Ergebnis 1 bis 6 von 6

Thema: DHL-Phishing

  1. #1
    Senior Mitglied Avatar von Grisu_LZ22
    Registriert seit
    08.03.2006
    Ort
    Hier *wink* (hemisphaericus forumsicus)
    Beiträge
    2.421

    Standard DHL-Phishing

    Heute erreichte unser Ticketsystem eine Phising-Mail für eine angebliche DHL-Zustellung:

    Paketzustellung im Zusammenhang mit der Sendung *snip*



    Verehrte Frau, verehrter Herr,

    Ihre Sendung *snip* (andere Nummer als im Betreff) wurde an DHL übergeben und wird voraussichtlich am 27.02.2015 zugestellt.


    Hier erhalten Sie weitere Informationen zu Ihrer Sendung: *snip* (andere Nummer als im Betreff).

    Mit freundlichen Grüßen,
    Ihr DHL Team
    Der Link hinter den beiden Nummern im Text führt zu einem vermutlich gehacktem Server: whois:marioborgkarate.com\dhl_pakete_de
    112 - eine echt heiße Nummer
    Ein steter Quell der Weisheit: Das
    Antispam-Wiki.
    Lesen bildet!

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.354

    Standard

    Auch mal wieder DHL:


    header:
    01: Received: from jlbishopcontractor.com ([71.176.211.86]) by mx-ha.gmx.net
    02: (mxgmx106) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from HP47 ([12.199.176.194]) by jlbishopcontractor.com with Microsoft
    04: SMTPSVC(6.0.3790.1830); Sun, 18 Oct 2015 xx:xx:xx -0400

    Dear Customer,

    Your DHL parcel had arrived to our Head office since 9th of September 2015.

    Our courier agent was unable to deliver the parcel to you due to an
    incorrect delivery details.

    To receive your parcel, kindly view the attached reciept to verify your
    ownership details for proper delivery, Sign in using your email address
    respectively.

    Thanks.

    DHL Customer Service (@) 2015

    Gephisht wird dann im HTML-Anhang:

    Code:
    <form action="http://www.feellsspa.com/drlian/lbog/selecin/dhl/ugo1.php" onSubmit="return validateForm()" method="post" name="myform">
    IP: 89.145.89.170 ---> nativespace-narvi.ns-narvi.com
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #3
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Könnte ein Mugu sein: whois:http://www.feellsspa.com/drlian/lbog/selecin/dhl/

    Irgendwo hat er bestimmt noch eine Mailphisherei, wenn man den Logos trauen kann.
    Wir kriegen euch alle!

  4. #4
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.745

    Standard


    header:
    01: Received: from dhl.hongkong.icda.com (static-190-24-142-106.static.etb.net.co
    02: [190.24.142.106])
    03: by x (Postfix) with ESMTP ID: [ID filtered]
    04: for <x>; Fri, 6 Sep 2019 xx:xx:xx +0200 (CEST)
    Notification for shipment event group “Delivery Exception” for x;

    Dear Customer,

    This is a notification that your package has experienced an exception,
    kindly follow the link below to update your delivery address.
    **Update your delivery address here
    whois:https://www.sutesisatcisiantalya.com/hongkong222/delivery-address/index.php?email=x>

    Please feel free to contact me in case of any further assistance.
    We thank you for choosing DHL Express.

    Thanks and regards
    /*C* L*
    Customer Care - Executive*/

    DHL Express (Hong Kong) Limited
    Level 26, Tower 1, Enterprise Square Five,
    38 Wang Chiu Road, Kowloon Bay, Hong Kong.
    Telephone: +852 2400 3388
    Website: whois:https://shipping.dhl.com.hk
    */GOGREEN/– Environmental Protection with DHL*

    --------------------------------------------------------------------------------------------------------------------------------

    CONFIDENTIALITY NOTICE: This message is from DHL and may contain confidential
    business information.
    It is intended solely for the use of the individual to whom it is addressed. If
    you are not the intended recipient
    please contact the sender and delete this message and any attachment from your
    system. Unauthorized publication,
    use, dissemination, forwarding, printing or copying of this E-Mail and its
    attachments is strictly prohibited.

    --------------------------------------------------------------------------------------------------------------------------------
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.354

    Standard

    Hier möchte sich wohl gerne Emotet herunterladen:


    header:
    01: Received: from oogw0540.ocn.ad.jp (oogw0540.ocn.ad.jp [153.149.210.169])
    02: by xxxxx (Postfix) with ESMTP
    03: for <x>; Thu, 19 Dec 2019 xx:xx:xx +0100 (CET)
    04: Received: from cmn-spm-mts-025c1.ocn.ad.jp (cmn-spm-mts-025c1.ocn.ad.jp
    05: [153.138.238.89])
    06: by oogw0540.ocn.ad.jp (Postfix) with ESMTP ID: [ID filtered]
    07: for <x>; Thu, 19 Dec 2019 xx:xx:xx +0900 (JST)
    08: Received: from mgw-vc-mts-007c1.ocn.ad.jp ([153.138.238.83])
    09: by cmn-spm-mts-025c1.ocn.ad.jp with ESMTP
    10: ID: [ID filtered]
    11: X-BIZ-RELAY: yes
    12: Received: from sgs-vcgw105.ocn.ad.jp ([153.149.234.201])
    13: by mgw-vc-mts-007c1.ocn.ad.jp with ESMTP
    14: ID: [ID filtered]
    15: Received: from c15cqiwi.mwprem.net (c15cqiwi.mwprem.net [153.149.192.222])
    16: by sgs-vcgw105.ocn.ad.jp (Postfix) with SMTP ID: [ID filtered]
    17: for <x>; Thu, 19 Dec 2019 xx:xx:xx +0900 (JST)

    Sehr geehrte Kundin, sehr geehrter Kunde,

    Diese Nachricht bezieht sich auf Ihre Bestellung mit der Auftragsnummer
    7384136

    Ihr Paket mit folgender Paketscheinnummer wurde heute per DHL an Sie
    versandt:
    294363878271875

    Sie können den Versandstatus bei DHL mit folgendem Link abfragen:

    whois:http://dhl.de/paket.action?lang=de&idc=<Tracking>

    DHL Freight GmbH
    Freight, really?!?

    der tatsächliche Link:

    whois:http://4003.a.hostable.me/EATZEN/OCT/47mk9wpa/w-172618-95902050-nwxbs-5ueeswuld94/
    IP: 204.152.252.32 -> Brinkster Communications
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.354

    Standard

    Und wieder wohl ein Emotet-Downloader bei Liquid Web, die mir schon oft durch defunktionales Abuse-Management aufgefallen sind. Man liest halt (zu) oft immer wieder dieselben Namen der schwarzen Schafe...


    header:
    01: Received: from mail-ot1-f99.google.com (mail-ot1-f99.google.com
    02: [209.85.210.99])
    03: by xxxxx (Postfix) with ESMTPS
    04: for <x>; Fri, 20 Dec 2019 xx:xx:xx +0100 (CET)
    05: Received: by mail-ot1-f99.google.com with SMTP ID: [ID filtered]
    06: for <x>; Fri, 20 Dec 2019 xx:xx:xx -0800 (PST)
    07: X-Received: by 2002:a05:6830:1199:: with SMTP ID: [ID filtered]
    08: Fri, 20 Dec 2019 xx:xx:xx -0800 (PST)
    09: Received: from [200.24.255.83] ([200.24.255.83])
    10: by smtp-relay.gmail.com with ESMTPS ID: [ID filtered]
    11: for <x>
    12: (version=TLS1_2 cipher=ECDHE-RSA-CHACHA20-POLY1305 bits=256/256);
    13: Fri, 20 Dec 2019 xx:xx:xx -0800 (PST)

    IP: 200.24.255.83 -> 83-255-24-200.comodoro.net, AR

    Sehr geehrte Kundin, sehr geehrter Kunde,

    Diese Nachricht bezieht sich auf Ihre Bestellung mit der Auftragsnummer
    0014761

    Ihr Paket mit folgender Paketscheinnummer wurde heute per DHL an Sie
    versandt:
    572979610338433

    Sie können den Versandstatus bei DHL mit folgendem Link abfragen:

    whois:http://dhl.de/paket.action?time=135601&email=xxxxxx

    whois:http://ctsic-usa.com/ubkskw29clek/docs/rcqbxvmcbj/

    Mit freundlichem Gruß

    DHL Freight GmbH
    IP: -> 50.28.33.1 -> Liquid Web, L.L.C

    Noch nicht überall bekannt:

    http://www.virustotal.com/gui/url/93...86e4/detection
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen