Volksbank-Phishing

[exe]

Ich frage mich gerade wieso das hier [Link nur für registrierte Mitglieder sichtbar. ] einen 404 bringt...

Vielleicht hat Leo in einer klaren Phase zwischen seinen Kokslines mal einen Filter eingebaut. Zumindest weiß ich, dass es auch schon eBay-Phishinsites gab, die das Laden der Seite von Phishfighting.com verhindert haben.

[sis]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/r1/xc701133.asp

ist immer noch aktiv (erreichte mich von der 70.95.74.99). Ich bitte herzlich darum, dass jeder geneigte Empfänger sich doch die Mühe macht und manuelle Fake-Einträge vornimmt. Das ist produktiv, macht Spaß, dauert keine 2 Minuten und ersetzt das bereits seit geraumer Zeit nicht mehr greifende <PhishFighting.com>.

[Goofy]

Habe ich gestern schon gemacht.
Zumal Phishki dann keine Möglichkeit hat, nach IPs zu filtern, wenn nur 1 Eintrag pro "Empfänger" erfolgt.
Wenn man sich dann aus der Internet-Session aus- und dann wieder beim Provider einloggt, kriegt man bei den meisten Providern eine neue dynamische IP zugewiesen und darf natürlich gerne nochmal.

[Wuschel_MUC]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/r1/xc701133.asp

Ich bitte herzlich darum, dass jeder geneigte Empfänger sich doch die Mühe macht und manuelle Fake-Einträge vornimmt.

Das mag produktiv, sinnvoll und kurzweilig sein, aber ich würde das nur von einem Testrechner machen und diesen hinterher per Festplattenimage-Zurückkopieren neu aufsetzen.

Wer phisht, kennt sich auch mit Sicherheitslücken besser aus als andere.

Goofys Vorschlag mit Aus- und Einloggen nach jedem Fake-Eintrag erscheint auch vernünftig.

Ich warte aber immer noch darauf, dass Banken Phishing-Sites programmgesteuert mit Desinformation zuschütten und das ungeniert zugeben. Motto: "Herr Kuvajev, verklagen Sie uns vor dem Landgericht Frankfurt am Main, wir freuen uns auf Ihr persönliches Erscheinen als Zeuge!"

Wuschel

[sis]

Das mag produktiv, sinnvoll und kurzweilig sein, aber ich würde das nur von einem Testrechner machen und diesen hinterher per Festplattenimage-Zurückkopieren neu aufsetzen. Wer phisht, kennt sich auch mit Sicherheitslücken besser aus als andere.

Mach mir keinen Kummer. Ich starte schon extra FF 1.5.0.4 (unter WinXP), weil mir das CD-Booten von Knoppix für diesen Spaß einfach zu lange dauert.

Da die "sinled.com"-Pest zur Zeit länger anhält als gewohnt, und mich heute auch schon der zweite wertvolle Volksbank-Hinweis dazu erreicht hat: Hat das schonmal jemand auf Schädlinge untersucht?

[Grisu_LZ22]

Hi. Leo&acute;s neueste Phishing ist um 16.32 eingetroffen

header:

01: X-Symantec-TimeoutProtection: 0
02: Return-Path: <supprefnum3262482 [at] volksbank.de>
03: Received: from mailin18.aul.t-online.de (mailin18.aul.t-online.de
04: 	[172.20.26.73])
05: 	by mhead18 with LMTP; Sat, 08 Jul 2006 xx:xx:xx +0200
06: X-Sieve: CMU Sieve 2.2
07: Received: from u004751.ueda.ne.jp ([210.228.22.12]) by mailin18.sul.t-online.de
08: 	with smtp ID: [ID filtered]
09: Received: from souffle.mrg.com (inet-daemon.com.nastydollars.com
10: 	[74.116.238.86])
11:    by bostream.com with SMTP ID: [ID filtered]
12:    for <fake-addy>; Sat, 08 Jul 2006 xx:xx:xx -0600
13: Received: from butterfly.fcta.com (helo fcta.com.novgorod.com [44.220.124.152])
14:    by ovist.com with SMTP ID: [ID filtered]
15:    for <fake-addy>; Sat, 08 Jul 2006 xx:xx:xx +0300
16: From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport-id-232322724749
17: 	[at] vr-networld.de>
18: To: "fake-addy" <fake-addy>
19: X-OriginalArrivalTime: Sat, 08 Jul 2006 xx:xx:xx -0600
20: User-Agent: PObox II beta1.0
21: X-Priority: 3 (Normal)
22: MIME-Version: 1.0
23: Content-Type: multipart/related; 
24: 	boundary="ZI0M5B9DA0QU09ZW.2OB"
25: X-TOI-SPAM: u;0;2006-07-08Txx:xx:xxZ
26: X-TOI-VIRUSSCAN: unchecked
27: X-TOI-MSGID: [ID filtered]
28: X-Seen: false
29: X-NAS-BWL: No match found for 'onlinesupport-id-232322724749 [at] vr-networld.de' (67
30: 	addresses, 0 domains)
31: X-NAS-Language: Unknown
32: X-NAS-AutoBlock-Code: 4
33: X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu
34: 	unsichtbaren Text enthalten
35: Subject: [Norton AntiSpam] Banking Sat, 08 Jul 2006 xx:xx:xx -0600
36: X-NAS-Classification: 1

"He was floating, floating, floating away condemn actaeon Annie held the match delicately under the nozzle of the Bernz-0-matiC.

He made the mistake of reading the scene where Garp's younger son dies, impaled on a gearshift ]ever, shortly before bed. "Aye, so we do, sair, so we do. She had pasted it in upside down. Amused, he thought: She felt the heat. "They all knew she did it but nobody could prove it. He thought: There comes a point when the very discussion of pain becomes redundant. It was not easy, and I knew I might well have an accident in spite of the studs and the chains. aunt

Der Link geht auf
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/r1/xc701133.asp

[Grisu_LZ22]

Eingeschlagen um 10,36 Uhr:

header:

01: eturn-Path: <support-ref3262234 [at] volksbank.de>
02: Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de
03: 	[172.20.27.74])
04: 	by mhead18 with LMTP; Sun, 09 Jul 2006 xx:xx:xx +0200
05: X-Sieve: CMU Sieve 2.2
06: Received: from 194.25.134.75 ([216.218.114.65]) by mailin21.sul.t-online.de
07: 	with smtp ID: [ID filtered]
08: Received: from all.bg (all.bg.kiev2000.com [35.11.166.146])
09:   by ipowerdns.com with SMTP ID: [ID filtered]
10:   for <fake-addy>; Sun, 09 Jul 2006 xx:xx:xx -0800
11: From: "Volksbanken Raiffeisenbanken" <online_support_id_087051
12: 	[at] vr-networld.de>
13: To: "fake" <fake-addy>
14: Date: Sun, 09 Jul 2006 xx:xx:xx +0100
15: User-Agent: MailGate v3.0
16: X-Priority: 3 (Normal)
17: MIME-Version: 1.0
18: Content-Type: multipart/related; 
19: 	boundary="XB5N5SJ3AVL62LO9CUH3K8M2"
20: X-TOI-SPAM: u;0;2006-07-09Txx:xx:xxZ
21: X-TOI-VIRUSSCAN: unchecked
22: X-TOI-MSGID: [ID filtered]
23: X-Seen: false
24: X-NAS-BWL: No match found for 'online_support_id_087051 [at] vr-networld.de'
25: 	(67 addresses, 0 domains)
26: X-NAS-Language: Unknown
27: X-NAS-AutoBlock-Code: 4
28: X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu
29: 	unsichtbaren Text enthalten
30: Subject: [Norton AntiSpam] Sehr wichtig -Sun, 09 Jul 2006 xx:xx:xx -0800
31: X-NAS-Classification: 1
32: X-NAS-MessageID: [ID filtered]
33: X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}

Der Link geht auf ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/r1/xc701133.asp

[schara56]

header:

01: Return-Path: <online_support_id_613826 [at] vr-networld.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 11 Jul 2006 xx:xx:xx -0000
05: Received: from 20150251158.user.veloxzone.com.br (HELO
06: 	20150251158.user.veloxzone.com.br) [201.50.251.158]
07:   by mx0.gmx.net (mx076) with SMTP; 11 Jul 2006 xx:xx:xx +0200
08: Received: from diatribe.pgawtn.com (unknown [12.40.108.37])
09:            by dearpornstars.com with SMTP ID: [ID filtered]
10:            for <x>; Tue, 11 Jul 2006 xx:xx:xx -0800
11: From: "VOLKSBANKEN RAIFFEISENBANKEN AG"
12: 	<reference_id_69999 [at] volksbank.de>
13: To:  <x>
14: Delivered-To: x
15: Subject: Banking [Tue, 11 Jul 2006 xx:xx:xx +0500]
16: User-Agent: MIME-tools 5.503 (Entity 5.501)
17: X-Mailer: MIME-tools 5.503 (Entity 5.501)
18: X-Priority: 3 (Normal)
19: MIME-Version: 1.0
20: Content-Type: multipart/related; 
21: 	boundary="72ZBO7SJOYVBMS6M0LIMAUP"
22: Date: Tue, 11 Jul 2006 xx:xx:xx +0200
23: Message-ID: [ID filtered]
24: X-GMX-Antivirus: 0 (no virus found)
25: X-GMX-Antispam: 2 (GMX Team content blacklist)
26: X-GMX-UID: [UID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/r1/xc701133.asp

Mistspammy hat den Rotz abgekippt über 201.50.251.158 -> Telemar Norte Leste S.A.
Die Domain gnilfil.us löst leider noch auf -> Hanaro Telecom Co.

[kjz1]

Und noch einmal von Leo:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/r1/xc701133.asp

Wie üblich wieder eine Korea-Kiste (Hanaro).

abgekübelt über einen Zombie:

82-33-173-101.cable.ubr06.wiga.blueyonder.co.uk

- kjz

[007]

... und damit das ganze auch möglichst authentisch auf den ersten Blick aussieht, Postleitzahl und zugehörige BLZ der Volksbank bitte korrekt eingeben. Schliesslich wollen wir Phishi mit der gleichen Perfektion begegnen

[Link nur für registrierte Mitglieder sichtbar. ]