Eingang eines Betrages von 15.000,00 Euro auf Ihrem Sparkasse-Bankkonto

[MeinerEiner]

Denke mal das das hier rein passt habe die Links nicht geprüft und entfernt. Die Mail habe ich inzw. 10 mal oder so erhalten. Titel variiert etwas -->

Es ist eine Anforderung uber die Gutschrift eines Betrages von 15.000,00 Euro auf Ihrem Konto bei Sparkasse eingegangen

Absender bin ich meistens selbst Header folgen.

Guten Tag,

im Auftrag unseres Kunden haben wir eine Einzahlung in Höhe von 15.000,00 Euro auf Ihr Sparkasse-Bankkonto vorgenommen.
Unsere Bank hat uns mitgeteilt, dass die Überweisung aufgrund eines Fehlers in der Angabe Ihrer Zahlungsdaten nicht abgeschlossen werden kann.
Bitte überprüfen Sie die Angaben und Bestelldaten auf unserer Webseite.

Bestelldaten überprüfen

Falls Sie Rückfragen haben, nehmen Sie bitte Kontakt mit uns auf.

Abteilung Rechnungswesen

header:

01: Return-Path: <crockmp3 [at] eoriginal.com>
02: X-Original-To: xxxxxxxxxxxxxxx
03: Delivered-To: xxxxxxxxxxxxxxx
04: Received: from IGLD-84-228-154-105.inter.net.il (IGLD-84-228-154-105.inter.net.il
05: 	[84.228.154.105])
06: 	by xxxxxxxxxxxxxxx (Postfix) with ESMTP ID: [ID filtered]
07: 	for <xxxxxxxxxxxxxxx>; Mon,  2 Jul 2012 xx:xx:xx +0200 (CEST)
08: Received: from [4.37.117.98] (helo=jwjmp.tiextzky.ua)
09: 	by IGLD-84-228-154-105.inter.net.il with esmtpa (Exim 4.69)
10: 	(envelope-from )
11: 	ID: [ID filtered]
12: 	for xxxxxxxxxxxxxxx; Mon, 2 Jul 2012 xx:xx:xx +0200
13: Date: Mon, 2 Jul 2012 xx:xx:xx +0200
14: From: <xxxxxxxxxxxxxxx>
15: X-Mailer: The Bat! (v2.00.3) Business
16: X-Priority: 3 (Normal)
17: Message-ID: [ID filtered]
18: To: <xxxxxxxxxxxxxxx>
19: Subject: Eingang eines Betrages von  15.000,00 Euro auf Ihrem Sparkasse-Bankkonto
20: MIME-Version: 1.0
21: Content-Type: text/html;
22:   charset=us-ascii
23: Content-Transfer-Encoding: 7bit

header:

01: From - Mon Jul 02 xx:xx:xx 2012
02: X-Account-Key: account2
03: X-UIDL: [UID filtered]
04: X-Mozilla-Status: 0001
05: X-Mozilla-Status2: 00000000
06: X-Mozilla-Keys:                                                                        
07: 	        
08: Return-Path: <inconvenience077 [at] cbthomebank.com>
09: X-Original-To: xxxxxxxxxxxxxxx
10: Delivered-To: xxxxxxxxxxxxxxx
11: Received: from IGLD-84-228-154-105.inter.net.il (IGLD-84-228-154-105.inter.net.il
12: 	[84.228.154.105])
13: 	by xxxxxxxxxxxxxxx (Postfix) with ESMTP ID: [ID filtered]
14: 	for <xxxxxxxxxxxxxxx>; Mon,  2 Jul 2012 xx:xx:xx +0200 (CEST)
15: Received: from [176.176.62.61] (helo=icichmrym.ixcqicpfqcxs.info)
16: 	by IGLD-84-228-154-105.inter.net.il with esmtpa (Exim 4.69)
17: 	(envelope-from )
18: 	ID: [ID filtered]
19: 	for xxxxxxxxxxxxxxx; Mon, 2 Jul 2012 xx:xx:xx +0200
20: Date: Mon, 2 Jul 2012 xx:xx:xx +0200
21: From: <xxxxxxxxxxxxxxx>,
22: 	<xxxxxxxxxxxxxxx>
23: X-Mailer: The Bat! (v2.10.03) Educational
24: X-Priority: 3 (Normal)
25: Message-ID: [ID filtered]
26: To: <xxxxxxxxxxxxxxx>,
27: 	<xxxxxxxxxxxxxxx>
28: Subject: Es ist eine Anforderung uber die Gutschrift eines Betrages von 15.000,00 Euro
29: 	auf Ihrem Konto bei Sparkasse eingegangen 
30: MIME-Version: 1.0
31: Content-Type: text/html;
32:   charset=Windows-1252
33: Content-Transfer-Encoding: 7bit

Fast vergessen ich habe gar kein Konto bei Sparrkasse

[Mittwoch]

Hat mich auch erwischt, identischer Trext, abgeworfen über einen Zombie. Mein Spamfilter hat das zuverlässig entsorgt. Der Link "Bestelldaten überprüfen" führt zu ^whois:http://www.minifame.co.uk/706293.html, von dort geht es weiter zu ^whois:http://184.22.28.18.

Achtung: Die Zielseite versucht, Schadsoftware zu installieren! Sollten Sie den Link angeklickt haben, prüfen sie unbedingt ihren Rechner mit den aktuellsten Versionen der gängigen Antivirenprogramme!

Die "Abteilung Rechnungswesen ist mit ^whois:http://turkuaz-gmbh.de/126035.html hinterlegt, die ebenfalls zu der eben genannten IP weiterleitet.

[homer]

Schlägt hier als Backscatter und auf der Spamtrap im 5-Minuten-Takt ein. Bisher hatte ich noch keine Duplikate bei den infizierten Webseiten hinter den Links.

Hier mal die letzten paar URLs:
^whois:http://www.sancrisband.byethost15.com/288217.html
^whois:http://www.rhinehartmusic.com/32360.html
^whois:http://www.baansila.com/492464.html
^whois:http://zeiderellis.co/229564.html
^whois:http://lasposadas4hcamp.com/54879.html

[Arthur]

http://www.heise.de/security/meldung/Virenflut-statt-Geldregen-1631369.html
Virenflut statt Geldregen

Cyber-Ganoven versuchen derzeit mit einer Mail-Kampagne, massenhaft Rechner mit Malware zu infizieren. Da die Mails angeblich von der Sparkasse stammen und man aufgefordert wird, seine "Bestelldaten" auf einer verlinkten Seite zu überprüfen, wirkt die Kampagne zunächst wie ein klassischer Phishing-Angriff. Auf der Seite lauert jedoch ein Exploit-Kit, das den Browser und seine Plug-ins auf diverse Sicherheitslücken abklopft.