Seite 12 von 53 ErsteErste ... 2101112131422 ... LetzteLetzte
Ergebnis 111 bis 120 von 530

Thema: Volksbank-Phishing

  1. #111
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.142

    Standard

    Zitat Zitat von Goofy
    Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.
    Nein, soviel Zeit ist nicht...


    header:
    01: Return-Path: <reference-id_71874cts [at] vr-networld.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from 82.149.228.140 ([218.247.236.53])
    08: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    09: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    10: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Message-ID: [ID filtered]
    12: Received: from sky.com (fund.gayrated.com [12.222.110.84])
    13: by nod32.com with SMTP ID: [ID filtered]
    14: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
    15: Received: from knurl.norika-fujiwara.com (HELO norika-fujiwara.com.choopa.com
    16: [66.136.168.166])
    17: by hotmail.com with SMTP ID: [ID filtered]
    18: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
    19: From: "Volksbanken Raiffeisenbanken AG 2006"
    20: <online_support_id_796971cts [at] vr-networld.de>
    21: To: "x" <x>
    22: Subject: {Spam?} Softwareupdate Tue, 01 Aug 2006 xx:xx:xx -0600
    23: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
    24: User-Agent: Microsoft Internet Mail 4.70.1155
    25: X-Mailer: Microsoft Internet Mail 4.70.1155
    26: X-Priority: 3 (Normal)
    27: MIME-Version: 1.0
    28: Content-Type: multipart/related;
    29: boundary="ZC_ZNOOY2IY8.NLAVT"
    30: X-MailScanner: Found to be clean
    31: X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.883, benoetigt 6,
    32: BAYES_80 1.66, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
    33: HTML_FONT_INVISIBLE 0.60, HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10,
    34: MIME_HTML_ONLY 0.32, MISSING_OUTLOOK_NAME 0.10,
    35: MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
    36: RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
    37: X-MailScanner-SpamScore: ssssssssss
    38: X-MailScanner-From: reference-id_71874cts [at] vr-networld.de
    39: X-Collected-By: GMX/x
    40: X-GMX-Antivirus: 0 (no virus found)
    41: X-GMX-Antispam: 5
    42: (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIM
    43: _HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_HELO_IP_MISMATCH,RCVD_NUMERIC_HELO)
    44: X-GMX-UID: [UID filtered]

    Erbrochen wurde die Spam via China Internet Network Information Center () und gephisht wird nun in Venezuela:
    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.nakias.net/anmelden.cgi

    Die Nameserver liegen nun in Brasilien und Korea (whois:http://200.20.113.102 / whois:http://58.77.73.142):
    nakias.net nameserver = ns2.nakias.net
    nakias.net nameserver = ns1.nakias.net


    Spamhaus.org-Eintrag dazu:
    http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44657
    Geändert von schara56 (01.08.2006 um 20:20 Uhr)

  2. #112
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.830

    Standard

    Auf selbiger IP hat Leo (noch) ein anderes Pferdchen laufen:

    whois:http://www.53.com.wps.portal.secure.utrizen.info/context/

    - kjz

  3. #113
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.142

    Standard

    Zitat Zitat von kjz1
    Pferdchen laufen:
    Ja, aber leider hustet und würgt das DNS mit dieser Domain.

    Man sieht: mühsam phisht der Schmierfink!

  4. #114
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.830

    Standard

    Zitat Zitat von Goofy
    Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.
    Aber nich mit Leo. Der wird von seinen Hintermännern oder der eigenen Gier zum Spam-Akkord getrieben und lässt stundstündlich eine neue Domain ins Rennen:

    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

    Domain-Registrieren kost ja (fast) nix, und die ICANN tut nix....

    - kjz

  5. #115
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.142

    Standard dto.


    header:
    01: Return-Path: <custsupport-482818cts [at] volksbank.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to x
    04: Received: from x [82.149.228.140]
    05: by localhost with POP3 (fetchmail-6.2.5.2)
    06: for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
    07: Received: from 201-255-208-41.mrse.com.ar (201-255-208-41.mrse.com.ar
    08: [201.255.208.41] (may be forged))
    09: by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
    10: for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
    11: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    12: Message-ID: [ID filtered]
    13: Received: from internet1x2.com (unknown [81.10.197.41])
    14: by atlanta.com with SMTP ID: [ID filtered]
    15: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
    16: Received: from singapore.net (eddy.singapore.net [88.5.148.46])
    17: by telia.com with SMTP ID: [ID filtered]
    18: for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
    19: From: "Volksbanken Raiffeisenbanken 2006"
    20: <operator_5597039892157cts [at] vr-networld.de>
    21: To: "x" <x>
    22: Subject: {Spam?} Volksbanken Raiffeisenbanken Banking Tue, 01 Aug 2006 xx:xx:xx -0100
    23: X-Authentication-Warning: P80-chicago51.SI381xvjb.tandastudios.com (helo
    24: pirate.livejournal.com [120.213.24.216]): mq144whoosh set sender to
    25: custservice_ref_67525032834cts [at] vr-networld.de using -z
    26: User-Agent: Pegasus Mail for Win32 (v2.53/R1)
    27: X-Priority: 3 (Normal)
    28: MIME-Version: 1.0
    29: Content-Type: multipart/related;
    30: boundary="59T3PT0EYYHBAPNW"
    31: X-MailScanner: Found to be clean
    32: X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.538, benoetigt 6,
    33: BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
    34: HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
    35: MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
    36: RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DSBL 0.71, RCVD_IN_SORBS 0.10)
    37: X-MailScanner-SpamScore: ssssssssssss
    38: X-MailScanner-From: custsupport-482818cts [at] volksbank.de
    39: X-Collected-By: GMX/x
    40: X-GMX-Antivirus: 0 (no virus found)
    41: X-GMX-Antispam: 5
    42: (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_IPADDR2,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HT
    43: L_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_I
    44: ,ROUND_THE_WORLD_LOCAL)
    45: X-GMX-UID: [UID filtered]

    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

    Gespammt hat das Sparschweinchen über whois:http://201.255.208.41 und gehostet wird der Rotz in Venezuela

    duoxao.info nameserver = nsw1.duoxao.info
    duoxao.info nameserver = nsw3.duoxao.info

    nsw1.duoxao.info internet address = whois:http://58.102.73.2
    nsw3.duoxao.info internet address = whois:http://58.72.196.130

    Created On:31-Jul-2006 16:02:43 UTC
    Sponsoring Registrar:MIT (R141-LRMS) (Melbourne IT Limited dba Internet Names WorldWide)


    Update:
    Ich hatte mal bei Melbourne IT angefragt, warum ausgerecht die immer (oder häufig) als Registrar für spätere Phishingdomains auftauchen und siehe da die Antwort:
    Zitat Zitat von Melbourn IT
    A Melbourne IT Reseller manages the domains specified in your message.

    Please contact this reseller using the details below for any assistance you require. If the person you contact refers you back to us, ask them if they would please contact us on your behalf.

    Reseller details:

    Legato Ltd
    Web address: http://www.WebNames.Ru
    Email address: info@regtime.net

    ]...[

    Kind Regards,
    Melbourne IT Customer Support
    Geändert von schara56 (02.08.2006 um 00:18 Uhr) Grund: Melbourn IT Kommentar hinzugefügt

  6. #116
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.830

    Standard

    Das liebe ich insbesondere so an den schwarzbehüteten Registraren: schieben alle Verantwortung auf den pöhsen Reseller ab. Warum braucht es überhaupt Reseller? Bekommen die Registrare den Vertrieb nicht mehr alleine geregelt? Oder reine Geldgeilheit? Und: die ICANN vergibt doch Lizenzen an jede Hinterhofhütte...

    - kjz

  7. #117
    Senior Mitglied Avatar von Telekomunikacja
    Registriert seit
    17.07.2005
    Ort
    Nach dem Umzug 'mal wieder woanders
    Beiträge
    1.032

    Standard


    header:
    01: Return-Path: <customersupport_00679544101cts [at] vr-networld.de>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to XXX
    04: Received: (qmail invoked by alias); 01 Aug 2006 xx:xx:xx -0000
    05: Received: from mcn-gd17152.miyazaki-catv.ne.jp (HELO mcn-gd17152.miyazaki-catv.ne.jp)
    06: [203.140.217.152]
    07: by mx0.gmx.net (mx066) with SMTP; 01 Aug 2006 xx:xx:xx +0200
    08: Received: from uatop.com (unknown [33.77.238.97])
    09: by shyteenies.com with SMTP ID: [ID filtered]
    10: for XXX; Tue, 01 Aug 2006 xx:xx:xx -0500
    11: Received: from allsaintsfan.com (HELO allsaintsfan.com.top100webshops.com
    12: [34.48.184.164])
    13: by fastautosales.com with SMTP ID: [ID filtered]
    14: for XXX; Tue, 01 Aug 2006 xx:xx:xx -0100
    15: From: "VOLKSBANKEN RAIFFEISENBANKEN"
    16: <custsupport-513338cts [at] vr-networld.de>
    17: To: XXX
    18: Subject: Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
    19: X-Authentication-Warning: TRE61-gourmet0.MWJ2ycv.rupornosex.com (worm.amazon.com
    20: [87.176.128.194]): hm482cartography set sender to
    21: customercare-54366323936566cts [at] vr-networld.de using -c
    22: X-Mailer: MIME-tools 5.503 (Entity 5.501)
    23: X-Priority: 3 (Normal)
    24: MIME-Version: 1.0
    25: Content-Type: multipart/related;
    26: boundary="L9HP21WPBS59J4"
    27: Date: Tue, 1 Aug 2006 xx:xx:xx +0200
    28: Message-ID: [ID filtered]
    29: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    30: X-GMX-Antispam: 0 (Mail was not recognized as spam)
    31: X-GMX-UID: [UID filtered]
    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.nakias.net/anmelden.cgi

  8. #118
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.142

    Standard

    Gespammt über comcast (whois:http://65.34.180.74)
    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi
    Registrar: Melbourne IT

    Gespammt über rima-tde.net (whois:http://88.7.99.49)
    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.oluser.info/anmelden.cgi
    Registrar: Melbourne IT

    Gespammt über Telepac - Comunicacoes Interactivas, SA (whois:http://81.193.181.71)
    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi
    Registrar Direct Information Pvt. Ltd. dba PublicDomainRegistry.com (R5-AFIN)

    So wie Leo gerade spammt hat der die Russenmafia am Arsch - hoffentlich...
    Geändert von schara56 (02.08.2006 um 20:19 Uhr) Grund: Frischer Phish

  9. #119
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.830

    Standard

    Leo schlägt wieder zu, nur hat er in aller Hast wieder die TLD vergessen:

    www.volksbank.de.vr-web.networld.onlinebanking.kesadugin/anmelden.cgi

  10. #120
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.142

    Standard

    Zitat Zitat von kjz1
    aller Hast wieder die TLD vergessen
    Ich glaube mittlerweile, dass Leo Borax schnupft so wie der phisht...

    Gespammt über Bezeq International (Israel) (whois:http://84.108.157.218)
    whois:http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi

Seite 12 von 53 ErsteErste ... 2101112131422 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen