Ergebnis 1 bis 4 von 4

Thema: 1&1 Login Credential Phishing

  1. #1
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.062

    Standard 1&1 Login Credential Phishing


    header:
    01: Received: from mout-xforward.kundenserver.de ([82.165.159.39]) by
    02: mx-ha.gmx.net (mxgmx011 [212.227.15.9]) with ESMTPS (Nemesis) id
    03: 0MEJZ2-1fCHH72ROC-00FQV3 for <x>; Sun, 22 Apr 2018
    04: xx:xx:xx +0200
    05: Received: from admin ([94.177.240.98]) by mrelayeu.kundenserver.de (mreue104
    06: [212.227.15.183]) with ESMTPSA (Nemesis) ID: [ID filtered]
    07: <x>; Sun, 22 Apr 2018 xx:xx:xx +0200
    *Sehr geehrter, Kunde*

    *Sie haben eine neue Meldung auf Ihrem Konto
    Sprechen Sie mit Ihrem Konto, indem Sie den folgenden Link klicken*

    *_Zugang-Kunde whois:https://un1un.com/1and1/_*

    Diese Meldung wird automatisch erzeugt, auch nicht an den Absender
    antworten.Insleber Str. 66
    39124 Magdeburg
    Für Ihre Bemühungen vielen Dank.
    Mit freundlichen Grüßen
    N* H*
    Telesales / PreClearing
    1&1 Telecom GmbH
    Elgendorfer Straße 57
    56410 Montabaur
    Gehostet ist die Seite bei Strato:
    whois:https://un1un.com (whois:2a01:238:20a:202:1068::,whois:81.169.145.68)

    Man beachte ein interessantes Detail:
    Code:
    Received: from mout-xforward.kundenserver.de ([82.165.159.39]) by
    Gut gemacht von Scammy: der Versand der Phishing-Mail kommt aus dem Netzwerk von 1&1.

    Nachtrag:
    Schön, dass man sich den Phishing-Baukasten direkt von Github herunter laden kann:
    whois:https://github.com/sysadminstory/1and1-Mail-account-Manager/blob/master/oneandoneemailmanager.py

    Manche Skript-Kiddies sind aber zu doof im das Script zu implementieren:
    whois:https://www.toolbase.me/board/topic/11319-suche-coder-f%C3%BCr-11-acc-checker-b-70%E2%82%AC-btc/

    Wieso gibt es einen HTTP POST mit einem 1x1 GIF zu whois:https://collect-eu-central-1.tealiumiq.com/1und1/main/2/i.gif?
    Mitgegeben wird auch ein Cookie.
    Angehängte Grafiken Angehängte Grafiken
    Geändert von schara56 (22.04.2018 um 06:25 Uhr) Grund: Nachtrag: Baukasten
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #2
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    384

    Standard

    Kam gestern über GMX bei mir an. Mein braver"Donnervogel" hat es als Phishing erkannt
    Hallo :
    Ihr Berater informiert Sie darüber, dass Sie eine wichtige Nachricht erhalten haben.
    Klicken Sie unten auf den Link, um ihn zu lesen

    Mein 1&1 Loginwhois:http://134.209.80.252



    1&1-GmbH / Copyright 2019

    header:
    01: Return-Path: <d-volk [at] onlinehome.dk>
    02: Received: from mout.kundenserver.de ([217.72.192.75]) by mx-ha.gmx.net
    03: (mxgmx111 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <ich bei gmx>; Wed, 27 Feb 2019 xx:xx:xx +0100
    05: Received: from 134.209.82.25 ([134.209.82.25]) by mrelayeu.kundenserver.de
    06: (mreue108 [212.227.15.183]) with ESMTPSA (Nemesis) id
    07: 1M6ltQ-1gvAMt2rM6-008GFX; Wed, 27 Feb 2019 xx:xx:xx +0100
    08: Date: Wed, 27 Feb 2019 xx:xx:xx +0000
    09: To: undisclosed-recipients:;
    10: From: 1und1 kundenservice <d-volk [at] onlinehome.dk>

    whois:d-volk@onlinehome.dk ist wahrscheinlich ein gehackter Rechner, über den die Mails abgekippt werden.

    Im Quelttext des E-Mail-Textes wird noch auf diese Seite verlinkt. Da ich die E-Mail aber nicht im HTML-Modus lese, sehe ich die Grafik auch nicht.
    whois:https://upload.wikimedia.org/wikipedia/commons/thumb/c/cd/1%261_logo.svg/2000px-1%261_logo.svg.png

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.711

    Standard


    header:
    01: Received: from mo4-p07-ob.smtp.rzone.de ([85.215.255.114]) by mx-ha.gmx.net
    02: (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for <x>; Thu, 17 Dec 2020 xx:xx:xx +0100
    04: Received: from ILYASSE
    05: by smtp.strato.de (RZmta 47.9.2 DYNA|AUTH)
    06: with ESMTPSA ID: [ID filtered]
    07: (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256 bits))
    08: (Client dID: [ID filtered]
    09: for <x>;
    10: Thu, 17 Dec 2020 xx:xx:xx +0100 (CET)

    gecrackt: webmaster@gala-bau-busse.de

    Sehr geehrter, Kunde
    Sie haben eine neue Meldung auf Ihrem Konto
    Sprechen Sie mit Ihrem Konto, indem Sie den folgenden Link klicken:
    Zugang Mitglied / Kunde

    Diese Meldung wird automatisch erzeugt, auch nicht an den Absender
    antworten.

    Insleber Str. 66
    39124 Magdeburg
    Für Ihre Bemühungen vielen Dank.
    Mit freundlichen Grüßen
    Nicole Herz
    Telesales / PreClearing
    1&1 Telecom GmbH
    Elgendorfer Straße 57
    56410 Montabaur
    Hauptsitz Montabaur, Amtsgericht Montabaur, HRB 22331, WEEE-Reg.-Nr.
    DE13470330
    whois:http://1und1.myvnc.com/1und1/
    IP: 160.163.117.86 -> AS6713 Office National des Postes et Telecommunications ONPT (Maroc
    Telecom) / IAM, Marokko

    Müffelt mir stark nach 'Mugu'.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #4
    Mitglied
    Registriert seit
    02.01.2017
    Ort
    am Fluchhafen
    Beiträge
    166

    Standard

    Diese Mail geisterte schon 2018 durch die Mailfächer, siehe hier https://vorsicht-email.de/beitrag/20...-ist-phishing/

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen