PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Phishing] "Kundeninformation Deutsche Postbank AG"



pewe222
17.09.2004, 07:04
Received: from [219.248.206.143] (helo=219.248.206.143)
by mx29.web.de with smtp (WEB.DE 4.101 #87)
ID: [ID filtered]
for poor [at] spamvictim.tld;
Fri, 17 Sep 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Fri, 17 Sep 2004 xx:xx:xx +0000
From: "Deutsche Postbank AG"
Subject: "Kundeninformation Deutsche Postbank AG"
To: MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1
Sender: billing [at] postbank.de
Sehr geehrter Postbankkunde,

In der letzter Zeit ist es sehr häufig zu betrügerischen Vorfällen bei unserem Service gekommen! Verschiedenste
Spion-Programme installieren sich unbemerkt auf Computern unserer Kunden und versenden persönliche Daten
an Betrüger!
Um sich dagegen zu schützen empfehlen wir Ihnen die neuesten Antivirenprogramm Programme zu
nutzen und diese täglich zu erneuern!
AntiVir Personal Edition
http://www.free-av.de

Trotz Allem haben unsere Experten ermittelt, dass in etwa jedem zweiten Rechner ein Trojaner steckt und die
Passwörter der Postbank auch weitergeschickt wurden!
Um dieses Problem zu lösen wollten wir jeden einzelnen Kunden erneut identifizieren um so die Betrüger zu stoppen!
Mit diesem Verfahren versuchen wir Ihnen die höchste Sicherheit zu bieten! Die Identifizierung wird durch den Nur so
können wir Sie in Zukunft identifizieren und nur Sie werden Zugriff auf ihr Konto haben!



Bitte loggen Sie sich jetzt in Ihr Konto ein (die Einwahl soll unbedingt von zu Hause erfolgen):

Vielen Dank für Ihr Verständnis und ihre Mitarbeit

© 2004 Deutsche Postbank AG
http://www.postbank.de


Der Quelltext zeigt an, daß der Link nicht zu http://www.postbank.de führt, sondern zu https://banking.postbank.de

pewe222
17.09.2004, 07:25
Noch eins:
Received: from [24.243.36.225] (helo=cs24336-225.austin.rr.com)
by mx22.web.de with smtp (WEB.DE 4.101 #87)
ID: [ID filtered]
for poor [at] spamvictim.tld;
Sat, 18 Sep 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Sat, 18 Sep 2004 xx:xx:xx +0000
From: "Postbank AG"
Subject: "Kundeninformation Deutsche Postbank AG"
To:
MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1
Sender: support [at] postbank.de

Coke1984
17.09.2004, 08:51
Es stellt sich die frage, was damit bezweckt werden soll. Denn http://www.free-av.de ist tatsächlich ein virenscanner der im privaten gebrauch kostenlos ist, und banking.postbank.de ist in der tat auch der echte login zum onlinebanking.
ich kann mir höchstens vorstellen, dass damit das vertrauen der user gefestigt werden soll, und in eingen tagen noch eine weitere welle folgt, die dann böswillige absichten nach sich zieht...

---
http://www.g1n.net - The Alcommunity

peter1962
17.09.2004, 09:40
Der Quelltext zeigt an, daß der Link nicht zu http://www.postbank.de führt, sondern zu https://banking.postbank.de
Beide Links gehören der Postbank.
Ich denke, das die nur Poro sparen wollten und dabei vergassen, das Email von Banken z.Z. sehr mullmige Gefühle auslöst.
Gruß
Peter

mindphlux
17.09.2004, 09:53
Nur das der Text so gar nicht seriös und nach Bank klingt... jeder Satz mit nem Ausrufezeichen am Ende schafft nicht unbedingt Vertrauen.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Martin S.
17.09.2004, 09:57
Und ich hab die auch gekriegt, dabei bin ich gar kein Postbank-Kunde.
Gruß,
Martin
--
Think globally - act locally. Auch bei Gesetzen gegen Spam

mindphlux
17.09.2004, 09:58
Ist Phishing: http://www.heise.de/newsticker/meldung/51205
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

pewe222
17.09.2004, 09:58
Noch eins:
Received: from [221.159.200.45] (helo=221.159.200.45)
by mx32.web.de with smtp (WEB.DE 4.101 #44)
ID: [ID filtered]
for poor [at] spamvictim.tld;
Fri, 17 Sep 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Fri, 17 Sep 2004 xx:xx:xx +0000
From: "Postbank AG"
Subject: "Wichtig Deutsche-Postbank"
To:
MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1
Sender: support [at] postbank.de
Was soll der Scheiß? Ich bin kein Kunde der Postbank, der Text ist in schlechtem Deutsch verfaßt, ein Satz unvollständig, nur der Betreff ändert sich.
Und wenn die Idioten glauben, daß die Deutsche Postbank zwei Mails an einem Tag versenden würde, dazu noch über Provider in den USA oder Korea, dann ticken die doch nicht ganz sauber. Zumal diese Phishing-Mails inzwischen doch von jedem erkannt werden dürften. (Selbst wenn hier noch nichts abgefischt werden sollte, da die Links tatsächlich zur Postbank führen sollen...) http://img.homepagemodules.de/sick.gif

peter1962
17.09.2004, 10:07
Die Links gehören 100% der Postbank - ich mach dort immer Homebanking.
Warscheinlich sind dann die Links zu 200.x.y.z - noch hab ich die Mail nicht gekriegt,
ist aber nur nee Zeitfrage.
Gruß
Peter

mindphlux
17.09.2004, 10:12
Laut Heise führen sie NICHT zur Postbank (jedenfalls die, die unter den echten Links versteckt sind).
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

peter1962
17.09.2004, 10:17
ich habe nicht behauptet, das die Links in der Mail zur Postbank führen.
Aber die angegebenen Links sind Postbanklinks.
Gehe mal auf http://www.postbank.de und dort auf Onlinebanking.
Gruß
Peter

mindphlux
17.09.2004, 10:40
Nein, Peter, DU nicht - aber pewe behauptete genau dieses.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Martin S.
17.09.2004, 12:17
In meiner Mail führte der angegebene Link zu https://banking.postbank.de. Also nicht der angezeigte, sonder der wirkliche Link! Oder GMX hat das gefiltert.
Gruß,
Martin
--
Think globally - act locally. Auch bei Gesetzen gegen Spam

RA Meier-Bading
17.09.2004, 13:05
Oder es gibt noch einen dritten HTML-Part, oder Javascript, Active-X oder ähnliche Schweinereien, die den Link im OjE wieder woanders hinbiegen. Ich nehme mal an, Du hast Dir die Mail mit POP/IMAP gezogen und sie dann lokal untersucht und nicht über das Web-Interface.
Ich denke auch nicht, daß GMX dan body ändert, sowas würd ich mir verbitten. Dann wäre mit Sicherheit auch ein Hinweis in den Headern.
Übrigens: nur weil irgendein Presseorgan (ja, selbst heise) irgendwas schreibt, muß es noch lange nicht heißen, daß es IMMER stimmt.(das soll keine Kritik speziell an heise sein, sondern nur mein gesundes Grundmißtrauen gegenüber der Presse ausdrücken) Vielleicht sollte die Mail auch wirklich erstmal Vertrauen schaffen und irgendwann geht`s dann mit dem Phishing los.
meint
TooniX

RA Meier-Bading
17.09.2004, 13:10
sorry für die Ingrid, aber:
die Postbank weist für genau diese Mail selbst darauf hin, daß der Link irgendwie gefäslcht wird:
http://www.postbank.de/sicherheitshinweis/
TooniX

alfred
17.09.2004, 14:15
der angezeigte Link mag ja wohl zur Postbank zeigen,
aufgerufen wird aber defifitiv http://bethel292.us/photos2/
Die Seite ist schon gesperrt, kann also in diesem Fall
nix mehr passieren.

Coke1984
17.09.2004, 16:43
bleibt nur zu vermuten das pewe die mail über einen email-client runtergeladen hat, der kein html direkt implementiert. in dem fall steht der link nur als solcher da (ohne href), und wird vom mailclient entsprechend wieder als link interpretiert, der dann auch explizit auf die seite verweist die in der sichtbaren adresse stehen.

---
http://www.g1n.net - The Alcommunity

Martin S.
17.09.2004, 18:04
@Toonix: doch, ich habe mir die Mail über das Webinterface angeschaut, mit View Source. Mails auf meinem GMX-Konto brauche ich nicht mehr runterladen, da kommt nur noch Spam. Bis auf einen bestellten Newsletter. Ich habe den Fehler gemacht meine GMX-Adresse damals bei SelfHTML-Postings anzugeben.
@alfred: Ich habe extra den Source angeschaut. Es ist nicht der angezeigte Link, von dem ich hier rede, sonder der bei ... (der hier). Kannst mir schon glauben, ich habe beruflich mit Softwareentwicklung im Web zu tun :-)
Gruß,
Martin
--
Think globally - act locally. Auch bei Gesetzen gegen Spam

alfred
17.09.2004, 22:30
und wieder fällt einer drauf rein http://img.homepagemodules.de/spook.gif
sieh mal weiter, es ist nämlich ein Formular und ausgeführt
wird folgendes:
<FORM target="_blank" onsubmit="return ShowFormWarning()" action=http://bethel292.us/photos2/>
ein simples Formular das darüberliegende <a href.. wird nicht ausgeführt
und dient nur den Nutzer in Sicherheit zu wiegen.
Wenn du`s nicht glaubst klicke es an (Website geht eh nicht mehr)
Glaub mir auch mal was *ggg* , ich programiere nicht nur Software sondern auch Websites :-)

Martin S.
17.09.2004, 23:37
Sieh mal weiter ist gut. Im Webinterface von GMX hört es bei <A target="_blank" href="https://banking.postbank.de/" > auf. Ich hab`s jetzt weitergeleitet auf meinen Account bei Web.de, und runtergeladen. Jetzt erst wird mir das Form-Tag angezeigt! Anscheinend filtert GMX Formulare aus bzw. hört bei einem FORM-Tag auf. Ich konnte es also gar nicht sehen.
BTW, was mach ich wohl, wenn ich Software für`s Web entwickle?
Gruß,
Martin
--
Think globally - act locally. Auch bei Gesetzen gegen Spam

alfred
18.09.2004, 08:20
ok,
hab zwar auch nen GMX-Account, da kommt aber alles an :-)
Aber es kommt hier nicht darauf an, wichtig ist nur, dass
niemand da seine persönlichen Daten eingibt.
Abgefragt werden (bzw. wurden) da nämlich Kontonummer, Pin
und eine Tan und bestimmt nicht zur Athentifizierung des Kunden http://img.homepagemodules.de/spook.gif
Alfred

Fidul
16.12.2004, 23:25
http://www.heise.de/security/news/meldung/54338
--
Wir kriegen euch alle!

stieglitz
17.12.2004, 08:56
Bei einer bundesweiten Polizeiaktion gegen Internet-Banking-Betrüger sind am Donnerstag fünf Verdächtige festgenommen worden. Nach einem weiteren mutmaßlichen Betrüger wird noch gefahndet.

Bei 30.000 € Schaden dividiert durch 6 = 5.000 € pro Nase abzüglich Spesen für
Programmierung, Hosting etc. und dann noch erwischt werden, kein wirklich gutes Geschäft.http://img.homepagemodules.de/grin.gif
Die hätten sich mal bei der Dialer Mafia ein Beispiel nehmen sollen.
http://img.homepagemodules.de/cool.gif