PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Suntrust] Internet Banking with Bill Pay Fees Waived



Goofy
12.11.2004, 11:16
Return-Path: <support [at] suntrust.com>
Received: from port-28.pm3-6.globecom.net ([212.116.68.92]) by ---t-offline----
with smtp ID: [ID filtered]
X-Message-Info: LWJI+th/24+mnc/SEU+50/69290587670469
Received: from smtp-saute.credulous.support [at] suntrust.com ([212.116.68.92]) by vk9-qn06.support [at] suntrust.com with Microsoft SMTPSVC(5.0.8494.8299);
Sat, 13 Nov 2004 xx:xx:xx +0300
Received: from rooftree47.stalactite.support [at] suntrust.com (fulcrum12.support [at] suntrust.com [212.116.68.92])
by smtp-cornfield.chit.support [at] suntrust.com (Postfix) with SMTP ID: [ID filtered]
for <---xxxich-auf-t-offlinexxx---->; Sat, 13 Nov 2004 xx:xx:xx +0300
X-Message-Info: RJENN+%ND_LC_CHAR[1-3]694+e+G+3/793119651433069
Received: (qmail 23934 invoked by UID: [UID filtered]
Date: Sat, 13 Nov 2004 xx:xx:xx +0100
Message-ID: [ID filtered]
From: SunTrust <support [at] suntrust.com>
To: <---xxxich-auf-t-offlinexxx---->
Subject: Internet Banking with Bill Pay Fees Waived
MIME-Version: 1.0 (produced by plunkspatial 5.0)
Content-Type: multipart/alternative; boundary="--8572720450561349"
X-TOI-SPAM: u;0;2004-11-13Txx:xx:xxZ
X-TOI-MSGID: [ID filtered]
X-Seen: true
---------------------spam html:------------------
Dear SunTrust Bank Customer,
SunTrust Internet Banking with Bill Pay has become even better. We are waiving monthly fees for SunTrust Internet Banking with Bill Pay and SunTrust PC Banking with Bill Pay for all our clients.
As an additional security measure, you need to activate this new feature by signing on [hier Link auf: http://196.40.75.39/s/] to Internet Banking. Please verify your preferred email address and the information that SunTrust uses to confirm your identity.
In the Update Internet Banking service area you can also view the accounts you currently have tied to your Internet Banking service, to view whether Bill Pay is enabled on a particular account, and to request other accounts to be added to your Internet Banking service.
To do so, simply sign [hier Link auf: http://196.40.75.39/s/] on to Internet Banking.
--------------------------------------------------------
Beim Klick auf den Link wird anscheinend über den Server 196.40.75.39 tatsächlich die reelle Suntrust-Internet-Banking-Seite geladen und vermutlich der traffic belauscht. Dieser Server steht in Costa Rica und ist bei Amnet Television aufgestellt. SunTrust Internet Banking wurde von mir informiert.
Die können sich dann mit den Costaricanern unterhalten. Hat wohl wenig Sinn, wenn ich das mache.
Goofy

brk
15.11.2004, 15:52
Return-Path: <support [at] suntrust.com>
Delivered-To: XXX [at] mydomain.tld
Received: (qmail 13682 invoked from network); 16 Nov 2004 xx:xx:xx -0000
Received: from unknown ([80.67.18.10])
by sleet.ispgateway.de (qmail-ldap-1.03) with QMQP; 16 Nov 2004 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx10.ispgateway.de XXX [at] mydomain.tld
Received: (qmail 28188 invoked from network); 16 Nov 2004 xx:xx:xx -0000
Received: from unknown (HELO 201008150152.user.veloxzone.com.br) ([201.8.150.152])
(envelope-sender <poor [at] spamvictim.tld>)
by mx07.ispgateway.de (qmail-ldap-1.03) with SMTP
for <XXX [at] mydomain.tld>; 16 Nov 2004 xx:xx:xx -0000
X-Message-Info: 74+xsujdxh95788/rLRIsooLQetJsrAU508Fx
Received: (qmail 479 invoked by UID: [UID filtered]
Date: Wed, 17 Nov 2004 xx:xx:xx +0300
Message-ID: [ID filtered]
From: "SunTrust" <support [at] suntrust.com>
Reply-To: support [at] suntrust.com
To: "Info" <XXX [at] mydomain.tld>
Subject: Security Alert on Microsoft Internet Explorer
MIME-Version: 1.0 (produced by contourcacm 8.9)
Content-Type: multipart/alternative;
boundary="--852125022305086"
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on
mx10.ispgateway.de
X-Spam-Level: *****
X-Spam-Status: No, hits=5.3 required=9999.0 tests=HTML_30_40,
HTML_FONTCOLOR_BLUE,HTML_FONT_INVISIBLE,HTML_MESSAGE,
HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,MIME_HTML_ONLY_MULTI,
NORMAL_HTTP_TO_IP autolearn=no version=2.61

Dear SunTrust Bank Customer,
To provide our customers the most effective and secure online access to their accounts, we are continually upgrading our online services. As we add new features and enhancements to our service, there are certain browser versions, which will not support these system upgrades. As many customers already know, Microsoft Internet Explorer has significant `holes` or vulnerabilities that virus creators can easily take advantage of.
In order to further protect your account, we have introduced some new important security standards and browser requirements. SunTrust security systems require that you test your browser now to see if it meets the requirements for SunTrust Internet Banking.
Please sign <http ://82.90.165.65/s/> on to Internet Banking in order to verify security update installation. This security update will be effective immediately. In the meantime, some of the Internet Banking services may not be available.
SunTrust Internet Banking
bema wig frances mangle broccoli fanfold embark filthy sensor chattel mignon defy maladjust bantu tyranny alaska minefield cornell cyprus bavaria lure hermes okinawa gross barter pickoff cytolysis supersede throaty zealot descriptive dispensate elbow finish aftereffect

Goofy
15.11.2004, 17:58
Aha, der hat noch mehr Server am Laufen. Diesmal auf telecomitalia.
Hinweis an SunTrust ist rausgegangen (man kann nie wissen, ob das schon
bekannt ist - obwohl es jetzt schon ein paar Stunden her ist).
Goofy

Antifa_X
21.11.2004, 17:20
Heute eingeschlagen:
Return-Path: <supprefnum532550 [at] suntrust.com>
Received: from adsl-ull-58-143.41-151.net24.it ([151.41.143.58]) by mailin04.sul.t-online.de
with smtp ID: [ID filtered]
FCC: mailbox://supprefnum532550 [at] suntrust.com/Sent
X-Identity-Key: id1
Date: Mon, 22 Nov 2004 xx:xx:xx +0200
From: SunTrust <supprefnum532550 [at] suntrust.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: SunTrust Bank - URGENT SECURITY NOTIFICATION
Content-Type: multipart/related;
boundary="------------090108010900020607030000"
X-TOI-SPAM: u;0;2004-11-22Txx:xx:xxZ
X-TOI-MSGID: [ID filtered]
X-Seen: false

Dann ein Textblock, ich solle meine Daten, Pin usw. verifizieren. Ist aber ein Bild, Text lässt sich also nicht kopieren. Das Bild ist mit folgendem Link versehen:
http://211.90.191.118:87/%73%74/%69%6E%64%65%78%2E%68%74%6D
Von da wird auf die richtige Suntrust- Seite weitergeleitet.
Wenn man allerdings mehrmals draufklickt, geht ein anderes Fenster auf, dort konnte ich meine Kontonummer mit Pin usw. eingeben!
Mein Konto, so es dieses denn gäbe, würde nun also nicht abgeschaltet ;-))

Goofy
21.11.2004, 19:25
Au, au!
Da scheinen Microsoft-VB-Scripte mit im Spiel zu sein. Sowas sieht nie gut aus.
Wer da mit dem I-Exploiter bzw. Ouchlook mit aktiviertem Skripting unterwegs ist,
kann sich da evtl. was fangen, auch wenn er kein Suntrust-Kunde ist.
Die obengenannte URL ergibt dekodiert:
h-t-t-p-:-//211.90.191.118:87/st/index.htm [Link entschärft!]
Nicht mit dem Internet-Explorer dahin gehen!
Soso, er will auf Port 87 (terminal link) verbinden... das sieht auch nicht gut aus.
Firefox verhindert das - ein Grund mehr für Firefox.
Server ist gehostet bei Unicom China. ("Acht chinesische Kostbalkeiten - wel hatte bestellt?")
Hier gibt`s mehr Infos zu dieser Art von Phishing:
http://www.antiphishing.org/phishing_arc...-23-04_US_Bank_ (http://www.antiphishing.org/phishing_archive/08-23-04_US_Bank_)(various_subjects,_image-only_email).html
Die SunTrust habe ich nochmal präventiv angeschrieben - ansonsten kann man da nicht viel machen.
Goofy
-------------------------------
Spammer, schreibst Du hier:
Hans.Raeuber [at] Rotzenplotz.de
Humba2 [at] taetaerae.de
Fisken33 [at] danskegammelpoelser.net

Antifa_X
21.11.2004, 20:03
Äh..öh...
also ich hab ne Firewall, aktuellen Virenscanner und Adaware konstant laufen.
Dachte eigentlich, ich wäre recht safe unterwegs, und wollte denen einfach ein paar falsche Daten aufs Auge drücken.
(wie bei Werbefaxen: große Mengen bestellen und dann nicht annehmen ;-)

Hast du nen Tip, wo sich eventuell was unerwünschtes eingetragen haben könnte?

Goofy
21.11.2004, 20:18
Naja, die Feuerwälle. Man sollte sich mit denen nie zu sicher fühlen. Dein Browser hat offensichtlich die Kommunikation mit dem Port 87 auf diesem Server erlaubt (sonst hättest Du da nichts laden können). Also hat es die Feuerwand durchgelassen - weil der Browser bei ihr als vertrauenswürdige Anwendung registriert ist.
Ob Du Dir da was gefangen hast, kann ich nicht sagen. Ich bin kein Experte für VB-Skripts. Ich würde aber prophylaktisch jetzt mal
die Signaturen aktualisieren, einen Virenscan machen. Dann anschließend das Programm Spybot Search [at] Destroy
( http://www.safer-networking.org/de/index.html) runterladen, das findet evtl. zusätzliche krumme Dinger.
Goofy
--------------------------------
Spammer, schreibst Du hier:
pinkblaster69 [at] spamforall.biz.cn
metro427 [at] mind-the-gap.co.uk
Fred.Feuerstein [at] yabbadabbadoo.com

schara56
23.11.2004, 08:59
From antifraud.ref.num606006472 [at] suntrust.com Wed Nov 24 xx:xx:xx 2004
Return-Path: <antifraud.ref.num606006472 [at] suntrust.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 1034 invoked by UID: [UID filtered]
Received: from adsl-69-226-58-107.dsl.irvnca.pacbell.net (HELO adsl-69-226-58-107.dsl.irvnca.pacbell.net) (69.226.58.107)
by mx0.gmx.net (mx050) with SMTP; 24 Nov 2004 xx:xx:xx +0100
FCC: mailbox://antifraud.ref.num606006472 [at] suntrust.com/Sent
X-Identity-Key: id1
Date: Tue, 23 Nov 2004 xx:xx:xx -0600
From: SunTrust bank <antifraud.ref.num606006472 [at] suntrust.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: PIease Read This Message [Wed, 24 Nov 2004 xx:xx:xx +0300]
Content-Type: multipart/related;
boundary="------------000600070006060708020008"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
--- Weitergeleitete Nachricht / Forwarded Message ---
Date: Tue, 23 Nov 2004 xx:xx:xx -0600
From: SunTrust bank <antifraud.ref.num606006472 [at] suntrust.com>
To: poor [at] spamvictim.tld
Subject: PIease Read This Message [Wed, 24 Nov 2004 xx:xx:xx +0300]

Phishing Site:
http://61.7.63.211:38/st/index.htm (ist wohl auch schon dicht)
-> Sagashimbun Co., Ltd. abuse[at]sni.ne.jp
Abgekippt über Pacific Bell:
-> abuse [at] pbi.net;
Phishing-Bank:
Suntrust
-> info [at] suntrust.com

Kontiki
29.11.2004, 09:01
<font color="#00C000"> Kam bei mir jetzt auch an. Posting nur zur Ergänzung, nachgehen will ich dem nicht weiter.
Richtig fies, alles als riesen Bild-Link, damit man versehentlich clickt...</font>
Betreff: SunTrust Bank: Urgent Security Notice For Client [Tue, 30 Nov 2004 xx:xx:xx -0100]
Von: SunTrust <supprefnum87 [at] suntrust.com> ins Adressbuch
An: ***
Datum: 30.11.04 xx:xx:xx
Received: from [139.142.222.89] (helo=h139-142-222-89.gtcust.grouptelecom.net)
by mx31.web.de with smtp (WEB.DE 4.102 #165)
ID: [ID filtered]
FCC: mailbox://supprefnum87 [at] suntrust.com/Sent
X-Identity-Key: id1
Date: Tue, 30 Nov 2004 xx:xx:xx +0500
From: SunTrust <supprefnum87 [at] suntrust.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ***
Subject: SunTrust Bank: Urgent Security Notice For Client [Tue, 30 Nov 2004 xx:xx:xx -0100]
Content-Type: multipart/related;
boundary="------------070903020703020203010004"
Message-ID: [ID filtered]
Sender: supprefnum87 [at] suntrust.com
[Text "...large number of identity theft..."]
Link ist http://%32%31%36%2E%38%30%2E%36%36%2E%31%37%35:%38%37/%63%7A/%69%6E%64%65%78%2E%68%74%6D
laut Anzeige ist das 216.80.66.175:38/cz/index.htm Damit im proxy.guardster.com gesurft ist aber ohne Ergebnis.

Goofy
29.11.2004, 17:47
Frecherweise bei RCN in Princeton/NJ [USA] gehostet. Sieht aber so aus, als wäre da der Stecker schon gezogen. In den USA ist man da eben oft schneller dabei als in Asien. Da gehört eine Menge Chuzpe dazu, sowas in den USA zu hosten. Es zeigt, wie sicher die sich fühlen.
Goofy

Kontiki
02.12.2004, 20:20
<font color="#00C000"> Jetzt die gleiche Masche mit Citizens Bank: </font>
Betreff: IDENTITY THEFT SOLUTIONS
Von: Citizens bank <antifraud.ref.num742833 [at] citizensbank.com>
An: **@web.de
Datum:
Received: from [220.109.71.125] (helo=i220-109-71-125.s02.a020.ap.plala.or.jp)
by mx31.web.de with smtp (WEB.DE 4.102 #165)
ID: [ID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
FCC: mailbox://antifraud.ref.num742833 [at] citizensbank.com/Sent
X-Identity-Key: id1
Date: Thu, 02 Dec 2004 xx:xx:xx -0200
From: Citizens bank <antifraud.ref.num742833 [at] citizensbank.com>
X-Mozilla-Draft-Info: internal/draft; vcard=0; receipt=0; uuencode=0
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: **@web.de
Subject: IDENTITY THEFT SOLUTIONS
Content-Type: multipart/related;
boundary="------------000205020900000004010002"
Message-ID: [ID filtered]
Sender: antifraud.ref.num742833 [at] citizensbank.com
<font color="#00C000"> Link: </font>
http://%32%31%37%2E%32%32%33%2E%32%35%32%2E%38%32:%38%37/%63%7A/%69%6E%64%65%78%2E%68%74%6D
<font color="#00C000"> Soll sein: </font> http://217.223.252.82:38/cz/index.htm
<font color="#00C000"> Hat das was zu sagen, dass :38/cz/index.htm auch schon bei der suntrust-mail dabei war?</font>
Und kopieren der Adresse in Guardster bringt:
Guardster Error
The target URL cannot contain an empty host name.
<font color="#00C000"> Aber was soll das denn bezwecken? </font>

Goofy
02.12.2004, 21:05
:38 bedeutet, dass der Link mit der Portnummer 38 [hier: route access protocoll] auf dem Zielrechner verbindet. Damit können die anscheindend Sachen realisieren, die mit einer normalen http-Verbindung nicht möglich wären.
Das ist kennzeichnend für eine bestimmte Handschrift und zeigt, dass es sich bei den ständig wechselnden Servern immer um dieselben Betreiber handelt.
Goofy

Kontiki
08.12.2004, 17:25
<font color="#00C000"> und wieder </font>
Received: from [61.109.70.36] (helo=217.72.192.188)
by mx33.web.de with smtp (WEB.DE 4.103 #184)
ID: [ID filtered]
FCC: mailbox://supprefnum87 [at] suntrust.com/Sent
X-Identity-Key: id1
Date: Wed, 08 Dec 2004 xx:xx:xx -0600
From: Suntrust Bank <supprefnum87 [at] suntrust.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: *@web.de
Subject: OfficiaI Information To SunTrust Bank CIients
Content-Type: multipart/related;
boundary="------------030401010502080608040004"
Message-ID: [ID filtered]
Sender: supprefnum87 [at] suntrust.com
<font color="#00C000"> Link diesmal unverschlüsselt: </font>
http://211.250.107.42:87/su/login.html

Goofy
08.12.2004, 18:20
In Korea gehostet - Korea Telecom-PUBNET. Abuse = abuse[bei]pubnet.ne.kr
Mal sehen, wie lange die Seite trotz aller Proteste online ist. Ich tippe auf mindestens 1 Woche.http://img.homepagemodules.de/rolling_eyes.gif
Goofy

Kontiki
08.12.2004, 19:03
Hab es mal dahin geschickt.
*Schwitz* Hab ganz schnell meine mail-addy editiert, die stand ja noch drin. Und das Ganze hab ich vorher noch in die Koreamail kopiert - o Gott, das kann was geben!http://img.homepagemodules.de/spook.gif Hoffentlich gibt es die Adresse nicht! aber da Goofy normal immer Recht hat, hab ich evtl. Pech.

Goofy
08.12.2004, 21:51
Goofy hat auch nicht immer recht.http://img.homepagemodules.de/wink.gif Aber die abuse-Adresse gibt`s, allerdings ist die Chance gegeben, dass Deine Mail an den koreanischen Netzbetreiber mehr oder weniger unbesehen in der Tonne verschwindet. Es ist auch nicht gesagt, dass der Provider Daten aus Deiner Beschwerde an den Spammer weiterreicht.
Goofy