1&1 Login Credential Phishing

[schara56]

header:

01: Received: from mout-xforward.kundenserver.de ([82.165.159.39]) by
02:  mx-ha.gmx.net (mxgmx011 [212.227.15.9]) with ESMTPS (Nemesis) id
03:  0MEJZ2-1fCHH72ROC-00FQV3 for <x>; Sun, 22 Apr 2018
04:  xx:xx:xx +0200
05: Received: from admin ([94.177.240.98]) by mrelayeu.kundenserver.de (mreue104
06:  [212.227.15.183]) with ESMTPSA (Nemesis) ID: [ID filtered]
07:  <x>; Sun, 22 Apr 2018 xx:xx:xx +0200

*Sehr geehrter, Kunde*

*Sie haben eine neue Meldung auf Ihrem Konto
Sprechen Sie mit Ihrem Konto, indem Sie den folgenden Link klicken*

*_Zugang-Kunde ^whois:https://un1un.com/1and1/_*

Diese Meldung wird automatisch erzeugt, auch nicht an den Absender
antworten.Insleber Str. 66
39124 Magdeburg
Für Ihre Bemühungen vielen Dank.
Mit freundlichen Grüßen
N* H*
Telesales / PreClearing
1&1 Telecom GmbH
Elgendorfer Straße 57
56410 Montabaur

Gehostet ist die Seite bei Strato:
^whois:https://un1un.com (^whois:2a01:238:20a:202:1068::,^whois:81.169.145.68)

Man beachte ein interessantes Detail:

Code:

Received: from mout-xforward.kundenserver.de ([82.165.159.39]) by

Gut gemacht von Scammy: der Versand der Phishing-Mail kommt aus dem Netzwerk von 1&1.

Nachtrag:
Schön, dass man sich den Phishing-Baukasten direkt von Github herunter laden kann:
^whois:https://github.com/sysadminstory/1and1-Mail-account-Manager/blob/master/oneandoneemailmanager.py

Manche Skript-Kiddies sind aber zu doof im das Script zu implementieren:
^whois:https://www.toolbase.me/board/topic/11319-suche-coder-f%C3%BCr-11-acc-checker-b-70%E2%82%AC-btc/

Wieso gibt es einen HTTP POST mit einem 1x1 GIF zu ^whois:https://collect-eu-central-1.tealiumiq.com/1und1/main/2/i.gif?
Mitgegeben wird auch ein Cookie.

[isenaecher]

Kam gestern über GMX bei mir an. Mein braver"Donnervogel" hat es als Phishing erkannt

Hallo :
Ihr Berater informiert Sie darüber, dass Sie eine wichtige Nachricht erhalten haben.
Klicken Sie unten auf den Link, um ihn zu lesen

Mein 1&1 Login^whois:http://134.209.80.252



1&1-GmbH / Copyright 2019

header:

01: Return-Path: <d-volk [at] onlinehome.dk>
02: Received: from mout.kundenserver.de ([217.72.192.75]) by mx-ha.gmx.net
03:  (mxgmx111 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
04:  for <ich bei gmx>; Wed, 27 Feb 2019 xx:xx:xx +0100
05: Received: from 134.209.82.25 ([134.209.82.25]) by mrelayeu.kundenserver.de
06:  (mreue108 [212.227.15.183]) with ESMTPSA (Nemesis) id
07:  1M6ltQ-1gvAMt2rM6-008GFX; Wed, 27 Feb 2019 xx:xx:xx +0100
08: Date: Wed, 27 Feb 2019 xx:xx:xx +0000
09: To: undisclosed-recipients:;
10: From: 1und1 kundenservice <d-volk [at] onlinehome.dk>

^whois:d-volk@onlinehome.dk ist wahrscheinlich ein gehackter Rechner, über den die Mails abgekippt werden.

Im Quelttext des E-Mail-Textes wird noch auf diese Seite verlinkt. Da ich die E-Mail aber nicht im HTML-Modus lese, sehe ich die Grafik auch nicht.
^whois:https://upload.wikimedia.org/wikipedia/commons/thumb/c/cd/1%261_logo.svg/2000px-1%261_logo.svg.png

[kjz1]

header:

01: Received: from mo4-p07-ob.smtp.rzone.de ([85.215.255.114]) by mx-ha.gmx.net
02:  (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
03:  for <x>; Thu, 17 Dec 2020 xx:xx:xx +0100
04: Received: from ILYASSE
05: 	by smtp.strato.de (RZmta 47.9.2 DYNA|AUTH)
06: 	with ESMTPSA ID: [ID filtered]
07: 	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256 bits))
08: 	(Client dID: [ID filtered]
09: 	for <x>;
10: 	Thu, 17 Dec 2020 xx:xx:xx +0100 (CET)

gecrackt: webmaster@gala-bau-busse.de

Sehr geehrter, Kunde
Sie haben eine neue Meldung auf Ihrem Konto
Sprechen Sie mit Ihrem Konto, indem Sie den folgenden Link klicken:
Zugang Mitglied / Kunde

Diese Meldung wird automatisch erzeugt, auch nicht an den Absender
antworten.

Insleber Str. 66
39124 Magdeburg
Für Ihre Bemühungen vielen Dank.
Mit freundlichen Grüßen
Nicole Herz
Telesales / PreClearing
1&1 Telecom GmbH
Elgendorfer Straße 57
56410 Montabaur
Hauptsitz Montabaur, Amtsgericht Montabaur, HRB 22331, WEEE-Reg.-Nr.
DE13470330

^whois:http://1und1.myvnc.com/1und1/
IP: 160.163.117.86 -> AS6713 Office National des Postes et Telecommunications ONPT (Maroc
Telecom) / IAM, Marokko

Müffelt mir stark nach 'Mugu'.

[mephistopheles]

Diese Mail geisterte schon 2018 durch die Mailfächer, siehe hier https://vorsicht-email.de/beitrag/20...-ist-phishing/