Seite 11 von 53 ErsteErste ... 91011121321 ... LetzteLetzte
Ergebnis 101 bis 110 von 530

Thema: Volksbank-Phishing

  1. #101
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.181

    Standard

    Und weiter geht's: whois:http://www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz/r1/anmelden.cgi

    - kjz

  2. #102
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.312

    Standard

    http://www.spamhaus.org/sbl/sbl.lasso?query=SBL45033

    Auch hier stehen wieder mal einige andere Banken ebenfalls auf dem Phisherserver.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  3. #103
    Senior Mitglied Avatar von Grisu_LZ22
    Registriert seit
    08.03.2006
    Ort
    Hier *wink* (hemisphaericus forumsicus)
    Beiträge
    2.406
    112 - eine echt heiße Nummer
    Ein steter Quell der Weisheit: Das
    Antispam-Wiki.
    Lesen bildet!

  4. #104
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.181

    Standard

    Und wieder eine neu Runde:

    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.annaconda.us/r1/anmelden.cgi

    abgekippt über die Zombies:

    212.106.245.243.adsl.jazztel.es

    rrcs-24-123-250-40.central.biz.rr.com

    - kjz

  5. #105
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.481

    Standard


    header:
    01: Return-Path: <infonum_24710497cts [at] volksbank.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from spc1-roch2-0-0-cust261.bagu.broadband.ntl.com
    08: (spc1-roch2-0-0-cust261.bagu.broadband.ntl.com [86.1.153.6])
    09: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    10: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    12: Message-ID: [ID filtered]
    13: Received: from abet.purinmail.com (purinmail.com.ledzeppelin.com
    14: [126.74.224.252])
    15: by timeanddate.com with SMTP ID: [ID filtered]
    16: for <x>; Mon, 31 Jul 2006 xx:xx:xx -0800
    17: From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006"
    18: <customersupport-8317845495cts [at] vr-networld.de>
    19: To: "x" <x>
    20: Subject: Volksbanken Raiffeisenbanken Online-Banking [Mon, 31 Jul 2006 xx:xx:xx
    21: -0800]
    22: In-Reply-To: "Volksbanken Raiffeisenbanken AG"
    23: <onlinesupport_id_969710368163cts [at] volksbank.de>
    24: User-Agent: Internet Mail Service (5.5.2650.21)
    25: X-Priority: 3 (Normal)
    26: MIME-Version: 1.0
    27: Content-Type: multipart/related;
    28: boundary="TUI9ABVLFGOQW2I30DZ"
    29: X-MailScanner: Found to be clean
    30: X-MailScanner-SpamScore: sssss
    31: X-MailScanner-From: infonum_24710497cts [at] volksbank.de
    32: X-Collected-By: GMX/x
    33: X-GMX-Antivirus: 0 (no virus found)
    34: X-GMX-Antispam: 5
    35: (CAL_HEX,HELO_DYNAMIC_NTL,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LI
    36: K_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,VOLKSBANK_PHISHING_SUBJECT1)
    37: X-GMX-UID: [UID filtered]

    Was'n Dödel - schon wieder den Punkt vergessen...

    Orchinol-Link:
    http://www.volksbank.de.vr-web.networld.onlinebanking.podeskobiz/r1/anmelden.cgi

    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz/r1/anmelden.cgi

    > set q=ns
    > podesko.biz

    podesko.biz nameserver = nsd8.help-our-son.com
    podesko.biz nameserver = nsd7.help-our-son.com

    nsd7.help-our-son.com internet address = 58.102.73.2
    > set q=a
    > nsd8.help-our-son.com
    Nicht autorisierte Antwort:
    Name: nsd8.help-our-son.com
    Address: 83.14.246.114 -> IP von Polish Telecom

    > www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
    Name: www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
    Address: 211.244.211.71

  6. #106
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.181

    Standard

    Zitat Zitat von schara56
    Was'n Dödel - schon wieder den Punkt vergessen...
    Nicht nur das, die whois:http://HELP-OUR-SON.COM Nameserver (No A records exist for help-our-son.com.) sind auch schon tot, also rien ne vas plus... Aber Leo wird mit absoluter Sicherheit in Kürze eine weitere von seinen hunderten auf Vorrat registrierten Domains aus dem Hut zaubern....

    - kjz

  7. #107
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.481

    Standard

    Zitat Zitat von kjz1
    (No A records exist for help-our-son.com.)
    Bedeutet ja nur, dass anscheinend kein A-Eintrag für diesen FQDN gibt; bei DNS-Domänen aber nicht ungewöhnlich (vgl. elop.de oder cdi.de)
    > elop.de
    Name: elop.de

    > www.elop.de
    Nicht autorisierte Antwort:
    Name: www.umleitungen.rmc.de
    Address: 213.155.82.198
    Aliases: www.elop.de



    Für den Phish läuft die Namensauflösung aber bisher ohne Probleme:
    > server nsd8.help-our-son.com
    Standardserver: nsd8.help-our-son.com
    Address: 83.14.246.114

    > www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
    Server: nsd8.help-our-son.com
    Address: 83.14.246.114

    Name: www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
    Address: 58.72.196.130


    Die Namensauflösung funktioniert soweit; auch wenn es keine Informationen über
    - SOA,
    - NS oder
    - MX
    in der Zone gibt. Die A-Eintrage werden aber fein aufgelöst.

    Die indischen Jungs von Satyam Infoway (P) Ltd. scheinen aber brav dabei zu sein:
    > NSD4.HELP-OUR-SON.COM

    Nicht autorisierte Antwort:
    Name: NSD4.HELP-OUR-SON.COM
    Address: 210.18.125.68 -> Satyam Infoway (P) Ltd.

    > NSD5.HELP-OUR-SON.COM

    Nicht autorisierte Antwort:
    Name: NSD5.HELP-OUR-SON.COM
    Address: 210.18.125.69 -> Satyam Infoway (P) Ltd.

    Zumindest einer der NS ist schon bei Spamhaus.org gelistet http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44898
    Geändert von schara56 (01.08.2006 um 12:09 Uhr) Grund: Spamhaus-Eintrag nachgereicht

  8. #108
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.181

    Standard

    Dann greift Leo in bewährter Weise wohl auf DNS-Spoofing zurück, denn:

    Domain Name : help-our-son.com
    Status REGISTRAR-HOLD

    - kjz

  9. #109
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.481

    Standard

    Zitat Zitat von mir selbst
    Punkt vergessen...
    So, jetzt mit '.'; abgekippt über 218.254.230.7 -> HK Cable TV Ltd


    header:
    01: Return-Path: <online_support_id_7314026017928cts [at] volksbank.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from cm218-254-230-7.hkcable.com.hk (cm218-254-230-7.hkcable.com.hk
    08: [218.254.230.7])
    09: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    10: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    12: Message-ID: [ID filtered]
    13: Received: from pick.perfectgonzo.com (unknown [78.208.107.129])
    14: by capalon.com with SMTP ID: [ID filtered]
    15: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
    16: Received: from poczta.onet.pl (ehlo poczta.onet.pl.monolithosting.com
    17: [122.169.133.238])
    18: by lmig.com with SMTP ID: [ID filtered]
    19: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0600
    20: From: "Volksbanken Raiffeisenbanken 2006"
    21: <reference-id_4900844145617cts [at] vr-networld.de>
    22: To: "x" <x>
    23: Subject: {Spam?} Achtung [Tue, 01 Aug 2006 xx:xx:xx -0500]
    24: In-Reply-To: "Volksbanken Raiffeisenbanken AG"
    25: <operate-ref9247874096041cts [at] volksbank.de>
    26: X-Mailer: SmartMailer Version 1.56 -German Privat License-
    27: X-Priority: 3 (Normal)
    28: MIME-Version: 1.0
    29: Content-Type: multipart/related;
    30: boundary="1BQM108TEZW3L85"
    31: X-MailScanner: Found to be clean
    32: X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.287, benoetigt 6,
    33: BAYES_90 2.10, BIZ_TLD 0.10, FROM_HAS_ULINE_NUMS 0.96,
    34: HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
    35: MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
    36: RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
    37: X-MailScanner-SpamScore: sssssssss
    38: X-MailScanner-From: online_support_id_7314026017928cts [at] volksbank.de
    39: X-Collected-By: GMX/x
    40: X-GMX-Antivirus: 0 (no virus found)
    41: X-GMX-Antispam: 5
    42: (,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_DHCP,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTR
    43: ST,HTML_IMAGE_ONLY_16,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,
    44: SGID_FROM_MTA_ID,ROUND_THE_WORLD_LOCAL)
    45: X-GMX-UID: [UID filtered]

    Zitat Zitat von header
    26: X-Mailer: SmartMailer Version 1.56 -German Privat License-
    Kommt das von GMX oder von Spammy?

  10. #110
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.312

    Standard

    Die "help-our-son.com"-Nameserver werden nicht mehr aufgelöst. Damit sind die Phishki-Domains "dergun.info" und "podesko.biz" platt.
    Ebenfalls schon ohne DNS-Auflösung: annaconda.us

    Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

Seite 11 von 53 ErsteErste ... 91011121321 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen