Seite 14 von 68 ErsteErste ... 412131415162464 ... LetzteLetzte
Ergebnis 131 bis 140 von 676

Thema: Volksbank-Phishing

  1. #131
    mareike26
    Gast

    Standard heute aufgeschlagen

    Ich wusste garnicht, dass ich Volksbank-Kunde bin


    header:
    01: Return-Path: <support-ref774403884 [at] vr-networld.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    04: Received: (qmail invoked by alias); 20 Jun 2006 xx:xx:xx -0000
    05: Received: from 7.sub-70-217-142.myvzw.com (HELO 7.sub-70-217-142.myvzw.com)
    06: [70.217.142.7]
    07: by mx0.gmx.net (mx077) with SMTP; 20 Jun 2006 xx:xx:xx +0200
    08: Received: from asus.com [117.137.226.103]
    09: by gamebookers.com with SMTP ID: [ID filtered]
    10: for <poor [at] spamvictim.tld>; Mon, 19 Jun 2006 xx:xx:xx -0800
    11: Received: from grungecafe.com (embroidery.grungecafe.com [66.50.55.37])
    12: by twinkseries.com with SMTP ID: [ID filtered]
    13: for <poor [at] spamvictim.tld>; Tue, 20 Jun 2006 xx:xx:xx -0300
    14: From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport-2872357 [at] volksbank.de>
    15: To: poor [at] spamvictim.tld
    16: Subject: Volksbanken Raiffeisenbanken: obligatorisch zu lesen Mon, 19 Jun 2006 xx:xx:xx
    17: -0800
    18: Organization: VOLKSBANKEN RAIFFEISENBANKEN 2006 onlinesupport_id-199531 [at] volksbank.de
    19: User-Agent: SmartMailer Version 1.56 -German Privat License-
    20: X-Priority: 3 (Normal)
    21: MIME-Version: 1.0
    22: Content-Type: multipart/related;
    23: boundary="KMF2IE1QRHG6RL1FGV365W"
    24: Date: Tue, 20 Jun 2006 xx:xx:xx +0200
    25: Message-ID: [ID filtered]
    26: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    27: X-GMX-Antispam: 0 (Mail was not recognized as spam)
    28: X-GMX-UID: [UID filtered]

    whois:http://www.volksbank.de.vrnetworld.adderi.info/r1/xc701133.asp


    Das ganze war als Bild verschickt:


  2. #132
    Senior Mitglied Avatar von Grisu_LZ22
    Registriert seit
    08.03.2006
    Ort
    Hier *wink* (hemisphaericus forumsicus)
    Beiträge
    2.786

    Standard ... diesmal mit Verwendungszweck "amtlicher Bescheid"

    Heute mal wieder eingeschlagen

    -Symantec-TimeoutProtection: 0
    Return-Path: <customersupport_63545153995 [at] volksbank.de>
    Received: from mailin18.aul.t-online.de (mailin18.aul.t-online.de [172.20.26.73])
    by mhead18 with LMTP; Tue, 20 Jun 2006 00:38:06 +0200
    X-Sieve: CMU Sieve 2.2
    Received: from user138-164.enet.vn ([203.190.164.138]) by mailin18.sul.t-online.de
    with smtp id 1FsSNZ-0bWtqz0; Tue, 20 Jun 2006 00:37:57 +0200
    Received: from [15.91.226.106] (HELO granite.100namesmail.com)
    by spylog.com with SMTP id 3BMH0NW997
    for <fake-addy [at] provider.de>; Mon, 19 Jun 2006 15:38:08 -0800
    Received: from spectrometer.ciberaula.infase.es (helo corbett.ciberaula.infase.es [90.178.89.96])
    by oxeo.com with SMTP id Y4HKWSZK9J
    for <fake-addy [at] provider.de>; Mon, 19 Jun 2006 17:36:08 -0600
    From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <online-support_id_813098277793 [at] volksbank.de>
    To: "M.seemann" <fake-addy [at] provider.de>
    Sender: "Volksbanken Raiffeisenbanken 2006" <onlinesupport-id-0360901 [at] volksbank.de>
    User-Agent: MIME-tools 4.104 (Entity 4.116)
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: multipart/related;
    boundary="8DZPRXMIFVBP5WU6V"
    X-TOI-SPAM: u;0;2006-06-19T22:38:06Z
    X-TOI-VIRUSSCAN: unchecked
    X-TOI-MSGID: 9c5c4a4f-60c7-441e-b7ca-0c9e0537fc5b
    X-Seen: false
    X-NAS-BWL: No match found for ' [Link nur für registrierte Mitglieder sichtbar. ]' (65 addresses, 0 domains)
    X-NAS-Language: Unknown
    X-NAS-AutoBlock-Code: 4
    X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
    Subject: [Norton AntiSpam] amtlicher Bescheid
    X-NAS-Classification: 1
    X-NAS-MessageID: 474
    X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}
    wie immer mit Bild und gleichem Text...


    bespammt wird whois: [Link nur für registrierte Mitglieder sichtbar. ]

    und ab damit in die Mülltonne

    112 - eine echt heiße Nummer
    Ein steter Quell der Weisheit: Das
    Antispam-Wiki.
    Lesen bildet!

  3. #133
    Senior Mitglied Avatar von Grisu_LZ22
    Registriert seit
    08.03.2006
    Ort
    Hier *wink* (hemisphaericus forumsicus)
    Beiträge
    2.786

    Standard langsam wirds langweilig

    Leo, lass Dir mal was neues einfallen


    header:
    01: eturn-Path: <infonum-19393289 [at] volksbank.de>
    02: Received: from mailin25.aul.t-online.de (mailin25.aul.t-online.de
    03: [172.20.27.76])
    04: by mhead18 with LMTP; Tue, 27 Jun 2006 xx:xx:xx +0200
    05: X-Sieve: CMU Sieve 2.2
    06: Received: from 194.25.134.74 ([86.122.168.60]) by mailin25.sul.t-online.de
    07: with smtp ID: [ID filtered]
    08: Received: from denton.ru-traffic.com (unknown [56.205.102.36])
    09: by myramstore.com with SMTP ID: [ID filtered]
    10: for <falsche addy [at] provider>; Tue, 27 Jun 2006 xx:xx:xx -0600
    11: Received: from arkansas.net [110.200.196.201]
    12: by sailorwhores.com with SMTP ID: [ID filtered]
    13: for <falsche addy [at] provider>; Tue, 27 Jun 2006 xx:xx:xx +0400
    14: From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <supprefnum929693045
    15: [at] volksbank.de>
    16: To: "xxxx" <falsche addy [at] provider>
    17: Importance: Normal
    18: User-Agent: MIME-tools 4.104 (Entity 4.116)
    19: X-Mailer: MIME-tools 4.104 (Entity 4.116)
    20: X-Priority: 3 (Normal)
    21: MIME-Version: 1.0
    22: Content-Type: multipart/related;
    23: boundary="LQ5F2VG_.WA3Y6VYW2NAVW9"
    24: X-TOI-SPAM: u;0;2006-06-27Txx:xx:xxZ
    25: X-TOI-VIRUSSCAN: unchecked
    26: X-TOI-MSGID: [ID filtered]
    27: X-Seen: false
    28: X-NAS-BWL: No match found for 'supprefnum929693045 [at] volksbank.de' (66
    29: addresses, 0 domains)
    30: X-NAS-Language: Unknown
    31: X-NAS-AutoBlock-Code: 4
    32: X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu
    33: unsichtbaren Text enthalten
    34: Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Achtung -Tue, 27 Jun
    35: 2006 xx:xx:xx -0600
    36: X-NAS-Classification: 1
    37: X-NAS-MessageID: [ID filtered]
    38: X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}

    Der Link geht auf:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    112 - eine echt heiße Nummer
    Ein steter Quell der Weisheit: Das
    Antispam-Wiki.
    Lesen bildet!

  4. #134
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Was neues einfallen lassen - das sollte er wirklich mal.

    Ausserdem hat Savvis bereits vor dem Spamrun die Domain gekillt. Der Phisherlink läuft ins leere.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  5. #135
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Natürlich heute der neue Aufguss mit funktionierendem Link.


    header:
    01: Received from 194.25.134.11 ([210.75.150.91]) by mailin14.sul.t-online.de with smtp
    02: ID: [ID filtered]

    Phishki-Link:
    w w w . volksbank.de. vrnetworld.dowgar.biz/r1/xc701133.asp

    218.201.130.181 China Mobile Communications Corporation - shandong
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  6. #136
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Momentan landet der Phisher-Link im Seiten-Aus.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  7. #137
    Senior Mitglied Avatar von Grisu_LZ22
    Registriert seit
    08.03.2006
    Ort
    Hier *wink* (hemisphaericus forumsicus)
    Beiträge
    2.786

    Standard *verwundert*

    Nanu - Server in China und trotzem geht der Link schon nicht mehr??

    Geschehen etwa noch Zeichen und Wunder?

    112 - eine echt heiße Nummer
    Ein steter Quell der Weisheit: Das
    Antispam-Wiki.
    Lesen bildet!

  8. #138
    Mitglied Avatar von sis
    Registriert seit
    18.07.2005
    Ort
    Vor meinem PC
    Beiträge
    593

    Standard selred.org

    w w w . volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

  9. #139
    Mitglied Avatar von Mycroft
    Registriert seit
    30.03.2006
    Ort
    Hamburg-Süd
    Beiträge
    123

    Standard

    Selred.org - mit 4 (!) Nameservern auf einem gekaperten Rechner in Frankreich (um das Wort Botnet mal zu vermeiden), ist nach Leos Baukastenprinzip gestrickt - unter selred.org/r1/b/ z.B. liegt die Phishing Adresse für die Barclays Bank. Offenbar ist der Phisher aber hier dazu übergegangen, die Seiten nicht in gesonderte Ordner pro Bank zu legen, sondern ihnen Phantasienamen zu geben und sie auf der Grundlinie liegen zu lassen. Ein bisschen unordentlich, aber es verschleiert die Sitestruktur.
    Weitere Phishing Sites nach dem gleichen Strickmuster (domain/r1/xxx) auf dem gleichen Rechnernetz:
    dowgar.biz
    topmal.biz
    ibs-inc.biz
    taldur.ws

    Mulitreiber ebenda:
    farsight-finance.us
    Bereits registriert, aber noch nicht online ( u.U. bereits verbrannt):
    original-ie-cards.net, payments-manager.net, glenhard.us, benjen.co.in, adnrewdun.in, cpss2k.com, migclub.com
    Bisher hat mich das 21. Jahrhundert doch eher enttäuscht...

  10. #140
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Gab's auf den Servern auch mal Online-Casinos? Da ist das Muster ja:

    domain.<tld>/d1/irgendwas

    sieht also nach demselben Urheber aus.

    - kjz

Seite 14 von 68 ErsteErste ... 412131415162464 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen