Ergebnis 1 bis 10 von 28

Thema: Strato Account Phishing

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard Strato Account Phishing

    Der Sternchen-Mugu betätigt sich jetzt auch als Phisher:


    header:
    01: Received: from mail01d.mail.t-online.hu (EHLO mail01d.mail.t-online.hu)
    02: [84.2.42.6]
    03: by mx0.gmx.net (mx005) with SMTP; 26 Sep 2011 xx:xx:xx +0200
    04: X-AuthUID: [UID filtered]
    05: Received: from User (71-95-184-187.static.mtpk.ca.charter.com
    06: [71.95.184.187])
    07: by mail01d.mail.t-online.hu (Postfix) with ESMTPA ID: [ID filtered]
    08: Mon, 26 Sep 2011 xx:xx:xx +0200 (CEST)

    Also erst mal zum Spammen einen gecrackten Account: [Link nur für registrierte Mitglieder sichtbar. ] und eine Zombie-Kiste IP: 71.95.184.187 ---> Charter benutzt. Und dann über einen kostenlosen Hoster losgephisht:

    *Sehr geehrter Abonnent,*
    **
    *Wir sind derzeit in Rechnung Wartung tдtig.*
    *Als Abonnent haben Sie benцtigt, um Ihre weitere Mitgliedschaft zu
    bestдtigen.*
    *Nichtbeachtung Ihre weitere Mitgliedschaft bestдtigen wird Service
    Suspendierung fьhren.*
    **
    *_Klicken Sie hier, um Anmeldung und in einem einfachen Schritt zu
    bestдtigen._*__ whois: [Link nur für registrierte Mitglieder sichtbar. ]
    **
    *BITTE BEACHTEN SIE: Dies ist eine ZwangsmaЯnahme. Nichtbeachtung*
    *Aktualisieren Sie Ihre Informationen werden an Service-Aufhдngung fьhren*
    *Danke*
    *Admin*
    *Strato Admin Update®*
    Jaja, black-worm, das hätte der Mugu wohl gerne....

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #2
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Hier auch, aber mit anderen Absenderdaten und anderen Links.


    header:
    01: Return-Path: <www-data [at] dev.metrixindia.com>
    02: Received: from dev.metrixindia.com (unknown [203.122.14.89])
    03: by maildmz2.informatik.tu-muenchen.de (Postfix) with ESMTP ID: [ID filtered]
    04: for <xxx>; Tue, 11 Oct 2011 xx:xx:xx +0200 (CEST)
    05: Received: by dev.metrixindia.com (Postfix, from userID: [ID filtered]
    06: ID: [ID filtered]
    07: Subject: ! Liebe Strato Kontoinhabers zu prüfen, Ihr Konto jetzt!
    08: X-PHP-Originating-Script: 33:di.php
    09: From: Strato Admin Update <no-reply [at] strato.de>
    10: Date: Tue, 11 Oct 2011 xx:xx:xx +0530 (IST)

    Der Body ist ein ellenlanger HTML-Unsinn (ca. 450 Lines!), bei dem ich jetzt nicht 100%ig durchblicke. Natürlich habe ich mir nur den Quellcode angeschaut, im Browser öffnen halte ich für keine gute Idee. An URLs kommt darin neben strato.de, strato-faq.de und weiteren tatsächlich zu Strato gehörenden Domains unter anderem whois:formbuddy.com vor - offensichtlich ist ein Formular in der Mail.
    Durchgeknallter Netzindianer und stolz drauf

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Also per gecracktem Account bei der TU München verschickt und einen Formgenerator (zum Selbstprogrammieren sind die Mugus in der Regel zu blöd) zum Phishen genutzt.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #4
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Nein nein, die Mail ging an einen Account bei der TU München.
    Der Formgenerator ist eine tolle Möglichkeit zum Anonymisieren. Allerdings geht diese Form schon nicht mehr, die haben wohl auch was gegen Spammer.
    Durchgeknallter Netzindianer und stolz drauf

  5. #5
    Mitglied
    Registriert seit
    17.09.2006
    Beiträge
    51

    Standard

    Die Mail ist gestern bei mir in mehreren Postfächern eingengen. Scheint wohl ein neur Run zu sein.

    Gruß

    Pfälzer


    header:
    01: From - Mon Feb 20 xx:xx:xx 2012
    02: X-Account-Key: account1
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: DomainKey-Status: no signature
    09: Return-Path: <kuntzi [at] aol.com>
    10: X-Original-To: meine Emailadresse
    11: Delivered-To: meine Emailadresse
    12: Received: from ....serverkompetenz.net (localhost [127.0.0.1]) by
    13: ....serverkompetenz.net (Postfix) with ESMTP ID: [ID filtered]
    14: Received-SPF: pass (...serverkompetenz.net: domain of aol.com designates 205.188.255.12
    15: as permitted sender) client-ip=205.188.255.12; envelope-from=kuntzi [at] aol.com;
    16: helo=oms-da02.r1000.mx.aol.com;
    17: Received: from oms-da02.r1000.mx.aol.com (oms-da02.r1000.mx.aol.com
    18: [205.188.255.12]) by ....serverkompetenz.net (Postfix) with ESMTP for <meine
    19: Emaiadresse>; Mon, 20 Feb 2012 xx:xx:xx +0100 (MET)
    20: Received: from mtaout-mb02.r1000.mx.aol.com (mtaout-mb02.r1000.mx.aol.com
    21: [172.29.41.66]) by oms-da02.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP
    22: ID: [ID filtered]
    23: Received: from User (unknown [190.24.150.251]) by mtaout-mb02.r1000.mx.aol.com
    24: (MUA/Third Party Client Interface) with ESMTPA ID: [ID filtered]
    25: From: "Strato Admin Update ?<kuntzi [at] aol.com>"
    26: Subject: Verbindliche Admin Update
    27: Date: Sun, 19 Feb 2012 xx:xx:xx -0800
    28: MIME-Version: 1.0
    29: X-SpamFlt-Status: Not Detected
    30: X-KASFlt-Status: {FROM: no space after real name}
    31: X-KASFlt-Status: Rate: 10
    32: X-KASFlt-Status: Envelope from:
    33: X-KASFlt-Status: Profiles 29926 [Feb 19 2012]
    34: X-KASFlt-Status: Version: 4.0.6
    35: X-KASFlt-Status: Status: not_detected
    36: X-KASFlt-Status: DBG v.5. 8470, 6665. R:128,5,128,128,2,128,1,128,0.
    37: M:1,33,74,102,133,166,176,193,201, CF:2,424,2. Date: -0800
    38: X-KASFlt-Status: Method: none
    39: Content-Type: multipart/related;
    40: boundary="----=_NextPart_000_046B_01CCEFAA.A27A8900"
    41: X-Priority: 3
    42: X-MSMail-Priority: Normal
    43: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    44: X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
    45: x-aol-global-disposition: S
    46: X-SPAM-FLAG: YES
    47: X-AOL-VSS-INFO: 5400.1158/78642
    48: X-AOL-VSS-CODE: clean
    49: X-AOL-SCOLL-SCORE: 1:5:36054752:93952408
    50: X-AOL-SCOLL-URL_COUNT: 1
    51: X-AOL-REROUTE: YES
    52: x-aol-sID: [ID filtered]
    53: X-AOL-IP: 190.24.150.251
    54: This is a multi-part message in MIME format.

    Sehr geehrter Abonnent,
    Wir sind derzeit in Rechnung Wartungt酹ig.
    Als Abonnentsind Sie verpflichtet, Ihre weitere Mitgliedschaftzu best酹igen.
    Bei Nichtbeachtung Ihre weitere Mitgliedschaft best酹igen wird, um Service-Aufh鄚gungf梶ren.
    Klicken Sie hier,um sich anzumelden undin einem einfachen Schrittzu best酹igen.

  6. #6
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    7.451

    Standard


    header:
    01: From - Wed Feb 22 xx:xx:xx 2012
    02: X-Account-Key: account3
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: X-Envelope-From: <gghhhjj2 [at] arch-musik.de>
    09: X-Envelope-To: <^^^^@^^^^^^.de>
    10: X-Delivery-Time: 1329897868
    11: X-UID: [UID filtered]
    12: Return-Path: <gghhhjj2 [at] arch-musik.de>
    13: X-RZG-FWD-BY: ^^^^@^^^^^^.de
    14: Received: from mailin.rzone.de (plinge mi63) ([unix socket])
    15: by mailin.rzone.de (plinge mi63) (RZmta 27.7) with LMTPA;
    16: Wed, 22 Feb 2012 xx:xx:xx +0100 (MET)
    17: X-Authentication-Results: mailin.rzone.de (plinge mi63) (RZmta 27.7)
    18: header.From=arch-musik.de;
    19: dkim=pass
    20: X-RZG-CLASS-ID: [ID filtered]
    21: Received: from mo-p00-ob6.rzone.de ([IPv6:2a01:238:20a:202:53f0::1])
    22: by mailin.rzone.de (plinge mi63) (RZmta 27.7 OK)
    23: with ESMTP ID: [ID filtered]
    24: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; t=1329897861; l=1667;
    25: s=domk; d=arch-musik.de;
    26: h=Content-Transfer-Encoding:Content-Type:MIME-Version:Date:Subject:
    27: From:X-RZG-CLASS-ID:X-RZG-AUTH;
    28: bh=4xeqeaTFmm1+mJzgE6xzo7VBFi8=;
    29: b=kUY7mB+Bx0FMDUMxH+d7Z1kdby09sG92MfAd/Ln2P0CkJod9W+Yps5PFsGl2Ix/LCZt
    30: pVzuplkcDXkRbMEDY8It21BmcCjVtFpHmjinabhDDBkcLHKGCUAsfJpNrrTIZZkOIU2UY
    31: AQbP0Q2aqg1utLuaREvQBySVDT8emLEPRfQ=
    32: X-RZG-AUTH: :K2sMfUiica76il2hadc4N/UPCqQOB2wGnWKaWMGemc9u7oPs4RELg8bTZ0Q0NqEWbM3D
    33: Message-ID: [ID filtered]
    34: X-RZG-CLASS-ID: [ID filtered]
    35: Received: from User
    36: (173-166-129-246-washingtondc.hfc.comcastbusiness.net [173.166.129.246])
    37: by smtp.strato.de (cohen mo17) (RZmta 27.7 SBL|AUTH)
    38: with ESMTPA ID: [ID filtered]
    39: From: "STRATO"<gghhhjj2 [at] arch-musik.de>
    40: Subject: Ihr STRATO Paket wurde gesperrt
    41: Date: Wed, 22 Feb 2012 xx:xx:xx -0500
    42: MIME-Version: 1.0
    43: Content-Type: text/html;
    44: charset="Windows-1250"
    45: Content-Transfer-Encoding: 7bit
    46: X-Priority: 3
    47: X-MSMail-Priority: Normal
    48: X-Mailer: Microsoft Outlook Express 6.00.2800.1081

    Comic Sans ist eine schöne Schriftart für offizielle Firmenmails ;-). Hiter dem Link verbrigt sich whois: [Link nur für registrierte Mitglieder sichtbar. ]


    Sehr geehrter STRATO Benutzer

    Ihr STRATO Paket wurde ausgesetzt.

    Klicken Sie auf den Link unten, um wieder zu öffnen, Ihr STRATO Paket

    Http: // www. strato. de

    Dank

    © 2012 STRATO AG|Impressum|Newsletter abbestellen|Kontakt
    Bitte beachten Sie, dass Sie auf diese E-Mail nicht direkt antworten können.

    Anschrift: STRATO AG, Pascalstraße 10, 10587 Berlin / Vorsitzender des Aufsichtsrates:
    Phil Zamani Vorstand: Damian Schmidt (Vorsitz), Julien Ardisson, Christian Müller, Christoph Steffens,
    René Wienholtz Amtsgericht Berlin-Charlottenburg HRB 79450
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen