Return-Path: <support [at] postbank.de>
Delivery-Date: Wed, 04 May 2005 xx:xx:xx +0200
Received: from [69.142.171.33] (helo=pcp09173423pcs.union01.nj.comcast.net)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.napb.com with SMTP; Wed, 4 May 2005 xx:xx:xx +0000
Received: from 194.147.169.1 (194.147.169.1[194.147.169.1])
by pcp09173423pcs.union01.nj.comcast.net (IMP) with HTTP
for <*************************>; Wed, 4 May 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "PostBank.De" <support [at] postbank.de>
To: "Kunde" <*************************>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Wed, 4 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 194.147.169.1
Envelope-To: *************************


http://202.84.232.81:8081/logo.jpg

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer die Entwendung der Angaben aus den TAN - Tabellen verwenden. Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten wird, eine spezielle Form auszufuellen. In dieser Form werden Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.

Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.
http://202.84.232.81:8081/clickhere.gif (http://202.73.167.235:8081/)
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir bitten um Entschuldigung, wenn wir Ihnen die Unannehmlichkeiten bereitet haben.

Mit freundlichen Gruessen,
Bankverwaltung

&copy; 2004 Deutsche Postbank AG

Du nimmst von einer Spamcast-Dialup-IP Mail an? Wer macht denn so etwas?
Schade dass der Site down ist. Ich hätte so gerne ein kleines Skriptchen darauf angesetzt... http://img.homepagemodules.de/devil.gif
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Die Seite http://202.84.232.81:8081 geht leider wieder; vor einem Moment war sie down.
Interessanterweise konnte ich auch eben auf http://202.84.232.81 zugreifen (ohne die Portangabe). Ich kam auf eine Seite für mobile payment, jetzt komme ich auf eine Seite "IBAIS UNIVERSITY Study Tour 2005".

<?php
$i = 0;
while (1) {
$TAN1 = rand(100000,999999);
$TAN2 = rand(100000,999999);
$PIN = rand(10000,99999);
$Kon = rand(16267341,99182364);
$IP = rand(1,254).".".rand(1,254).".".rand(1,254).".".rand(1,254);
$body = "Kontonummer :$Kon
PIN: $PIN;
TAN1: $TAN1;
TAN2: $TAN2;
IP: ".$IP."

";
$body .= "---------------------------------------

";
$i++;
echo $i." Fake-Konten abgekippt
";
file("http://topdecash.com/postbank.php?body=".rawurlencode($body));
}
?>
*hust* Benutzung auf eigene Gefahr ;)
http://topdecash.com/ ist generell recht interessant.

Da lässt der doch tatsächlich directory listing zu... wie unprofessionell.http://img.homepagemodules.de/smokin.gif
Goofy

Sehr interessant auch:
http://topdecash.com/arh/log2.txt
Ist der so doof oder ist das ein Fake?

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCM/S/IT d- s++:++ a C++>$ UL++++/A++++/C++++$ P++++>$
L++> E+ W+ N++ !o !K w--- O M-- V-- PS+ PE Y+ PGP++ t 5
X++ R tv b+ !DI D+++ G e++ h---- r+++ y++++
------END GEEK CODE BLOCK------

Ich tippe mal auf Blödheit - die log2.txt im Hauptverzeichnis wird ja laufend aktualisiert (man kann da reinschreiben, was immer man will http://img.homepagemodules.de/grin.gif). Die im Unterverzeichnis ist wohl eine ältere...
€dit: Achja, der Phishzug, der dort ins log schreibt, ist http://202.56.225.252:8081/ (inzwischen connection refused) von heut früh um halb 6.

Microsoft Mail Internet Headers Version 2.0
Received: from xxxxxx.xx ([213.133.97.182]) by xxxxxx.xx with Microsoft SMTPSVC(6.0.3790.211);
Fri, 6 May 2005 xx:xx:xx +0200
Received: by xxxxxx.xx (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 66.169.223.151.ts46v-02.dntn.tx.charter.com (unknown [66.169.223.151])
by xxxxxx.xx (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 4 May 2005 xx:xx:xx +0200 (CEST)
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.oirucur.com with SMTP; Fri, 6 May 2005 xx:xx:xx +0000
Received: from 215.11.57.142 (215.11.57.142[215.11.57.142])
by 66.169.223.151.ts46v-02.dntn.tx.charter.com (IMP) with HTTP
for <poor [at] spamvictim.tld>; Fri, 6 May 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "PostBank.De" <support [at] postbank.de>
To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Fri, 6 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 215.11.57.142
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on xxxxxx.xx
X-Spam-Status: No, hits=3.7 required=5.0 tests=HTML_50_60,HTML_MESSAGE,
MIME_HTML_ONLY,NORMAL_HTTP_TO_IP,TO_ADDRESS_EQ_REAL,WEIRD_PORT
autolearn=no version=2.64
X-Spam-Level: ***
Return-Path: support [at] postbank.de
X-OriginalArrivalTime: 06 May 2005 xx:xx:xx.0246 (UTC) FILETIME=[83E655E0:01C551DD]

Abgekippt über: 66.169.223.151 -> Charter Communications -> abuse[at]charter.net
Phishing Site: 202.56.225.252 -> Mother Daily-Sfd Enclave -> techsupport[at]bharti.com

Welche Kontodaten soll ich da denn jetzt eingeben? Ich habe doch gar kein Postbank-Konto http://img.homepagemodules.de/rolling_eyes.gif

Return-Path: <support [at] postbank.de>
Received: from 83.102.234.222 ([83.102.234.222]) by .de
with esmtp ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.izi.com with SMTP; Sat, 7 May 2005 xx:xx:xx +0000
Received: from 178.177.47.13 (178.177.47.13[178.177.47.13])
by 83.102.234.222 (IMP) with HTTP
for <...>; Sat, 7 May 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "PostBank" <support [at] postbank.de>
To: "PostBank Kunde" <...>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Sat, 7 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 178.177.47.13
Ein Ping auf die 178.177.47.13 bleibt erfolglos. Hat er wohl sein Modem abgeschaltet?
Phishing-Site:
202.79.211.23:8081 (Traceroute = Singapur)

Ein Ping auf die 178.177.47.13 bleibt erfolglos.
Die ist ja auch von der IANA bisher nicht vergeben. Erkennbar immer daran, wenn man bei der whois-Suche nach einer IP auf die IANA verwiesen wird.
Diese X-Einträge sind sowieso i.d.R. fake.
Goofy

Return-Path: <support [at] postbank.de>
Delivery-Date: Sat, 07 May 2005 xx:xx:xx +0200
Received: from [67.181.202.247] (helo=c-67-181-202-247.hsd1.ca.comcast.net)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.mnorf.com with SMTP; Sat, 7 May 2005 xx:xx:xx +0000
Received: from 208.233.87.46 (208.233.87.46[208.233.87.46])
by c-67-181-202-247.hsd1.ca.comcast.net (IMP) with HTTP
for <*************************>; Sat, 7 May 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "support [at] postbank.de" <support [at] postbank.de>
To: "*************************" <*************************>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Sat, 7 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 208.233.87.46
Envelope-To: *************************
Verweist auf: http://202.91.68.2:8081/


Return-Path: <support [at] postbank.de>
Delivery-Date: Sat, 07 May 2005 xx:xx:xx +0200
Received: from [71.102.168.51] (helo=pool-71-102-168-51.snloca.dsl-w.verizon.net)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.kt.com with SMTP; Sat, 7 May 2005 xx:xx:xx +0000
Received: from 94.1.218.247 (94.1.218.247[94.1.218.247])
by pool-71-102-168-51.snloca.dsl-w.verizon.net (IMP) with HTTP
for <*************************>; Sat, 7 May 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "PostBank" <support [at] postbank.de>
To: "*************************" <*************************>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Sat, 7 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 94.1.218.247
Envelope-To: *************************
Verweist auf: http://202.82.217.21:8081/
Thomas

Hi!
dieselbe Email habe ich auch bekommen! habe die IP ohne Port aufgerufen und es kommen Bilder von einem Ausflug in einer indischen Universität. Könnte es sein das diese irgend etwas damit zu tun habenhttp://img.homepagemodules.de/frage.gif

X-Apparently-To: meinemail [at] yahoo.de via 217.12.10.217; Sat, 07 May 2005 xx:xx:xx -0700
X-YahooFilteredBulk: 12.216.184.140
Authentication-Results: mta115.mail.dcn.yahoo.com from=postbank.de; domainkeys=neutral (no sig)
X-Originating-IP: [12.216.184.140]
Return-Path: <support [at] postbank.de>
Received: from 12.216.184.140 (EHLO 12-216-184-140.client.mchsi.com) (12.216.184.140) by mta115.mail.dcn.yahoo.com with SMTP; Sat, 07 May 2005 xx:xx:xx -0700
Received: from unknown (HELO localhost) (127.0.0.1) by localhost.foe.com with SMTP; Sat, 7 May 2005 xx:xx:xx +0000
Received: from 1.46.235.204 (1.46.235.204[1.46.235.204]) by 12-216-184-140.client.mchsi.com (IMP) with HTTP for <poor [at] spamvictim.tld>; Sat, 7 May 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
Von: "support [at] postbank.de" <support [at] postbank.de> Zum Adressbuch hinzufügen
An: "Kunde" <meinemail [at] yahoo.de>
Betreff: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Datum: Sat, 7 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 1.46.235.204
Content-Length: 1503

______________
|Gib Spamming |
|keine Chance! |
|______________|

Bilder von einem Ausflug in einer indischen Universität
Vermutlich ist deren Webserver gehackt.
Ich kriege da allerdings mit Firefox inzwischen den Hinweis "restricted access" unter Anforderung eines Passwortes.
Anscheinend ist auch die Phisherseite weg.
Goofy

mal wieder:


<span style="font-size:9pt">Return-Path: <support [at] postbank.de>
Delivery-Date: Tue, 31 May 2005 xx:xx:xx +0200
Received: from [201.139.66.37] (helo=201.139.66.37)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.se.com with SMTP; Tue, 31 May 2005 xx:xx:xx +0000
Received: from 151.64.206.250 (151.64.206.250[151.64.206.250])
by 201.139.66.37 (IMP) with HTTP
for <***********************>;
Message-ID: [ID filtered]
From: "Postbank DE" <support [at] postbank.de>
To: "Kunde" <***********************>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Tue, 31 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 151.64.206.250
Envelope-To: ***********************</span>--

Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Nummer, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer die Entwendung der Angaben aus den TAN - Listen verwenden. Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten wird, eine spezielle Form auszufuellen. In dieser Form werden Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.

Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Nummer verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.

[links to http://203.64.238.37:8081/]
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir bitten um Entschuldigung, wenn wir Ihnen die Unannehmlichkeiten bereitet haben.

Mit freundlichen Gruessen,
Bankverwaltung

&copy; 2005 Deutsche Postbank AG



--
Ich bin stolzer Nichtbesitzer eines Terrorknochens.
Ich leiste mir den Luxus, nicht immer und überall für jedermann erreichbar zu sein.

Microsoft Mail Internet Headers Version 2.0
Received: from xxx.xxx.xx ([213.133.97.182]) by xxx.xxx.xx with Microsoft SMTPSVC(6.0.3790.1830);
Fri, 8 Jul 2005 xx:xx:xx +0200
Received: by xxx.xxx.xx (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 81-202-167-211.user.ono.com (81-202-167-211.user.ono.com [81.202.167.211])
by xxx.xxx.xx (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Fri, 8 Jul 2005 xx:xx:xx +0200 (CEST)
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.rgiok.com with SMTP; Fri, 8 Jul 2005 xx:xx:xx +0000
Received: from 82.114.64.206 (82.114.64.206[82.114.64.206])
by 81-202-167-211.user.ono.com (IMP) with HTTP
for <poor [at] spamvictim.tld>; Fri, 8 Jul 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Fri, 8 Jul 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 82.114.64.206
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on xxx.xxx.xx
X-Spam-Status: No, hits=3.7 required=5.0 tests=HTML_50_60,HTML_MESSAGE,
MIME_HTML_ONLY,NORMAL_HTTP_TO_IP,TO_ADDRESS_EQ_REAL,WEIRD_PORT
autolearn=no version=2.64
X-Spam-Level: ***
Return-Path: support [at] postbank.de
X-OriginalArrivalTime: 08 Jul 2005 xx:xx:xx.0542 (UTC) FILETIME=[CBDCA0E0:01C583F4]
Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch
den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer die Entwendung der Angaben aus den TAN - Tabellen verwenden. Um die Missetaeter zu ermitteln
und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden
Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten wird, eine spezielle Form auszufuellen. In dieser Form werden Sie ZWEI FOLGENDE TAN - CODEs, DIE
SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird
unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir bitten um Entschuldigung, wenn wir Ihnen die Unannehmlichkeiten bereitet haben.
Mit freundlichen Gruessen,
Bankverwaltung
Abgekippt: 81.202.167.211 -> Cableuropa - ONO - Spain -> abuse[at]ono.es
Phishing-Sites:
http://202.112.24.18:8081 -> China Education and Research Network Center
http://219.240.142.59:8081 -> Hanaro Telecom Co.

Return-Path: <support [at] postbank.de>
Delivery-Date: Sat, 09 Jul 2005 xx:xx:xx +0200
Received: from [145.254.162.72] (helo=dialin-145-254-162-072.arcor-ip.net)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.mbdjanw.com with SMTP; Sat, 9 Jul 2005 xx:xx:xx +0000
Received: from 35.45.139.73 (35.45.139.73[35.45.139.73])
by dialin-145-254-162-072.arcor-ip.net (IMP) with HTTP
for <owner [at] ....de>; Sat, 9 Jul 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "owner [at] ....de" <owner [at] ....de>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Sat, 9 Jul 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 35.45.139.73
X-RBL-Warning: warn.bl.kundenserver.de says: This mail has been received from a dialup host.
Envelope-To: info [at] ....de

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)