Seite 24 von 68 ErsteErste ... 14222324252634 ... LetzteLetzte
Ergebnis 231 bis 240 von 676

Thema: Volksbank-Phishing

  1. #231
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Zitat Zitat von mir selbst
    Punkt vergessen...
    So, jetzt mit '.'; abgekippt über 218.254.230.7 -> HK Cable TV Ltd


    header:
    01: Return-Path: <online_support_id_7314026017928cts [at] volksbank.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from cm218-254-230-7.hkcable.com.hk (cm218-254-230-7.hkcable.com.hk
    08: [218.254.230.7])
    09: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    10: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    12: Message-ID: [ID filtered]
    13: Received: from pick.perfectgonzo.com (unknown [78.208.107.129])
    14: by capalon.com with SMTP ID: [ID filtered]
    15: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
    16: Received: from poczta.onet.pl (ehlo poczta.onet.pl.monolithosting.com
    17: [122.169.133.238])
    18: by lmig.com with SMTP ID: [ID filtered]
    19: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0600
    20: From: "Volksbanken Raiffeisenbanken 2006"
    21: <reference-id_4900844145617cts [at] vr-networld.de>
    22: To: "x" <x>
    23: Subject: {Spam?} Achtung [Tue, 01 Aug 2006 xx:xx:xx -0500]
    24: In-Reply-To: "Volksbanken Raiffeisenbanken AG"
    25: <operate-ref9247874096041cts [at] volksbank.de>
    26: X-Mailer: SmartMailer Version 1.56 -German Privat License-
    27: X-Priority: 3 (Normal)
    28: MIME-Version: 1.0
    29: Content-Type: multipart/related;
    30: boundary="1BQM108TEZW3L85"
    31: X-MailScanner: Found to be clean
    32: X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.287, benoetigt 6,
    33: BAYES_90 2.10, BIZ_TLD 0.10, FROM_HAS_ULINE_NUMS 0.96,
    34: HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
    35: MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
    36: RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
    37: X-MailScanner-SpamScore: sssssssss
    38: X-MailScanner-From: online_support_id_7314026017928cts [at] volksbank.de
    39: X-Collected-By: GMX/x
    40: X-GMX-Antivirus: 0 (no virus found)
    41: X-GMX-Antispam: 5
    42: (,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_DHCP,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTR
    43: ST,HTML_IMAGE_ONLY_16,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,
    44: SGID_FROM_MTA_ID,ROUND_THE_WORLD_LOCAL)
    45: X-GMX-UID: [UID filtered]

    Zitat Zitat von header
    26: X-Mailer: SmartMailer Version 1.56 -German Privat License-
    Kommt das von GMX oder von Spammy?

  2. #232
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Die "help-our-son.com"-Nameserver werden nicht mehr aufgelöst. Damit sind die Phishki-Domains "dergun.info" und "podesko.biz" platt.
    Ebenfalls schon ohne DNS-Auflösung: annaconda.us

    Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  3. #233
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Zitat Zitat von Goofy
    Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.
    Nein, soviel Zeit ist nicht...


    header:
    01: Return-Path: <reference-id_71874cts [at] vr-networld.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from 82.149.228.140 ([218.247.236.53])
    08: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    09: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    10: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Message-ID: [ID filtered]
    12: Received: from sky.com (fund.gayrated.com [12.222.110.84])
    13: by nod32.com with SMTP ID: [ID filtered]
    14: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
    15: Received: from knurl.norika-fujiwara.com (HELO norika-fujiwara.com.choopa.com
    16: [66.136.168.166])
    17: by hotmail.com with SMTP ID: [ID filtered]
    18: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
    19: From: "Volksbanken Raiffeisenbanken AG 2006"
    20: <online_support_id_796971cts [at] vr-networld.de>
    21: To: "x" <x>
    22: Subject: {Spam?} Softwareupdate Tue, 01 Aug 2006 xx:xx:xx -0600
    23: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
    24: User-Agent: Microsoft Internet Mail 4.70.1155
    25: X-Mailer: Microsoft Internet Mail 4.70.1155
    26: X-Priority: 3 (Normal)
    27: MIME-Version: 1.0
    28: Content-Type: multipart/related;
    29: boundary="ZC_ZNOOY2IY8.NLAVT"
    30: X-MailScanner: Found to be clean
    31: X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.883, benoetigt 6,
    32: BAYES_80 1.66, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
    33: HTML_FONT_INVISIBLE 0.60, HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10,
    34: MIME_HTML_ONLY 0.32, MISSING_OUTLOOK_NAME 0.10,
    35: MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
    36: RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
    37: X-MailScanner-SpamScore: ssssssssss
    38: X-MailScanner-From: reference-id_71874cts [at] vr-networld.de
    39: X-Collected-By: GMX/x
    40: X-GMX-Antivirus: 0 (no virus found)
    41: X-GMX-Antispam: 5
    42: (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIM
    43: _HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_HELO_IP_MISMATCH,RCVD_NUMERIC_HELO)
    44: X-GMX-UID: [UID filtered]

    Erbrochen wurde die Spam via China Internet Network Information Center () und gephisht wird nun in Venezuela:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Die Nameserver liegen nun in Brasilien und Korea (whois: [Link nur für registrierte Mitglieder sichtbar. ] / whois: [Link nur für registrierte Mitglieder sichtbar. ]):
    nakias.net nameserver = ns2.nakias.net
    nakias.net nameserver = ns1.nakias.net


    Spamhaus.org-Eintrag dazu:
    [Link nur für registrierte Mitglieder sichtbar. ]
    Geändert von schara56 (01.08.2006 um 20:20 Uhr)

  4. #234
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Auf selbiger IP hat Leo (noch) ein anderes Pferdchen laufen:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/context/

    - kjz

  5. #235
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Zitat Zitat von kjz1
    Pferdchen laufen:
    Ja, aber leider hustet und würgt das DNS mit dieser Domain.

    Man sieht: mühsam phisht der Schmierfink!

  6. #236
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Zitat Zitat von Goofy
    Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.
    Aber nich mit Leo. Der wird von seinen Hintermännern oder der eigenen Gier zum Spam-Akkord getrieben und lässt stundstündlich eine neue Domain ins Rennen:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/anmelden.cgi

    Domain-Registrieren kost ja (fast) nix, und die ICANN tut nix....

    - kjz

  7. #237
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard dto.


    header:
    01: Return-Path: <custsupport-482818cts [at] volksbank.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from 201-255-208-41.mrse.com.ar (201-255-208-41.mrse.com.ar
    08: [201.255.208.41] (may be forged))
    09: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    10: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    12: Message-ID: [ID filtered]
    13: Received: from internet1x2.com (unknown [81.10.197.41])
    14: by atlanta.com with SMTP ID: [ID filtered]
    15: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
    16: Received: from singapore.net (eddy.singapore.net [88.5.148.46])
    17: by telia.com with SMTP ID: [ID filtered]
    18: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
    19: From: "Volksbanken Raiffeisenbanken 2006"
    20: <operator_5597039892157cts [at] vr-networld.de>
    21: To: "x" <x>
    22: Subject: {Spam?} Volksbanken Raiffeisenbanken Banking Tue, 01 Aug 2006 xx:xx:xx -0100
    23: X-Authentication-Warning: P80-chicago51.SI381xvjb.tandastudios.com (helo
    24: pirate.livejournal.com [120.213.24.216]): mq144whoosh set sender to
    25: custservice_ref_67525032834cts [at] vr-networld.de using -z
    26: User-Agent: Pegasus Mail for Win32 (v2.53/R1)
    27: X-Priority: 3 (Normal)
    28: MIME-Version: 1.0
    29: Content-Type: multipart/related;
    30: boundary="59T3PT0EYYHBAPNW"
    31: X-MailScanner: Found to be clean
    32: X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.538, benoetigt 6,
    33: BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
    34: HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
    35: MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
    36: RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DSBL 0.71, RCVD_IN_SORBS 0.10)
    37: X-MailScanner-SpamScore: ssssssssssss
    38: X-MailScanner-From: custsupport-482818cts [at] volksbank.de
    39: X-Collected-By: GMX/x
    40: X-GMX-Antivirus: 0 (no virus found)
    41: X-GMX-Antispam: 5
    42: (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_IPADDR2,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HT
    43: L_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_I
    44: ,ROUND_THE_WORLD_LOCAL)
    45: X-GMX-UID: [UID filtered]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Gespammt hat das Sparschweinchen über whois: [Link nur für registrierte Mitglieder sichtbar. ] und gehostet wird der Rotz in Venezuela

    duoxao.info nameserver = nsw1.duoxao.info
    duoxao.info nameserver = nsw3.duoxao.info

    nsw1.duoxao.info internet address = whois: [Link nur für registrierte Mitglieder sichtbar. ]
    nsw3.duoxao.info internet address = whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Created On:31-Jul-2006 16:02:43 UTC
    Sponsoring Registrar:MIT (R141-LRMS) (Melbourne IT Limited dba Internet Names WorldWide)


    Update:
    Ich hatte mal bei Melbourne IT angefragt, warum ausgerecht die immer (oder häufig) als Registrar für spätere Phishingdomains auftauchen und siehe da die Antwort:
    Zitat Zitat von Melbourn IT
    A Melbourne IT Reseller manages the domains specified in your message.

    Please contact this reseller using the details below for any assistance you require. If the person you contact refers you back to us, ask them if they would please contact us on your behalf.

    Reseller details:

    Legato Ltd
    Web address: [Link nur für registrierte Mitglieder sichtbar. ]
    Email address: [Link nur für registrierte Mitglieder sichtbar. ]

    ]...[

    Kind Regards,
    Melbourne IT Customer Support
    Geändert von schara56 (02.08.2006 um 00:18 Uhr) Grund: Melbourn IT Kommentar hinzugefügt

  8. #238
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Das liebe ich insbesondere so an den schwarzbehüteten Registraren: schieben alle Verantwortung auf den pöhsen Reseller ab. Warum braucht es überhaupt Reseller? Bekommen die Registrare den Vertrieb nicht mehr alleine geregelt? Oder reine Geldgeilheit? Und: die ICANN vergibt doch Lizenzen an jede Hinterhofhütte...

    - kjz

  9. #239
    Senior Mitglied Avatar von Telekomunikacja
    Registriert seit
    17.07.2005
    Ort
    Nach dem Umzug 'mal wieder woanders
    Beiträge
    1.032

    Standard


    header:
    01: Return-Path: <customersupport_00679544101cts [at] vr-networld.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to XXX
    04: Received: (qmail invoked by alias); 01 Aug 2006 xx:xx:xx -0000
    05: Received: from mcn-gd17152.miyazaki-catv.ne.jp (HELO mcn-gd17152.miyazaki-catv.ne.jp)
    06: [203.140.217.152]
    07: by mx0.gmx.net (mx066) with SMTP; 01 Aug 2006 xx:xx:xx +0200
    08: Received: from uatop.com (unknown [33.77.238.97])
    09: by shyteenies.com with SMTP ID: [ID filtered]
    10: for XXX; Tue, 01 Aug 2006 xx:xx:xx -0500
    11: Received: from allsaintsfan.com (HELO allsaintsfan.com.top100webshops.com
    12: [34.48.184.164])
    13: by fastautosales.com with SMTP ID: [ID filtered]
    14: for XXX; Tue, 01 Aug 2006 xx:xx:xx -0100
    15: From: "VOLKSBANKEN RAIFFEISENBANKEN"
    16: <custsupport-513338cts [at] vr-networld.de>
    17: To: XXX
    18: Subject: Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
    19: X-Authentication-Warning: TRE61-gourmet0.MWJ2ycv.rupornosex.com (worm.amazon.com
    20: [87.176.128.194]): hm482cartography set sender to
    21: customercare-54366323936566cts [at] vr-networld.de using -c
    22: X-Mailer: MIME-tools 5.503 (Entity 5.501)
    23: X-Priority: 3 (Normal)
    24: MIME-Version: 1.0
    25: Content-Type: multipart/related;
    26: boundary="L9HP21WPBS59J4"
    27: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    28: Message-ID: [ID filtered]
    29: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    30: X-GMX-Antispam: 0 (Mail was not recognized as spam)
    31: X-GMX-UID: [UID filtered]
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

  10. #240
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Gespammt über comcast (whois: [Link nur für registrierte Mitglieder sichtbar. ])
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Registrar: Melbourne IT

    Gespammt über rima-tde.net (whois: [Link nur für registrierte Mitglieder sichtbar. ])
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Registrar: Melbourne IT

    Gespammt über Telepac - Comunicacoes Interactivas, SA (whois: [Link nur für registrierte Mitglieder sichtbar. ])
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Registrar Direct Information Pvt. Ltd. dba PublicDomainRegistry.com (R5-AFIN)

    So wie Leo gerade spammt hat der die Russenmafia am Arsch - hoffentlich...
    Geändert von schara56 (02.08.2006 um 20:19 Uhr) Grund: Frischer Phish

Seite 24 von 68 ErsteErste ... 14222324252634 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen