PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Phishing] Postbank Online-Banking



Eniac
04.07.2005, 11:08
Phishing für die Postbank, Seite ist bei Road Runner gehostet. Wieso bekomme ich für die domain keinen whois record und wieso wird dann der Name überhaupt vom DNS aufgelöst?
----------------------------------------
Re: 61.46.42.75 (Ursprungsquelle der Scammail)
To: poor [at] spamvictim.tld
Re: backup-server05.com [24.26.146.217] (phishing-Seite)
To: poor [at] spamvictim.tld
Re: Phishing
To: direkt#postbank.de
===8<==============Original message text===============
From SRS0=SiQF=VI=postbank.de=support [at] srs.kundenserver.de Mon Jul 4
xx:xx:xx 2005
Return-Path: <SRS0=SiQF=VI=postbank.de=support [at] srs.kundenserver.de>
X-Flags: 1001
Received: (qmail invoked by alias); 04 Jul 2005 xx:xx:xx -0000
Received: from [61.46.42.75] (helo=zaq3d2e2a4b.zaq.ne.jp)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
xx:xx:xx +0200
Received: from postbank.de (mailrelay.de.ignite.net [195.182.110.146])
by zaq3d2e2a4b.zaq.ne.jp (Postfix) with ESMTP ID: [ID filtered]
for <info [at] meine-domäne.de.invalid>; Sun, 03 Jul 2005 xx:xx:xx -0500
From: Postbank <support#postbank.de>
To: Info <info [at] meine-domäne.de.invalid>
Subject: Postbank Online-Banking
Date: Sun, 03 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0022_1EC2B10C.DF8672A3"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2505.0000
X-Kaspersky-Antivirus: passed
Sehr geehrter Kunde,
Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten
von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den
Kontoinhabern durchzuführen.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die
Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren
Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die
Verschlüsselungsart der übertragenen Daten modernisiert.
Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form
der zusätzlichen Autorisation auszufüllen.
http://www.postbank.de.pbde_pk_home-pbde...p-server05.com/ (http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.backup-server05.com/)
Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von
unseren Kunden getroffen.
Danke für die Zusammenarbeit,
Administration der Postbank Online Banking

&copy; 2004 Deutsche Postbank AG
===8<===========End of original message text===========

Eniac

xray12
04.07.2005, 18:17
Return-Path: <onlinebanking [at] postbank-de.com>
Delivery-Date: Mon, 04 Jul 2005 xx:xx:xx +0200
Received: from [194.116.140.124] (helo=194.116.140.124)
by mxeu5.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: =?iso-8859-1?B?Pj4+UG9zdEJhbmsgT25saW5lIEJhbmtpbmc=?= <onlinebanking [at] postbank-de.com>
To: .....de
Subject: PostBank OnlineBanking
Date: Mon, 04 Jul 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_F7EC1038.C918D00A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: .........de
Sehr geehrter Kunde, Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen. Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert. Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen. (Banner auf:(http://www.berliner-security-update.com/)
Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen. Danke für die Zusammenarbeit,Administration der Postbank Online Banking

Goofy
04.07.2005, 19:08
@ Eniac
Es dreht sich um die Domain backup-server05.com.
network-tools.com zeigt für diese Domain beim verwendeten Nameserver 66.98.244.52 das Ergebnis:
"Queried domain does not exist".
Fragt man aber den Nameserver 217.237.151.161 (einer von t-online), bekommt man auf einmal doch die additional records mit den IP-Addressen für die Drecksnameserver (ns1.backup-server05.com etc.). Im Moment geht es jedenfalls bei mir so. Kann sich allerdings schnell ändern.
Besonders merkwürdig daran: fragt man jetzt nach dem NS-Record für die Domain und direkt danach wieder nach dem
A-record, kommt auf einmal doch "Queried domain does not exist", obwohl derselbe Nameserver vorher additional records angezeigt hatte.
Die Domain wird wahrscheinlich bei Deinem Browser noch aufgelöst, weil der Nameserver Deines Providers die Daten noch im Cache hat. Es könnte sich auch hier wieder mal um eine der vielen gespooften Domains handeln, wo verhindert wird, dass die TTL-Zeit abläuft. Daher bleibt die Domain im Cache des Nameservers, obwohl der Registrar sie schon aus dem DNS genommen hat. Die Domain wird mit Spoofing künstlich länger am Leben gehalten.
Bei Yesnic kommt "Timeout", wenn man die whois-Daten abfragt. Könnte ein Problem beim Yesnic-Server sein.
Goofy

Friedrich
05.07.2005, 00:15
Return-Path: <onlinebanking [at] postbank-de.com>
Delivery-Date: Mon, 04 Jul 2005 xx:xx:xx +0200
Received: from [66.168.247.80] (helo=66-168-247-80.dhcp.mtgm.al.charter.com)
by mxeu12.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: =?iso-8859-1?B?Pj4+UG9zdEJhbmsgT25saW5lIEJhbmtpbmc=?= <onlinebanking [at] postbank-de.com>
To: poor [at] spamvictim.tld
Subject: PostBank OnlineBanking
Date: Mon, 04 Jul 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_D18E7491.80CBE1BB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: poor [at] spamvictim.tld

Sehr geehrter Kunde,
Im Zusammenhang mit den hufiger werdenden Betrgereien mit den Bankkonten
von unseren Kunden sind wir gezwungen eine zustzliche Autorisation von
den Kontoinhabern durchzufhren.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die
Datensicherung einer neuen Generation einzufhren. Dazu wurden von unseren
Spezialisten sowohl die Informationsbertragungsprotokolle, als auch die
Verschlsselungsart der bertragenen Daten modernisiert.
Im Zusammenhang mit dem Obenerwhnten bitten wir Sie, eine spezielle Form
der zustzlichen Autorisation auszufllen.
Diese Manahmen werden ausschlielich zur Sicherung der Interessen von unseren
Kunden getroffen.
Danke fr die Zusammenarbeit,
Administration der Postbank Online Banking
&copy; 2004 Deutsche Postbank AG

YviDee
06.07.2005, 18:33
Hallo zusammen!
Habe ich ein Problem, wenn ich dämlicherweise "Form ausfüllen" geklickt habe? Dann nach hat sich bei mir keine Seite aufgebaut und ich habe nach ca. 5 sec. die Seite geschlossen...

Fidul
06.07.2005, 18:40
Was genau hast du gemacht? Nur das "Formular" leer abgeschickt oder es vorher auch ausgefüllt?
--
Wir kriegen euch alle!

YviDee
06.07.2005, 18:44
Ich kam gar nicht bis zu dieser falschen Homepage, weil ich mir direkt nach dem Klick dachte, dass daran was foul sein müsste. Habe also nix ausgefüllt und keine Pins weitergegeben...

Fidul
06.07.2005, 18:46
Dann dürfte eigentlich nichts passiert sein.
--
Wir kriegen euch alle!

YviDee
06.07.2005, 18:53
Denke ich auch,.. - Danke!!

Investi
07.07.2005, 18:47
Soeben wieder aufgeschlagen:

Return-Path: <custservice_982672009419827 [at] postbank.de>
Delivery-Date: Thu, 07 Jul 2005 xx:xx:xx +0200
Received: from [200.147.211.12] (helo=200-147-211-12.canbrasacesso.speeduol.com.br)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
FCC: mailbox://custservice_982672009419827 [at] postbank.de/Sent ( mailbox: //custservice_982672009419827 [at] postbank.de/Sent)
X-Identity-Key: id1
Date: Fri, 08 Jul 2005 xx:xx:xx -0100
From: DEUTSCHE POSTBANK AG <custservice_982672009419827 [at] postbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: leon [at] ....de
Subject: [SPAM] [SPAM?]: POSTBANK ONLINE-BANKING
Content-Type: multipart/related;
boundary="------------080704020206080207060006"
Message-ID: [ID filtered]
Envelope-To: info [at] ....de
X-SpamScore: 4.279
tests= DATE_IN_FUTURE_24_48 FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS
X-Spam-Flag: Yes
X-Spam-Level: 9/5

http://www.bilder-hochladen.net/files/2xr-1.gif
Verlinkt nach: http://202.143.140.115/rpm/

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)

spag
08.07.2005, 09:42
Diese Mail habe ich gestern auch erhalten, und heute diese:
.............
Return-Path: <SRS0=3Uve=VL=postbank.de=support [at] srs.kundenserver.de>
Delivered-To: poor [at] spamvictim.tld
Received: from moutng.kundenserver.de (moutng.kundenserver.de [212.227.126.188])
by norgun.golwen.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 7 Jul 2005 xx:xx:xx +0200 (CEST)
Received: from [69.22.224.153] (helo=user-12hdo4p.cable.mindspring.com)
by mxeu8.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.nrenqum.com with SMTP; Fri, 8 Jul 2005 xx:xx:xx +0000
Received: from 238.93.222.228 (238.93.222.228[238.93.222.228])
by user-12hdo4p.cable.mindspring.com (IMP) with HTTP
for <poor [at] spamvictim.tld>; Fri, 8 Jul 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Postbank" <support [at] postbank.de>
To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Fri, 8 Jul 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 238.93.222.228
X-RBL-Warning: warn.bl.kundenserver.de says: This mail has been received from a dialup host.
Status: R
X-Status: NC
Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer die Entwendung der Angaben aus den TAN - Tabellen verwenden. Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten wird, eine spezielle Form auszufuellen. In dieser Form werden Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.
Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir bitten um Entschuldigung, wenn wir Ihnen die Unannehmlichkeiten bereitet haben.
Mit freundlichen Gruessen,
Bankverwaltung
............
Die Betrüger warnen mittlerweile schon vor sich selbst... ;)
Der Link http://219.90.62.85:8081/ enthält wieder ein gefaktes Postbank-Formular.
Gruss
spag

Investi
11.07.2005, 09:13
Einmal die Version mit Text und ohne HTML. Ausnahmsweise in einem nahezu perfekten Deutsch:

Sehr geehrter Kunde,
Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert.
Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.
Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen.
Danke für die Zusammenarbeit,
Administration der Postbank Internet-Banking
Return-Path: <internet-banking [at] poslbank.de>
Delivery-Date: Sun, 10 Jul 2005 xx:xx:xx +0200
Received: from [85.212.2.220] (helo=p85.212.2.220.tisdip.tiscali.de)
by mxeu1.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: =?iso-8859-1?B?QWRtaW5pc3RyYXRpb24gZGVyIFBvc3RiYW5rIEludGVybmV0LUJhbmtpbmc=?= <internet-banking [at] poslbank.de>
To: abuse [at] ....de
Subject: [SPAM?]: =?iso-8859-1?B?UG9zdEJhbmsgSW50ZXJuZXQtQmFua2luZw==?=
Date: Sun, 10 Jul 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_4CF6E9CC.0674731F"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: info [at] ....de
X-SpamScore: 1.116
tests= EXTRA_MPART_TYPE

Verlinkt wird es mit http://www.berliner-deutschland.com (noch online, Postbank ist informiert)

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)

Kojote
16.07.2005, 05:42
welche kontakt e-mail adresse bei der postbank hast du verwendet? ich wollte pishing mails samt header schon oft direkt forwarden, aber abuse@ gibts offensichtlich nicht bei denen und eine spezifische kontakt e-mail konnte ich auf der homepage auch nicht finden. ich danke schon mal für die antwort :)