin.com;
    20: h=DKIM-Signature:Sender:Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:X-Linked
    21: n-Template:X-LinkedIn-Class:X-LinkedIn-fbl;
    22: b=I3fv8g349sgZp1J+i7UUq5Ag4is5y1NQ1nILEBSiOx7e2RiGi0bK2cnIDAr17RNl
    23: JIkS/EBgCC0jpQwtRcTl7lQFprltmPbI6E1QqDrFOud/dHrZRIQ+sL4D4kfd5Ukd
    24: DKIM-Signature: v=1; a=rsa-sha1; d=linkedin.com; s=proddkim; c=relaxed/simple;
    25: q=dns/txt; i=@linkedin.com; t=1287662606;
    26: h=From:Subject:Date:To:MIME-Version:Content-Type;
    27: bh=LVdnF8PRFRzEIIJVEB2S8ePaDgc=;
    28: b=LOxJ+q2IU/vTwt9LmOBm6NPuy4gexbKpXfTCSeiwm/nW0BgDQv9JUuxvoqnp1hSg
    29: BVeoW4sXjb8fE9qz12yksEIkgWeK7p5mhChYnLw1PCuuWGz1Kd9raVEld9LZ9TCH;
    30: Sender: messages-noreply [at] bounce.linkedin.com
    31: Date: Thu, 21 Oct 2010 xx:xx:xx -0700 (PDT)
    32: From: Juan Pablo Gailer <juan.pablo.gailer [at] uni-hamburg.de>
    33: To: erfundenerName <meineAdresse>
    34: Message-ID: [ID filtered]
    35: Subject: =?UTF-8?Q?Juan_Pablo_Gailer_m=C3=B6chte_=C3=BCber_?=
    36: =?UTF-8?Q?LinkedIn_in_Verbindung_bleiben?=
    37: MIME-Version: 1.0
    38: Content-Type: multipart/alternative;
    39: boundary="----=_Part_884990_1687179402.1287662606949"
    40: X-LinkedIn-Template: invite_guest_59
    41: X-LinkedIn-Class: INVITE-GUEST
    42: X-LinkedIn-fbl: n-qKgsmgLEkf3rKocLt29vvlkDu9GGi-Rvwhxvv9YSAKUC
    43: X-GMX-Antispam: 0 (Mail was not recognized as spam);
    44: Detail=5D7Q89H36p5xOp9NadjzZ4ClbmnJuu9P2NcPFcvrSNM/5EPrVDLjZbv55kLOsAuxk4vNB
    45: FBTR//a8jg9rcmspzvxvuuAKuGrnIOtj0q9vKf0uIhkCxADnZZ34Wju6GhUdh0+dFXO//Hn1Ih04
    46: 2ltlUmHqQBO/DNxV1;
    47: X-Resent-By: Forwarder <forwarder [at] gmx.net>
    48:

    LinkedIn
    ------------


    Tobias Lehman,

    Ich möchte Sie gerne zu meinem beruflichen Netzwerk bei LinkedIn hinzufügen.
    Juan Pablo Gailer

    Juan Pablo Gailer
    PhD student bei University of Hamburg
    Hamburg und Umgebung, Deutschland

    Bestätigen Sie, dass Sie Juan Pablo Gailer kennen
    https://www.linkedin.com/e/-yj3m75-g...7117/yRHzit0_/



    --
    (c) 2010, LinkedIn Corporation

  10. #20
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.387

    Standard

    Wobei Besagter ja tatsächlich existiert:

    http://www.for771.uni-bonn.de/en/node/126

    Ob er davon weiss?

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

Seite 2 von 10 ErsteErste 1234 ... LetzteLetzte

Ähnliche Themen

  1. Aion Account Phishing
    Von kjz1 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 20
    Letzter Beitrag: 01.08.2010, 18:01
  2. WoW Account Phishing
    Von bsd5543 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 9
    Letzter Beitrag: 12.05.2010, 21:39
  3. ARCOR - Account Phishing
    Von Wurgl im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 5
    Letzter Beitrag: 08.10.2008, 19:07
  4. Mail mit Subject: PayPal Account Suspension Notice - PayPal Account Limited
    Von SpamRam im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 31.10.2005, 14:47
  5. [phishing] NCUA - Account Verification
    Von Motte im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 11.06.2005, 22:13

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen