Seite 3 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 21 bis 30 von 38

Thema: Targo Bank phishing

  1. #21
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.216

    Standard

    Kannst Du bitte im Quelltext die 'href' mal genauer anschauen?
    Das sieht ein bisschen wie Phishing aus.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #22
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    10.103

    Standard

    Zitat Zitat von isenaecher Beitrag anzeigen
    1) Btw. Was ist SPF?
    https://de.wikipedia.org/wiki/Sender_Policy_Framework
    Das Sender Policy Framework (SPF; früher Sender Permitted From) ist ein Verfahren, mit dem das Fälschen der Absenderadresse einer E-Mail verhindert werden soll, genauer das Versenden von E-Mail über nicht legitimierte Mail Transfer Agents (MTAs) unterbindet.

  3. #23
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.266

    Standard

    Zitat Zitat von isenaecher Beitrag anzeigen
    Macht es evtl. Sinn der Targobank mal einen Tipp zu geben, dass hier jemand ihren "guten Namen" zum Spammen benutzt?
    Generell bei Banken schon.
    Aber bei der Citibank vom guten Namen zu sprechen, ist verwegen. Es gibt mehr als genügend Vorwürfe und Urteile, daß sie sich in einer Reihe von Kredithaien und Wucherer befindet (u.a.).
    ____
    IANAL

  4. #24
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    290

    Standard

    Deshalb auch die Anführungszeichen.
    offtopic:
    Wer lesen kann ist klar im Vorteil

    Zitat Zitat von schara56
    Kannst Du bitte im Quelltext die 'href' mal genauer anschauen?
    Das sieht ein bisschen wie Phishing aus.
    Habe jetzt mal ein paar hrefs in der E-Mail hier reinkopiert

    Code:
    <a href="http://communication.mailingscom.com/VjFBhHeYOrxUfMNiZkWmCtDaGd/7e52b43720faadfddbc7621f8aced8d8d1c60907jsp"  style="border: none;" target="_blank"
    <a href="https://deref-web-02.de/mail/client/QvjhRi6I8iY/dereferrer/?redirectUrl=https%3A%2F%2F87904.seu1.cleverreach.com%2Fc%2F28721176%2Fdc1fdd6e1e67f-poelj4" onclick="parent.phx.event.mailUrlClicked('https:\/\/87904.seu1.cleverreach.com\/c\/28721176\/dc1fdd6e1e67f-poelj4'); return true;" style="border: none;" target="_blank">
    <a href="https://deref-web-02.de/mail/client/l2P-HMQ3z1Y/dereferrer/?redirectUrl=https%3A%2F%2F87904.seu1.cleverreach.com%2Fc%2F28721177%2Fdc1fdd6e1e67f-poelj4" onclick="parent.phx.event.mailUrlClicked('https:\/\/87904.seu1.cleverreach.com\/c\/28721177\/dc1fdd6e1e67f-poelj4'); return true;" style="border: none;" target="_blank">
    Bei den weiteren steigt nur die letzten Zahl in diesem Term
    cleverreach.com\/c\/28721177
    um 1. Die hrefs sehen mir alle nach tracking Links aus. Beim ersten in der Liste wäre ich mir da ziemlich sicher.

    An Phishing hatte ich auch erst gedacht. Aber für was?

    Hat vielleicht ein Hacker einen "harmlosen" Newsletter zum Phishen umfunktioniert? Irgendwie passt das Alles nicht: geleakte web.de Adressen, ein vermeintliches E_mail der Targobank an einen Nicht-Kunden und ein Newsletter dahinter.

    Aber so ein großer Spezialist bin ich auch nicht, um das alles zu deuten. Und ohne virtuelle Maschine mach ich die Links auch nicht auf.
    Vielleicht gibt es ja hier jemanden der mehr Ahnung hat als ich

  5. #25
    Urgestein
    Registriert seit
    08.01.2006
    Ort
    Berlin
    Beiträge
    9.053

    Standard

    Die Farbe der Markierung ist entsetzlich.

    Im übrigen habe ich derzeit gewisse Zweifel, ob der eher seriöse Würth-Konzern, zu dem die SVH Handels-GmbH gehört, auf diese unseriöse Weise wirbt. Wäre mir jedenfalls neu. Das ist eher der Stil der Chinawaren-Händler.
    sastef

  6. #26
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.216

    Standard

    Wie ich vermutete: Phishing.
    Führt zu einer Fake-Targobank-Seite:
    whois:https://targobank.network/*schnapp*/*schnapp*/de/identification/?cgi=*schnapp*&token=*schnapp*

    Beim POST wird unter _cm_pwd das Kennwort gephished und unter _cm_user der Loginname.

    *tackerweglege*
    Geändert von schara56 (18.03.2019 um 07:51 Uhr)
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  7. #27
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.929

    Standard

    Die Masche habe ich in letzter Zeit häufiger gesehen: getarnt als Newsletter (wenn man die Mail als Text only anschaut), aber dann via HTML der eigentlich Schadlink. Das soll wohl die Filter umschiffen. Wirkt aber nur, wenn man HTML als Standard-Anzeige aktiviert hat.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #28
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    290

    Standard

    Genau so war es bei mir.
    Meine E-Mails werden als HTML aber grundsätzlich ohne Bilder angezeigt. Filter in Thunderbird hat nicht angeschlagen. Beim Betreff mit Targo-Bank hat gleich mein GMV-Filter angeschlagen und die E-Mail händisch als Spam markiert. Im Spam Oredner wird eine Nur-Text-Mail draus und dann hat man auch den Text gesehen

  9. #29
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    290

    Standard

    Heute kamen gleich zwei Phishingversuche unter dem Deckmäntelchen der Targobank. Der erste nach der selben Masche wie oben beschrieben, der zwei wurde vom "Donnervogel" erkannt und ins Spamverzeichnis gekickt.

    Hier die Header und Texte:

    header:
    01: Return-Path: <lesarcs [at] lesarcs.com>
    02: Received: from mout.kundenserver.de ([217.72.192.74]) by mx-ha.gmx.net
    03: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <mich bei gmx.de>; Wed, 20 Mar 2019 xx:xx:xx +0100
    05: Received: from 167.99.41.67 ([167.99.41.67]) by mrelayeu.kundenserver.de
    06: (mreue108 [212.227.15.183]) with ESMTPSA (Nemesis) id
    07: 1MxDck-1gmVRl2YxM-00xcGa; Wed, 20 Mar 2019 xx:xx:xx +0100
    08: Date: Wed, 20 Mar 2019 xx:xx:xx +0000
    09: To: undisclosed-recipients:;
    10: From: TargoBank <lesarcs [at] lesarcs.com>
    11: Subject: Wichtige Nachricht : dein easyTAN
    12: Message-ID: [ID filtered]
    Abgekippt diesmal über GMX.
    Die Adresse zum Einloggen geht zu whois:178.62.27.247 digital ocean
    Absender ist ebenfalls whois:167.99.41.67digital ocean
    Hallo :

    UmrweiterhinrvonrallrIhren Online-Banking-Services zu profitieren,
    Aktivieren Sie den easyTAN-Dienst, um die Aussetzung Ihrer Dienste zu vermeiden
    Bitte melden Sie sich an, um Ihr easyTAN zu aktivieren

    Einloggen



    TARGOBANK-GmbH / Copyright 2019

    header:
    01: Return-Path: <onlinesicherheit [at] targobank.de>
    02: Received: from mout.kundenserver.de ([217.72.192.74]) by mx-ha.gmx.net
    03: (mxgmx112 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <mich bei gmx.de>; Wed, 20 Mar 2019 xx:xx:xx +0100
    05: Received: from localhost ([167.99.35.102]) by mrelayeu.kundenserver.de
    06: (mreue108 [212.227.15.183]) with ESMTPSA (Nemesis) id
    07: 1MWAWq-1hUF2x3K14-00XeWo; Wed, 20 Mar 2019 xx:xx:xx +0100
    08: Date: Wed, 20 Mar 2019 xx:xx:xx +0000
    09: To: undisclosed-recipients:;
    10: From: TARGOBANK <onlinesicherheit [at] targobank.de>
    11: Reply-To: onlinesicherheit [at] targobank.de
    12: Subject: Aktivieren Sie Ihren easyTAN-Service.
    13: Message-ID: [ID filtered]

    Quelle auch whois:167.99.35.102digital ocean
    Den Ziellink, der sich hinter dem Login verbirgt vermag ich nicht zu deuten whois:https://t.co/Ca07WDWLMm
    Code:
    <a data-auth="NotApplicable" href="https://t.co/Ca07WDWLMm" rel="noopener noreferrer" target="_blank">
    Sehr geehrter Kunde

    Ihr Aus technischen Sicherheitsgründen war es nötig Ihr Konto zu sperren.

    Um weiterhin von all Ihren Online-Banking-Services zu profitieren,
    Aktivieren Sie den EasyTAN-Dienst, um die Aussetzung Ihrer Dienste zu vermeiden

    Um Ihren EasyTAN-Dienst zu aktivieren, Klicken Sie bitte auf den untenstehenden Link :

    whois:https://www.targobank.de/de/identification/login.cgi

    wir wünschen ihnen einen schönen tag

    Kundenservice TARGOBANK
    Geändert von schara56 (20.03.2019 um 15:50 Uhr) Grund: whois gesetzt

  10. #30
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.216

    Standard

    Zitat Zitat von isenaecher Beitrag anzeigen
    ...] Den Ziellink, der sich hinter dem Login verbirgt vermag ich nicht zu deuten whois:https://t.co/Ca07WDWLMm [...
    Geht per META-Refresh zu
    whois:https://n3plcpnl0239.prod.ams3.secureserver.net/~mxj9ans8hvwz/targobank-identification/de/
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 3 von 4 ErsteErste 1234 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen