PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [phishing] Commerzbank



c64doc
22.05.2005, 18:57
Dieses Mal ist die Commerzbank an der Reihe.
Langsam wird es langweilig.
Jede Woche eine andere Bank.
-------------------------------------------------------------------------------------------------------------


Return-Path: <poor [at] spamvictim.tld>
Delivery-Date: Sun, 22 May 2005 xx:xx:xx +0200
Received: from [213.0.196.132] (helo=213-0-196-132.dialup.nuria.telefonica-data.net)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from commerzbank.com (mail1.commerzbank.com [212.149.48.99])
by 213-0-196-132.dialup.nuria.telefonica-data.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 22 May 2005 xx:xx:xx -0400
Message-ID: [ID filtered]
X-Sender: proportionality [at] mail1.commerzbank.com
X-Mailer: QUALCOMM Windows Eudora Version 6.0.0.22
Date: Sun, 22 May 2005 xx:xx:xx -0400
To: Info <poor [at] spamvictim.tld>
From: "Torricelli D. Uncorks" <support [at] commerzbank.com>
Subject: Commerzbank
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 7bit
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: 213-0-196-132.dialup.nuria.telefonica-data.net)
X-RBL-Warning: warn.bl.kundenserver.de says:
Envelope-To: poor [at] spamvictim.tld
http://intecys.net
HTML entfernt; Eniac
------------------------------------------------------------------------------------------
Der Text:

Geehrter Kunde!



Ihr Konto wurde von der Datensicherheitsdienst zufälligerweise zur Kontrolle gewählt. Um Ihre Kontoinformation durchzunehmen, bitten wir, damit Sie uns mit allen Angaben versorgen, die wir brauchen.Sonst können wir Sie identifizieren nicht und sollen Ihr Konto für seine Verteidigung blockieren. Füllen Sie bitte das Formular aus, um alle Details Ihres Kontos zu prüfen.
Danken schön.




Kundenzugang

Anmeldename oder
Teilnehmernummer
PIN
TAN
Zugangsdaten beantragen
Kunde werden
Sicherheitshinweise

Goofy
22.05.2005, 19:54
Bitte aus Gründen der Übersicht keinen html-code posten.
Die Domain "intecys.net" läuft auf IP-Addresse 72.9.226.234. Ein US-amerikanischer Webhoster.
Zuständige Abuse-Addresse:
abuse[ätt]gnax.net
Evtl. auch noch die Commerzbank informieren: info[ätt]commerzbank.com
Goofy

DocSnyder
23.05.2005, 12:12
Mit dem guten SPF wäre dies nicht passiert:
$ host -t TXT commerzbank.com
commerzbank.com text "v=spf1 a mx -all"
Von ein paar Dutzend Zustellversuchen sind hier alle wegen "SPF violation" abgewiesen werden.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Fidul
23.05.2005, 15:35
http://www.heise.de/newsticker/meldung/59766
--
Wir kriegen euch alle!

SpamKampf
13.01.2015, 12:04
Fast 10 Jahre sind mittlerweile vergangen, aber die Onlinebanking-Kunden der Commerzbank bleiben noch immer Opfer von Phishing-Mails :mad:. Heute bei mir eingeschlagen: :(

Return-Path: <service [at] commerzbank.de>
Received: from server.cloudusserver.com (server.cloudusserver.com [173.214.191.152])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mtaig-mbd04.mx.aol.com (Internet Inbound) with ESMTPS ID: [ID filtered]
for <**************€********.net>; Mon, 12 Jan 2015 xx:xx:xx -0500 (EST)
Received: from [62.75.204.76] (port=61101)
by server.cloudusserver.com with esmtpa (Exim 4.84)
(envelope-from <poor [at] spamvictim.tld>)
ID: [ID filtered]
Message-ID: [ID filtered]
Mime-Version: 1.0
From: Commerzbank <service [at] commerzbank.de>
To: Undisclosed-Recipients:;
Subject: =?iso-8859-1?Q?Anmeldung_=FCber_ein_fremdes_Ger=E4t_erkannt?=
Date: Mon, 12 Jan 2015 xx:xx:xx +0100
Content-type: text/html; charset=iso-8859-1
Content-transfer-encoding: quoted-printable
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server.cloudusserver.com
X-AntiAbuse: Original Domain - netscape.net
X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
X-AntiAbuse: Sender Address Domain - commerzbank.de
X-Get-Message-Sender-Via: server.cloudusserver.com: authenticated_ID: [ID filtered]
x-aol-global-disposition: S
Authentication-Results: mx.aol.com;
spf=fail (aol.com: the domain commerzbank.de reports that 173.214.191.152 is explicitly not authorized to send mail using it's domain name.) smtp.mailfrom=commerzbank.de;
X-AOL-REROUTE: YES
x-aol-sID: [ID filtered]
X-AOL-IP: 173.214.191.152
X-AOL-SPF: domain : commerzbank.de SPF : fail




Anmeldung über ein fremdes Gerät erkannt Datum: 12.01.2015
Sehr geehrte Damen & Herren,

wir haben festgestellt, dass Sie sich über ein uns unbekanntes Gerät angemeldet haben.

Um Sie vor einem Missbrauch durch Dritte zu schützen, wurde Ihr Nutzerkonto vorerst vorsichtshalber deaktiviert.
Diese Maßnahme ist nötig um Sie vor einem finanziellen Schaden zu bewahren.

Um Ihr Nutzerkonto wieder zu aktivieren, ist die erneute Eingabe von Ihren hinterlegten Daten nötig.
Unser System fragt diese Daten per Zufall ab. Sollte Ihre Eingabe mit den bei uns von Ihnen hinterlegten Daten übereinstimmen, wird Ihr Nutzerkonto umgehend von uns freigeschaltet und Sie können wie gewohnt fortfahren.

Jetzt anmelden und aktivieren
Wir bitten Sie die Unannehmlichkeiten zu entschuldigen und bitten um Ihr vollstes Verständis.
Mit freundlichen Grüßen
Ihre COMMERZBANK - Die Bank an Ihrer Seite
Commerzbank Aktiengesellschaft

Geschäftsräume: Kaiserplatz, 60311 Frankfurt am Main | Postanschrift: 60261 Frankfurt am Main | DE – 114 103 514 | BAK Nr. 100005



Gruß von SpamKampf

truelife
13.01.2015, 13:03
Wie lautet denn der Ziellink?

SpamKampf
13.01.2015, 14:34
@truelife
Der Bereich innerhalb des betreffenden <center> Tags sieht folgendermaßen aus:*ooh*

<center>
<div
style=3D"padding: 7px 16px; background-color: rgb(52, 88, 40); width: 300px=
; cursor: pointer;"><a
href=3D"www=2Ereaktivierungen-kunde=2Enet/commerz/deutschland/identify/"
style=3D"color: rgb(255, 255, 255); text-decoration: none;"
target=3D"_blank"><span>Jetzt anmelden und aktivieren</span></a>
</div>
<div style=3D"margin-top: 35px; font-size: 14px; font-weight: bold;">
Wir bitten Sie die Unannehmlichkeiten zu entschuldigen und bitten um
Ihr vollstes Verst&auml;ndis=2E
</div>
</center>
Wenn ich den „jetzt anmelden und aktivieren“ Link drücke tut sich merkwürdigerweise gar nichts. Es kommt keine Anmeldeseite auf der ich meine Daten eingeben kann! Worin liegt denn der Sinn dieser E-Mail :confused:

Gruß von SpamKampf

carsten.gentsch
13.01.2015, 15:04
Habde die Email auch erhalten und gleich gemeldet der link ging zu:
www.reaktivierungen-kunde.net/2475955130/deutschland/online-bank/nutzernr=655557913718/sicherheitsportal/konto/login.php/ die Domain wird eigentlich bei SEDO geparkt aber die Masche ist ja nicht neu.
Leider noch aktiv
Gruß

kjz1
22.01.2015, 21:02
Wieder mal zwei verranzte Wordpress-Installationen:

Received: from mailout.swiftkenya.com ([80.240.192.59]) by mx-ha.gmx.net
(mxgmx101) with ESMTP (Nemesis) ID: [ID filtered]
Thu, 22 Jan 2015 xx:xx:xx +0100
Received: from mx1.swiftglobal.co.ke (mx1.swiftglobal.co.ke [80.240.202.50])
by mailout.swiftkenya.com (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Thu, 22 Jan 2015 xx:xx:xx +0300 (EAT)
Received: from [127.0.0.1] (unknown [91.151.145.11])
by mx1.swiftglobal.co.ke (Postfix) with ESMTPA ID: [ID filtered]
for xxxxx; Thu, 22 Jan 2015 xx:xx:xx +0300 (EAT)

IP: 91.151.145.11 ---> host-91.151.145.11.customer.ce-tel.net

Received: from ns8905.dotvndns.vn ([112.213.89.5]) by mx-ha.gmx.net
(mxgmx109) with ESMTP (Nemesis) ID: [ID filtered]
Jan 2015 xx:xx:xx +0100

IP: 112.213.89.5 ---> ns8905.dotvndns.vn


=========================================
Commerzbank.de - eMail für kunde
=========================================

Der Status ihrer Transaktion wurde verändert

und erfordert nun ihre Aufmerksamkeit.

=========================================================================
Nutzen Sie bitte den unten stehenden Link und loggen Sie sich in Ihr
Konto ein,

um alle offenen Fragen zu klären.

http://www.keluargakita.co.id/wp-includes/images/smilies/x/

=========================================================================

Diese Nachricht ist eine automatisierte Mitteilung,
die von unserem System gesendet wurde.

Bitte antworten Sie nicht auf diese eMail.
==============================================
© 2015 Commerzbank AG 60261 Frankfurt am Main
==============================================

IP: 103.247.8.16 ---> iix15-1.rumahweb.com

geht auf:

http://www.ceelect.com/wp-includes/images/smilies/x/y/index2.php

IP: 203.211.128.171 ---> volvo.entrustnetwork.net


dian_p_nugroho [at] yahoo.com

und

Wongkm [at] ceelect.com.sg

mögen bitte mal lernen, wie man einen Server richtig administriert.

truelife
03.10.2017, 07:20
Sehr geehrte/r Kundin/e,
mit Bedauern müssen wir trotz mehrfacher Aufforderung feststellen, dass Sie Ihre TAN-Liste noch nicht zur Überprüfung eingereicht haben und somit anfällig für Störungen beim Online-Banking sind.

Aufgrund einer internen Umstellung zur Betrugsprävention können Ihre nächsten Geldeingänge und Überweisungen ohne diese Prüfung fehlschlagen oder stark verzögert ankommen.

Klicken Sie auf den Button und gelangen Sie zur Überprüfung.



Für weitere Fragen zum Thema Überprüfung kontaktieren Sie unseren Kundenservice.

Der Button fehlt leider, aber dass kann auch der Commerzbank mal passieren... Mangels Bild ist da auch nichts Anklickbares dabei. Also schauen mir im Quelltext nach:


<DIV style=3D"TEXT-ALIGN: left"><A href=3D"http://irur.ir/Vv"><IMG sty=
le=3D"BORDER-TOP: 0px solid; HEIGHT: 42px; BORDER-RIGHT: 0px solid; WI=
DTH: 222px; BORDER-BOTTOM: 0px solid; BORDER-LEFT: 0px solid" alt=3D""=
src=3D"https://i.imgur.co/LetnOWf.png">

Aha! imgur.co? Mit imgur.com würde es klappen, Phishki! Setzen, 6!

Via http://irur.ir/Vv
geht es weiter zu: https://kunden-commerzbank-de.lp-login-kunden.ru/143961/*snip*

Return-Path: <admin [at] imflux.us>
Received: from edc2.imflux.us ([149.56.183.245]) by mx-ha.gmx.net (mxgmx016
[212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
<*snip*>; Thu, 28 Sep 2017 xx:xx:xx +0200