PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Administration der Stadtsparkasse München - serverbackup03.com



Eniac
19.07.2005, 10:25
Holprig übersetzte Phishingseite für die Kunden der Stadtsparkasse München. Für die domain serverbackup03.com lassen sich keine whois-Daten bekommen, genau wie vor einiger Zeit (http://210112.antispam.de/t507735f11795469-Phishing-Postbank-Online-Banking.html) bei backup-server05.com (Postbank), es ist daher anzunehmen, dass es sich um die selbe Bande handelt.

serverbackup03.com lässt sich seltsamerweise auf 2 IP-Adressen auflösen, einmal 69.142.81.10 (Spamcast) und 69.151.197.85 (SW Bell). Beschwerden an beide sind raus.

----------------------------------------

Re: 62.135.40.195 (Ursprungsquelle der Scammail)
To: abuse#link.net

Re: serverbackup03.com [69.142.81.10 ] [69.151.197.85] (phishing-Seite)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

Re: Phishing
To: sicherheit#sskm.de

===8<==============Original message text===============

X-Flags: 1001
Received: (qmail invoked by alias); 19 Jul 2005 xx:xx:xx -0000
Received: from [62.135.40.195] (helo=host-62-135-40-195.link.net)
by mxeu5.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from sskm.de (mx1.sskm.net [62.245.220.148])
by host-62-135-40-195.link.net (Postfix) with ESMTP ID: [ID filtered]
for <info@$munged$.tld>; Mon, 18 Jul 2005 xx:xx:xx -0500
From: Stadtsparkasse Munchen <security [at] sskm.de.invalid>
To: Info <info@$munged$.tld>
Subject: Administration der Stadtsparkasse München
Date: Mon, 18 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0020_1C42481D.BE9D6BD7"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2479.0006
X-Virus-Scanned: by AMaViS perl-11 mion

Administration der Stadtsparkasse Munchen

Sehr geehrter Kunde,

Da gegenwärtig die Betrügereien mit den Bankkonten von unseren Kundschaften öfters zustande kommen, sind wir genötigt, nachträglich eine zusätzliche Autorisation von den Kunden der Stadtsparkasse München durchzuführen.
Der Sicherheitsdienst von der Stadtsparkasse München hat die Entscheidung getroffen, ein neues Datensicherheitssystem einzuführen. Im Zusammenhang damit wurden von unseren Fachleuten sowohl die Protokolle der Informationsübertragung, als auch die Methode der Kodierung der übertragenen Daten neu erstellt.

Infolgedessen bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.

http://www.sskm.de.cgi-bin.sskmwww.sskmwww_prod.sskmwww.suche._serviceundkredite-00945001843.serverbackup03.com

Diese Sicherheitsregeln wurden nur zum Schutz der Interessen von unseren Kunden eingesetzt.

Danke für Ihre Zusammenarbeitarbeit,
Administration der Stadtsparkasse München

===8<===========End of original message text===========


Eniac

Investi
19.07.2005, 10:32
Whois-Abfrage bei Samspade: zuständiger Whois-Server = crsnic.net (Verisign)
Whois-Abfrage bei crsnic.net:


No match for domain "SERVERBACKUP03.COM".

Bei mir heute 4 mal aufgeschlagen.

Kojote
19.07.2005, 12:31
ich hatte heute auch so ne mail bekommen. beschwerde an comcast ging raus und ne kopie an die sparkasse münchen :)

comcast hat bisher eigentlich noch nie auf eine meiner beschwerde mails reagiert, hat da jemand ähnliche erfahrungen gesammelt?

Investi
19.07.2005, 12:37
comcast hat bisher eigentlich noch nie auf eine meiner beschwerde mails reagiert, hat da jemand ähnliche erfahrungen gesammelt?

Dito. Geht mir ebenso.

Kojote
19.07.2005, 13:13
Das ist wieder so ein Provider wo alle Beschwerdemails nach /dev/null gehen... was solls... so oft wie der Server schon auf diversen schwarzen Listen zu finden ist, wundert es vermutlich eh' nicht.

Fidul
19.07.2005, 16:31
Das Viech ist noch ganz frisch:

Domain Name : serverbackup03.com

::Registrant::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Administrative Contact::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Technical Contact::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Name Servers::
ns1.serverbackup03.com
ns2.serverbackup03.com
ns3.serverbackup03.com
ns4.serverbackup03.com
ns5.serverbackup03.com

::Dates & Status::
Created Date 2005-07-18 xx:xx:xx EDT
Updated Date 2005-07-18 xx:xx:xx EDT
ValID: [ID filtered]
Status ACTIVE
Ich würde sagen, das riecht wieder nach Leo Kuvayev.

martinh85
19.07.2005, 18:57
Man sehe sich mal die Aliase für ihre Nameserver an,
das sind hauptsächlich Dialup-kisten.

ns1.serverbackup03.com has address 24.160.122.97
ns1.serverbackup03.com has address 69.252.161.230
ns1.serverbackup03.com has address 142.166.155.115
ns1.serverbackup03.com has address 68.127.228.133
ns1.serverbackup03.com has address 216.165.29.91
ns1.serverbackup03.com has address 24.173.238.236
ns1.serverbackup03.com has address 68.60.116.192
ns1.serverbackup03.com has address 210.233.219.135
ns1.serverbackup03.com has address 68.35.185.46
ns1.serverbackup03.com has address 24.34.202.69
ns1.serverbackup03.com has address 24.194.147.92
ns1.serverbackup03.com has address 69.242.167.208
ns1.serverbackup03.com has address 24.205.148.69

Dummerweise funktioniert der Link bei mir nicht, sonst hätten sie noch die eine oder andere Tan bekommen...

Mfg,

Martin

Goofy
19.07.2005, 19:36
Vermutlich wird da mit mehreren gehackten Webservern gearbeitet, auf denen die Phishing-Seite ohne Wissen der Betreiber gehostet wird.
In einem rotierenden System (dynamic dns) werden die IP-Addressen dann für die Domain ständig neu vergeben.
Das mit den Nameservern als Dial-Up-IP´s sehe ich allerdings zum ersten Mal.
Bei mir löst die Domain serverbackup03.com allerdings momentan nicht mehr auf.

Goofy

Gool
19.07.2005, 22:22
Return-Path: <security [at] sskm.de>
Delivered-To: #
Received: (qmail 14368 invoked from network); 19 Jul 2005 xx:xx:xx -0000
Received: from unknown ([80.67.18.12])
by xaroco.ispgateway.de (qmail-ldap-1.03) with QMQP; 19 Jul 2005 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx12.ispgateway.de #
Received: (qmail 9650 invoked from network); 19 Jul 2005 xx:xx:xx -0000
Received: from unknown (HELO YahooBB221019076077.bbtec.net) ([221.19.76.77])
(envelope-sender <poor [at] spamvictim.tld>)
by mx12.ispgateway.de (qmail-ldap-1.03) with SMTP
for <#>; 19 Jul 2005 xx:xx:xx -0000
Received: from sskm.de (mx1.sskm.net [62.245.220.148])
by YahooBB221019076077.bbtec.net (Postfix) with ESMTP ID: [ID filtered]
for <#>; Tue, 19 Jul 2005 xx:xx:xx -0500
From: Stadtsparkasse Munchen <security [at] sskm.de>
To: Falle <poor [at] spamvictim.tld>
Subject: Administration der Stadtsparkasse München
Date: Tue, 19 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0029_F4481848.38D13051"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2616
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-GMX-Antivirus: 0 (no virus found)



Ich würde sagen, das riecht wieder nach Leo Kuvayev.
Ich würde sogar sagen, dass das gewaltig danach stinkt. "spezielle Form der zusätzlichen Autorisation" - FAM

Mich wundert es nur, dass ausgerechnet meine Spam-Falle angemailt wurde, wo diese Adresse doch nirgendwo öffentlich genannt ist und man auch mit der Ausprobiermethode eigentlich nicht drauf kommen kann...

webeinspunktnull
20.07.2005, 00:00
Return-Path: <security [at] sskm.de>
Delivery-Date: Tue, 19 Jul 2005 xx:xx:xx +0200
Received: from [61.109.69.88] (helo=carmax.com)
by mxeu4.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Tue, 19 Jul 2005 xx:xx:xx +0000
From: Stadtsparkasse Munchen <security [at] sskm.de>
Subject: Administration der Stadtsparkasse München
To: Acquisition <>
References: <H834C3KH15I297BD@>
In-Reply-To: <H834C3KH15I297BD@>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_KE_FHAC6D51KHH3101H831E_L"
Envelope-To:

This is a multipart message in MIME format.

ChristianS
20.07.2005, 06:41
From security [at] sskm.de Tue Jul 19 xx:xx:xx 2005
Return-Path: <security [at] sskm.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 19 Jul 2005 xx:xx:xx -0000
Received: from gb.jb.89.196.revip.asianet.co.th (HELO gb.jb.89.196.revip.asianet.co.th) [61.91.89.196]
by mx0.gmx.net (mx073) with SMTP; 19 Jul 2005 xx:xx:xx +0200
Received: from sskm.de (mx1.sskm.net [62.245.220.148])
by gb.jb.89.196.revip.asianet.co.th (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 18 Jul 2005 xx:xx:xx -0500
From: Stadtsparkasse Munchen <security [at] sskm.de>
To: Christiansc <poor [at] spamvictim.tld>
Subject: Administration der Stadtsparkasse München
Date: Mon, 18 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_2CBD9C68.6773254D"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2505.0000
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.20.0.1; VDF: 6.20.0.46; host: gb.jb.89.196.revip.asianet.co.th)
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]