Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 22

Thema: Personalisierte Phishing-Mail

  1. #1
    Neues Mitglied
    Registriert seit
    30.12.2015
    Beiträge
    24

    Ausrufezeichen Personalisierte Phishing-Mail

    Also vorweg: Ich arbeite in der IT und bin auch schon eine Weile dabei. SOWAS krasses sehe ich allerdings selten:


    header:
    01: Return-Path: <ebay [at] ebay.de>
    02: Received: from z10.mailgun.us ([104.130.96.10]) by mx-ha.gmx.net (mxgmx003)
    03: with ESMTPS (Nemesis) ID: [ID filtered]
    04: Wed, 20 Apr 2016 xx:xx:xx +0200
    05: DKIM-Signature: a=rsa-sha256; v=1; c=relaxed/relaxed; d=mg.addisonclarkonline.com;
    06: q=dns/txt; s=mailo; t=1461182545; h=Content-Transfer-Encoding:
    07: Content-Type: MIME-Version: Message-ID: [ID filtered]
    08: bh=XhmXPP7y4WnzOqZ0//ZKHQjNC2ylGLYRX4bnx7U+V54=;
    09: b=kI06bGoC3h+u0IphW+ml0QFsKQW/MVSMDUMy2/MMRf+xYwAV79gzOrRYpZj6eCGTtZX7jtpv
    10: AaZUjfkKhvqhTWy+AMylk7mzpGNuaVCBonFDXOXOgKR3j3ZYzX47DZgLE32JyidW5K/pamLT
    11: 7oMU0dun5CsSA3yZjNwvkoQ5I24=
    12: DomainKey-Signature: a=rsa-sha1; c=nofws; d=mg.addisonclarkonline.com;
    13: s=mailo; q=dns; h=Date: To: From: Subject: Message-ID: [ID filtered]
    14: Content-Type: Content-Transfer-Encoding;
    15: b=OZ473hasNs1tgGQUgfiEdFqcUU571oWFsvck9TezWGOnmAAlvfzPhqW0AqTrRTQfdmouCe
    16: s8uj99kibr1g/yGH69eHGEr5VwD9uX9BnWm+Z3cAKk3LSvgBbUwWLAdS8T8kXQm0rYLDAq6I
    17: 2ZrtAZFMqBK/DFimOSUTGkYpyF/gI=
    18: X-Mailgun-SID: [ID filtered]
    19: Received: from web1.addisonclark.net (Unknown [104.130.230.213])
    20: by mxa.mailgun.org with ESMTP ID: [ID filtered]
    21: Wed, 20 Apr 2016 xx:xx:xx -0000 (UTC)
    22: Received: by web1.addisonclark.net (Postfix, from userID: [ID filtered]
    23: ID: [ID filtered]
    24: Date: Wed, 20 Apr 2016 xx:xx:xx +0000
    25: To: [B]Vorname Nachname eMail[/B]
    26: x-mailgun-native-send: true
    27: From: Abrechnung Pay Online24 AG <ebay [at] ebay.de>
    28: Subject:
    29: =?utf-8?Q?Rechnung_f=C3=BCr_[B]Vorname_Nachname[/B]_noch_offen:_Nr._74652458?=
    30: Message-ID: [ID filtered]
    31: X-Priority: 3
    32: X-Mailer: Apple Mail
    33: MIME-Version: 1.0
    34: Content-Type: multipart/mixed;
    35: boundary="b1_eb552d3306c310f13355f474eb847965"
    36: Content-Transfer-Encoding: 8bit
    37: Envelope-To: me

    Und jetzt kommt der eigentliche Knaller, der Text:


    Sehr geehrte/r Vorname Nachname,

    zu unserem Bedauern mussten wir feststellen, dass die Aufforderung NR. 746524586 bisher ohne Reaktion Ihrerseits blieb. Heute gewähren wir Ihnen hiermit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten Pay Online24 AG zu begleichen.

    Gespeicherte Vertragsdaten:

    Vorname Nachname
    Straße Hausnummer
    PLZ Ort

    Tel. Handy-Nummer


    Aufgrund des bestehenden Zahlungsausstands sind Sie verpflichtet dabei, die durch unsere Beauftragung entstandene Gebühren von 43,48 Euro zu bezahlen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 19.04.2016.

    Die detaillierte Forderungsausstellung NR. 746524586, der Sie alle Buchungen entnehmen können, befindet sich im Anhang.

    Die Überweisung erwarten wir bis zum 26.04.2016. Können wird bis zum genannten Termin keine Überweisung verbuchen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen.

    Falls Sie den Rechnungsbetrag bereits vorab an uns überwiesen haben, ist diese Rechnung nur für Ihre Unterlagen bestimmt. Falls Sie Fragen haben, stehen wir Ihnen telefonisch gerne zur Verfügung.



    Mit freundlichen Grüßen

    Abrechnung Jannis Teschitz
    DIE DATEN SIND ALLE KORREKT.

    Ich werde aufgefordert eine angehängte .com-Datei zu öffnen: [Link nur für registrierte Mitglieder sichtbar. ]
    Die Datei ist 2 mal gezippt, sowas sehe ich auch selten: [Link nur für registrierte Mitglieder sichtbar. ]

    Sieht für mich aus wie eine zielgerichtete Spear-Phishing-Mail. Was meinst ihr?

    Gruß

    mAiLmAn

  2. #2
    Mitglied
    Registriert seit
    02.11.2010
    Ort
    Lübeck
    Beiträge
    324

    Standard

    Spear-Phishing (also nur für Dich den Aufwand betrieben) oder eine Datenbank gekauft oder gestohlen in der alle diese Daten enthalten sind.

    Bist Du denn so ein lohnendes Ziel für Spear-Phishing? In der IT könntest Du mit einer Infektion und Administrator-Rechten einen Domainenverbund (mehrere AD durch Vertrauensstellungen oder hierarisch gekoppelt), also eventuell mehr Rechner als die Deines Arbeitgebers, infizieren. Andererseits sind die meisten _erfahrenen_ IT'ler doch mittlerweile misstrauischer als der Rest im "Neuland". Also spekulierer ich eher auf Massenaussendung mit Datenbank"zugriff".
    Oo:..

  3. #3
    Senior Mitglied Avatar von Hippo
    Registriert seit
    05.08.2010
    Beiträge
    2.051

    Standard

    Ich tippe auch eher auf eine geklaute Datenbank.
    Weil ich kann mir nicht vorstellen daß man für eine Spear-Phishing-Attacke eine Spammail nimmt die über eine Massenaussendung vorher schon reichlich verbrannt ist.
    Wer andern eine Bratwurst brät der braucht ein Bratwurstbratgerät ...

  4. #4
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Schau auch mal hier:

    [Link nur für registrierte Mitglieder sichtbar. ]

    Ist zwar Muli-Suche, aber ziemlich genau dieselbe Masche, auch mit personalisierten Daten (die auch stimmen). Da wurden anscheinend in großem Umfang gecrackte Datenbanken (Verdacht: T-Online, 1&1) auf dem Schwarzmarkt verhökert. Selbst die Abschluß-Formulierungen 'Mit freundlichen Grüßen Neumann Vermittlungsagentur' bzw. ' Mit freundlichen Grüßen Abrechnung Jannis Teschitz' ähneln sich doch sehr. Ich würde da von derselben Bande ausgehen.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #5
    Neues Mitglied
    Registriert seit
    30.12.2015
    Beiträge
    24

    Standard

    Zitat Zitat von gerste Beitrag anzeigen
    Spear-Phishing (also nur für Dich den Aufwand betrieben) oder eine Datenbank gekauft oder gestohlen in der alle diese Daten enthalten sind.

    Bist Du denn so ein lohnendes Ziel für Spear-Phishing? In der IT könntest Du mit einer Infektion und Administrator-Rechten einen Domainenverbund (mehrere AD durch Vertrauensstellungen oder hierarisch gekoppelt), also eventuell mehr Rechner als die Deines Arbeitgebers, infizieren. Andererseits sind die meisten _erfahrenen_ IT'ler doch mittlerweile misstrauischer als der Rest im "Neuland". Also spekulierer ich eher auf Massenaussendung mit Datenbank"zugriff".
    Das ist genau der Punkt, ich arbeite bei einem IT-Dienstleister, habe Admin-Zugriff auf diverse Kunden-Systeme und wäre daher echt ein interessantes Ziel.
    Ich wüsste halt auch nicht, wo ich meine Handy-Nummer online preisgegeben habe. Habe gerade meinen Hoster kontaktiert (1blu, die wurden letztes Jahr gehackt...), vielleicht habe ich denen das zu verdanken. Mehr fällt mir echt nicht ein.

    Gruß und Danke für euer Feedback.

  6. #6
    Mitglied
    Registriert seit
    14.07.2009
    Beiträge
    159

    Standard

    >>sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben<<

    Ähm ja, viel Ahnung von nichts...

  7. #7
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard

    Zitat Zitat von mAiLmAn Beitrag anzeigen
    ...] Die Datei ist 2 mal gezippt, sowas sehe ich auch selten: [Link nur für registrierte Mitglieder sichtbar. ] [...
    Danke für diese URL - kannte ich bis dato noch nicht!
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #8
    Neues Mitglied
    Registriert seit
    30.12.2015
    Beiträge
    24

    Standard

    Gerne. Auch sehr empfehlenswert: [Link nur für registrierte Mitglieder sichtbar. ]

  9. #9
    Mitglied
    Registriert seit
    13.07.2008
    Beiträge
    101

    Standard

    Zitat Zitat von mAiLmAn Beitrag anzeigen
    Received: ... by mx-ha.gmx.net (mxgmx003)
    Hat GMX Deine Handy-Nummer?

    Zitat Zitat von Mittwoch Beitrag anzeigen
    Leider ist offiziell nie bestätigt worden, dass die GMX-Datenbank gehackt wurde.

  10. #10
    Neues Mitglied
    Registriert seit
    30.12.2015
    Beiträge
    24

    Standard

    Zitat Zitat von Spammailhass Beitrag anzeigen
    Hat GMX Deine Handy-Nummer?
    Ja. Daher könnten die Daten stammen. Das beruhigt mich ja fast schon wieder...

Seite 1 von 3 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen