Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: Deutsche Bank neue Variante

  1. #1
    Mitglied
    Registriert seit
    05.10.2005
    Beiträge
    86

    Standard Deutsche Bank neue Variante

    Von "Deutsche Bank"<CesyaBenoitxjm@deutsche-bank.de> »
    Betreff Deutsche Bank e-mail wir zu prufen

    Sehr geehrter Kunde,

    Die wichtigste Richtung der Entwicklung vom Online-Service der Deutsche Bank ist Gewaehrleistung der
    Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
    um Ihre Daten - welche Sie der Deutsche Bank zur Verfuegung stellen - gegen Manipulationen, Verlust,
    Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

    Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

    http://www.deutsche-bank.de/rvgqB8Aj...7v7lng24nu3a7t

    Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
    weil unser Endziel die Sicherheit unserer Kunden ist.

    DIE IP des Absenders ist 69.86.46.133

    Abgekippt wieder in den USA

    nur mit diesem link kann ich nix anfangen

    Domain Name.......... mindspring.com

    Service Scan war überall Cobbectiob Refused

    69.86.46.133 user-12lcbk5.cable.mindspring.com

    als ich mitspring.com erreichen wollte wurde die verbindung zurückgesetzt

  2. #2
    Neues Mitglied
    Registriert seit
    30.10.2005
    Beiträge
    6

    Standard Pishing Mail

    Habe folgende Pishing Mail erhalten :

    ----- Original Message -----
    From: Deutsche Bank
    To: (meine Email)
    Sent: Sunday, October 30, 2005 8:45 AM
    Subject: Deutsche Bank e-mail wir zu prufen - (meine Email)


    Sehr geehrter Kunde,

    Die wichtigste Richtung der Entwicklung vom Online-Service der Deutsche Bank ist Gewaehrleistung der
    Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
    um Ihre Daten - welche Sie der Deutsche Bank zur Verfuegung stellen - gegen Manipulationen, Verlust,
    Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

    Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

    http://www.deutsche-bank.de/MVhQdG2e...5g4q1x20x89r3d

    Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
    weil unser Endziel die Sicherheit unserer Kunden ist.



    Das Deutsch ist - wie immer - beschissen :-)))))
    Hinter dem Link steckt natürlich ein ganz anderes Target.
    Dieses Mal wurde versucht, das Link-Ziel über eine Suchmaschine zu verschleiern. Ich habe das ganze in einer VM kurz mal getestet. Als ich den Link angeklickt habe, bekam ich die echte Seite der Deutschen Bank und ein Popup mit Aufforderung Bankdaten+PIN+TAN einzugeben.

    Die Seite der Deutschen Bank ist echt, das Popup dagegen nicht. Das Formular hatte als Target :
    http://www.pochta.ru/regform.php?rid=hosting

    Mein Traceroute auf pochtra.ru :

    C:\>tracert www.pochta.ru

    Routenverfolgung zu www.pochta.ru [81.211.64.20] über maximal 30 Abschnitte:

    1 6 ms 1 ms 1 ms 192.168.8.1
    2 323 ms 399 ms 710 ms 217.0.116.37
    3 297 ms 203 ms 315 ms 217.0.66.166
    4 54 ms 321 ms 183 ms f-ea3.F.DE.net.DTAG.DE [62.154.17.50]
    5 54 ms 55 ms 52 ms 62.156.139.6
    6 161 ms 177 ms 179 ms so-1-3-0-dcr1.fra.cw.net [195.2.10.38]
    7 75 ms 198 ms 76 ms so-2-0-0-ycr2.skt.cw.net [195.2.2.50]
    8 235 ms 76 ms 89 ms ge-1-3-0-zar1.skt.cw.net [166.63.220.147]
    9 704 ms 602 ms 349 ms goldentel5.skt.cw.net [166.63.220.94]
    10 121 ms 98 ms 414 ms cisco02.Moscow.gldn.net [194.186.157.221]
    11 273 ms 398 ms 100 ms cat01.Moscow.gldn.net [194.186.157.134]
    12 * * * Zeitüberschreitung der Anforderung.
    (ab hier bekomme ich nichts mehr)

    Ein Whois auf www.pochta.ru bei ergab :

    domain: POCHTA.RU
    type: CORPORATE
    nserver: ns1.pochta.ru. 81.211.64.2
    nserver: ns2.pochta.ru. 81.211.64.3
    nserver: ns3.pochta.ru. 80.68.240.183
    nserver: ns4.pochta.ru. 194.186.36.181
    state: REGISTERED, DELEGATED
    org: RBC-CENTER
    phone: +7 095 3631111
    fax-no: +7 095 3631125
    e-mail: noc@rbc.ru
    e-mail: hosting@rbc.ru
    registrar: RUCENTER-REG-RIPN
    created: 2001.11.06
    paid-till: 2005.11.07
    source: TC-RIPN

    Last updated on 2005.10.30 15:41:22 MSK/MSD

    (-> Ist ein bereits bekannter russischer Spam-Provider)

    Nachdem ich das Formular mit zufälligen Werten abgeschickt hatte, erschien "Danke" im Popup. Es hatte folgende URL : http://ite.fROmru.cOm/rezult2.html

    Mein Traceroute auf fromru.com :
    C:\>tracert fromru.com

    Routenverfolgung zu fromru.com [81.211.64.20] über maximal 30 Abschnitte:
    (Man beachte : gleiche IP wie bei pochta.ru !)

    1 18 ms 1 ms 1 ms 192.168.8.1
    2 396 ms 563 ms 785 ms 217.0.116.37
    3 474 ms 1036 ms 555 ms 217.0.66.166
    4 619 ms 435 ms 178 ms f-ea3.F.DE.net.DTAG.DE [62.154.17.50]
    5 53 ms 54 ms 52 ms 62.156.139.6
    6 205 ms 52 ms 193 ms so-1-3-0-dcr1.fra.cw.net [195.2.10.38]
    7 237 ms 181 ms 200 ms so-2-0-0-ycr2.skt.cw.net [195.2.2.50]
    8 76 ms 77 ms 75 ms ge-1-3-0-zar1.skt.cw.net [166.63.220.147]
    9 133 ms 103 ms 250 ms goldentel6.skt.cw.net [166.63.220.98]
    10 169 ms 324 ms 255 ms cisco02.Moscow.gldn.net [194.186.157.221]
    11 100 ms 205 ms 107 ms cat01.Moscow.gldn.net [194.186.157.134]
    12 * * * Zeitüberschreitung der Anforderung.
    (ab hier bekomme ich nichts mehr)


    Whois auf fromru.com :

    Registrant:
    Ranet.Ru
    ul. Profsouznaya, 78
    Moskva
    RU

    Domain Name: FROMRU.COM

    Administrative Contact, Technical Contact:
    Ranet.Ru hosting@rbc.ru
    ul. Profsouznaya, 78
    Moskva
    RU
    +7 095 3630309

    Record expires on 15-Jan-2006.
    Record created on 15-Jan-2001.
    Database last updated on 30-Oct-2005 07:29:57 EST.

    Domain servers in listed order:

    NS1.POCHTA.RU
    NS2.POCHTA.RU
    NS3.POCHTA.RU
    NS4.POCHTA.RU


    Whois Server Version 1.3

    Domain names in the .com and .net domains can now be registered
    with many different competing registrars. Go to http://www.internic.net
    for detailed information.

    Domain Name: FROMRU.COM
    Registrar: NETWORK SOLUTIONS, LLC.
    Whois Server: whois.networksolutions.com
    Referral URL: http://www.networksolutions.com
    Name Server: NS1.POCHTA.RU
    Name Server: NS2.POCHTA.RU
    Name Server: NS3.POCHTA.RU
    Name Server: NS4.POCHTA.RU
    Status: REGISTRAR-LOCK
    Updated Date: 03-aug-2005
    Creation Date: 15-jan-2001
    Expiration Date: 15-jan-2006


    >>> Last update of whois database: Sun, 30 Oct 2005 02:12:06 EST <<<



    Ein Whois auf die IP ergab :

    inetnum: 81.211.64.0 - 81.211.64.127
    netname: SOVINTEL-RBC-NET
    descr: Moscow Russia
    descr: Pochta.ru network
    country: RU
    admin-c: PN1109-RIPE
    tech-c: PN1109-RIPE
    status: ASSIGNED PA
    mnt-by: SOVINTEL-MNT
    notify: ncc@sovintel.ru
    notify: noc@rbc.ru
    changed: maslov@sovintel.ru 20040826
    source: RIPE

    route: 81.211.0.0/17
    descr: EDN Sovintel
    origin: AS3216
    mnt-by: AS3216-MNT
    changed: dbf@sovam.com 20031106
    source: RIPE

    role: Pochta.ru NOC
    address: RosBusinessConsulting
    address: 78, Profsoyuznaya
    address: Moscow, Russia, 117393
    phone: +7 095 363 1111
    remarks: *****************************************************
    remarks: Please send abuse and spam reports to abuse@pochta.ru
    remarks: *****************************************************
    e-mail: noc@pochta.ru
    admin-c: SA2167-RIPE
    tech-c: SA2167-RIPE
    tech-c: SA1414-RIPE
    nic-hdl: PN1109-RIPE
    mnt-by: RBC-MNT
    changed: ivanov@rbc.ru 20040824
    source: RIPE

  3. #3
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Habt ihr auch den originalen Phishing-Link (der mit dem PopUp)?

    Ohne den Link kann ich das nicht nachvollziehen. Der Link in den Postings ist nicht der richtige und führt nur zur DB.
    Irren ist menschlich - aber für richtig dumme Sachen braucht man einen Computer.

  4. #4
    Neues Mitglied
    Registriert seit
    30.10.2005
    Beiträge
    6

    Standard Formulare

    Die URL des ersten Popups ist :
    http://ite.fROmru.cOm/welcome3.html
    Sie enthält das Formular, das auszufüllen ist.

    Diese Daten werden dann weitergeschickt. Das Target sieht dann beispielsweise so aus :

    http://ite.fROmru.cOm/obr2.html?go=h...s5=12345&ve=se

    (könnte nicht jemand ein Progrämmchen schreiben, welches diesen Link so alle 5 Sekunden abschickt ?)


    Die Dankeschön-Seite, die sich daraufhin auch gleich versucht zu schließen, ist diese :
    http://ite.fromru.com/rezult2.htmlht...m/rezult2.html

  5. #5
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Hast du auch den Link mit der Suchmaschine?
    Zitat Zitat von antigen
    Dieses Mal wurde versucht, das Link-Ziel über eine Suchmaschine zu verschleiern.
    Der ist das Interessante daran.
    Irren ist menschlich - aber für richtig dumme Sachen braucht man einen Computer.

  6. #6
    Neues Mitglied
    Registriert seit
    30.10.2005
    Beiträge
    6

    Standard Suchmaschinen-Link

    Yep, das ist der hier :

    http://ww.google.cl/url?q=http://ww....62kl%67%75lha/

    Ist wohl mehrmals verschachtelt :-)

  7. #7
    Neues Mitglied
    Registriert seit
    30.10.2005
    Beiträge
    6

    Standard Der Startlink...

    Geht wohl über
    http://ww.google.cl (Google Chile),
    http://ww.GOOglE.ie (Google Irland),
    http://w.GOOGLE.ms (Google Montserrat)
    zu
    http://users.cjb.net/kklgulha

  8. #8
    Neues Mitglied
    Registriert seit
    30.10.2005
    Beiträge
    6

    Standard

    Hmm, ein Whois bei CJB ergibt :

    CJB.NET WHOIS Server [whois.cjb.net]

    Hostname: KKLGULHA.CJB.NET
    Registrant: oggexp@msn.com
    Redirected To: http://www.rockofgibraltar.com/

    Sun Oct 30 08:07:35 MST 2005

    Das gilt aber anscheinend nur für
    http://kklgulha.cjb.net/
    nicht aber für
    http://users.cjb.net/kklgulha

  9. #9
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Hinter dem ganzen verschachtelten Escape-Code verbirgt sich der eigentliche Link: www.ite.fromru.com
    (Diese Website leitet zur Deutschen Bank weiter und öffnet gleichzeitig das Phishing-Fenster.)

    whois:http://fromru.com ist ein IT-Dienstleiter und dahinter steht vermutlich diese Firma: http://ftp.ripe.net/membership/indices/data/ru.ti.html

    Zwei interessante Links habe ich noch gefunden:
    http://64.233.183.104/search?q=cache...de&lr=&strip=1
    http://64.233.183.104/search?q=cache...+3630309&hl=de

    Das Ganze sieht wieder einmal nach Leo Kuvayev aus.


    BTW: Bei Mozilla & Co funktioniert der Escape-Code im Link nicht ;-)
    Irren ist menschlich - aber für richtig dumme Sachen braucht man einen Computer.

  10. #10
    Neues Mitglied
    Registriert seit
    30.10.2005
    Beiträge
    6

    Standard

    Zitat Zitat von Sirius
    Hinter dem ganzen verschachtelten Escape-Code verbirgt sich der eigentliche Link: www.ite.fromru.com
    (Diese Website leitet zur Deutschen Bank weiter und öffnet gleichzeitig das Phishing-Fenster.)
    Das sehe ich nicht ganz so, meiner Meinung nach steckt hinter dem Escape-Code zunächst mal dieser Link :
    http://users.cjb.net/kklgulha

    Dafür spricht auch dieser Seiten-Quellcode :
    [HTML]<hTml> <heAD> <meTA hTTP-equiv="RefReSh" conTenT="0; uRl=http://ite%2E%66%52%4f%6DR%75%2ec%4Fm/">$ranpyg</heAD> <BoDy> </BoDy> </hTml>[/HTML]

    Aber das Resultat ist das Gleiche. Denn die Weiterleitung im HTML-Header (die ja auch escaped ist) führt schließlich zu whois:http://fromru.com
    Da die Whois-Abfrage bei cjb.net nichts gebracht hat, handelt es sich um keine feste Redirection sondern anscheinend um eine DynDNS, die ja von CJB.NET auch als Service angeboten wird.

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen