Seite 4 von 4 ErsteErste ... 234
Ergebnis 31 bis 38 von 38

Thema: Targo Bank phishing

  1. #31
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    266

    Böse ... und es geht munter weiter

    Heute Abend hier aufgeschlagen. Abgekippt über GMX
    .

    header:
    01: Return-Path: <ich bei gmx.de>
    02: Received: from mout.kundenserver.de ([212.227.126.187]) by mx-ha.gmx.net
    03: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <mich bei gmx.de>; Wed, 20 Mar 2019 xx:xx:xx +0100
    05: Received: from infong-es183.kundenserver.de ([82.165.85.19]) by
    06: mrelayeu.kundenserver.de (mreue011 [172.19.35.7]) with ESMTPA (Nemesis) id
    07: 1Mr8zO-1gcV2f0awQ-00oCBx for <mich bei gmx.de>; Wed, 20 Mar 2019 xx:xx:xx
    08: +0100
    09: Received: from 82.223.54.190 (IP may be forged by CGI script
    10: by infong-es183.kundenserver.de with HTTP
    11: ID: [ID filtered]
    12: X-Sender-Info: <548158879 [at] infong-es183.kundenserver.de>
    13: Date: Wed, 20 Mar 2019 xx:xx:xx +0100
    14: Message-ID: [ID filtered]
    15: Precedence: bulk
    16: To:mich bei gmx.de
    17: From: =?UTF-8?B?VEFSR09CQU5L?= <ich bei gmx.de>
    18: MIME-Version: 1.0;
    19: Content-type: multipart/mixed; boundary="--1hviXj1k8Y"
    20: Reply-To: mich bei gmx.de
    Interessant ist diese Zeile:
    Received: from whois:82.223.54.190 (IP may be forged by CGI script)
    Sehr geehrter TargoBank-Benutzer,
    Wir möchten Sie darüber informieren, dass Sie ein neues Update haben.

    Überprüfen Sie Ihr Konto:
    whois:https://www.targobank.de/service/online-Benachrichtigung/index.html?rd=51725233


    Bitte antworten Sie nicht auf diese E-Mail.

    Mit freundlichen Grüßen,

    Vielen Dank, dass Sie ein Targo-Kunde

    Vorstandsvorsitzender: Pascal Laugel
    Der Text ist im Quelltext nicht zu finden. Kann es sein, dass der verschlüsselt in der Spamprosa enthalten ist?

  2. #32
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.796

    Standard

    Und wieder der Schrott-Spam, HTML muss dieser Ganove erst lernen:


    header:
    01: Return-Path: <order [at] fs-transp.com>
    02: Received: from smtprelay08.ispgateway.de ([134.119.228.111]) by
    03: mx-ha.gmx.net
    04: (mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    05: for <x>; Thu, 21 Mar 2019 xx:xx:xx +0100
    06: Received: from [82.165.124.60] (helo=TARIGO-SI09)
    07: by smtprelay08.ispgateway.de with esmtpsa (TLSv1:ECDHE-RSA-AES256-SHA:256)
    08: (Exim 4.90_1)
    09: (envelope-from <order [at] fs-transp.com>)
    10: ID: [ID filtered]
    11: for x; Thu, 21 Mar 2019 xx:xx:xx +0100

    gecrackt: order@fs-transp.com

    SehrigeehrteriKunde,
    IhгіΒеrаtеrііnfогmіеrtіЅіеіdаrübеr,іdаѕѕіЅіеіеіnеіwісhtіgеіΝасhгісhtіегhаltеnіhа bеn.
    FоlgеnіЅіеіunѕіѕоrgfältіgіBеіmіЕаѕу-ТАΝ-Vегfаhгеn.
    Еаѕу-ТАΝіνеіlіghеіd-Vегfаhrеn:
    UnѕегіЅуѕtеmіегkеnntіаn,іdаѕѕіЅіеіνоnіdіеѕеmіМоduѕіnісhtіρгоfіtіеrеn.
    ΚlісkеnіЅіеіаufіdеnіLіnk,ііhnіzuіаktіνіегеn
    httρѕ://www.tаrgоbаnκ.dе/ѕегνісе/оnlіnе-ѕісhегhеіt/іndех.html
    ЕіnеіеіnfасhеіLöѕungіdегіΑuthеntіzіtätіmіtіеаѕу-ТΑΝ.
    WігіwünѕсhеnіIhnеnіеіnеnіѕсhönеnіТаg
    whois:http://www.xn--trgbn-0be53fda8j.xn--d-jtb
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #33
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.796

    Standard

    Targo Bank ist Phishers Liebling:


    header:
    01: Received: from mout.kundenserver.de ([212.227.126.131]) by mx-ha.gmx.net
    02: (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 26 Mar 2019 xx:xx:xx +0100
    04: Received: from infong-es55.kundenserver.de ([82.165.83.135]) by
    05: mrelayeu.kundenserver.de (mreue011 [172.19.35.7]) with ESMTPA (Nemesis) ID: [ID
    06: filtered]
    07: Received: from 105.157.39.116 (IP may be forged by CGI script)
    08: by infong-es55.kundenserver.de with HTTP ID: [ID filtered]

    Schönen Tag

    Sie haben eine neue wichtige Nachricht in Ihrem Kundenbereich

    Bitte loggen Sie sich in Ihr TARGO BANK Konto ein und folgen Sie den
    Schritten

    Einloggen

    whois:http://cautrucptt.com/tmp/re/

    *Mit freundlichen Grüßen*

    *Ihre TARGOBANK*
    IP: 103.7.41.145 ---> mx41145.superdata.vn

    weiter auf:

    whois:http://globalsofttvm.com/wp-includes/rest-api/de/me/
    IP: 45.64.104.167 ---> cloud2.xdnscloud.com

    Hacked by Imam
    Und wieder mal Wordpress gecrackt...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #34
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.796

    Standard

    Kaum ist die Seite weg, schon bläst der Gauner zum nächsten Angriff. Diesmal mit Spam als Bild und mehreren Redirects.


    header:
    01: Return-Path: <autoresponse [at] anthonypiccolo.com>
    02: Received: from mout.kundenserver.de ([217.72.192.74]) by mx-ha.gmx.net
    03: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Tue, 26 Mar 2019 xx:xx:xx +0100
    05: Received: from [51.83.15.59] ([51.83.15.59]) by mrelayeu.kundenserver.de
    06: (mreue106 [212.227.15.183]) with ESMTPSA (Nemesis) ID: [ID filtered]

    whois:http://ecrmomcl.verizonwireless.com/documentmanager/openaccess/EmailHandler/c.do?
    Hinter dem ersten Redirect dann ein ellenlanger Redirect über Google. Man landet auf:

    whois:http://felezyab121.com/2018/05
    IP: 68.66.200.222 ---> mi3-ls2.a2hosting.com

    dann nochmal weiter auf:

    whois:http://educationatyourfingertips.info/utilities/cc.php
    IP: 108.179.246.27 ---> WEBSITEWELCOME/bluehost.in
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #35
    Mitglied
    Registriert seit
    21.06.2007
    Beiträge
    575

    Standard

    offtopic:
    Sorry, falls dieses Exemplar hier schon verankert sein sollte



    header:
    01: Return-Path: <t8zszpv7 [at] 5835382004057.hostingkunde.de>
    02: Received: from smtprelay01.ispgateway.de ([80.67.31.24]) by mx-ha.web.de
    03: (mxweb012 [212.227.15.17]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from [82.165.112.114] (helo=VM7D8D4F4) by smtprelay01.ispgateway.de
    05: with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.90_1) (envelope-from
    06: <poor [at] spamvictim.tld>) ID: [ID filtered]
    07: From: "=?utf-8?B?0KLQsNCzZ86/0JLQsG7Qug==?="
    08: <t8zszpv7 [at] 5835382004057.hostingkunde.de>
    09: Subject: NEUE BENACHRICHTIGUNG
    10: To: "xxx" <xxx [at] xxx>
    11: Content-Type: multipart/alternative;
    12: boundary="2LrcTrhdmOrSXcD5PVpimMw=_VEDWJv9YP"
    13: MIME-Version: 1.0
    14: Date: Sun, 24 Feb 2019 xx:xx:xx +0000
    15: Message-ID: [ID filtered]
    16: X-Df-Sender: dDh6c3pwdjdANTgzNTM4MjAwNDA1Ny5ob3N0aW5na3VuZGUuZGU=
    17: Envelope-To: <xxx [at] xxx>
    18: X-Spam-Flag: YES

    NEUE BENACHRICHTIGUNG
    Hallo,

    Benachrichtigungs-ID : 838S19239S

    Sehr Sie haben eine neue Benachrichtigung in Ihrem Konto. Für weitere Informationen klicken Sie bitte auf den folgenden Link

    Bestätigen Sie jetzt/
    Ziel: whois:https://deref-web-02.de/mail/client/uDTxi17plPk/dereferrer/?redirectUrl=https%3A%2F%2Faokhoactheu.com%2F.so%2Fi1qkqgic%2F

    Ergebnis:

    Achtung – Es folgt eine betrügerische Website

    Angreifer könnten Sie dazu bringen etwas Gefährliches zu tun, wie z.B. eine Software zu installieren oder persönliche Informationen offenzulegen (z.B. Passwörter, Telefonnummern oder Kreditkarten).
    Bitte habt Verständnis, das ich hier nichts weiter riskiere

  6. #36
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.796

    Standard

    Geht weiter auf:

    whois:http://aokhoactheu.com

    Aber schon tot:

    Domain name aokhoactheu.com is expired, and now is suspended.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #37
    Mitglied
    Registriert seit
    21.06.2007
    Beiträge
    575

    Standard

    Vielen Dank

    offtopic:
    Zumindestens weiss ich jetzt, wie ich die URL gefahrlos auslesen kann

  8. #38
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.796

    Standard

    neuer Versuch:


    header:
    01: Received: from mout-xforward.kundenserver.de ([82.165.159.5]) by
    02: mx-ha.gmx.net
    03: (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Tue, 23 Apr 2019 xx:xx:xx +0200
    05: Received: from infongs-eu2.kundenserver.de ([82.165.87.27]) by
    06: mrelayeu.kundenserver.de (mreue010 [172.19.35.7]) with ESMTPA (Nemesis) ID: [ID
    07: filtered]
    08: Received: from 196.217.181.14 (IP may be forged by CGI script)
    09: by infongs-eu2.kundenserver.de with HTTP ID: [ID filtered]

    Liebe/r TARGOBANK Online Kunde/in,

    Nach mehreren erfolglosen Versuchen Sie telefonisch Über den
    Kundendiesnt zu
    erreichen wir habben Ihnen eine vertrauliche vachricht in Ihrem
    Kundenbbereich
    hinterlassen um Ihnen wichtige informationen zu ihrem konto
    mitzulteilen. Sie
    müssen es so bald wie moglich lesen.

    Um die nachricht anzusehen, Klicken Sie bitte auf den untenstehenden link :

    whois:http://www.newcairodirectory.com/ads/notice

    *Mit freundlichen Grußen*

    *Ihre TARGOBANK*
    IP: 136.243.40.139 ---> static.139.40.243.136.clients.your-server.de (also Hetzner mal wieder...)

    weiter auf:

    whois:http://www.texasgsp.org/includes/de/
    IP: 192.185.41.210 ---> hostgator.com
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 4 von 4 ErsteErste ... 234

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen