PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postbank-Phishing banking.pastbank.net



brk
17.07.2005, 10:27
Return-Path: <accountpolice [at] postbank.de>
Delivered-To:
Received: (qmail 18807 invoked from network); 16 Jul 2005 xx:xx:xx -0000
Received: from unknown (HELO pcp09651847pcs.mnhwkn01.nj.comcast.net) ([68.38.55.174])
(envelope-sender <poor [at] spamvictim.tld>)
by mx07.ispgateway.de (qmail-ldap-1.03) with SMTP
for <>; 16 Jul 2005 xx:xx:xx -0000
Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
by pcp09651847pcs.mnhwkn01.nj.comcast.net (Postfix) with ESMTP ID: [ID filtered]
for <>; Sat, 16 Jul 2005 xx:xx:xx -0500
From: "Sophisticates K. Wastepaper" <accountpolice [at] postbank.de>
To: Info <>
Subject: Die Bestatigung der Daten
Date: Sat, 16 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0024_79B2C44E.B28B6551"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-RAV-AntiVirus: This message has been scanned for viruses on pcp09651847pcs.mnhwkn01.nj.comcast.net
....

unter banking.pastbank.net öffnet sich eine gut gemachte Seite (einschl. Warnung vor Phishing-Mails).

Das Formular funktioniert aber nicht, es kommen Fehlermeldungen bezgl.

home/httpd/vhosts/mrxxx.spx-host.net/httpdocs/jober/logon.php

insgesamt ein fast schon lustiger Phishzug, insbesondere mit diesem Absendernamen :)

"Sophisticates K. Wastepaper"

Fidul
17.07.2005, 16:11
insgesamt ein fast schon lustiger Phishzug, insbesondere mit diesem Absendernamen
Der Phisher benutzt offenbar die gleiche Spamsoftware wie gewisse Pornospammer.

brk
17.07.2005, 19:01
Return-Path: <cloudzinaus [at] graffiti.net>
Delivered-To:
Received: (qmail 26594 invoked from network); 17 Jul 2005 xx:xx:xx -0000
Received: from unknown (HELO cm95-75.liwest.at) ([212.241.95.75])
(envelope-sender <poor [at] spamvictim.tld>)
by mx11.ispgateway.de (qmail-ldap-1.03) with SMTP
for <>; 17 Jul 2005 xx:xx:xx -0000
X-Message-Info: DZZCaTD6eUYWyOf9xu818Y062KejBVEtyz
Received: from wkvteda85.mypersonalemail.com (32) by sos484-lq.usa.com with Microsoft SMTPSVC(5.0.2195.6824);
Sat, 16 Jul 2005 xx:xx:xx +0100
Received: from chevronsextontv897 (ticklish205)
by blackburnmail.com (snssgm04) with SMTP
ID: [ID filtered]
(AuthID: [ID filtered]
Sat, 16 Jul 2005 xx:xx:xx -0300
From: "" Benita Mccord "" <restonparker [at] coolgoose.com >
To: "'Info'" <>
Subject:[spam] Re: .. your organization will thank you for this...
Date: Sat, 16 Jul 2005 xx:xx:xx +0300
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--585233702280737"


http://www.optin2millions.net


Return-Path: <orzcbwoulsatrq [at] sharelogic.com>
Delivered-To:
Received: (qmail 10559 invoked from network); 17 Jul 2005 xx:xx:xx -0000
Received: from unknown (HELO c-67-173-100-173.hsd1.il.comcast.net) ([67.173.100.173])
(envelope-sender <poor [at] spamvictim.tld>)
by mx01.ispgateway.de (qmail-ldap-1.03) with SMTP
for <>; 17 Jul 2005 xx:xx:xx -0000
X-Message-Info: GJp7NW90736Q148xneEfvzK1oP18jbgIQBtxKUL096JCS517
Received: from 192.92.96.142 by ip-0-429-395-32.mfm.orzcbwoulsatrq [at] sharelogic.com (AppleMailServer 98.5.2.0) ID: [ID filtered]
Reply-To: "Cathryn Butcher" <orzcbwoulsatrq [at] sharelogic.com>
From: "Cathryn Butcher" <orzcbwoulsatrq [at] sharelogic.com>
To: "Info" <>
Subject:[spam] hello my love
Date:Sun, 17 Jul 2005 xx:xx:xx -0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--041574260765711"


lapa202 [at] pochta.ru


Return-Path: <qsgygs [at] yahoo.com>
Delivered-To:
Received: (qmail 7330 invoked from network); 16 Jul 2005 xx:xx:xx -0000
Received: from unknown (HELO c-24-218-43-103.hsd1.ma.comcast.net) ([24.218.43.103])
(envelope-sender <poor [at] spamvictim.tld>)
by mx11.ispgateway.de (qmail-ldap-1.03) with SMTP
for <>; 16 Jul 2005 xx:xx:xx -0000
X-Message-Info: HM/z+41+j/D+30/995918790667
Received: from smtp-probe.quell.qsgygs [at] yahoo.com ([24.218.43.103]) by e907-hbd6.qsgygs [at] yahoo.com with Microsoft SMTPSVC(5.0.1616.2831);
Sun, 17 Jul 2005 xx:xx:xx -0300
Received: from complainant417.declaratory.qsgygs [at] yahoo.com (kiosk891.qsgygs [at] yahoo.com [24.218.43.103])
by poor [at] spamvictim.tld (Postfix) with SMTP ID: [ID filtered]
for <>; Sun, 17 Jul 2005 xx:xx:xx -0400
Received: from smtp-emitting.fluff.qsgygs [at] yahoo.com ([24.218.43.103]) by me59-lj00.qsgygs [at] yahoo.com with Microsoft SMTPSVC(5.0.0503.4117);
Sun, 17 Jul 2005 xx:xx:xx -0300
X-Message-Info: SGBDN+%ND_LC_CHAR[1-3]26+d+I+232/13069394242
Received: from lang.qsgygs [at] yahoo.com ([224.93.36.203]) by ocular.qsgygs [at] yahoo.com with MailEnable ESMTP; Sun, 17 Jul 2005 xx:xx:xx -0200
Date: Sun, 17 Jul 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: Zachariah Kerns <qsgygs [at] yahoo.com>
To: "Info" <>
Subject:[spam] EXTRA-TIME - last 5-10 times longer!
MIME-Version: 1.0 (produced by discriminablethrice 3.6)
Content-Type: multipart/alternative;
boundary="--054842572630734"


http://fibrously.com/et/?1663800


Keine Ahnung, ob das Zufall ist oder zusammenhängt, auffällig ist, dass alle Mails an "Info" geschickt wurden, die Mail-Adresse aber ganz anders beginnt.

p.s.: war die Codierung jetzt so richtig?

cycomate
17.07.2005, 20:25
hier (http://www.antispam-ev.de/forum/misc.php?do=bbcode) und hier (http://www.antispam-ev.de/forum/showthread.php?t=24) wird die korrekte Benutzung der [ header ] und [ spam ] Tags erklärt.

brk
17.07.2005, 20:32
ja, und? Stimmt doch, oder?

Mir ist nur nicht der Sinn des Spam-Tags klar, ausser dass er die Links unbrauchbar macht...

cycomate
17.07.2005, 21:42
Zunächst einmal hat der beworbene link nichts im header verloren, also bitte nicht klammern:
[ header ]
Return-Path: yatta
Received: by foo
[ spam ]http://www.gibtsnicht.invalID: [ID filtered]
[ /header ]

sondern header und beworbene links getrennt halten:
[ header ]
Return-Path: yatta
Received: by foo
[ /header ]
[ spam ]http://www.gibtsnicht.invalID: [ID filtered]

Dann macht der [ spam ] tag den link nicht unbrauchbar, sondern leitet ihn woanders hin. Klick mal auf http://www.optin2millions.net dann siehst Du es.

brk
17.07.2005, 23:49
Also ich bin hergegangen und habe den kompletten header in "[ header][/header]" gestellt (meine Adresse und den "recieved from" meines Providers eleminiert). Dann habe ich die beworbenen Links reinkopiert und mit codiert.

Ansonsten habe ich im header nur to: "info" mit "[ b][/b]" codiert, um die Herkunft zu kennzeichnen.

Wo ist also der break?

[ header][/header] wird nicht dargestellt, daher der blank zwischen "[" und "header".

brk
17.07.2005, 23:54
wohlgemerkt: "[ header] [/header] endete vor gefolgt von erneutem "[ header] [/header] und

Wenn das jetzt durcheinander war, muss es das Programm verbogen habe. Ja ich weiß, hinterher redet man sich leicht, aber ich werkle schon seit Jahren mit BBCode und weiß in der Regel, was ich mache....

cycomate
18.07.2005, 00:09
Nicht wirklich. Dein Antispamprogramm hat dem Subject ein [spam] vorangestellt, was natürlich vom board interpretiert wurde. Da [spam] jetzt [ spamlink ] heißt (und Raider Twix), sollte das aber zukünftig kein Problem darstellen.

brk
18.07.2005, 00:11
o.k. - ich gebe mich geschlagen - daran habe ich nicht gedacht und werde zukünftig aufpassen - man lernt ja nie aus..... ;)

Fidul
18.07.2005, 00:17
Ach übrigens:

whois pastbank.net
whois sx2xp.com
google leimomi01 [at] tom.com

Und schon hat man einen Zusammenhang zwischen diesen Phishing-Sites hier und diversen Jobangeboten aus Rußland.

Fidul
18.07.2005, 03:59
banking.pastbank.net = mrxxx.spx-host.net = 218.38.140.54 (Südkorea)

whois spx-host.net
whois spx-dns.net

Diese Bande hat offenbar massenhaft Domains bei Yesnic in Südkorea registriert. Die decken wirklich alles ab - Banken, Ebay und Scheinfirmen zum Geldtransfer.

Fidul
18.07.2005, 04:31
Und da haben wir des Rätsels Lösung: Leo Kuvayev (http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK5294) - was für eine fette (http://www.spamhaus.org/rokso/sbl_listings.lasso?spammer=Leo%20Kuvayev%20/%20BadCow&rokso_id=ROK5294) Akte (http://www.spamhaus.org/rokso/listing.lasso?-op=cn&spammer=Leo%20Kuvayev%20/%20BadCow). :mad:

Eniac
18.07.2005, 10:09
banking.pastbank.net = mrxxx.spx-host.net = 218.38.140.54 (Südkorea)

Hm, ich bekomme da 61.40.55.70 = DACOM Corp./BORANET aus Südkorea

Schlug bei mir gleich 3 mal auf, Beschwerden mit CC an direkt#postbank.de sind raus.


Eniac