PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Phishing] Offizielle informationen fur Deutsche Bank kunden



mindphlux
05.09.2004, 23:57
From - Mon Sep 06 xx:xx:xx 2004
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <online [at] deutsche-bank.de>
Delivered-To: x
Received: (qmail 4339 invoked from network); 6 Sep 2004 xx:xx:xx -0000
Received: from unknown ([62.67.200.159])
by twister.ispgateway.de (qmail-ldap-1.03) with QMQP; 6 Sep 2004 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx08.ispgateway.de x
Received: (qmail 30088 invoked from network); 6 Sep 2004 xx:xx:xx -0000
Received: from unknown (HELO compuserve.com) ([68.34.170.178])
(envelope-sender <poor [at] spamvictim.tld>)
by mx07.ispgateway.de (qmail-ldap-1.03) with SMTP
for <x>; 6 Sep 2004 xx:xx:xx -0000
Date: Mon, 06 Sep 2004 xx:xx:xx +0000
From: Deutsche Bank <online [at] deutsche-bank.de>
Subject: Offizielle informationen fur Deutsche Bank kunden
To: x <x>
References: <LG3EHBDL07FDE6GG [at] nddb.de>
In-Reply-To: <LG3EHBDL07FDE6GG [at] nddb.de>
Message-ID: [ID filtered]
Reply-To: Deutsche Bank <online [at] deutsche-bank.de>
Sender: Deutsche Bank <online [at] deutsche-bank.de>
MIME-Version: 1.0
Content-Type: text/html; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on
mx08.ispgateway.de
X-Spam-Level: *
X-Spam-Status: No, hits=1.3 required=9999.0 tests=HTML_MESSAGE,MIME_HTML_ONLY,
NORMAL_HTTP_TO_IP autolearn=no version=2.61
X-Bayesian-Result: Clean (0)
X-SpamPal: SPAM CHI-KOR 221.6.105.59 BODY
Sehr geehrter Kunde!
Aufgrung der erhorten betrugerischen Aktivitaten
unterziehen wir unsere Mitgliederkonten einer genauen
Prufung. Sie werden gebeten unsere Seite mit dem
unten angegebenen Link zu besuchen. Dies ist notwendig
um Ihnen weiterhin eine sichere und risikofreie
Umgebung zu gewahren in der sie online Geld-Transaktionen
durchfuhren konnen. Bitte fullen geben Sie uns alle
Informationen die wir benotigen. Andernfalls konnten wir
Ihr Konto nicht verifizieren und ihr Zugang zum Konto
mubte gesperrt werden.<br>
Vielen Dank.
http://221.6.105.59/secure/db/woa.html versteckt unter https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa

Auf der Fakesite befindet sich ein Script, welches den Transaktionsmanager "täuschend echt" nachbildet. Ok, nicht GANZ täuschend - denn
a) der Phisher benutzt ein Popup (der echte Manager nicht)
b) das Popup wird mit fester Auflösung 800x600 geöffnet (und ich benutze 1024x768, wie wohl die meisten User)
c) man versucht kläglich, eine falsche URL (die nicht mal zum Transaktionsmanager führen würde) unterzujubeln
d) die Email enthält keine Umlaute und faselt von "erhorten" betrugerischen Aktivitäten und ähnlichen Dummfug http://img.homepagemodules.de/hmm.gif
e) der Server steht bei WEIMI TECHINIC CO.,WUXI,JIANGSU Province - Deutsche Bank China, hmm?
Miserable Fälschung. Dabei bin ich sogar Kunde da :)
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Coke1984
06.09.2004, 00:04
der link scheint aber schon platt zu sein, ich komm jedenfalls nicht drauf...
-----------------
"If only God would give me a clear sign. Like making a large deposit in my name at a Swiss bank!"

mindphlux
06.09.2004, 00:06
Hehe, gehts dir wie mir - du hast vermutlich entweder nen Popupkiller oder Opera mit Defaulteinstellung :) Da isn Javascript drauf, was das Popup öffnet.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

DocSnyder
06.09.2004, 00:42
Richtig performant ist der Server tatsächlich nicht... er wird doch nicht etwa gestreichelt? http://img.homepagemodules.de/clown.gifhttp://img.homepagemodules.de/smokin.gif
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

schara56
06.09.2004, 06:08
täusche ich mich oder liegt der Kram wirklich auf:
server-uk.imrworldwide.com -> 62.189.244.254

Coke1984
06.09.2004, 10:05
Tatsächlich da hat doch glatt mein opera das popup gekillt... tztz. Im sourcecode der seite wird als ziel der submit-aktion eine login.php angegeben, ruft man diese direkt auf gibts natürlich fehler weil kein feld ausgefüllt ist...
http://221.6.105.59/secure/db/login.php
Die Fehlermeldungen verweisen auf das Verzeichniss "C:winnt$NtUninstallQ814033$datasp3db"; das legt nahe das es sich beim server um eine gehackte kiste handelt; wenn es sich um einen gehosteten server handeln würde wäre es überflüssig das ziel der anfrage derart zu verstecken.
-----------------
"If only God would give me a clear sign. Like making a large deposit in my name at a Swiss bank!"