Seite 2 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 11 bis 20 von 38

Thema: Targo Bank phishing

  1. #11
    Mittwoch
    Gast

    Standard

    Zitat Zitat von madman70 Beitrag anzeigen
    Hui - eine Mail in feiner Yoda-Grammatik
    offtopic:

  2. #12
    Mitglied Avatar von madman70
    Registriert seit
    09.05.2012
    Ort
    Filderstadt
    Beiträge
    108

    Standard

    Und mal wieder die Targobank ausgebuddelt - wieder ein grandioses Deutsch und die blöden Umlaute haben die Jungs wohl auf ihrer Tastatur auch nicht gefunden


    TARGOBANK(R)

    Sehr geehrter Kunde TARGOBANK,

    Um uns zu helfen sch�tzen, ist es wichtig, dass Sie jetzt Ihre Daten zu aktualisieren.

    Phising ist �berall. Unsere Online-Kunden sind anf�llig. Diese Nachricht nicht ignorieren..

    Bitte, klicken sie auf Erfahren Sie Mehr, und vorbereitet werden um die �berpr�fung abzuschlie�en

    Erfahren Sie Mehr� whois:http://www.cilgin-gece.de/Shop/media/system/js/Targo/index.html

    TARGOBANK � 2014
    Ist wohl die Seite eines türkischen DJ - ich habs ja immer schon gewusst - "Phishing ist überall."

    Einen Header hätt ich auch noch:


    header:
    01: Return-Path: daemon [at] node22.cluster.nxs.nl
    02: Received: from smtp.colo.nxs.nl ([217.115.198.239]) by mx-ha.web.de (mxweb107)
    03: with ESMTP (Nemesis) ID: [ID filtered]
    04: 31 May 2014 xx:xx:xx +0200
    05: Received: from smtp.colo.nxs.nl (localhost [127.0.0.1])
    06: by smtp.colo.nxs.nl (Postfix) with ESMTP ID: [ID filtered]
    07: for <poor [at] spamvictim.tld>; Sat, 31 May 2014 xx:xx:xx +0200 (CEST)
    08: Received: from node22.cluster.nxs.nl (node22.cluster.nxs.nl [217.115.197.97])
    09: by smtp.colo.nxs.nl (Postfix) with ESMTPS
    10: for <poor [at] spamvictim.tld>; Sat, 31 May 2014 xx:xx:xx +0200 (CEST)
    11: Received: from daemon by node22.cluster.nxs.nl with local (Exim 4.69)
    12: (envelope-from <daemon [at] node22.cluster.nxs.nl>)
    13: ID: [ID filtered]
    14: for poor [at] spamvictim.tld; Sat, 31 May 2014 xx:xx:xx +0200
    15: To: poor [at] spamvictim.tld
    16: Subject: Sehr geehrter Kunde
    17: X-PHP-Script: datadate.nl/site/libraries/simplepie/idn/z.php for 46.165.196.25
    18: From: Targo Bank <info [at] targs.de>
    19: Reply-To:
    20: MIME-Version: 1.0
    21: Content-Type: text/html
    22: Message-ID: [ID filtered]
    23: Date: Sat, 31 May 2014 xx:xx:xx +0200
    24: X-NXS: 29087 local
    25: X-Virus-Scanned: ClamAV using ClamSMTP
    26: Content-Transfer-Encoding: quoted-printable
    27: Envelope-To: <poor [at] spamvictim.tld>


    ... ich habe mal den Hoster der Domain informiert - mal schauen ob jemand antwortet
    Geändert von madman70 (01.06.2014 um 09:47 Uhr)

  3. #13
    Mitglied Avatar von madman70
    Registriert seit
    09.05.2012
    Ort
    Filderstadt
    Beiträge
    108

    Standard Targobank Telefon-Banking

    Na bei den Gebühren würd ich mir sofort ein neues Konto zulegen, wenn ich eines bei der Targobank hätte

    Die Adresse des Links sieht auch aus, als wär eine Katze über die Tastatur getrampelt...


    Sehr geehrter Kunde,

    bedingt durch neue Sicherheitsrichtlinien der TARGOBANK, bitten wir Sie, Ihren Telefon-Banking PIN Kostenfrei zu erneuern und den neuen Standards anzupassen.

    Erfolgt keine Änderung Ihrerseits, erheben wir eine Bearbeitungsgebühr von 53,99 EUR.Sie erhalten automatisch Ihren neuen Telefon-Banking PIN innerhalb weniger Werktage per Post.

    Telefon-Banking PIN jetzt kostenfrei erneuern -> Link whois:http://vsdfdsfdstfdsfdsqnkw7ogfih69isn7y8ak5wm496ikzv.saudipsych.org/images/banners/x/index.php


    Mit Freundlichen Grüßen

    Ihr Kundenservice

    Hier ein Stück vom Header:


    header:
    01: Received: from hicap-telecom.com ([94.77.203.18]) by mx-ha.web.de (mxweb103)
    02: with ESMTP (Nemesis) ID: [ID filtered]
    03: 07 Jul 2015 xx:xx:xx +0200
    04: Received: from [x.x.x.x] ([62.75.143.37])
    05: by hicap-telecom.com ([94.77.203.18])
    06: (MDaemon PRO v15.0.1)
    07: with ESMTP ID: [ID filtered]
    08: Tue, 07 Jul 2015 xx:xx:xx +0300
    09: X-Spam-Processed: hicap-telecom.com, Tue, 07 Jul 2015 xx:xx:xx +0300
    10: (not processed: message from trusted or authenticated source)

  4. #14
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.929

    Standard

    Das ist nur der übliche gecrackte Redirector, Phiski möchte hier (gecracktes Wordpress) kassieren:

    whois:http://targobank.de.de.online-banking239530597de.siparişver.com/wp-includes/images/crystal/x/targo/index2.php

    Und das Schweinderl hatten wir schon:

    http://www.antispam-ev.de/forum/show...l=1#post389913

    whois:http://vsdfdsfdstfdsfdsad13lwqclpmgsowo7rar1fw0g7znf1.saudipsych.org/images/articles/x/index.php

    whois:http://portal.sparkasse.de.portal.portal.starten.siparişver.com

    BTW: Das /x/ im Pfad ist typisch für manche Phishing-Kits; Dumpfbacken können Phishing-Kits für versch. Banken auch direkt fertig bei der Russenmafia erwerben...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #15
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.929

    Standard

    Man versucht es immer noch:


    header:
    01: Received: from mail.martinsaracini.com.ar ([23.23.233.192]) by mx-ha.gmx.net
    02: (mxgmx108) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from [127.0.0.1] (euve75914.serverprofi24.de [62.75.143.37])
    04: by mail.martinsaracini.com.ar (Postfix) with ESMTPA ID: [ID filtered]

    whois:http://vsdfdsfdstfdsfdsltlk54qd7kafu5uecy7k7yhy60ldsq.saudipsych.org/images/banners/x/index.php

    IP: 67.227.154.175 ---> host.tech-city.org
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #16
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.929

    Standard

    neuer Versuch:


    header:
    01: Received: from mout.kundenserver.de ([212.227.126.131]) by mx-ha.gmx.net
    02: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 05 Mar 2019 xx:xx:xx +0100
    04: Received: from infong-es55.kundenserver.de ([82.165.83.135]) by
    05: mrelayeu.kundenserver.de (mreue010 [172.19.35.7]) with ESMTPA (Nemesis) ID: [ID
    06: filtered]
    07: Received: from 105.67.4.198 (IP may be forged by CGI script)
    08: by infong-es55.kundenserver.de with HTTP
    09: ID: [ID filtered]

    Wohl ein gecracktes CGI-Script.

    whois:http://gatewaykeralaholidays.com/js/re/
    IP: 173.199.140.44 ---> svr.eworld.co.in/liquidweb.com

    weiter auf:

    whois:http://simonthomsen.com/me/
    IP: 173.254.28.46 ---> just46.justhost.com
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #17
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.929

    Standard

    Und wieder vermurkst:


    header:
    01: Received: from smtprelay05.ispgateway.de ([80.67.18.28]) by mx-ha.gmx.net
    02: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 12 Mar 2019 xx:xx:xx +0100
    04: Received: from [82.165.125.239] (helo=VMAFD5D9A)
    05: by smtprelay05.ispgateway.de with esmtpsa (TLSv1:ECDHE-RSA-AES256-SHA:256)
    06: (Exim 4.90_1)
    07: (envelope-from <user39 [at] laydi-killer.com>)
    08: ID: [ID filtered]
    09: for x; Tue, 12 Mar 2019 xx:xx:xx +0100

    gecrackt: user39@laydi-killer.com

    Sehr geehrter kunde

    AusitechnischeniSicherheitsgründenIwarIesInötigIIhrIKontoIzuIsperren.

    DaISie
    denIBestätigungsprozessInochInichtIdurchlaufenIhaben,ImüssenIwirIseitdemI12.03.2 019Ialle
    BenutzerkontenIzwischenzeitlichIsperren.

    überIdenInachfolgendIangezeigtenIButtonIkönnenISieIdenIBestätigungsprozessIdurch laufen
    undIIhrINutzerkontoIwiederIfreischalten.IDieserIVorgangIistIselbstverstandlichIk ostenlos.

    httρѕ://tагgοbаnk.dе/dе/Ьаnquе/еѕρасе_ρегѕοnnеl.аѕρх

    WirIbittenISieIdieIUnannehmlichkeitenIzuIentschuldigenIundIbedankenIunsIbeiIIhne nIherzlichstIfürIIhre
    GeduldIundIAufmIerksamIkeit.
    Im Quellcode dann aber:

    whois:http://dentalidea.eu/libraries/src/String/TAR
    IP: 80.88.87.210 ---> linc033.arubabusiness.it

    weiter auf:

    whois:http://www.aforclimate.eu/administrator/components/com_banners/views/mem/
    IP: 89.46.105.63 ---> webx1094.aruba.it
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #18
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    290

    Böse

    Diese Mail hat mein "Donnervogel" leider nicht als Spam erkannt.

    Anhand der Betreffzeile hatte ich erst gedacht, es ist eine Phishing Mail. Als ich mir die Datei später im Spamordner genauer angeschaut habe, entpuppte sie sich als stinknormaler deutschsprachiger Spam. Hier wird noch auf eigene Rechnung gespamt. whois:https://www.svh24.de/
    Auf die Antwort auf den T5F bin ich ja mal gespannt.

    WEB.de ist sowas von inkontinent. Darüber wurde der Spam nämlich "ausgeschieden"

    header:
    01: Received: from mout.web.de ([212.227.17.12]) by mx-ha.gmx.net (mxgmx011
    02: [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: <ich armes spamopfer bei gmx.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    04: Received: from [212.227.17.8] ([212.227.17.8]) by mx-ha.web.de (mxweb110
    05: [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    06: <ich armes spamopfer bei gmx.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
    08: (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    09: for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    10: Received: from smtp10.relay.ord1d.emailsrvr.com (localhost [127.0.0.1])
    11: by smtp10.relay.ord1d.emailsrvr.com (SMTP Server) with ESMTP ID: [ID filtered]
    12: for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx -0400 (EDT)
    13: X-Auth-ID: [ID filtered]
    14: Received: by smtp10.relay.ord1d.emailsrvr.com (Authenticated sender:
    15: dgwuaqooqmpxkp-AT-tcsuccess.local) with ESMTPSA ID: [ID filtered]
    16: for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx -0400 (EDT)
    17: X-Sender-ID: [ID filtered]
    18: Received: from mta9.mfp.underarmour.com ([UNAVAILABLE]. [23.253.56.78])
    19: (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384)
    20: by 0.0.0.0:465 (trex/5.7.12);
    21: Sat, 16 Mar 2019 xx:xx:xx -0400
    22: Content-Type: text/html; charset="utf-8"
    23: MIME-Version: 1.0
    24: Content-Transfer-Encoding: 8bit
    25: Subject: =?utf-8?b?QXcgOlZlcnBmbGljaHRlbmQgw5xiZXJwcsO8ZnVuZw==?= || Mein Nickname
    26: From: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    27: To:ich armes spamopfer bei web.de
    28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    29: Message-ID: [ID filtered]
    30: Date: Tue, 19 Mar 2019 xx:xx:xx +0000 (GMT)
    31: X-Spam-Flag: NO

    Ergänzungen und Anonymisierungen farblich durch mich gekennzeichnet

    Zitat Zitat von SVH Handels-GmbH Dortmund

    Betreff:
    Aw :Verpflichtend Überprüfung ||mein Nickname

    Kostenloser Paketversand ab 50 €

    innerhalb Deutschlands

    Nur bis Sonntag!
    35% Rabatt
    auf die folgenden Artikel
    Rabatt-Code: YIPPI35
    Nur solange der Vorrat reicht.


    92-tlg Steckschlüssel-Satz 1/4""+ 1/2""Zoll Akku Roboter-Rasenmäher Indego 350 | 18V | 350 m² 18V Akku-Schlagschrauber SSW 18 | ohne Akku ohne Ladegerät im Karton
    Preis inkl. Gutschein 62,87 € Preis inkl. Gutschein 417,85 € Preis inkl. Gutschein 115,85 €
    Zum Angebot Zum Angebot Zum Angebot


    Akku Fugenreiniger GE-CC 18 Li Kit | 1x Akku 2.0 Ah 10.8V Akku Bohrschrauber BS + ASE Akku Säbelsäge Akkuset Combo Set in Tasche Heckenschere AHS 70-34 | 700 Watt
    Preis inkl. Gutschein 57,30 € Preis inkl. Gutschein 111,45 € Preis inkl. Gutschein 120,47 €
    Zum Angebot Zum Angebot Zum Angebot

    ABMELDUNG
    Klicken Sie hier wenn Sie diesen Newsletter
    nicht mehr erhalten möchten.
    IMPRESSUM
    SVH Handels-GmbH
    Unterste-Wilms-Str. 53
    44143 Dortmund
    Telefon: 0231 / 3368-0
    Telefax: 0231 / 3368-1000
    E-Mail: whois:info@svh24.de
    Registriergericht: Dortmund HRB 26559
    Geschäftsführer: K. H. (w)
    A.S. (m)
    Ust.Id Nr.: DE 815 478 335
    Angaben zum Datenschutz


    GEPRÜFTE LEISTUNG

    Bitte antworten Sie nicht auf diese E-Mail, da Ihre Nachricht leider nicht weitergeleitet werden kann.
    Sollten Sie Hilfe benötigen, stehen wir Ihnen gerne telefonisch unter 0231/3368-0 oder per Mail zur Verfügung.
    Telefonisch erreichen Sie uns in der Zeit von Mo.-Fr. zwischen 08.00 und 17.00 Uhr.
    Alle Preise in Euro inkl. gesetzlicher Umsatzsteuer
    und Versandkosten.
    Alle Angebote in diesem Newsletter sind freibleibend
    und gelten nur solange der Vorrat reicht.
    Macht es evtl. Sinn der Targobank mal einen Tipp zu geben, dass hier jemand ihren "guten Namen" zum Spammen benutzt?
    Geändert von schara56 (18.03.2019 um 07:50 Uhr) Grund: Irreführenden Titel gelöscht

  9. #19
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.216

    Standard

    Was mir daran komisch vorkommt, sind folgende Header-Zeilen.
    Code:
    07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
    08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    [...]
    28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    1) Warum wird über die USA gespamt und im DNS ist die abgehende IP (whois:184.106.54.78) nicht als SPF gesetzt.
    2) Warum wird als Reply-To @targobank.de angegeben?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #20
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    290

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    Was mir daran komisch vorkommt, sind folgende Header-Zeilen.
    Code:
    07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
    08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    [...]
    28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    1) Warum wird über die USA gespamt und im DNS ist die abgehende IP (whois:184.106.54.78) nicht als SPF gesetzt.
    2) Warum wird als Reply-To @targobank.de angegeben?
    1) Könnte ich mir noch so erklären, das web.de mittlerweile auch einen Server in den USA hat; angemietet oder gekauft. Btw. Was ist SPF?
    2) kann ich mir auch nicht erklären

    Übrigens, habe ich jetzt erst realisiert. Die Spam-Mail ist auf den 19.3.2019 vordatiert

Seite 2 von 4 ErsteErste 1234 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen