Seite 4 von 5 ErsteErste ... 2345 LetzteLetzte
Ergebnis 31 bis 40 von 47

Thema: Mastercard Phishing

  1. #31
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Wieder dieselbe Bande, wieder mit Realnamen:


    header:
    01: Received: from wp065.webpack.hosteurope.de ([80.237.132.72]) by mx-ha.gmx.net
    02: (mxgmx004) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from static.49.47.251.148.clients.your-server.de ([148.251.47.49]
    04: helo=localhost.localdomain); authenticated by wp065.webpack.hosteurope.de running ExIM with
    05: esmtpa ID: [ID filtered]

    IP: 148.251.47.49 ---> Hetzner (jaja, auf diesen deutschen Oberschwarzhut ist Verlass...)

    Bilder auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 195.54.50.12 ---> bsdwww.bm5.pl

    Schadlink auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 182.18.148.140 ---> IP pool for CtrlS
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #32
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Wieder Spamski-Vlad mit dem Phishing über Mailanhang:


    header:
    01: Received: from server6.hosthat.com ([67.228.226.98]) by mx-ha.gmx.net
    02: (mxgmx107) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from ([127.0.0.1]) with MailEnable ESMTP; Mon, 25 Aug 2014 xx:xx:xx
    04: +0100

    Sehr geehrter Kunde,
    Nach einigen verd_chtigen Transaktionen, hat Ihre Karte aus
    Sicherheitsgr_nden gesperrt worden.
    Um wieder Zugriff zu erhalten, m_ssen Sie Ihre Informationen zu
    aktualisieren.
    Bitte laden Sie das Formular Mastercard, um diese E-Mail beigef_gt.

    Wenn Sie diese E-Mail ignorieren, wird Ihre Karte vor_bergehend gesperrt
    werden.
    Um unser dienstleistungen noch sicherer zu machen und missnbr_uchliche
    Verwendungen zu vermeiden,
    ist eine Aktualisierung Ihres karte Informationen notwendig.

    Danke,
    Kundendienst.
    Das Phishing-Skript gibt es hier:

    [HTML]<form action="http://masteracard.3x.ro/privatkunden.php" method="post">[/HTML]
    IP: 89.42.39.160 ---> 3xmedia.ro

    Und selbstverfreilich steht der Hosenlatz offen:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #33
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Und wieder derselbe Ganove mit dem Mailanhang, gecrackter Regierungsserver in Südafrika und dieselbe gecrackte Dreckskiste mit unsicherer Wordpress-Installation wie beim Ing Diba Phish:


    header:
    01: Received: from mailserver.deeds.gov.za ([164.151.130.232]) by mx-ha.gmx.net
    02: (mxgmx013) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from localhost (localhost.localhost [127.0.0.1]) by
    04: mailserver.deeds.gov.za (Postfix) with ESMTP ID: [ID filtered]
    05: Received: from mailserver.deeds.gov.za ([127.0.0.1]) by localhost
    06: (mailserver.deeds.gov.za [127.0.0.1]) (amavisd-new, port
    07: 10024) with ESMTP ID: [ID filtered]
    08: Received: from dkd.de (stats.enteramx.arvixevps.com [192.169.54.50]) by
    09: mailserver.deeds.gov.za (Postfix) with ESMTPA ID: [ID filtered]

    Sehr geehrter Kunde,

    Nach einigen verdächtigen Transaktionen, hat Ihre Karte aus
    Sicherheitsgründen
    gesperrt worden.
    Um wieder Zugriff zu erhalten, müssen Sie Ihre Informationen zu
    aktualisieren.

    Bitte laden Sie das Dokument in einer E-Mail-Anhang, und überprüfen Sie
    Ihre Daten.
    Wenn Sie diese E-Mail ignorieren, wird Ihre Karte vorübergehend gesperrt
    werden.

    Thank you,
    Kundendienst.

    © 1994-2014 MasterCard. All rights reserved.
    Script liegt hier:

    [HTML]<form action="http://sjtbangalore.org/wp-includes/images/smilies/x/neu1.php" method="post">[/HTML]

    IP: 208.91.199.150 ---> bh-7.webhostbox.net

    Man vergleiche mit:

    [Link nur für registrierte Mitglieder sichtbar. ]

    Auch hier steht natürlich wieder der Hosenlatz offen...

    Die Ausbeute dürfte eher mager sein:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #34
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Und wieder mal der Phishki von der Russenmafia mit dem Skript im Mailanhang, diesmal doppelt verschlüsselt mit BASE64 und Unescape:


    header:
    01: Received: from comunic.upsystem-rs.com.br ([189.74.237.176]) by
    02: mx-ha.gmx.net (mxgmx110) with ESMTP (Nemesis) ID: [ID filtered]
    03: Sun, 11 Jan 2015 xx:xx:xx +0100
    04: Received: from localhost (localhost.upsystem-rs.com.br [127.0.0.1])
    05: by comunic.upsystem-rs.com.br (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Sun, 11 Jan 2015 xx:xx:xx -0200 (BRST)
    07: Received: from comunic.upsystem-rs.com.br ([127.0.0.1])
    08: by localhost (comunic.upsystem-rs.com.br [127.0.0.1]) (amavisd-new,
    09: port 10024)
    10: with ESMTP ID: [ID filtered]
    11: Sun, 11 Jan 2015 xx:xx:xx -0200 (BRST)
    12: Received: from localhost (localhost.upsystem-rs.com.br [127.0.0.1])
    13: by comunic.upsystem-rs.com.br (Postfix) with ESMTP ID: [ID filtered]
    14: for xxxxx; Sun, 11 Jan 2015 xx:xx:xx -0200 (BRST)
    15: Received: from comunic.upsystem-rs.com.br ([127.0.0.1])
    16: by localhost (comunic.upsystem-rs.com.br [127.0.0.1]) (amavisd-new,
    17: port 10026)
    18: with ESMTP ID: [ID filtered]
    19: Sun, 11 Jan 2015 xx:xx:xx -0200 (BRST)
    20: Received: from master.de (janecrac.arvixevps.com [108.175.150.202])
    21: by comunic.upsystem-rs.com.br (Postfix) with ESMTPA ID: [ID filtered]
    22: for xxxxx; Sun, 11 Jan 2015 xx:xx:xx -0200 (BRST)

    /*Sehr geehrte Damen und Herren,
    */
    Schützen Sie Ihre MasterCard Kreditkarte online
    Verified by MasterCard schützt Ihre Kreditkarte ohne zusätzliche
    Kosten gegen unbefugte Online-Nutzung. Um Ihren Einkauf zu bestätigen,
    füllen Sie bitte alle unten angegebenen Felder aus und klicken Sie auf
    "Senden".
    Die eingegebenen Daten werden zu Ihrer Sicherheit von MasterCard überprüft.

    /Sie können Ihr karte nach einer abgeschlossenen Verifikation wieder wie
    gewohnt nutzen. Dazu folgen Sie bitte dem angegeben Link. Sie werden
    anschließend weitergeleitet./


    /WICHTIG:
    /Wenn Sie Ihre Kreditkarte gewerblich nutzen, empfehlen wir Ihnen DRINGEND,

    daß Sie Ihre Kreditkarte schützen!


    /Mit freundlichen Grüßen
    MasterCard Deutschland/
    im Anhang:

    [HTML]<form action="http://www.yuvih.ua/htm.php" method="post">[/HTML]

    IP: 178.20.153.9 ---> Freehost, Ukraine
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #35
    Mitglied
    Registriert seit
    02.11.2009
    Ort
    Schwerte
    Beiträge
    223

    Standard


    header:
    01: Return-Path: sicherheit [at] mastercard.de
    02: Received: from mail-mx.newinteractive.net ([93.187.201.154]) by mx-ha.web.de
    03: (mxweb104) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from h2388614.stratoserver.net ([85.214.229.165]
    05: helo=localhost.localdomain) by mail-mx.newinteractive.net with esmtpa (Exim 4.80)
    06: (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
    07: Date: Mon, 26 Jan 2015 xx:xx:xx +0100
    08: To: *****@web.de
    09: From: MasterCard <sicherheit [at] mastercard.de>
    10: Subject: MasterCard Mitteilung an ******* <-- fiktiver Name
    11: Message-ID: [ID filtered]
    12: X-Priority: 3
    13: X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
    14: MIME-Version: 1.0
    15: Content-Type: multipart/alternative;
    16: boundary="b1_3b91acc7ab999673e4905c19d18bc7b6"
    17: Content-Transfer-Encoding: 8bit
    18: Envelope-To: <*****@web.de>
    Heute hier afugeschlagen. Die Texte sind als Graphik sind auf dem vermutlich gekrackten Server des Tierschutzverein Köln hinterlegt whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Der Pishinglink führt nach
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Geändert von Jogy4711 (27.01.2015 um 11:49 Uhr) Grund: Header tag berichtigt

  6. #36
    Mitglied
    Registriert seit
    02.11.2009
    Ort
    Schwerte
    Beiträge
    223

    Standard

    Trotz telefonischer Mitteilung an das Tierheim sind 24 Std. später die Grafiken immer noch auf dem Server. ***kopfschüttel***

    OT:
    Interessiert die offenbar einen sch..... ob fremde Zugang zu deren Server haben und Ihn möglicherweise als Spam-schleuder missbrauchen, oder andere Inhalte wie z.B. Bank und/oder Payplal-daten manipuliert haben.

  7. #37
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von Jogy4711 Beitrag anzeigen
    Trotz telefonischer Mitteilung an das Tierheim sind 24 Std. später die Grafiken immer noch auf dem Server. ***kopfschüttel***
    Nein, da wird aktuell eine saubere Hauptseite geladen, anstatt einer 404-Fehlerseite. Funktioniert übrigens auch mit whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Die "Grafiken" sind übrigens normalerweise keine Bilder, sondern HTML/JS, die lediglich eine für den Dateityp ungewöhnliche Extension haben.

    Es scheint die doch "einen sch....." zu interessieren

    offtopic:

    Oft werden den Vereinen CMS als Rundum-Sorglos-Lösungen angeboten, mit dem Versprechen, dass man die Inhalte der eigenen Seite ohne weitere Kentnisse einfach selbst pflegen kann. Dann wird bei einem Massenhoster billig Webspace gemietet und das Zeug installiert und danach nie mehr angefasst. Dass es in jeder Software Fehler gibt, die entdeckt und behoben werden und damit ein Update des CMS nötig wird haben die "Webdesigner" noch nicht kapiert. Die haben ja ihre Kohle bekommen und das wars, der Kunde wird alleine stehen gelassen.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  8. #38
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Zitat Zitat von homer Beitrag anzeigen
    Dass es in jeder Software Fehler gibt, die entdeckt und behoben werden und damit ein Update des CMS nötig wird haben die "Webdesigner" noch nicht kapiert. Die haben ja ihre Kohle bekommen und das wars, der Kunde wird alleine stehen gelassen.
    Wenn man wenigstens einen Hoster wählen würde, der eine automatische Aktualisierung der CMS-Software anbietet. Aber das wäre wohl teurer und könnte ja zu Problemen beim Update führen, wo man dann als 'Webdesigner' wieder ranmüsste...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #39
    Mitglied
    Registriert seit
    02.11.2009
    Ort
    Schwerte
    Beiträge
    223

    Standard

    Zitat Zitat von homer Beitrag anzeigen
    Nein, da wird aktuell eine saubere Hauptseite geladen, anstatt einer 404-Fehlerseite. Funktioniert übrigens auch mit whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Noch finden sich die Daten auf der seite [Link nur für registrierte Mitglieder sichtbar. ] vom, 30 Jan. ca. 13:30 Uhr
    und [Link nur für registrierte Mitglieder sichtbar. ] (link zur Tierheim HP geküzt)

  10. #40
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Auch hier wieder mutmaßlich Ganoven aus Bulgarien:


    header:
    01: Received: from mout.kundenserver.de ([212.227.17.24]) by mx-ha.gmx.net
    02: (mxgmx101 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for xxxxx; Sat, 19 Nov 2016 xx:xx:xx +0100
    04: Received: from s19670235.onlinehome-server.info ([212.227.141.11]) by
    05: mrelayeu.kundenserver.de (mreue104 [212.227.15.183]) with ESMTPSA (Nemesis)
    06: ID: [ID filtered]
    07: +0100
    Im Body gab es nur HTML-Bildchen, deshalb der Link:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 46.101.99.30 ---> Digital Ocean, Inc.

    weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 87.121.52.187 ---> NETERRA-SOLIDEX-NET, Bulgaria
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 4 von 5 ErsteErste ... 2345 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen