Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: payment-quickpay.com [46.161.40.112] Phishing nach Kreditkartendaten

  1. #1
    ### nicht streicheln ### Avatar von Nebelwolf †
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.695

    Standard payment-quickpay.com [46.161.40.112] Phishing nach Kreditkartendaten

    Hallo zusammen!

    Die Website internetbrowser-update.com verbreitet offensichtlich gezielt Schadprogramme. Wer die Seite aufruft, bekommt die Möglichkeit geboten Browser-Update wahlweise für Chrome, Firefox oder Opera zu Installieren. Auf der Website steht: "Der Download ist sicher von der offiziellen Seite des Herstellers." Angeboten wird aber immer die gleiche setup.exe, die auf dem Server und nicht beim Hersteller liegt. Intern nennt sich die Datei GoogleUpdateSetup.exe. Ein Scan der Datei bei Virustotal liefert leider keine Ergebnisse. Es muß aber einen Schadmechanismus geben, den ich nicht erkenne, den:

    Auf dem Server in der Ukraine mit der IP-Adresse 46.161.40.112 liegen 6 Domains:

    e-payment-postfinance.com
    healthgrades.store
    internetbrowser-update.com
    payment-quickpay.com
    safemeds.store
    santanderelavontpvvirtual.com

    Die Website payment-quickpay.com wird über den Browser bei Einkäufen in Webshops aufgerufen und versucht Kreditkartendaten zu erreichen, daher gehe ich davon aus, daß ein Zusammenhang zwischen beiden Domains besteht.

    Nebelwolf

  2. #2
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    7.451

    Standard

    Naja Passwörter und Bankdaten werden sicherlich abgefischt, wenn man sich diese .exe auf dem Rechner holt.
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  3. #3
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Zitat Zitat von Nebelwolf Beitrag anzeigen
    Intern nennt sich die Datei GoogleUpdateSetup.exe.
    Wird diskutiert im WWW.
    [Link nur für registrierte Mitglieder sichtbar. ]
    Check mal mit Malwarebyte. Kann sein, dass unter falscher Flagge gesegelt wird
    Geändert von Arthur (30.09.2020 um 13:56 Uhr)

  4. #4
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Habe die *.exe zur Auswertung hier eingeworfen:

    [Link nur für registrierte Mitglieder sichtbar. ]

    Analyse läuft derzeit noch.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Ich werfe es mal hier rein, wurde direkt als Phishing markiert:


    header:
    01: Received: from APC01-SG2-obe.outbound.protection.outlook.com
    02: ([40.92.253.17])
    03: by mx-ha.gmx.net (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]

    [Link nur für registrierte Mitglieder sichtbar. ]

    LIVEFUNDS Amount $7849.27 Received
    First Account Code
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 162.0.235.113 -> AS22612 Namecheap, Inc.

    weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 104.27.140.78 -> Cloudflare
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Auch hier wieder evil Google:


    header:
    01: Received: from a4-17.smtp-out.eu-west-1.amazonses.com ([54.240.4.17]) by
    02: mx-ha.gmx.net (mxgmx001 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]

    Your package DE497586134 is waiting for delivery.
    Important message!


    In order to complete the delivery of your package DE497586134 , please
    confirm the payment Online confirmation must be made within the next 10
    days, before it expires.

    Deliver My Package >>

    Kind regards,
    DHL Tracking services.
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 35.221.170.221 -> AS15169 Google LLC
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #7
    Mitglied Avatar von Aliena2020
    Registriert seit
    01.09.2020
    Beiträge
    73

    Standard

    Gestern eingetrudelt, Phishing Mail Volks- und Raiffeisenbanken, Rücksendeadresse: [Link nur für registrierte Mitglieder sichtbar. ]. Also platter geht nimmer, obwohl die Mail optisch stimmig und seriös aufbereitet war.

  8. #8
    Mitglied Avatar von Aliena2020
    Registriert seit
    01.09.2020
    Beiträge
    73

    Standard

    Und weiter geht es mit IONOS:

    < [Link nur für registrierte Mitglieder sichtbar. ]>
    from 193.242.211.178 ([45.11.183.177]) by mrelayeu.kundenserver.de (mreue009 [213.165.67.97]) with ESMTPSA (Nemesis) id 1N5G1V-1kZ8Bf0KIv-011CZE for

    soweit ich mit meinen Laienkenntnissen herausfinden konnte, stammt die erste IP aus den Niederlanden, die zweite jedoch aus Estland. Der Spamfilter hat die Datei erkannt.
    Macht es Sinn, sie an IONOS weiterzuleiten?

    Gruß

  9. #9
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Zitat Zitat von Aliena2020 Beitrag anzeigen
    Macht es Sinn, sie an IONOS weiterzuleiten?
    Kaum, sind in 5 Threads vertreten u.A
    Zitat Zitat von kjz1 Beitrag anzeigen
    Auch Ionos im Programm:

  10. #10
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Im allgemeinen kann man nur IPs in eckigen Klammern trauen, hier also 45.11.183.177. Soll zwar in Estland liegen, die Firma dürfte aber auch in Frankfurtlogieren:

    [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen