PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Deutsche Postbank - serverbackup09.com



Eniac
20.07.2005, 08:57
Bald sollten alle backup Server durchnummeriert sein, jetzt ist 09 an der Reihe, diesmal für die Postbank. Wie in den vorangegangen Fällen ist der header einigermassen geschickt gefälscht.

Whois-Eintrag wie gehabt:


Domain Name : serverbackup09.com

::Registrant::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Administrative Contact::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

...

::Name Servers::
ns1.serverbackup09.com
ns2.serverbackup09.com
ns3.serverbackup09.com
ns4.serverbackup09.com
ns5.serverbackup09.com

:: Dates & Status::
Created Date 2005-07-18 xx:xx:xx EDT
Updated Date 2005-07-18 xx:xx:xx EDT
ValID: [ID filtered]
Status ACTIVE

----------------------------------------

Re: 221.216.204.53 (Ursprungsquelle der Scammail)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

Re: serverbackup09.com [66.67.46.11] (phishing-Seite)
To: abuse#rr.com

Re: Phishing
To: direkt#postbank.de

===8<==============Original message text===============

X-Flags: 1001
Received: (qmail invoked by alias); 20 Jul 2005 xx:xx:xx -0000
Received: from [221.216.204.53] (helo=tlcfan.com)
by mxeu12.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
by tlcfan.com (Postfix) with ESMTP ID: [ID filtered]
for <info@$munged$.tld>; Tue, 19 Jul 2005 xx:xx:xx -0500
From: Postbank <support [at] postbank.de>
To: Info <info@$munged$.tld>
Subject: Deutsche Postbank
Date: Tue, 19 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0024_FE0B11A3.0FA615D8"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A

Deutsche Postbank

Sehr geehrter Kunde,

Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert.

Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.

http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.serverbackup09.com/

Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen.

Danke für die Zusammenarbeit,
Administration der Postbank Online Banking

© 2004 Deutsche Postbank AG

===8<===========End of original message text===========


Eniac

Sirius
20.07.2005, 10:37
Hallo.

Das Mail ist bei mir ebenfalls aufgeschlagen:
From support [at] postbank.de Wed Jul 20 xx:xx:xx 2005
Return-Path: <support [at] postbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to ###@###.###
Received: (qmail invoked by alias); 20 Jul 2005 xx:xx:xx -0000
Received: from fj194.net220216055.thn.ne.jp (HELO fj194.net220216055.thn.ne.jp) [220.216.55.194]
by mx0.gmx.net (mx013) with SMTP; 20 Jul 2005 xx:xx:xx +0200
Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
by fj194.net220216055.thn.ne.jp (Postfix) with ESMTP ID: [ID filtered]
for <###@###.###>; Tue, 19 Jul 2005 xx:xx:xx -0500
From: Postbank <support [at] postbank.de>
To: ### <###@###.###>
Subject: Deutsche Postbank
Date: Tue, 19 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0002_283B2332.2ADC1454"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal

Abgekippt über Japan (und keine so gelungene Header-Fälschung).

Der Link ist derselbe wie oben. Allerdings ist der Domain-Name serverbackup09.com bei centralops.net unbekannt.

Die DNS-Server ns1.serverbackup09.com bis ns5..... haben folgende IPs:

24.6.206.65 = Comcast Cable Communications Inc
64.172.99.119 = PPPoX Pool ADSL Rback18
68.184.193.197 = Charter Communications
71.8.197.224 = Charter Communications
82.254.9.106 = Proxad, Internet Service Provider in France
Diese DNS-Server leiten zu folgenden Adressen:

24.132.46.235 = Kabeltelevisie Amsterdam B.V.
66.30.227.21 = Comcast Cable Communications Inc
66.176.92.39 = Comcast Cable Communications Inc
68.56.134.62 = Comcast Cable Communications Inc
69.142.20.169 = Comcast Cable Communications Inc
Hat da irgendwer die DNS-Server manipuliert???

Ich schreibe mal ein paar Abuse-Mails...

Grüße

Investi
20.07.2005, 11:49
3 x hier eingetroffen:

Return-Path: <support [at] postbank.de>
Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
Received: from [218.81.6.116] (helo=carmax.com)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Wed, 20 Jul 2005 xx:xx:xx +0000
From: Postbank <support [at] postbank.de>
Subject: Deutsche Postbank
To: Abuse <abuse [at] ....de>
References: <3BDKGEJF6AJ5G81J [at] ....de>
In-Reply-To: <3BDKGEJF6AJ5G81J [at] ....de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_JE4EEI_2HI1ABDA_7F6H1HH8I"
Envelope-To: info [at] ....de
X-SpamScore: 0

Return-Path: <support [at] postbank.de>
Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
Received: from [218.81.6.116] (helo=carmax.com)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Wed, 20 Jul 2005 xx:xx:xx +0000
From: Postbank <support [at] postbank.de>
Subject: Deutsche Postbank
To: Info <info [at] ....de>
References: <BCHFH2L9K3DJ8EBB [at] ....de>
In-Reply-To: <BCHFH2L9K3DJ8EBB [at] ....de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_DFGI7J3G4BA55H50JD80H68C1"
Envelope-To: info [at] ....de
X-SpamScore: 0

Return-Path: <support [at] postbank.de>
Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
Received: from [218.81.6.116] (helo=carmax.com)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Wed, 20 Jul 2005 xx:xx:xx +0000
From: Postbank <support [at] postbank.de>
Subject: Deutsche Postbank
To: Stammposter <stammposter [at] ....de>
References: <88692HG9KLH99GKH [at] ....de>
In-Reply-To: <88692HG9KLH99GKH [at] ....de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_8229A9CI3C4BADE68CH0DCCJ6"
Envelope-To: info [at] ....de
X-SpamScore: 0

martinh85
20.07.2005, 13:30
Gibt man die Daten auf der Phishing-Seite ein, so landet man doch tatsächlich bei der Postbank - die haben allerdings (vielleicht über den referrer) dort eine Warnung eingebaut.
Es wird geladen:
https://www.postbank.de/phishingwarnung.html
Nicht ganz schlecht, aber bestimmt leicht auszutricksen.

Martin

Sirius
20.07.2005, 16:05
Hallo.


...so landet man doch tatsächlich bei der Postbank - die haben allerdings (vielleicht über den referrer) dort eine Warnung eingebaut. Genau. Der Browser gibt immer auch den URL an, von dem aus auf eine neue Seite verlinkt wird (Referrer).
Anhand des Referrers kann die Postbank dann auch sofort die Phishing-Seite feststellen - wenn sie denn will. Allerdings sind die meisten Seiten "bullet-proofed" gehostet oder auf verwurmten Windows-Rechnern untergebracht :-(



Nicht ganz schlecht, aber bestimmt leicht auszutricksen.So leicht geht das gar nicht. Ein <meta http-equiv="refresh" content="0; URL=http://..."> würde wegen einer Verzögerung auffallen und andere Methoden, wie z.B. ein De-Referrer-Mechanismus wie bei Suchmaschinen sind mit JavaScript nicht zu machen.

Grüße

webeinspunktnull
20.07.2005, 16:53
http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.serverbackup09.com/

Return-Path: <support [at] postbank.de>
Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
Received: from [218.244.89.43] (helo=carmax.com)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Wed, 20 Jul 2005 xx:xx:xx +0000
From: Postbank <support [at] postbank.de>
Subject: Deutsche Postbank
To: Acquisition <>
References: <IF66IDIJ744C1FK6 [at] tau.de (IF66IDIJ744C1FK6 [at] trafficklau.de)>
In-Reply-To: <IF66IDIJ744C1FK6 [at] t.de (IF66IDIJ744C1FK6 [at] trafficklau.de)>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart__CGI73_CH15L_JF_CDJB_0I92"
Envelope-To:
This is a multipart message in MIME format.
------=_NextPart__CGI73_CH15L_JF_CDJB_0I92
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_JILE5HJI40K296L1G9FLE83H_"
------=_NextPart_JILE5HJI40K296L1G9FLE83H_
Content-Type: multipart/alternative; boundary="----=_NextPart_BJAA2398JLGHK55F43E1CEDJ4"
------=_NextPart_BJAA2398JLGHK55F43E1CEDJ4
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Deutsche Postbank
------=_NextPart_BJAA2398JLGHK55F43E1CEDJ4
Content-Type: text/html
Content-Transfer-Encoding: 8bit

homer
21.07.2005, 08:27
Return-Path: <support [at] postbank.de>
Received: from unknown (HELO surfy.net) (61.51.242.30) by 0 with SMTP; 21
Jul 2005 xx:xx:xx -0000
Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
by surfy.net (Postfix) with ESMTP ID: [ID filtered]
Jul 2005 xx:xx:xx -0500
From: Postbank <support [at] postbank.de>
To: X <x [at] x.x>
Subject: Deutsche Postbank
Date: Wed, 20 Jul 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0018_D414BB61.8A114CB6"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1082
X-GMX-Antivirus: 0 (no virus found)

Geht auch auf http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.serverbackup09.com/

Kojote
22.07.2005, 03:47
hab die mail auch erhalten. der server ist mittlerweile nicht mehr erreichbar. beschwerde an comcast ging raus.

Gool
22.07.2005, 18:09
Die Herrschaften werden schlauer:


Form der zusätzlic hen Autoris ation

und


Administr ation der Post bank

soll wohl Spamfilter austricksen, allerdings haben sie nicht bedacht, dass dadurch die Mail unglaubwürdiger erscheint.

Return-Path: <support [at] postbank.de>
Delivered-To: #
Received: (qmail 973 invoked from network); 22 Jul 2005 xx:xx:xx -0000
Received: from unknown ([80.67.18.7])
by xaroco.ispgateway.de (qmail-ldap-1.03) with QMQP; 22 Jul 2005 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx07.ispgateway.de #
Received: (qmail 28283 invoked from network); 22 Jul 2005 xx:xx:xx -0000
Received: from unknown (HELO carmax.com) ([24.174.83.190])
(envelope-sender <poor [at] spamvictim.tld>)
by mx07.ispgateway.de (qmail-ldap-1.03) with SMTP
for <#>; 22 Jul 2005 xx:xx:xx -0000
Date: Fri, 22 Jul 2005 xx:xx:xx +0000
From: Postbank <support [at] postbank.de>
Subject: Deutsche Postbank
To: Falle <#>
References: <#>
In-Reply-To: <#>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_D_GL_4I3ED_53KA381GCA1DJ8"