Ergebnis 1 bis 9 von 9

Thema: Phishing - aber was wollen die Leute abphishen?

  1. #1
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Frage Phishing - aber was wollen die Leute abphishen?


    header:
    01: Return-Path: <bounce[BOUNCE filtered]@nl-primeportal23.eu>Delivered-To:
    02: m1000166381
    03: Received: from frontend08.mail.m-online.net ([127.0.0.1])
    04: by backend01-a.mail.m-online.net with LMTP ID: [ID filtered]
    05: for <m1000166381>; Wed, 31 May 2023 xx:xx:xx +0200
    06: Received: from mail.m-online.net ([127.0.0.1])
    07: by frontend08.mail.m-online.net with LMTP
    08: ID: [ID filtered]
    09: (envelope-from <bounce[BOUNCE filtered]@nl-primeportal23.eu>)
    10: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200
    11: Received: from scanner-1.m-online.net (unknown [192.168.6.71])
    12: by mail.m-online.net (Postfix) with ESMTP ID: [ID filtered]
    13: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    14: X-Virus-Scanned: by amavisd-new at mnet-online.de
    15: X-Spam-Flag: NO
    16: X-Spam-Score: 2.533
    17: X-Spam-Level: **
    18: X-Spam-Status: No, score=2.533 tagged_above=0 required=5 tests=[BAYES_00=-1.9,
    19: DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
    20: HTML_MESSAGE=0.001, RCVD_IN_DNSWL_LOW=-0.7, RCVD_IN_MSPIKE_H3=-0.01,
    21: RCVD_IN_MSPIKE_WL=-0.01, RCVD_IN_SBL_CSS=3.335, SPF_HELO_NONE=0.001,
    22: SPF_SOFTFAIL=0.665, T_KAM_HTML_FONT_INVALID=0.01,
    23: T_SCC_BODY_TEXT_LINE=-0.01, URIBL_ABUSE_SURBL=1.25,
    24: URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
    25: Authentication-Results: scanner-1.mail.m-online.net (amavisd-new);
    26: dkim=pass (1024-bit key) header.d=nl-primeportal23.eu
    27: Received: from mxin-4.m-online.net ([192.168.8.170])
    28: by scanner-1.m-online.net (scanner-1.mail.m-online.net [192.168.6.71]) (amavisd-new,
    29: port 10026)
    30: with ESMTP ID: [ID filtered]
    31: Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    32: Received: from mfwd.m-online.net (mfwd.m-online.net [212.18.3.10])
    33: by mxin-4.m-online.net (Postfix) with ESMTPS ID: [ID filtered]
    34: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    35: Received: from backend02-a.mail.m-online.net (unknown [192.168.6.197])
    36: by mfwd2.m-online.net (Postfix) with ESMTP ID: [ID filtered]
    37: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    38: Received: by backend02-a.mail.m-online.net (Postfix, from userID: [ID filtered]
    39: ID: [ID filtered]
    40: X-Sieve: Pigeonhole Sieve 0.4.24 (124e06aa)
    41: X-Sieve-Redirected-From: m1000425932
    42: Delivered-To: m1000425932
    43: Received: from frontend02 ([127.0.0.1])
    44: by backend02-a.mail.m-online.net with LMTP ID: [ID filtered]
    45: for <m1000425932>; Wed, 31 May 2023 xx:xx:xx +0200
    46: Received: from mail.m-online.net ([127.0.0.1])
    47: by frontend02 with LMTP
    48: ID: [ID filtered]
    49: (envelope-from <bounce[BOUNCE filtered]@nl-primeportal23.eu>)
    50: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200
    51: Received: from scanner-3.m-online.net (unknown [192.168.6.82])
    52: by mail.m-online.net (Postfix) with ESMTP ID: [ID filtered]
    53: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    54: Authentication-Results: scanner-3.mail.m-online.net (amavisd-new);
    55: dkim=pass (1024-bit key) header.d=nl-primeportal23.eu
    56: Received: from mxin-1.m-online.net ([192.168.6.164])
    57: by scanner-3.m-online.net (scanner-3.mail.m-online.net [192.168.6.82]) (amavisd-new,
    58: port 10026)
    59: with ESMTP ID: [ID filtered]
    60: Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    61: Received: from smtp01.burovout.de (smtp01.burovout.de [135.125.140.41])
    62: by mxin-1.m-online.net (Postfix) with ESMTPS ID: [ID filtered]
    63: for <poor [at] spamvictim.tld>; Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    64: Received: from smtp01.burovout.de (smtp01.burovout.de [135.125.140.41]) by
    65: smtp01.burovout.de (Postfix) with ESMTP ID: [ID filtered]
    66: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=simple/simple; t=1685537601;
    67: s=repetita; d=nl-primeportal23.eu;
    68: h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:List-Id:List-Unsubscribe;
    69: bh=q9c6qQwX65/xa32vZdMb+RHGpedCE6SJ23EB/spPfSE=;
    70: b=ICAQ+jkD9ZDZPmtSYtSrG+cncjPGllVVLZrYuz3n8SxXJSw4zSKHTeX0LxdiKoQp
    71: jBLwz4NimeTkmbMgHgfr5LbLXSt+EZQEBnSK1QIUBOOxoDeTchJPHOIF0UWGWxupAQy
    72: v6b9SJt3dx1oJcm/cUEn5jF3gg+9xS+dHAN/ZGoc=
    73: Date: Wed, 31 May 2023 xx:xx:xx +0200 (CEST)
    74: From: =?UTF-8?Q?Das_Konto_f=C3=BCr_Ihr_Business?= <info [at] nl-primeportal23.eu>
    75: Reply-To: info [at] nl-primeportal23.eu
    76: To: poor [at] spamvictim.tld
    77: Message-ID: [ID filtered]
    78: Subject: =?UTF-8?Q?20_%_Preisnachlass_f=C3=BCr_Ihren_erste?=
    79: =?UTF-8?Q?n_Einkauf_-_Nur_noch_f=C3=BCr_kurze_Zeit?=
    80: MIME-Version: 1.0
    81: Content-Type: multipart/alternative;
    82: boundary="----=_Part_3138460_1880821376.1685537593532"
    83: X-MemberID: [ID filtered]
    84: List-ID: [ID filtered]
    85: List-Unsubscribe:
    86: <https://mtqu8idvpe9tyejmoqnkosyjo0rwagnda1v7es1siqdduww.nl-primeportal23.eu/d?[UNSUB
    87: filtered]>
    Das hier kam auf die Adresse einer Partei-Untergliederung. Der Spamfilter schob es gleich in den Junk-Mail-Ordner. Es scheint nur an die Parteigliederung adressiert zu sein. Eine Suche nach nl-primeportal23 brachte nichts Brauchbares. Wie kann man herausfinden, was da jemand abphishen wollte? Oder wollen sie nur das E-Mail-Konto knacken wie neulich beim [Link nur für registrierte Mitglieder sichtbar. ]?

    "Erstellen Sie ein kostenloses Amazon Business-Konto" glaubt doch der stärkste Mann nicht.

    Was meint ihr?
    Wuschel
    Wer mir was tut, sei auf der Hut!

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Vermutlich die Amazon-Zugangsdaten? Denn wenn man die hat, schaut man folgs nach den Zahlungsarten, die im Konto hintrerlegt sind, und kann dann da valiede Bank- oder Kreditkartendaten abgreifen.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  3. #3
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Vermutlich die Amazon-Zugangsdaten? Denn wenn man die hat, schaut man folgs nach den Zahlungsarten, die im Konto hintrerlegt sind, und kann dann da valiede Bank- oder Kreditkartendaten abgreifen.
    Denkbar, passt aber irgendwie nicht. Wieso will man eine lokale Parteigliederung auf eine krumme Internetseite locken, um ein Amazon-Konto zu eröffnen? Oder das mit dem Amazon-Konto ist eine Story vom Pferd und man versucht, z.B. E-Mails mitzulesen? Das würde erklären, dass genau diese E-Mail genannt wurde und sie nicht nur an 253. Position im "cc" genannt wird.

    Neulich wurde doch dem Coburger Convent ein E-Mail-Konto geknackt, wobei einige Insidereien in der Presse landeten. Das kann auch auf der anderen Seite des politischen Spektrums passieren.

    Ich frage mal weiter oben nach, ob die Mail auch andere erhalten haben.

    Wuschel
    Wer mir was tut, sei auf der Hut!

  4. #4
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Scam muss ja nicht notwenigerweise per BCC an den Empfänger gehen. Kannst ja auch jedesmal eine individuelle Spammail rausblasen. Der Scammer weiß ja auch nicht, dass es sich bei der betroffenen Mailadresse um eine lokale Parteigliederung handelt. Und wenn, wärs ihm auch egal. Das bekommt jeder, der in Scammers Maillingliste drinsteht.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  5. #5
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Der Scammer weiß ja auch nicht, dass es sich bei der betroffenen Mailadresse um eine lokale Parteigliederung handelt.
    Die Adresse wird ausschließlich auf der Website der Parteigliederung genannt und wurde extra dafür eingerichtet.

    Egal, ich mache nicht den Lockvogel, nicht mal aus einer Sandbox.

    Aber danke fürs Mit-Tüfteln.

    Wuschel
    Wer mir was tut, sei auf der Hut!

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Ist die E-Mail-Adresse durch Robots an der Stelle auslesbar? Dann wurde sie offenbar "geerntet" und einfach vollgespammt.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  7. #7
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Ist die E-Mail-Adresse durch Robots an der Stelle auslesbar? Dann wurde sie offenbar "geerntet" und einfach vollgespammt.
    Das ist anzunehmen. Ich frage mal unseren Webmaster, ob er E-Mail-Adressen robotfest machen kann.

    Ob es eine gezielte Mail war oder "einfach vollgespammt" wurde, ist wohl nicht herauszufinden.
    Wer mir was tut, sei auf der Hut!

  8. #8
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.430

    Standard

    Robotfest geht nicht, da die Seite ja offen ist. Das hält nur die Robots ab, die dem Wunsch auch entsprechen.
    ____
    IANAL

  9. #9
    Urgestein Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    5.774

    Standard

    Zitat Zitat von Ralgert Beitrag anzeigen
    Robotfest geht nicht, da die Seite ja offen ist. Das hält nur die Robots ab, die dem Wunsch auch entsprechen.
    Sorry, es hätte "harvesterfest" heißen müssen. Man kann die E-Mail-Adresse verschlüsseln. Im Quellcode der Seite sind dann nur Hieroglyphen zu sehen. Klickt man drauf, werden die Hieroglyphen entschlüsselt und aufgrund des mailto:-Kommandos die Mailfunktion mit der richtigen E-Mail-Adresse geöffnet.

    Die Details müsste dir jemand anderer erklären - ich programmiere keine Webseiten.
    Wer mir was tut, sei auf der Hut!

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen