Seite 1 von 7 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 65

Thema: ING-DiBa Phishing

  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.049

    Standard ING-DiBa Phishing

    Jetzt ist auch die ING-DiBa dran. Aber die Handschrift von Phiski ist unverkennbar: Phishing mittles HTML-Anhang, in dem sich ein Form-PHP-Skript auf gecracktem Server verbirgt:


    header:
    01: Received: from mail.envios-email.es ([81.33.30.173]) by mx-ha.gmx.net
    02: (mxgmx009) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from User ([61.33.227.81]) by envios-email.es with MailEnable
    04: ESMTP; Tue, 12 Mar 2013 xx:xx:xx +0100


    header:
    01: Received: from mail.envios-email.es ([81.33.30.173]) by mx-ha.gmx.net
    02: (mxgmx012) with ESMTP (Nemesis) ID: [ID filtered]
    03: Tue, 12 Mar 2013 xx:xx:xx +0100
    04: Received: from User ([61.33.227.81]) by envios-email.es with MailEnable
    05: ESMTP; Tue, 12 Mar 2013 xx:xx:xx +0100

    IP: 61.33.227.81 ---> BORANET, KR

    *Sehr geehrter Kunde*

    Wir haben vor kurzem erkannt das bei ihrem ING-DiBa Konto ein Problem
    aufgetreten ist.

    Da bei ING-DiBa Sicherheit gro©¬geschrieben wird und wir ihr Konto vor
    unbefugter
    Nutzung schutzen

    wollen haben wir ihnen eine E ?Mail geschickt bitte laden sie das darin
    enthaltende
    Formular und melden sie sich erneut an um
    fortfahren zu konnen.

    Mit freundlichen Gru©¬en
    *ING-DiBa Kundenbetreuung*
    --------------------------------------------------------------------------------

    Copyright 2013 ING-DiBa. Alle Rechte sind vorbehalten.


    Das Dokument im Anhang zu dieser E-Mail wird am besten auf Firefox und
    Google Chrome Browser angezeigt.
    Im HTML-Anhang (Form.Update.html) dann eine gecrackte Wordpress-Installation:

    [html]<form name="pinLoginForm" method="post" action="http://flystudio.my/wp-content/gallery/works/,.,/login.php" class="form">[/html]
    IP: 202.75.39.216 ---> TM VADS DC Hosting, Malaysia

    von dort geht es dann weiter auf einen weiteren gecrackten Server:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 69.194.199.138 ---> Solar VPS
    Geändert von kjz1 (12.03.2013 um 14:33 Uhr)
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.049

    Standard IngDiba Phishing

    Mein altbekannter Phiski von der Russenmafia, unverkennbar an den Phishing Mails mit HTML-Anhang inklusive <form> Skript:


    header:
    01: Received: from server4.starthosting.nl ([93.94.226.59]) by mx-ha.gmx.net
    02: (mxgmx011) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from [149.210.140.153] (149-210-140-153.colo.transip.net
    04: [149.210.140.153] (may be forged))
    05: (authenticated bits=0)
    06: by server4.starthosting.nl (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP
    07: ID: [ID filtered]

    Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus
    Sicherheitsgr&uuml;nden ge&auml;ndert werden muss. Bitte benutzen Sie
    dieses Formular um die &Auml;nderung Ihres Telefon-Banking PIN
    kostenfrei zu &auml;ndern.

    Andernfalls m&uuml;ssen wir Ihr Konto mit 14,99&euro; belasten und die
    &Auml;nderung schriftlich &uuml;ber den Postweg bei Ihnen einfordern.

    Ihren Telefon-Banking PIN k&ouml;nnen Sie hier oder wie folgt
    &auml;ndern:

    1. &Ouml;ffnen Sie die Datei in Ihrem Emailanhang und w&auml;hlen Sie
    "&ouml;ffnen mit" aus! 2. F&uuml;llen Sie alle Daten aus und klicken
    Sie dann auf "Daten absenden"! 3. Ihr Telefon-Banking PIN aktiviert
    sich nach 5-7Werktagen!

    F&uuml;r weitere Fragen steht unser Online Support unter
    [Link nur für registrierte Mitglieder sichtbar. ] 24Std. f&uuml;r Sie zur Verf&uuml;gung.

    Mit freundlichen Gr&uuml;&szlig;en

    ING-DiBa AG
    Im HTML-Anhang dann:

    [HTML]<form class="form wizard" id="id1df" method="post" action="http://v2.ingdiibad.biz/app/login/ing.php" novalidate="novalidate">[/HTML]

    IP: 193.107.19.161 ---> Ideal Solution Ltd., Russia
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.049

    Standard

    Und wieder mal der Blöd-Phishki mit HTML-Anhang:


    header:
    01: Received: from 01.cstore.pl ([5.9.151.14]) by mx-ha.gmx.net (mxgmx005) with
    02: ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from [187.115.202.109] (helo=User) by 01.cstore.pl with esmtpa (Exim
    04: 4.73) (envelope-from <info [at] ing-diba.de>) ID: [ID filtered]

    IP: 5.9.151.14 ---> Hetzner... iiiih, wieviele verranzte Kisten gammeln bei denen denn noch so rum?

    IP: 187.115.202.109 ---> 187.115.202.109.static.gvt.net.br

    Sehr geehrter Kunde,

    --------------------------------------------------

    Wir haben unregelmäßige Aktivität Ihrer Konto erkannt.
    Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

    Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
    Wenn Sie diese E-Mail ignorieren Ihre Konto wird gesperrt.

    --------------------------------------------------

    Bitte verwenden Sie die Website auf dem Laufenden bleiben.
    Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven
    einzuführen.

    Vielen Dank,
    Kundendienst.

    Urheberrecht ING DIBA. Alle Rechte vorbehalten.
    [HTML]<form class="form wizard" id="id15" method="post"
    action="http://visiontime.in/o/ [Link nur für registrierte Mitglieder sichtbar. ]" novalidate="novalidate">[/HTML]

    IP: 66.7.209.169 ---> root.fastcpanel.com/Dimenoc

    Die Kiste schwächelt schon...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #4
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.049

    Standard

    Blöd-Phishki macht weiter:


    header:
    01: Received: from kr3467.vps.e-hosting.lu ([5.9.215.182]) by mx-ha.gmx.net
    02: (mxgmx103) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from User (213.177.225.235.adsl.griffin.net.uk [213.177.225.235]) by
    04: kr3467.vps.e-hosting.lu (Postfix) with ESMTPA ID: [ID filtered]

    Sehr geehrter Kunde,

    --------------------------------------------------

    Wir haben unregelmäßige Aktivität Ihrer Konto erkannt.
    Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

    Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
    Wenn Sie diese E-Mail ignorieren Ihre Konto wird gesperrt.

    --------------------------------------------------

    Bitte verwenden Sie die Website auf dem Laufenden bleiben.
    Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven
    einzuführen.

    Vielen Dank,
    Kundendienst.

    Urheberrecht ING DIBA. Alle Rechte vorbehalten.
    [HTML]<form class="form wizard" id="id15" method="post" action="http://visiontime.in/o/ [Link nur für registrierte Mitglieder sichtbar. ]">[/HTML]

    IP: 66.7.209.169 ---> root.fastcpanel.com, Dimenoc
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #5
    Senior Mitglied Avatar von DJANGO
    Registriert seit
    24.12.2006
    Beiträge
    2.669

    Standard Ing-Diba-Phishing

    Ganz aktuell - Phishing-Versuch bei diversen Ing-Diba-Kunden:

    Betreff: ING-DiBa Telefon-PIN aktualisierung
    Datum: Sun, 25 May 2014 12:40:43 +0200
    Von: Ing-DiBa < [Link nur für registrierte Mitglieder sichtbar. ]>
    Telefon-Pin
    aktualisierung
    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    ING-DiBa
    Sehr geehrte/r Kunde,


    Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus Sicherheitsgründen
    geändert werden muss. Bitte benutzen Sie dieses Formular
    um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten
    und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

    Ihren Telefon-Banking PIN können Sie hier oder wie folgt ändern:

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit" aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
    3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7Werktagen!

    Für weitere Fragen steht unser Online Support unter [Link nur für registrierte Mitglieder sichtbar. ] 24Std. für Sie zur Verfügung.
    Requiem für die Grünen oder aber: "Auch Sonnenblumen welken, wenn man sie mit zuviel Sch**ße düngt"

  6. #6
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Andere Variante: [Link nur für registrierte Mitglieder sichtbar. ]
    Zitat Zitat von Verbraucherzentrale Nordrhein-Westfalen e.V.
    Ferner vom Phishing betroffen sind Kunden der ING-DiBa. Hier erreichten uns Mails mit der Betreffzeile "Lieber ING-DiBa Kunde, Ihre Mithilfe ist gefragt!": Das System der ING-DiBa habe festgestellt, dass der Telefon-PIN des Empfängers aus Sicherheitsgründen geändert werden müsse. Um die Änderung durchführen zu können, soll das angehängte Formular heruntergeladen und genutzt werden. Sollte dies nicht geschehen, müsse das Konto des Empfängers mit 18€ belastet und die Änderung auf dem Postweg eingefordert werden.
    Hinweise von ING.DiBa: [Link nur für registrierte Mitglieder sichtbar. ]
    Bitte beachten Sie folgende Hinweise:
    Melden Sie sich nur über die Ihnen bekannte Homepage der ING-DiBa an. Verwenden Sie keine Links aus E-Mails zur Anmeldung zum Internetbanking und Brokerage.
    Verwenden Sie nur Links auf https://www.ing-diba.de/

  7. #7
    Mittwoch
    Gast

    Standard

    Angehängtes Formular? Das klingt eher nicht nach Phishing, sondern nach dem hier, gerade in Verbindung mit den angedrohten Gebühren.

    Schönen Gruß
    Mittwoch

  8. #8
    Neues Mitglied
    Registriert seit
    07.01.2014
    Ort
    Bayern
    Beiträge
    46

    Standard Ing Diba


    header:
    01: Return-Path: <direkt [at] ing-diba.de>
    02: Received: from mailin51.aul.t-online.de ([172.20.27.0]) by
    03: ehead604.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
    04: Received: from maildrop3.i-pas.nl ([85.17.181.99]) by mailin51.aul.t-online.de
    05: with (TLSv1:DHE-RSA-AES256-SHA encrypted) esmtp ID: [ID filtered]
    06: Received: from maildrop3.i-pas.nl (localhost [127.0.0.1]) by maildrop3.i-pas.nl
    07: (Postfix) with ESMTP ID: [ID filtered]
    08: Received: by maildrop3.i-pas.nl (Postfix, from userID: [ID filtered]
    09: Received: from [85.214.130.209] (h1944860.stratoserver.net
    10: [85.214.130.209]) by maildrop3.i-pas.nl (Postfix) with ESMTPA ID: [ID filtered]
    11: X-SPAM-SCORE: 0.2
    12: X-SPAM-CHECKER-VERSION: SpamAssassin 3.2.4 (2008-01-01) on maildrop3.i-pas.nl
    13: X-SPAM-LEVEL:
    14: X-SPAM-STATUS: No, score=0.2 required=2.5 tests=ALL_TRUSTED,BAYES_00,
    15: HTML_EXTRA_CLOSE,HTML_IMAGE_ONLY_08,HTML_MESSAGE,HTML_SHORT_LINK_IMG_1 autolearn=no
    16: version=3.2.4
    17: Message-Id: <uv5LgwIohaYG1smwaLbpjllWLPpMWsmDg0Lg3xE6CD5F [at] ing-diba.de>
    18: Mime-Version: 1.0
    19: X-BOUNCE-TRACKING-INFO: <bWljaGFlbC5iYXVlcjg5CQkJbWljaGFlbC5iYXVlcjg5QHQtb25saW5lLmRl
    20: UlORyBEaUJhIC0gVGVsZWJhbmtpbmcgUElOIEFrdHVhbGlzaWVydW5nCTYJCTIwNTgJYm91bmNlCW5vCW5v>
    21: Content-Type: multipart/alternative;
    22: Boundary="--=BOUNDARY_1121710_SRHC_ACFH_VMHT_FNUU"
    23: X-VIRUS-SCANNED: ClamAV using ClamSMTP
    24: X-TOI-SPAM: u;0;2014-11-02Txx:xx:xxZ
    25: X-TOI-VIRUSSCAN: clean
    26: X-TOI-EXPURGATEID: 149288::1414944616-000014B7-6780DAD7/0-0/0-0
    27: X-TOI-MSGID: 680393ba-e957-4101-a431-c183f18a6656
    28: X-SEEN: false
    29: X-ENVELOPE-TO:

    Die Mail wird komplett als Bild dargestellt

    [Link nur für registrierte Mitglieder sichtbar. ]
    [Link nur für registrierte Mitglieder sichtbar. ]

    Der Rotz kommt von hier whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Geändert von Mittwoch (02.11.2014 um 19:48 Uhr) Grund: Hotlink abgekühlt – bitte keine Hotlinks verwenden, danke!

  9. #9
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.912

    Standard


    header:
    01: Received: from smtp.emaxxtelecom.com (mail.emaxxtelecom.com [103.246.144.145])
    02: by mail-in9-pp.ewetel.de (8.12.1/8.12.9) with ESMTP ID: [ID filtered]
    03: for <me>; Sun, 16 Nov 2014 xx:xx:xx +0100
    04: X-Envelope-To: <me>
    05: Received: from localhost (localhost.localdomain [127.0.0.1])
    06: by smtp.emaxxtelecom.com (Postfix) with ESMTP ID: [ID filtered]
    07: for <me>; Sun, 16 Nov 2014 xx:xx:xx +0700 (ICT)
    08: X-Virus-Scanned: amavisd-new at smtp.emaxxtelecom.com
    09: Received: from smtp.emaxxtelecom.com ([127.0.0.1])
    10: by localhost (smtp.emaxxtelecom.com [127.0.0.1]) (amavisd-new, port 10024)
    11: with ESMTP ID: [ID filtered]
    12: Sun, 16 Nov 2014 xx:xx:xx +0700 (ICT)
    13: Received: from [62.68.96.177] (unknown [62.68.96.177])
    14: by smtp.emaxxtelecom.com (Postfix) with ESMTPA ID: [ID filtered]
    15: for <me>; Sun, 16 Nov 2014 xx:xx:xx +0700 (ICT)

    Sehr geehrte/r Kunde,
    --------------------------------------------------------------------------------

    Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus Sicherheitsgründen
    geändert werden muss.


    Andernfalls müssen wir *Ihr Konto mit 14,99€ belasten*
    und die Änderungen schriftlich über den Postweg bei Ihnen einfordern

    Ihren Telefon-Banking PIN können Sie hier <whois: [Link nur für registrierte Mitglieder sichtbar. ]> ändern.

    Für weitere Fragen steht unser Online Support unter [Link nur für registrierte Mitglieder sichtbar. ]
    <mailto: [Link nur für registrierte Mitglieder sichtbar. ]> 24Std. für Sie zur
    Verfügung.

    Mit freundlichen Grüßen

    ING-DiBa AG
    gekürzte (getarnte) URL leitet um nach: whois: [Link nur für registrierte Mitglieder sichtbar. ]

    natürlich sofort an alle massgeblichen Stellen verpetzt
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  10. #10
    Mitglied Avatar von madman70
    Registriert seit
    09.05.2012
    Ort
    Filderstadt
    Beiträge
    108

    Standard Daten aus Sicherheitsgründen bestätigt werden müssen

    Hmmm - komplett leere Mail ohne Text, nur ein angehängtes HTML-Formular, mit dem die Ing Diba meine Daten wohl im fernen Kalifornien checken lassen will.

    Das Formular soll die Daten nach whois: [Link nur für registrierte Mitglieder sichtbar. ] schicken...

    Hier noch ein Header der Mail - ist ganz schön rumgekommen, das gute Stück:


    header:
    01: Return-Path: info [at] dkd.de
    02: Received: from mail.babolat.com.py ([190.128.232.178]) by mx-ha.web.de
    03: (mxweb006) with ESMTP (Nemesis) ID: [ID filtered]
    04: <xxxxx [at] web.de>; Thu, 18 Dec 2014 xx:xx:xx +0100
    05: Received: from localhost (localhost.localdomain [127.0.0.1])
    06: by mail.babolat.com.py (Postfix) with ESMTP ID: [ID filtered]
    07: for <poor [at] spamvictim.tld>; Thu, 18 Dec 2014 xx:xx:xx -0300 (PYST)
    08: X-Virus-Scanned: amavisd-new at babolat.com.py
    09: Received: from mail.babolat.com.py ([127.0.0.1])
    10: by localhost (mail.babolat.com.py [127.0.0.1]) (amavisd-new, port 10024)
    11: with ESMTP ID: [ID filtered]
    12: Thu, 18 Dec 2014 xx:xx:xx -0300 (PYST)
    13: Received: from dkd.de (stats.enterx.arvixevps.com [192.169.55.49])
    14: by mail.babolat.com.py (Postfix) with ESMTPA ID: [ID filtered]
    15: for <poor [at] spamvictim.tld>; Thu, 18 Dec 2014 xx:xx:xx -0300 (PYST)
    16: From: "ING Diba"<info [at] dkd.de>

Seite 1 von 7 123 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen