08: Received: from 211.8.35.209 (EHLO www.arena-corp.com) (211.8.35.209) by
09: mta122.mail.mud.yahoo.com with SMTP; Tue, 11 Oct 2005 xx:xx:xx -0700
10: Received: from www.arena-corp.com (localhost [127.0.0.1]) by www.arena-corp.com
11: (8.12.10/8.12.10) with ESMTP ID: [ID filtered]
12: Received: (from iijima [at] localhost) by www.arena-corp.com (8.12.10/8.12.10/Submit) ID:
13: [ID filtered]
14: Date: Wed, 12 Oct 2005 xx:xx:xx +0900 (JST)
15: Message-ID: [ID filtered]
16: To:poor [at] spamvictim.tld
17: Subject: Password Change Required
18: From: "Chase Online Banking" <profile [at] chase.com> Add to Address Book
19: Content-Type: text/html
20: Content-Length: 1427
[Link nur für registrierte Mitglieder sichtbar. ]
Password change required!
Dear sir,
We recently have determined that different computers have logged onto your Chase user profile account, and multiple password failures were present before the logons. We strongly advice CHANGE YOUR PASSWORD.
If this is not completed by Octomber 15, 2005, we will be forced to suspend your account indefinitely, as it may have been used for fraudulent purposes. Thank you for your cooperation.
Click here to Change Your Password
[Link nur für registrierte Mitglieder sichtbar. ]
Thank you for your prompt attention to this matter.
We apologize for any inconvenience.
Thank you for using Chase!
Please do not reply to this e-mail. Mail sent to this address cannot be answered.
header: 01: Return-Path: <nobody [at] escalade.websitewelcome.com> 02: X-Flags: 1000 03: Delivered-To: GMX delivery to ich [at] gmx.net 04: Received: (qmail invoked by alias); 13 Dec 2005 22:18:56 -0000 05: Received: from escalade.websitewelcome.com (EHLO escalade.websitewelcome.com) 06: [67.19.27.66] 07: by mx0.gmx.net (mx022) with SMTP; 13 Dec 2005 23:18:56 +0100 08: Received: from nobody by escalade.websitewelcome.com with local (Exim 4.52) 09: id 1EmCun-0001oV-0l 10: for ich [at] gmx.net; Tue, 13 Dec 2005 10:22:09 -0600 11: To:ich [at] gmx.net 12: Subject: WARNING: Confirm Your Chase OnlineSM 13: From:service [at] chase.com 14: Content-Type: text/html; 15: charset=iso-8859-1; 16: Message-Id: <E1EmCun-0001oV-0l [at] escalade.websitewelcome.com> 17: Date: Tue, 13 Dec 2005 10:22:09 -0600 18: X-AntiAbuse: This header was added to track abuse, please include it with any abuse 19: report 20: X-AntiAbuse: Primary Hostname - escalade.websitewelcome.com 21: X-AntiAbuse: Original Domain - gmx.net 22: X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12] 23: X-AntiAbuse: Sender Address Domain - escalade.websitewelcome.com 24: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner) 25: X-GMX-Antispam: 0 (Mail was not recognized as spam)
... und das ist der Text:
Dear
[Link nur für registrierte Mitglieder sichtbar. ],
This is your official notification from Chase Bank that the service(s) listed below will be deactivated and deleted if not renewed immediately. Previous notifications have been sent to the Chase OnlineSM Contact assigned to this account. As the Primary Contact, you must renew (overview) the service(s) listed below or it will be deactivated and deleted.
1. SERVICE : Chase Bank Chase OnlineSM will Bill Payment.
EXPIRATION: 2 Days
2. We recently reviewed your account, and suspect that your Chase OnlineSM Account may have been accessed by and unauthorized third party. Protecting the security of your account and of the Chase Networks is our primary concern.
Login to your Chase OnlineSM Account to verify your details.
Please click on the link below to confirm your information:
{https://chaseonline.chase.com/chase-online/logon/sso_logon.jsp} whois:
[Link nur für registrierte Mitglieder sichtbar. ]
We apologize for any inconvenience this may cause, and appreciate your
assistance in helping us maintain the integrity of the entire Chase OnlineSM system.
Thank you for your prompt attention to this matter.
Chase Bank OnlineSM Support, N.A.
-------
Als Absender und Return-Adresse fungiert: whois:
[Link nur für registrierte Mitglieder sichtbar. ], das scheint ein "Absender-Verschleierungs-Service" zu sein: Whois Privacy Protection Service Inc.
Der Klick-Link geht wohl nach Brasilien und ganz korrektes Englisch ist das Ganze auch nicht (siehe rot)! Macht mir alles nix, bin keine Chase-Kunde!
03: Delivered-To: GMX delivery to poor [at] spamvictim.tld
04: Received: (qmail invoked by alias); 13 Mar 2006 xx:xx:xx -0000
05: Received: from web0.fast.net.uk (EHLO web0.fast.net.uk) [212.42.162.12]
06: by mx0.gmx.net (mx063) with SMTP; 13 Mar 2006 xx:xx:xx +0100
07: Received: from web0.fast.net.uk (localhost [127.0.0.1])
08: by web0.fast.net.uk (8.13.1/8.13.1) with ESMTP ID: [ID filtered]
09: for <poor [at] spamvictim.tld>; Mon, 13 Mar 2006 xx:xx:xx GMT
10: (envelope-from poor [at] spamvictim.tld)
11: Received: (from www [at] localhost)
12: by web0.fast.net.uk (8.13.1/8.13.1/Submit) ID: [ID filtered]
13: Mon, 13 Mar 2006 xx:xx:xx GMT
14: (envelope-from www)
15: Date: Mon, 13 Mar 2006 xx:xx:xx GMT
16: Message-ID: [ID filtered]
17: To:poor [at] spamvictim.tld
18: Subject: Important Notification
19: From: <security [at] chase.com>
20: MIME-Version: 1.0
21: Content-Type: text/html
22: Content-Transfer-Encoding: 8bit
23: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
24: X-GMX-Antispam: 0 (Mail was not recognized as spam)
Chase Personal Banking always look
forward for the high security of our clients. Some customers have been receiving
an email claiming to be from Chase Manhattan advising them to follow a link
to what appear to be a Chase web site, where they are prompted to enter their
personal Online Banking details.JPMorgan Chase & Co. is in no way involved
with this email and the web site does not belong to us.
Wer da noch nicht wach geworden ist, hat es nicht besser verdient, wenn ihm sein Konto abgeräumt wird.
Due to the recent update of the
servers, you are requested to please update your account info at the following
link.
Dann kommt der Link angeblich, so wirds angezeigt, zu
https: // chaseonline.chase.com/ chaseonline/reidentify/sso_reidentify.jsp?LOB=RBGLogon
tatsächlich aber zu: whois:
[Link nur für registrierte Mitglieder sichtbar. ]modules/agendax/images/www.chase.com/
Da gibt es im Moment keine Amtwort!
#> whois edu.tw [Querying whois.twnic.net]
[Unable to connect to remote host]
#> whois 163.27.70.36 [Querying whois.apnic.net]
[Unable to connect to remote host]
Ich bin bei Chase sowieso kein Kunde, daher kann mir die Sicherheit bei Chase egal sein.
Die Meldungen gehen gleich raus! (abuse [at] chase.com und bei GMX als Spam gemeldet)
03: Delivered-To: GMX delivery to poor [at] spamvictim.tld
04: Received: (qmail invoked by alias); 14 Mar 2006 xx:xx:xx -0000
05: Received: from filip.braila.rdsnet.ro (HELO xx) [82.77.91.38]
06: by mx0.gmx.net (mx026) with SMTP; 14 Mar 2006 xx:xx:xx +0100
07: From:service [at] chaseonline.com
08: To:poor [at] spamvictim.tld
09: Date: Tue, 14 Mar 2006 xx:xx:xx +0100
10: Message-ID: [ID filtered]
11: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
12: X-GMX-Antispam: 0 (Mail was not recognized as spam)
13: X-GMX-UID: [UID filtered]
14: X-PM-PLACEHOLDER: .
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0033)
[Link nur für registrierte Mitglieder sichtbar. ] -->
<HTML><HEAD><TITLE>Access Your Accounts</TITLE>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
Da wurde die komplette Seite von CHASE genommen und nur der Kontakt-Link wurde verbogen! Das nenne ich Arbeitsvereinfachung oder Rationalisierung!
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/admin/LogonForm.htm
Der Mail-Text ist natürlich das übliche Gelaber:
You have received this email because we have strong reason to believe that your chase account had been recently compromised. In order to prevent any fraudulent activity from occurring we are required to open an investigation into this matter.
If your account informations are not updated within the next 72 hours, then we will assume this account is fraudulent and will be suspended. We apologize for this inconvenience, but the purpose of this verification is to ensure that your chase account has not been fraudulently used and to combat fraud.
Ist scheinbar ein "Vollprofi" der Phisher. Die Seite wurde mit dem Internet Explorer herunter geladen und gespeichert. Außderm hostet er seine Phishigsite bei einem Freeprovider. Ich hab denen mal eine Abuse geschickt.
Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.
Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
... und wieder so ein schöner Name für den Mail-Server!
[html]
Zitat aus dem Mail-Body:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<meta name="GENERATOR" content="Microsoft FrontPage 4.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>Chase OnlineSM</title>
</head>
<body>
[/html] Diesmal mit Anrede:
Dear
[Link nur für registrierte Mitglieder sichtbar. ],
Der tatsächliche Link ein wenig "verdunkelt"
http:// %36%31%2E%31%30%36%2E%32%37%2E%31%33%33/%72%65%6C%6F%63%61%74%65%2E%68%74%6D%6C
und in Klartext: whois:
[Link nur für registrierte Mitglieder sichtbar. ]relocate.html (Ergebnis: [Unable to connect to remote host] Korea ist weit!)
Es wird css verwendet aber wenn ich es richtig sehe, fehlt die Klassen-Definition für <span class="footerText">.
21: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
22: X-GMX-Antispam: 0 (Mail was not recognized as spam)
23: X-GMX-UID: [UID filtered]
24: X-PM-PLACEHOLDER: .
[Link nur für registrierte Mitglieder sichtbar. ]
Der Phish-Link taucht gleich 4-mal auf, dreimal im Text und zusätzlich im Button "SECURE LOGIN" versteckt. whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Angegebener Mailserver: whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Der HTML-Mail-Text ist durch Dutzende TABs "aufgelockert" und dadurch sehr unübersichtlich gemacht.
Auch dies ist wohl wieder eine Original-Seite mit verbogenen Links.
Lesezeichen