Seite 61 von 68 ErsteErste ... 11515960616263 ... LetzteLetzte
Ergebnis 601 bis 610 von 676

Thema: Volksbank-Phishing

  1. #601
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Heute wieder Bot-Hosting:


    header:
    01: Received: from net203-184-047.mclink.it (HELO net203-184-047.mclink.it)
    02: [213.203.184.47] by mx0.gmx.net (mx081) with SMTP; 25 Nov 2007 xx:xx:xx +0100

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/banking/portal?id=....

    Mail-Source wieder identisch zum Sparkassen Phishing.

    - kjz

  2. #602
    Senior Mitglied Avatar von Grisu_LZ22
    Registriert seit
    08.03.2006
    Ort
    Hier *wink* (hemisphaericus forumsicus)
    Beiträge
    2.786

    Standard ... auf ein neues ...


    header:
    01: Return-Path: <rechnungen-idxxxxvr [at] vr-networld.de>
    02: Received: from mailin27.aul.t-online.de (mailin27.aul.t-online.de
    03: [172.20.27.77])
    04: by mhead10 with LMTP; Mon, 26 Nov 2007 xx:xx:xx +0100
    05: X-Sieve: CMU Sieve 2.2
    06: Received: from 10001266980.0000029838.acesso.oni.pt ([89.26.172.76]) by
    07: mailin27.aul.t-online.de
    08: with smtp ID: [ID filtered]
    09: Received: from applaud.sexpopka.com (unknown [30.98.88.124])
    10: by jerkvids.com with SMTP ID: [ID filtered]
    11: for <fake>; Mon, 26 Nov 2007 xx:xx:xx -0600
    12: Received: from twenty.hot.ee (ehlo hot.ee.sapphicparadise.com [32.141.66.32])
    13: by royalfreehost.com with SMTP ID: [ID filtered]
    14: for <fake>; Mon, 26 Nov 2007 xx:xx:xx -0400
    15: From: "Volksbanken Raiffeisenbanken" <rechnungen-idxxxvr [at] vr-networld.de>
    16: To: "fake" <fake>
    17: Date: Mon, 26 Nov 2007 xx:xx:xx -0500
    18: X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
    19: X-Priority: 3 (Normal)
    20: MIME-Version: 1.0
    21: Content-Type: multipart/alternative;
    22: boundary="--N54G0Y9GI3_9263PBH9"
    23: X-TOI-SPAM: y;1;2007-11-26Txx:xx:xxZ
    24: X-TOI-VIRUSSCAN: clean
    25: X-TOI-EXPURGATEID: [ID filtered]
    26: X-TOI-SPAMCLASS: SPAM, NORMAL
    27: X-TOI-MSGID: [ID filtered]
    28: X-Seen: false
    29: X-ENVELOPE-TO: <meine email>
    30: X-NAS-BWL: No match found for 'rechnungen-idxxxvr [at] vr-networld.de' (64 addresses, 0
    31: domains)
    32: X-NAS-AutoBlock-Code: 4
    33: X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu
    34: unsichtbaren Text enthalten
    35: Subject: [Norton AntiSpam] *SPAM* Volksbanken Raiffeisenbanken: amtliche
    36: Nachrichten (nachrichtenzahl: ch51904831c)
    37: X-NAS-Classification: 1
    38: X-NAS-MessageID: [ID filtered]
    39: X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}

    Der Link führt zu:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]banking/portal?id=

    112 - eine echt heiße Nummer
    Ein steter Quell der Weisheit: Das
    Antispam-Wiki.
    Lesen bildet!

  3. #603
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard


    header:
    01: Received: by x (Postfix, from userID: [ID filtered]
    02: ID: [ID filtered]
    03: Received: from 85.233.52.230.static.cablesurf.de (85.233.52.230.static.cablesurf.de
    04: [85.233.52.230])
    05: by x (Postfix) with SMTP ID: [ID filtered]
    06: for <x>; Thu, 6 Dec 2007 xx:xx:xx +0100 (CET)
    07: Received: from durance.i-cable.com (ehlo ge.com.factset.com [132.188.101.230])
    08: by eggdns.com with SMTP ID: [ID filtered]
    09: for <x>; Wed, 05 Dec 2007 xx:xx:xx -0600
    10: Received: from [115.188.172.136] (HELO alewife.allsaintsfan.com)
    11: by obozrevatel.com with SMTP ID: [ID filtered]
    12: for <x>; Thu, 06 Dec 2007 xx:xx:xx +0100
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/banking/portal?id=*schnipp*

    Gespamt über Kabelfernsehen München. Keinerlei Einträge im DNS vorhanden aber die Zoneninformation sieht doch bekannt aus:
    [Link nur für registrierte Mitglieder sichtbar. ]

    Nachtrag:
    Spamcop findet wohl noch was im Cache und verweist beim Hosting auf Commercial IP network Telekomunikacja Podlasie.
    Geändert von schara56 (06.12.2007 um 09:18 Uhr) Grund: Spamcop-Nachtrag
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  4. #604
    Neues Mitglied
    Registriert seit
    06.12.2007
    Beiträge
    1

    Standard Volksbanken weißer Trailer

    Hallo, ich habe dieses Mail bekommen:

    Sehr geehrter Kunde, sehr geehrte Kundin,

    Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

    Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

    [Link nur für registrierte Mitglieder sichtbar. ]

    Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

    =================================================

    VR-NetWorld GmbH
    @ 2007 Volksbanken Raiffeisenbanken AG

    Der Link, war hinterlegt mit dieser Adresse:
    href="/jump.htm?goto=http%3A%2F%2Fvr%2Dnetworld%2Ede%2Ey%2Ecom%2Eai%2Fbanking%2Fportal% 3Fid%3D402384140681481551234143961547013877891409102528661889577"

    Dann war in dem html-Mail, das wie ein einfaches Text-File aussah, auch noch einige Zeilen weißer Code auf weißem Grund versteckt:

    0x54, 0x450, 0x8656, 0x7165, 0x38550165, 0x74, 0x663, 0x374, 0x40341411, 0x5, 0x417, 0x6158, 0x26345947 QUM, ELYN, RALE, source, Q6Q4. root: 0x22567072, 0x7179, 0x838, 0x0, 0x910, 0x97, 0x09035834, 0x16, 0x5, 0x3709, 0x43217052 IL2D: 0x41424045, 0x6, 0x3, 0x424, 0x8180, 0x04055453, 0x77625188, 0x84, 0x5, 0x785, 0x20, 0x430, 0x350, 0x4543 0x0096, 0x19568762, 0x12, 0x928, 0x293 0x4931, 0x4050, 0x71, 0x78013541, 0x16, 0x503 0x6, 0x06415885, 0x8, 0x28, 0x4, 0x6, 0x03367151, 0x321, 0x2794, 0x466 0x403, 0x3, 0x4414, 0x49, 0x32870848, 0x1524, 0x01692762, 0x766, 0x5000, 0x738, 0x30914122, 0x5669, 0x65187356, 0x9 0x6, 0x38, 0x8198, 0x6, 0x1343, 0x2996, 0x33

    define: 0x9860, 0x42987399, 0x820, 0x480, 0x8, 0x12, 0x32, 0x3436, 0x006 update: 0x2, 0x46490122, 0x6, 0x6228, 0x885 NFAS: 0x3598, 0x34748754, 0x45, 0x84 engine, 2B6B, function, T46N, function, E9T, 0C1. ML70: 0x4509 E59G: 0x55, 0x5 api, create, close, exe, O69 0x65245340, 0x4, 0x708 0x32, 0x41, 0x3142, 0x8845, 0x4445, 0x28717804, 0x03, 0x67104730, 0x0, 0x864, 0x7, 0x8, 0x49, 0x560, 0x717 HND: 0x9958, 0x185, 0x5, 0x715, 0x50128306, 0x71, 0x9606, 0x762

    RM2: 0x22621665, 0x903, 0x05872817, 0x2 hex: 0x594, 0x67, 0x874, 0x81 J37J: 0x45, 0x9, 0x6 KR4P: 0x41, 0x09, 0x4291, 0x8, 0x898 close 6V2 464 62LV XY42MFZ: 0x204, 0x07940941, 0x467 QP2: 0x8062, 0x383 0x67328334, 0x1694, 0x87, 0x931, 0x16, 0x6871 common IPT cvs 0x6, 0x5, 0x5098, 0x65590171, 0x2407, 0x47288425, 0x4139, 0x77435673, 0x711


    Kann mir jemand den Code erklären? Was muss ich jetzt auf meinem Rechner machen?

  5. #605
    Mittwoch
    Gast

    Standard

    Zitat Zitat von AndreasTL Beitrag anzeigen
    whois:http://vr-networld.de/banking/portal?id=...

    Dann war in dem html-Mail, das wie ein einfaches Text-File aussah, auch noch einige Zeilen weißer Code auf weißem Grund versteckt:
    Hallo AndreasTL,
    zunächst einmal die Bitte, alle externen Links sicherheitshalber in Whois-Tags einzufassen, also z.B. [*whois]Link[*/whois] (die * weglassen). Das vermeidet, daß man sich irrtümlicherweise verklickt und so evtl. irgendwelche Krankheiten enfängt.

    Der tatsächliche Link der Mailadresse führt auf die Domain
    whois:http://vr-networld.de.y.com.ai/banking/portal?id=123456789012345 , also nach Anguilla in die Karibik. y[cot]com[dot]ai ist aber, soweit ich rausfinden konnte, überhaupt nicht vergeben. Seltsam sowas.
    Seltsam ist in diesem Zusammenhang auch, daß die URL einen SessionCode (die lange Nummer am Ende) enthält, der höchstwahrscheinlich zur Verifizierung Deiner Mailadresse dient. Sowas würde ich hier im Forum immer anonymisieren.

    Was den Code am Ende der Mail angeht: Ich bin kein Informatiker, aber ich vermute sehr stark, daß der Code "nur" dazu dienen sollte, die Spamfilter zu täuschen, da er der Textdarstallung von Dateianhängen stark ähnelt. Wenn Du Deinem Mailprogramm untersagt hast, aktive Inhalte auszuführen (was man ja IMMER tun solte) und Deine Virusscanner auf Trab hälst, sollte es ausreichen, die Mail zu löschen.

    Schönen Gruß
    Mittwoch

    P.S.: Bitte an die Mods um Überarbeitung von AnderasTL's Beitrag.

  6. #606
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Zitat Zitat von Mittwoch Beitrag anzeigen
    y[cot]com[dot]ai ist aber, soweit ich rausfinden konnte, überhaupt nicht vergeben. Seltsam sowas. .
    hab es mit einem anderen Whoisdienst auch nicht ermitteln können
    die Seite läßt sich aber ( völlig blank) ohne Fehlermeldung aufrufen
    whois:y.com.ai/
    ist wohl eine Subdomain von
    whois:com.ai/
    und bei der bekommt man sogar was gezeigt
    Offshore Information Services has been in the news. We helped start the International Financial Cryptography Association with conferences originally in Anguilla.

    * Anguilla domain registration
    *

    We are located in Anguilla. Anguilla's consumption-based tax system is hospitable to productive firms that create income, profits and wealth. And Anguilla has strict secrecy laws, fresh air, and fantastic beaches.

    * Phone: (264) 497-3255
    * FAX: (264) 497-8470
    * Vince Cate

  7. #607
    Mitglied
    Registriert seit
    13.07.2007
    Ort
    Orbis terrarum
    Beiträge
    67

    Standard

    [Link nur für registrierte Mitglieder sichtbar. ] sagt aber, dass die domain registriert ist. Es sind aber garkeine Kontaktinfos auf der Seite.
    Es ist wahr, daß einige Anwälte unehrliche, arrogante, geldgierige, käufliche, amoralische, rücksichtslose Schleimbeutel sind. Auf der anderen Seite ist es unfair, einen ganzen Berufsstand nur auf Grundlage von ein paar Hunderttausend faulen Äpfeln zu beurteilen - James D. Gordon III

  8. #608
    Mitglied Avatar von sis
    Registriert seit
    18.07.2005
    Ort
    Vor meinem PC
    Beiträge
    593

    Standard Online-Banking (nachrichtenzahl: 0)

    Die Domain 117.kg ist jetzt schon seit mehr als einer Woche auf Botnet-Hosts online. Offenbar eine schwer zu knackende Nuß.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/banking/portal?id=0

  9. #609
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard

    Jede Site hat eine Achillesferse - das DNS. Leider ist whois: [Link nur für registrierte Mitglieder sichtbar. ] wohl eher merkbefreit.

    > set q=soa
    > 117.kg
    Server: [38.105.81.226]
    Address: 38.105.81.226

    117.kg
    primary name server = whois:ns2.myownbay.com
    responsible mail addr = hostmaster.117.kg
    serial = 11737
    refresh = 60 (1 min)
    retry = 120 (2 mins)
    expire = 3600 (1 hour)
    default TTL = 3600 (1 hour)
    <-- erstaunlich lange TTL
    117.kg nameserver = whois:ns1.myownbay.com
    117.kg nameserver = whois:ns2.myownbay.com
    whois:ns1.myownbay.com internet address = whois:38.105.81.226
    whois:ns2.myownbay.com internet address = whois:67.14.18.25

    > set q=a
    > 117.kg
    Server: [38.105.81.226]
    Address: whois:38.105.81.226

    Name: 117.kg
    Addresses: whois:89.136.188.157, whois:76.98.23.94, whois:81.181.106.40, whois:85.121.77.92
    whois:87.68.74.250
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #610
    Mitglied
    Registriert seit
    19.02.2007
    Beiträge
    98

    Standard

    Interessant ist, dass die Bank-Phisher wohl seit ein paar Tagen umgestellt haben und eine 'reine Text'-Anzeige nicht mehr möglich ist. Quelltextanezige ergibt reine Header-Anzeige. Der unerfahrene Empfänger wird so wohl genötigt, die Phish-Anzeige im Original-Text zu lesen !!


    header:
    01: Return-Path: <unterstuetzung-64917435506ib [at] sparkasse.de>
    02: Received: from mailin27.aul.t-online.de (mailin27.aul.t-online.de
    03: [172.20.27.77])
    04: by mhead404 with LMTP; Wed, 12 Dec 2007 xx:xx:xx +0100
    05: X-Sieve: CMU Sieve 2.2
    06: Received: from 247.104.200-77.rev.gaoland.net ([77.200.104.247]) by
    07: mailin27.aul.t-online.de
    08: with smtp ID: [ID filtered]
    09: Received: from fasciculate.kinki-kids.com (HELO kinki-kids.com.mirabilis.com
    10: [22.234.28.200])
    11: by verisign.com with SMTP ID: [ID filtered]
    12: for <xxxxxxxxxx.de>; Wed, 12 Dec 2007 xx:xx:xx -0600
    13: From: "Sparkasse" <unterstuetzung-64917435506ib [at] sparkasse.de>

    (im Header erscheint als Text nun nur noch die Fonts)

    bei Vollansicht lautet der Text
    Sehr geehrter Kunde, sehr geehrte Kundin,

    Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

    Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

    das Gleiche für die VB:

    header:
    01: Return-Path: <verweisung-id14489975vr [at] vr-networld.de>
    02: Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de
    03: [172.20.27.74])
    04: by mhead404 with LMTP; Sat, 15 Dec 2007 xx:xx:xx +0100
    05: X-Sieve: CMU Sieve 2.2
    06: Received: from 212-59-203-135.usul.arrakis.es ([212.59.203.135]) by
    07: mailin21.aul.t-online.de
    08: with smtp ID: [ID filtered]
    09: Received: from bmla.com (unknown [132.240.80.217])
    10: by ntlworld.com with SMTP ID: [ID filtered]

    gleicher Text wie bei Sparkasse
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    VR-NetWorld GmbH

    Rest wie in #466
    Geändert von baca (15.12.2007 um 15:47 Uhr) Grund: Header-Anfang weggesumpft

Seite 61 von 68 ErsteErste ... 11515960616263 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen