PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [TANPhishing]PostBank TAN-Absicherung



webeinspunktnull
14.03.2005, 10:17
Return-Path: <support [at] postbank.de>
Delivery-Date: Mon, 14 Mar 2005 xx:xx:xx +0100
Received: from [221.151.200.88] (helo=221.151.200.88)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.at.com with SMTP; Mon, 14 Mar 2005 xx:xx:xx +0000
Received: from 126.102.168.215 (126.102.168.215[126.102.168.215])
by 221.151.200.88 (IMP) with HTTP
for <>; Mon, 14 Mar 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "" <>
Subject: PostBank TAN-Absicherung
Date: Mon, 14 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 126.102.168.215
Envelope-To:
X-SpamScore: 0.444
tests= TO_ADDRESS_EQ_REAL
Sehr geehrter Kunde,

Da es viele Betrugsfaelle mit den Konten von unseren Bankkunden zustande
gekommen sind, bitten wir Sie, eine neue TAN-Kodesabsicherung zu benutzen,
um die Sperrung von Ihrem Konto zu vermeiden.
Die TAN-Absicherung besteht darin:

Sie tasten zwei TAN-Nummern in die elektronische Form ein und streichen bei
Ihnen diese Nummern aus.
Fuer den Fall, dass der Misstaeter Ihre TAN-Codes abfaengt und sie zu benutzen
versucht, so wird Ihr Konto bis zur Klaerung der Sachlage gesperrt.
Danach benutzen Sie alle Nummern, ausser diesen 2, der Reihe nach weiter.
Um den Abgang der Mittel von Ihrem Konto zu vermeiden, bitten wir alle, die
Form auszufuellen, da wir die Mittel nicht vergueten, die zufolge dem Diebstahl von Ihrem
Online-Zugriff zu unserem Bankkonto verlorengegangen sind.
Sie koennen die Form bei ausfuellen [links to http://219.163.28.138:54867/Postbank.php]
--
If Windows is the Solution - What was the Problem?

trekkie
14.03.2005, 11:04
Die IP führt nach Japan, genauer nach Tokio. Registriert auf eine BRANDO Corporation.
219.163.28.138 JP JAPAN TOKYO TOKYO BRANDO CORPOATION
Nie gehört. http://www.brando.co.jp scheint down zu sein, pingt aber noch. Ist wohl überlastet... http://img.homepagemodules.de/grin.gif
So richtig viel hab` ich darüber nicht gefunden. Auch der Google-Cache dazu bleibt bei mir im IE hängen - ich krieg` die Seite nicht auf..
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

doc33
14.03.2005, 12:05
Ist hier mit anderer IP Adresse auch eingegangen aber scheinbar auch schon platt.
Received: from [220.78.251.104] (helo=220.78.251.104)
by mx33.web.de with esmtp (WEB.DE 4.104 #268)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 14 Mar 2005 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.kpi.com with SMTP; Mon, 14 Mar 2005 xx:xx:xx +0000
Received: from 133.164.29.4 (133.164.29.4[133.164.29.4])
by 220.78.251.104 (IMP) with HTTP
for <poor [at] spamvictim.tld>; Mon, 14 Mar 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
Subject: PostBank TAN-Absicherung
Date: Mon, 14 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 133.164.29.4
Sender: support [at] postbank.de
http://63.105.20.78:54867/Postbank.php

trekkie
14.03.2005, 15:01
Interessant.
Die Adresse gehört zum Block von UUNet und ist laut ARIN-Whois an Portland Internetworks weitervermietet.
63.105.20.78 US UNITED STATES OREGON PORTLAND PORTLAND INTERNETWORKS
PI ist laut Homepage ein DSL-Provider mit Dial-Up- und leased Lines auf DSL-Basis.
Soweit ich ergoogelt habe sind die für Abuse empfänglich, die Seite ist also wohl wirklich down... http://img.homepagemodules.de/smokin.gif
Gruß
Trekkie
--------------------
Herr, unsere freie Mailbox gib uns heute und erlöse uns von Viren und Spammern...

Fidul
14.03.2005, 15:06
http://www.heise.de/newsticker/meldung/57481
--
Wir kriegen euch alle!

schara56
15.03.2005, 11:29
From support [at] postbank.de Tue Mar 15 xx:xx:xx 2005
Return-Path: <support [at] postbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5)
for poor [at] spamvictim.tld (single-drop); Tue, 15 Mar 2005 xx:xx:xx +0100 (MET)
Received: from 61.42.25.11 ([61.42.25.11])
by xxxxxxx.xx (8.12.10/8.12.10) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 15 Mar 2005 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.mfo.com with SMTP; Tue, 15 Mar 2005 xx:xx:xx +0000
Received: from 44.230.135.34 (44.230.135.34[44.230.135.34])
by 61.42.25.11 (IMP) with HTTP
for <poor [at] spamvictim.tld>; Tue, 15 Mar 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "Postbank Kunde" <poor [at] spamvictim.tld>
Subject: PostBank TAN-Absicherung
Date: Tue, 15 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 44.230.135.34
X-MailScanner: Found to be clean
X-MailScanner-From: support [at] postbank.de
X-Collected-By: xxxx [at] xxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
blablabla ... bitte alle TANs eingeben ... blablabla
Abgekippt über: 61.42.25.11 -> abuse[at]bora.net
Phishing IP: 63.105.20.78 -> DSL Only, Inc. (DSL-ONLY-DOM) abuse[at]DSL-ONLY.NET
Ist aber schon dicht aber wenn man die Portnummer auf 80 lässt springt ein Reifenshop an.

doc33
15.03.2005, 12:14
Die scheinen noch nicht gemerkt zu haben das die Seiten bereits down sind, zumindest wird immernoch weiter gespammt.
Received: from [222.98.96.237] (helo=222.98.96.237)
by mx31.web.de with esmtp (WEB.DE 4.104 #268)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 14 Mar 2005 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.irfcib.com with SMTP; Mon, 14 Mar 2005 xx:xx:xx +0000
Received: from 168.48.144.143 (168.48.144.143[168.48.144.143])
by 222.98.96.237 (IMP) with HTTP
for <poor [at] spamvictim.tld>;
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
Subject: PostBank TAN-Absicherung
Date: Mon, 14 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 168.48.144.143
Sender: support [at] postbank.de
http://219.163.28.138:54867/Postbank.php
------------------------------------
Und weils so schön war noch eine:
Received: from [218.175.181.137] (helo=218-175-181-137.dynamic.hinet.net)
by mx22.web.de with esmtp (WEB.DE 4.104 #268)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 14 Mar 2005 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.thl.com with SMTP; Mon, 14 Mar 2005 xx:xx:xx +0000
Received: from 56.86.112.70 (56.86.112.70[56.86.112.70])
by 218-175-181-137.dynamic.hinet.net (IMP) with HTTP
for <poor [at] spamvictim.tld>; Mon, 14 Mar 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "Postbank Kunde" <poor [at] spamvictim.tld>
Subject: PostBank TAN-Absicherung
Date: Mon, 14 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 56.86.112.70
Sender: support [at] postbank.de
http://219.163.50.27:54867/Postbank.php
-------------------------------------------
Das mit TO und FROM in "" zu setzen scheint bei Deutschsprachigem Spam ja derzeit sehr beliebt zu sein.

schara56
02.04.2005, 17:21
From security [at] postbank.de Sun Apr 3 xx:xx:xx 2005
Return-Path: <security [at] postbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5)
for poor [at] spamvictim.tld (single-drop); Sun, 03 Apr 2005 xx:xx:xx +0200 (MEST)
Received: from c68.114.249.9.fdl.wi.charter.com (c68.114.249.9.fdl.wi.charter.com [68.114.249.9])
by xxxxxxx.xx (8.12.10/8.12.10) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 3 Apr 2005 xx:xx:xx +0200
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.civtcum.com with SMTP; Sun, 3 Apr 2005 xx:xx:xx +0000
Received: from 32.8.120.96 (32.8.120.96[32.8.120.96])
by c68.114.249.9.fdl.wi.charter.com (IMP) with HTTP
for <poor [at] spamvictim.tld>; Sun, 3 Apr 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "PostBank" <security [at] postbank.de>
To: "Kunde" <poor [at] spamvictim.tld>
Subject: PostBank TAN-Absicherung
Date: Sun, 3 Apr 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 32.8.120.96
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: s
X-MailScanner-From: security [at] postbank.de
X-Collected-By: xxxxxxx.xx [at] xxxxxxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
HTML-Text wie bei den bisherigen Phishingmails
Abgekippt über: 68.114.249.9 -> abuse[at]charter.com
Phishing site: (http://220.130.51.62:54867/1/index.htm) 220.130.51.62 -> HINET-NET -> abuse[at]hinet.net
phishing site ist wohl schon unten...