+ Antworten
Seite 1 von 3 1 2 3 LetzteLetzte
Ergebnis 1 bis 10 von 28

Thema: Strato Account Phishing

  1. #1
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.685

    Standard Strato Account Phishing

    Der Sternchen-Mugu betätigt sich jetzt auch als Phisher:


    header:
    01: Received: from mail01d.mail.t-online.hu (EHLO mail01d.mail.t-online.hu)
    02: [84.2.42.6]
    03: by mx0.gmx.net (mx005) with SMTP; 26 Sep 2011 xx:xx:xx +0200
    04: X-AuthUID: [UID filtered]
    05: Received: from User (71-95-184-187.static.mtpk.ca.charter.com
    06: [71.95.184.187])
    07: by mail01d.mail.t-online.hu (Postfix) with ESMTPA ID: [ID filtered]
    08: Mon, 26 Sep 2011 xx:xx:xx +0200 (CEST)

    Also erst mal zum Spammen einen gecrackten Account: csaba.aramkor@t-online.hu und eine Zombie-Kiste IP: 71.95.184.187 ---> Charter benutzt. Und dann über einen kostenlosen Hoster losgephisht:

    *Sehr geehrter Abonnent,*
    **
    *Wir sind derzeit in Rechnung Wartung tдtig.*
    *Als Abonnent haben Sie benцtigt, um Ihre weitere Mitgliedschaft zu
    bestдtigen.*
    *Nichtbeachtung Ihre weitere Mitgliedschaft bestдtigen wird Service
    Suspendierung fьhren.*
    **
    *_Klicken Sie hier, um Anmeldung und in einem einfachen Schritt zu
    bestдtigen._*__ whois:http://black-worm.110mb.com/Strato%20Account%20Update.htm
    **
    *BITTE BEACHTEN SIE: Dies ist eine ZwangsmaЯnahme. Nichtbeachtung*
    *Aktualisieren Sie Ihre Informationen werden an Service-Aufhдngung fьhren*
    *Danke*
    *Admin*
    *Strato Admin Update®*
    Jaja, black-worm, das hätte der Mugu wohl gerne....

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  2. #2
    Senior Mitglied Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.068

    Standard

    Hier auch, aber mit anderen Absenderdaten und anderen Links.


    header:
    01: Return-Path: <www-data [at] dev.metrixindia.com>
    02: Received: from dev.metrixindia.com (unknown [203.122.14.89])
    03: by maildmz2.informatik.tu-muenchen.de (Postfix) with ESMTP ID: [ID filtered]
    04: for <xxx>; Tue, 11 Oct 2011 xx:xx:xx +0200 (CEST)
    05: Received: by dev.metrixindia.com (Postfix, from userID: [ID filtered]
    06: ID: [ID filtered]
    07: Subject: ! Liebe Strato Kontoinhabers zu prüfen, Ihr Konto jetzt!
    08: X-PHP-Originating-Script: 33:di.php
    09: From: Strato Admin Update <no-reply [at] strato.de>
    10: Date: Tue, 11 Oct 2011 xx:xx:xx +0530 (IST)

    Der Body ist ein ellenlanger HTML-Unsinn (ca. 450 Lines!), bei dem ich jetzt nicht 100%ig durchblicke. Natürlich habe ich mir nur den Quellcode angeschaut, im Browser öffnen halte ich für keine gute Idee. An URLs kommt darin neben strato.de, strato-faq.de und weiteren tatsächlich zu Strato gehörenden Domains unter anderem whois:formbuddy.com vor - offensichtlich ist ein Formular in der Mail.

    Durchgeknallter Netzindianer und stolz drauf


  3. #3
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.685

    Standard

    Also per gecracktem Account bei der TU München verschickt und einen Formgenerator (zum Selbstprogrammieren sind die Mugus in der Regel zu blöd) zum Phishen genutzt.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  4. #4
    Senior Mitglied Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.068

    Standard

    Nein nein, die Mail ging an einen Account bei der TU München.
    Der Formgenerator ist eine tolle Möglichkeit zum Anonymisieren. Allerdings geht diese Form schon nicht mehr, die haben wohl auch was gegen Spammer.

    Durchgeknallter Netzindianer und stolz drauf


  5. #5
    Mitglied Pfälzer schreibt sinnvolle Beiträge Pfälzer schreibt sinnvolle Beiträge
    Registriert seit
    17.09.2006
    Beiträge
    51

    Standard

    Die Mail ist gestern bei mir in mehreren Postfächern eingengen. Scheint wohl ein neur Run zu sein.

    Gruß

    Pfälzer


    header:
    01: From - Mon Feb 20 xx:xx:xx 2012
    02: X-Account-Key: account1
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: DomainKey-Status: no signature
    09: Return-Path: <kuntzi [at] aol.com>
    10: X-Original-To: meine Emailadresse
    11: Delivered-To: meine Emailadresse
    12: Received: from ....serverkompetenz.net (localhost [127.0.0.1]) by
    13: ....serverkompetenz.net (Postfix) with ESMTP ID: [ID filtered]
    14: Received-SPF: pass (...serverkompetenz.net: domain of aol.com designates 205.188.255.12
    15: as permitted sender) client-ip=205.188.255.12; envelope-from=kuntzi [at] aol.com;
    16: helo=oms-da02.r1000.mx.aol.com;
    17: Received: from oms-da02.r1000.mx.aol.com (oms-da02.r1000.mx.aol.com
    18: [205.188.255.12]) by ....serverkompetenz.net (Postfix) with ESMTP for <meine
    19: Emaiadresse>; Mon, 20 Feb 2012 xx:xx:xx +0100 (MET)
    20: Received: from mtaout-mb02.r1000.mx.aol.com (mtaout-mb02.r1000.mx.aol.com
    21: [172.29.41.66]) by oms-da02.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP
    22: ID: [ID filtered]
    23: Received: from User (unknown [190.24.150.251]) by mtaout-mb02.r1000.mx.aol.com
    24: (MUA/Third Party Client Interface) with ESMTPA ID: [ID filtered]
    25: From: "Strato Admin Update ?<kuntzi [at] aol.com>"
    26: Subject: Verbindliche Admin Update
    27: Date: Sun, 19 Feb 2012 xx:xx:xx -0800
    28: MIME-Version: 1.0
    29: X-SpamFlt-Status: Not Detected
    30: X-KASFlt-Status: {FROM: no space after real name}
    31: X-KASFlt-Status: Rate: 10
    32: X-KASFlt-Status: Envelope from:
    33: X-KASFlt-Status: Profiles 29926 [Feb 19 2012]
    34: X-KASFlt-Status: Version: 4.0.6
    35: X-KASFlt-Status: Status: not_detected
    36: X-KASFlt-Status: DBG v.5. 8470, 6665. R:128,5,128,128,2,128,1,128,0.
    37: M:1,33,74,102,133,166,176,193,201, CF:2,424,2. Date: -0800
    38: X-KASFlt-Status: Method: none
    39: Content-Type: multipart/related;
    40: boundary="----=_NextPart_000_046B_01CCEFAA.A27A8900"
    41: X-Priority: 3
    42: X-MSMail-Priority: Normal
    43: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    44: X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
    45: x-aol-global-disposition: S
    46: X-SPAM-FLAG: YES
    47: X-AOL-VSS-INFO: 5400.1158/78642
    48: X-AOL-VSS-CODE: clean
    49: X-AOL-SCOLL-SCORE: 1:5:36054752:93952408
    50: X-AOL-SCOLL-URL_COUNT: 1
    51: X-AOL-REROUTE: YES
    52: x-aol-sID: [ID filtered]
    53: X-AOL-IP: 190.24.150.251
    54: This is a multi-part message in MIME format.

    Sehr geehrter Abonnent,
    Wir sind derzeit in Rechnung Wartungt酹ig.
    Als Abonnentsind Sie verpflichtet, Ihre weitere Mitgliedschaftzu best酹igen.
    Bei Nichtbeachtung Ihre weitere Mitgliedschaft best酹igen wird, um Service-Aufh鄚gungf梶ren.
    Klicken Sie hier,um sich anzumelden undin einem einfachen Schrittzu best酹igen.

  6. #6
    Senior Mitglied deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    3.413

    Standard


    header:
    01: From - Wed Feb 22 xx:xx:xx 2012
    02: X-Account-Key: account3
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: X-Envelope-From: <gghhhjj2 [at] arch-musik.de>
    09: X-Envelope-To: <^^^^@^^^^^^.de>
    10: X-Delivery-Time: 1329897868
    11: X-UID: [UID filtered]
    12: Return-Path: <gghhhjj2 [at] arch-musik.de>
    13: X-RZG-FWD-BY: ^^^^@^^^^^^.de
    14: Received: from mailin.rzone.de (plinge mi63) ([unix socket])
    15: by mailin.rzone.de (plinge mi63) (RZmta 27.7) with LMTPA;
    16: Wed, 22 Feb 2012 xx:xx:xx +0100 (MET)
    17: X-Authentication-Results: mailin.rzone.de (plinge mi63) (RZmta 27.7)
    18: header.From=arch-musik.de;
    19: dkim=pass
    20: X-RZG-CLASS-ID: [ID filtered]
    21: Received: from mo-p00-ob6.rzone.de ([IPv6:2a01:238:20a:202:53f0::1])
    22: by mailin.rzone.de (plinge mi63) (RZmta 27.7 OK)
    23: with ESMTP ID: [ID filtered]
    24: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; t=1329897861; l=1667;
    25: s=domk; d=arch-musik.de;
    26: h=Content-Transfer-Encoding:Content-Type:MIME-Version:Date:Subject:
    27: From:X-RZG-CLASS-ID:X-RZG-AUTH;
    28: bh=4xeqeaTFmm1+mJzgE6xzo7VBFi8=;
    29: b=kUY7mB+Bx0FMDUMxH+d7Z1kdby09sG92MfAd/Ln2P0CkJod9W+Yps5PFsGl2Ix/LCZt
    30: pVzuplkcDXkRbMEDY8It21BmcCjVtFpHmjinabhDDBkcLHKGCUAsfJpNrrTIZZkOIU2UY
    31: AQbP0Q2aqg1utLuaREvQBySVDT8emLEPRfQ=
    32: X-RZG-AUTH: :K2sMfUiica76il2hadc4N/UPCqQOB2wGnWKaWMGemc9u7oPs4RELg8bTZ0Q0NqEWbM3D
    33: Message-ID: [ID filtered]
    34: X-RZG-CLASS-ID: [ID filtered]
    35: Received: from User
    36: (173-166-129-246-washingtondc.hfc.comcastbusiness.net [173.166.129.246])
    37: by smtp.strato.de (cohen mo17) (RZmta 27.7 SBL|AUTH)
    38: with ESMTPA ID: [ID filtered]
    39: From: "STRATO"<gghhhjj2 [at] arch-musik.de>
    40: Subject: Ihr STRATO Paket wurde gesperrt
    41: Date: Wed, 22 Feb 2012 xx:xx:xx -0500
    42: MIME-Version: 1.0
    43: Content-Type: text/html;
    44: charset="Windows-1250"
    45: Content-Transfer-Encoding: 7bit
    46: X-Priority: 3
    47: X-MSMail-Priority: Normal
    48: X-Mailer: Microsoft Outlook Express 6.00.2800.1081

    Comic Sans ist eine schöne Schriftart für offizielle Firmenmails ;-). Hiter dem Link verbrigt sich whois:http://rachelmilian.com/images/updateservice.html


    Sehr geehrter STRATO Benutzer

    Ihr STRATO Paket wurde ausgesetzt.

    Klicken Sie auf den Link unten, um wieder zu öffnen, Ihr STRATO Paket

    Http: // www. strato. de

    Dank

    © 2012 STRATO AG|Impressum|Newsletter abbestellen|Kontakt
    Bitte beachten Sie, dass Sie auf diese E-Mail nicht direkt antworten können.

    Anschrift: STRATO AG, Pascalstraße 10, 10587 Berlin / Vorsitzender des Aufsichtsrates:
    Phil Zamani Vorstand: Damian Schmidt (Vorsitz), Julien Ardisson, Christian Müller, Christoph Steffens,
    René Wienholtz Amtsgericht Berlin-Charlottenburg HRB 79450
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  7. #7
    Urgestein schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    5.542

    Standard

    Gespamt über Kolumbien:

    header:
    01: Received: from ims-m13.mx.aol.com (ims-m13.mx.aol.com [64.12.207.146])
    02: by x (Postfix) with ESMTP ID: [ID filtered]
    03: for <x>; Thu, 1 Mar 2012 xx:xx:xx +0100 (CET)
    04: Received: from oms-mb02.r1000.mx.aol.com (oms-mb02.r1000.mx.aol.com
    05: [64.12.102.138])
    06: by ims-m13.mx.aol.com (8.14.1/8.14.1) with ESMTP ID: [ID filtered]
    07: for <x>; Thu, 1 Mar 2012 xx:xx:xx -0500
    08: Message-ID: [ID filtered]
    09: Received: from mtaout-da04.r1000.mx.aol.com (mtaout-da04.r1000.mx.aol.com
    10: [172.29.51.132])
    11: by oms-mb02.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP ID: [ID filtered]
    12: Thu, 1 Mar 2012 xx:xx:xx -0500 (EST)
    13: Received: from User (unknown [190.24.150.251])
    14: by mtaout-da04.r1000.mx.aol.com (MUA/Third Party Client Interface) with ESMTPA ID: [ID
    15: filtered]
    16: Thu, 1 Mar 2012 xx:xx:xx -0500 (EST)
    17: From: "STRATO" <bstoak [at] aol.com>
    18: Subject: {Spam?} Ihre E-Mail-Adresse fьr Trojaner-Virus infiziert!
    whois:http://basildonwindowcleaning.co.uk//wp-content/strato.de.htm
    Gephished wird hier: whois:http://www.formbuddy.com/cgi-bin/form.pl
    Zitat Zitat von Scammy
    Sehr geehrte Strato-Online Kunden:

    Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert wurde, und wir bemerkten, dass Ihre E-Mail-Konto ein Update benцtigen, wenn Sie Ihre Account-Informationen wird nicht von unserem Billing Center erhielt, dann wird Ihre Fдhigkeit, auf Ihr Konto zugreifen wьrde eingeschrдnkt.

    Klicken Sie hier, um es weiter nutzen E-Mail.

    Copyright © 2012 STRATO AG | Datenschutzerklдrung | AGB | Impressum
    Spuck die Tubenfliege

  8. #8
    Senior Mitglied deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru deekay ist Forum Guru Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    3.413

    Standard

    Strato fackelt aber wirklich nicht lange wenn die einen Account sperren. Mir haben sie den "Laden" dicht gemacht da es gelang eine Seite mit Links zu Viagra-Angeboten auf meinem Server zu plazieren
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  9. #9
    Urgestein schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    5.542

    Standard

    Hier geht es aber um die Stufe davor: einen Strato-Account zu phishen!
    Danach kommt dann von Strato das Dichtmachen des betroffenen Accounts
    Spuck die Tubenfliege

  10. #10
    Urgestein schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru schara56 ist Forum Guru Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    5.542

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    ...] whois:http://basildonwindowcleaning.co.uk//wp-content/strato.de.htm [...
    Weg isses:
    Forbidden

    You don't have permission to access //wp-content/strato.de.htm on this server.
    Apache/2.0.54 Server at basildonwindowcleaning.co.uk Port 80
    Spuck die Tubenfliege

+ Antworten
Seite 1 von 3 1 2 3 LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
Partnerlink:
REDDOXX Anti-Spam Lösungen