PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [phishing] Deutsche Bank



Dotshead
28.05.2005, 15:26
Return-path: <ChartrandCarlo [at] deutsche-bank.de>
Envelope-to:
Delivery-date: Sat, 28 May 2005 xx:xx:xx +0200
Received: from m19.net195-132-219.noos.fr (m19.net195-132-219.noos.fr [195.132.219.19]) by xxx (Postfix) with SMTP ID: [ID filtered]
Message-ID: [ID filtered]
Von: Deutsche Bank <ChartrandCarlo [at] deutsche-bank.de>
An:
Betreff: Deutsche Bank Email Verification -
Datum: Sat, 28 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_E0325342.E8DE2E17"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Virus-Scanned: Clear (ClamAV 0.85.1/898/Sat May 28 xx:xx:xx 2005)
X-Spam-Score: 2.4 (++)
Delivered-To:
X-Evolution-Source:
Dear Deutsche Bank Member,
This email was sent by the Deutsche Bank server to verify your e-mail address. You must complete this process by
clicking on the link below and entering in the small window your Deutsche Bank online access details. This is done for
your protection - because some of our members no longer have access to their email addresses and we must verify it.
To verify your e-mail address, click on the link below:
http://www.deutsche-bank.de/BpUejqPjUzAM...efaLF30b6r5n07v (http://www.deutsche-bank.de/BpUejqPjUzAMK9rg9L9ss7TNy1cKGi7q6osCsjwnqTIvefaLF30b6r5n07v) dahinter verbirgt sich:
http://www.google.mn/url?q=http://go.msn.com/HML/5/7.asp?target=http://%09%39d9%6d%09%73x3%%%2ed%61%%2E%%%72%%%%75/
Grüße aus ME
Dots

schara56
28.05.2005, 21:42
Microsoft Mail Internet Headers Version 2.0
Received: from xxx.xxx.xx ([213.133.97.182]) by xxx.xxx.xx with Microsoft SMTPSVC(6.0.3790.211);
Sat, 28 May 2005 xx:xx:xx +0200
Received: by xxx.xxx.xx (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 80.103.204.52 (unknown [80.103.204.52])
by xxx.xxx.xx (Postfix) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sat, 28 May 2005 xx:xx:xx +0200 (CEST)
Message-ID: [ID filtered]
From: Deutsche Bank <CartyAndras [at] deutsche-bank.de>
To: poor [at] spamvictim.tld
Subject: Subject entfernt, da die Emailadresse noch enthalten war - meinen Dank an sis!
Date: Tue, 24 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_B53213B1.84FB2FFE"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on xxx.xxx.xx
X-Spam-Status: No, hits=4.4 required=5.0 tests=CLICK_BELOW,DATE_IN_PAST_96_XX,
EXTRA_MPART_TYPE,FORGED_OUTLOOK_TAGS,HTML_MESSAGE,
HTTP_EXCESSIVE_ESCAPES autolearn=no version=2.64
X-Spam-Level: ****
Return-Path: CartyAndras [at] deutsche-bank.de
X-OriginalArrivalTime: 28 May 2005 xx:xx:xx.0665 (UTC) FILETIME=[9890D410:01C5637C]
Text wie oben
Abgekippt über 80.103.204.52 -> Uni2 IP Data Network -> abuse[at]uni2.es
Phishing Site: http://rmjfuido.nm.ru/welcome3.html -> Network for Newmail mail services -> 212.48.140.150
-> abuse[at]newmail.ru
Deutsche Bank wurde informiert.
Bei http://rmjfuido.nm.ru/welcome3.html ist auch interessant woher das CSS geholt wird.
heute, 29.05.05 um 17:21 ist die Seite schon dicht.

sis
30.05.2005, 01:08
Return-Path: <BruxvoortArdys [at] deutsche-bank.de>
Received: from ppp-214-133.idknet.com ([217.19.214.133]) by .de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche Bank <BruxvoortArdys [at] deutsche-bank.de>
To: <..>
Subject: Deutsche Bank: email - <..>
Date: Wed, 25 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_DB8E597B.F05745A0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TOI-SPAM: u;0;2005-05-29Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-Seen: false
Dear Deutsche Bank Customer,
We find that some of our members no longer have access to their email addresses. As result Deutsche Bank server
sent this letter to verify e-mail addresses of our clients. You must complete this process by clicking on the link
below and entering in the small window your Deutsche Bank online access
details:
http://www.google.ie/url?q=http (http://www.google.ie/url?http)://www.google.uz/url?q=http://c%09%78%09%70i%6ckp%2e%64%41%2ER%75/
http://www.deutsche-bank.de/kasdfklj...

schara56
30.05.2005, 18:37
Received: from pa-217-129-54-152.netvisao.pt (pa-217-129-54-152.netvisao.pt [217.129.54.152])
by h1.connexis.de (Postfix) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 30 May 2005 xx:xx:xx +0200 (CEST)
Message-ID: [ID filtered]
From: DeutscheBank <BambachAaron [at] deutsche-bank.de>
To: poor [at] spamvictim.tld
Subject: Subject entfernt - schara56
Date: Mon, 30 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_B456DC84.87BAF404"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Dear Deutsche-Bank Customer,
We find that some of our members no longer have access to their email addresses. As result DeutscheBank server
sent this letter to verify e-mail addresses of our clients. You must complete this process by clicking on the link
below and entering in the small window your Deutsche Bank online access details:
http://www.google.am/url?q=http://www.google.uz/url?q=http://%78m%61m%73j6.%44A%2ER%09%55

sis
30.05.2005, 19:06
Also wenn ich mir da die Mühe mache und die hexadezimal verschlüsselten URLs lese, dann kommt die Domain <da.ru> mit den Subdomains "9d9msx3", "cxpilkp" und "xmamsj6" heraus. Die Domain <da.ru> enthält selbstverständlich keinerlei WHOIS-Daten.

schara56
30.05.2005, 19:11
Richtig - und per META-REFRESH geht es weiter zu:
eivksopd.nm.ru
Wenn Bedarf besteht kann ich gerne ein in Delphi programmiertes Werkzeug zum URL-Dekodieren kostenlos bereit stellen. Bei Interesse bitte PM an mich und ich sende den URL dazu.

Fidul
30.05.2005, 21:24
9d9msx3.da.ru und cxpilkp.da.ru -> "The site you are looking for is closed, due to non-ethical and/or abusive activity." (http://www.da.ru/closed/)
xmamsj6.da.ru ist noch da.
--
Wir kriegen euch alle!

Raencker
31.05.2005, 07:40
<span style="font-size:9pt">Return-Path: <BivensCharo [at] q1x5r.deutsche-bank.de>
Delivery-Date: Wed, 01 Jun 2005 xx:xx:xx +0200
Received: from [71.96.179.36] (helo=pool-71-96-179-36.dfw.dsl-w.verizon.net)
by mxeu13.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: DeutscheBank <BivensCharo [at] q1x5r.deutsche-bank.de>
To: ***********************
Subject:
Date: Fri, 27 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_0C5AC358.034B2E4A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: ***********************</span>--

[links to http://www.google.sc/url?q=http://www.google.ae/url?q=http://apc502k.Da.RU/]


<span style="font-size:9pt">Return-Path: <CaspersonAlfredo [at] c9t98.deutsche-bank.de>
Delivery-Date: Wed, 01 Jun 2005 xx:xx:xx +0200
Received: from [65.41.24.71] (helo=fl-65-41-24-71.dyn.sprint-hsd.net)
by mxeu7.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: DeutscheBank <CaspersonAlfredo [at] c9t98.deutsche-bank.de>
To: ***********************
Subject:
Date: Fri, 27 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_DAC774F8.77CC8478"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: ***********************</span>--

[links to http://www.google.to/url?q=http://www.google.dj/url?q=http://vvboof2.da.rU/]



--
Ich bin stolzer Nichtbesitzer eines Terrorknochens.
Ich leiste mir den Luxus, nicht immer und überall für jedermann erreichbar zu sein.

schara56
31.05.2005, 10:35
...und der Kram leitet wieder um auf: eivksopd.nm.ru...
dort denke laufen auch die Logins in er Datenbank/Textfile (wie auch immer) zusammen.

sis
31.05.2005, 10:44
Return-Path: <BrenaBallios [at] deutsche-bank.de>
Received: from 193.87.95.70 ([193.87.95.70]) by .de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche_Bank <BrenaBallios [at] deutsche-bank.de>
To: <...>
Subject: Deutsche Bank: email - Verifikation <..>
Date: Wed, 01 Jun 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_67D5FB96.B2DE4D33"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
[stuff deleted]
http://www.google.ru/url?q=http://go.msn.com/HML/5/9.asp?target=http://%6ej7%35%65yf.D%61%%2Er%%09U%09/
Der Link entspricht nj75eyf . da.ru
Beschwerde ist schon unterwegs.

sis
31.05.2005, 11:11
@schara56:
Kürze bitte das Subject aus Deinem Posting von ganz oben heraus, da dort Deine echte eMail-Adresse drinsteht. Siehe PM.

schara56
31.05.2005, 16:44
Häh - wo? Schon weg?

sis
31.05.2005, 18:57
Häh - wo? Schon weg?
Nee, leider immer noch da in Deinem Beitrag vom 28.05.2005, 21:42 Uhr. Ich habe Dir eine PM hinterlegt (oben auf dieser Seite auf "Private Mails" klicken). Soll ich Dir eine eMail an die immer noch decodierbare eMail-Adresse bei [removed] schicken?
@Raencker:
Dasselbe gilt auch für Deine beiden Beiträgen vom 01.06.2005, 07:40 Uhr. Siehe PM (hier im Forum).

Raencker
01.06.2005, 07:47
<span style="font-size:9pt">Return-Path: <DagmarBilodeau [at] pool-138-89-61-254.nwrk.east.verizon.net>
Delivery-Date: Thu, 02 Jun 2005 xx:xx:xx +0200
Received: from [138.89.61.254] (helo=pool-138-89-61-254.nwrk.east.verizon.net)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche Bank <DagmarBilodeau [at] pool-138-89-61-254.nwrk.east.verizon.net>
To: ***********************
Subject: DeutscheBank: e-mail - ***********************
Date: Thu, 02 Jun 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_D769F987.A9EE520E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-RBL-Warning: warn.bl.kundenserver.de says:
Envelope-To: ***********************</span>--

[links to http://www.google.se/url?q=http://www.google.cd/url?q=http://n1g1rrx.da.Ru/]



--
Ich bin stolzer Nichtbesitzer eines Terrorknochens.
Ich leiste mir den Luxus, nicht immer und überall für jedermann erreichbar zu sein.

Sven Udo
02.06.2005, 02:27
From Deutsche Bank Thu Jun 2 xx:xx:xx 2005
X-Apparently-To: xxxxxxxxxx [at] yahoo.com.au via 66.218.93.233; Thu, 02 Jun 2005 xx:xx:xx -0700
X-YahooFilteredBulk: 70.68.255.14
Authentication-Results: mta170.mail.dcn.yahoo.com from=db.de; domainkeys=neutral (no sig)
X-Originating-IP: [70.68.255.14]
Return-Path: <aubriebluethner [at] db.de>
Received: from 70.68.255.14 (HELO S010600b0d0e62ad7.vf.shawcable.net) (70.68.255.14) by mta170.mail.dcn.yahoo.com with SMTP; Thu, 02 Jun 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
From: "Deutsche Bank" <AubrieBluethner [at] db.de> Add to Address Book
To: poor [at] spamvictim.tld
Subject: Deutsche Bank E-Mail Verification - xxxxxxxxx [at] yahoo.com.au
Date: Thu, 02 Jun 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_8AE3EEA0.D4C3059A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Length: 651

Dear Deutsche Bank Customer,
This email was sent by the Deutsche Bank server to verify your e-mail address. You must complete this process by
clicking on the link below and entering in the small window your Deutsche Bank online access details. This is done for
your protection - because some of our members no longer have access to their email addresses and we must verify it.
To verify your e-mail address, click on the link below:
http://www.deutsche-bank.de/yvnIl9ieRKRS...uFBV3zi3thd252k (http://www.deutsche-bank.de/yvnIl9ieRKRSTKOUCJCbPk4hLVoSV98CrNk6OW2MoAyOLJuFBV3zi3thd252k)
http://www.google.ca/url?q=http://go.msn.com/HML/4/4.asp?target=http://f%39%342%65uu.D%%%09%41%%%2ER%%75/
...jetzt hat die "Deutsche Bank auch in "Australien" erwischt! Text & Header etwas anders als die vor mir geposteten Texte. Aber die Spur führt auch über <http://www.google.ca>; via <go.msn.com> nach Russland!
MfG
Sven Udo
----
I never saID: [ID filtered]

schara56
02.06.2005, 04:43
http://f%39%342%65uu.D%%%09%41%%%2ER%%75/entspricht http://f942euu.DA.RU
-> http://f942euu.DA.RU leitet weiter auf http://ojyfisoa.nm.ru
-> http://ojyfisoa.nm.ru leitet weiter auf die Deutsche Bank.
Allerdings erhalte ich kein Eingabefenster für meine virutellen PIN- und TAN-Listen.

RA Meier-Bading
07.06.2005, 16:27
ich hab das selbe bekommen, nur mit einer noch anderen Subdomain: 86e9zed.DA.RU. Da auch die auf die echte DeutscheBank weitergeleitet hat, konnte ich mir nur eine email-Adressverifikation über die codierten Subdomains erklären und hab es erstmal dabei belassen und die Mail an die DBank weitergeleitet.
Oder hat jemand eine bessere Erklärung?
TooniX

--
Clemot an Scam-Polizei nach 419-Warnung:
[..] And I will be very grateful if you can help me block all bulk message in my box.

schara56
11.07.2005, 06:37
Anscheined neuer run auf die Deutsch Bank.
Leider habe ich den Header der Mail nicht mehr hervorzaubern können (Outlook2003 + Spamassassing = Header weg?)
Spamvertised Site:
http://219.120.110.43/rpm
Reverse-Lookup ergibt: ultima.homelinux.com (DynDNS)
Deutsche Bank + DynDNS informiert.

Investi
11.07.2005, 08:51
Return-Path: <custservice_ref_929612335032327 [at] deutsche-bank.de>
Delivery-Date: Mon, 11 Jul 2005 xx:xx:xx +0200
Received: from [200.114.225.152] (helo=152-225-114-200.fibertel.com.ar)
by mxeu7.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
FCC: mailbox://custservice_ref_92961233503232...he-bank.de/Sent (mailbox://custservice_ref_929612335032327 [at] deutsche-bank.de/Sent)
X-Identity-Key: id1
Date: Mon, 11 Jul 2005 xx:xx:xx +0200
From: DEUTSCHE BANK AG <custservice_ref_929612335032327 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: leon [at] ....de
Subject: [SPAM?]: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------030700040600040706020008"
Message-ID: [ID filtered]
Envelope-To: info [at] ....de
X-SpamScore: 2.498
tests= FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS FROM_HAS_ULINE_NUMS

Die angezeigte Verlinkung führt zu https://meine.deutsche-bank.de/mod/WebOb.../wo/confirm.asp (https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa/407/wo/confirm.asp), tatsächlich wird jedoch http://219.120.110.43/rpm/ aufgerufen.

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)