PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Deutsche Bank - verschiedene Leo Kuvayev-Domains



Investi
31.07.2005, 18:03
Die zwischen den einzelnen Serverbackups liegenden Nummern scheinen für ausländische Banken verwendet worden zu sein, oder?
Aus gutem Grund kommen derartige Mails immer am Wochenende, weil dann die unbedarften Internetnutzer, die nur am Wochenende ins Web gehen, ihre Bankgeschäfte erledigen. Dadurch haben diese auch weniger Erfahrung mit derartigen Betrügereien.

Heute Nacht hier 4 Mal aufgeschlagen. Interessant auch die Absender:
Deutsche-Bank.de Police
Deutsche Bank Police
Online Police


Return-Path: <AccountPolice [at] Deutsche-Bank.de>
Delivery-Date: Sat, 30 Jul 2005 xx:xx:xx +0200
Received: from [201.150.72.181] (helo=tegucigalpa.com)
by mxeu12.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from Deutsche-Bank.de (fallback.mail.de.uu.net [195.129.12.230])
by tegucigalpa.com (Postfix) with ESMTP ID: [ID filtered]
for <webmaster [at] ....de>; Sun, 31 Jul 2005 xx:xx:xx -0500
Date: Sun, 31 Jul 2005 xx:xx:xx -0500
From: Deutsche-Bank.de Police <AccountPolice [at] Deutsche-Bank.de>
X-Mailer: The Bat! (v2.00.9) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Webmaster <webmaster [at] ....de>
Subject: [SPAM] [SPAM?]: Deutsche Bank Security Update
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------4BDE820D4BCB18C"
X-RAV-Antivirus: This e-mail has been scanned for viruses on host: tegucigalpa.com
Envelope-To: info [at] ....de
X-SpamScore: 1.609
tests= DATE_IN_FUTURE_06_12
X-Spam-Flag: Yes
X-Spam-Level: 8/5


Sehr geehrter Kunde,
Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kunden häufig geworden sind, müssen wir notgedrungen nachträglich eine zusätzliche Autorisation von den Kontobesitzern durchführen.
Der Sicherheitsdienst der Deutsche Bank traf die Entscheidung, eine neue Sicherung von den Daten vorzunehmen. Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungssart der übertragenen Daten erneuert.

Im Zusammenhang damit, bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.




Diese Sofortmaßnahmen wurden nur zur Sicherung der Interessen von unseren Kunden getroffen.

Danke für die Mitarbeit,
Administration der Deutsche Bank


Beworbene Links (bitte Schreibweise beachten, die Domains scheinen langsam auszugehen):

meine.deutschi-bank.net
serverbackup77.com

kjz1
31.07.2005, 18:32
Man schaue sich mal die Whois-Daten der DNS-Server an (leimomi01 [at] tom.com). Das ist mal wieder Leo...

- kjz

Gool
31.07.2005, 20:46
Joar, bei mir heute auch wieder:

Delivered-To: GMX delivery to #
Received: (qmail invoked by alias); 30 Jul 2005 xx:xx:xx -0000
Received: from mail3.netbeat.de (HELO mail3.netbeat.de) [193.254.185.27]
by mx0.gmx.net (mx018) with SMTP; 30 Jul 2005 xx:xx:xx +0200
Received: (qmail 26306 invoked by UID: [UID filtered]
Delivered-To: #
Received: (qmail 26145 invoked from network); 30 Jul 2005 xx:xx:xx -0000
Received: from pa-217-129-49-109.netvisao.pt (217.129.49.109)
by mail3.netbeat.de with SMTP; 30 Jul 2005 xx:xx:xx -0000
Received: from Deutsche-Bank.de (wo1.prod.Deutsche-Bank.de [217.73.48.228])
by pa-217-129-49-109.netvisao.pt (Postfix) with ESMTP ID: [ID filtered]
for <#>; Sun, 31 Jul 2005 xx:xx:xx -0500
Date: Sun, 31 Jul 2005 xx:xx:xx -0500
From: Deutsche-Bank.de Police <AccountPolice [at] Deutsche-Bank.de>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: #
Subject: Deutsche Bank Account Reactivation
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------4C21A87CD75226D"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]

Kojote
01.08.2005, 04:55
das verwendete deutsch ist ja noch immer grottenschlecht.

ehrlich gesagt: 60 minuten mehr aufwand, gutes deutsch, gutes layout und man könnte sogar darauf reinfallen. mittlerweile wurde es sogar von den medien so durchgekaut, dass jeder schon anhand des schreibstils feststellen kann, ob da etwas faul ist oder nicht.

Sven Udo
01.08.2005, 05:11
das verwendete deutsch ist ja noch immer grottenschlecht.

ehrlich gesagt: 60 minuten mehr aufwand, gutes deutsch, gutes layout und man könnte sogar darauf reinfallen. mittlerweile wurde es sogar von den medien so durchgekaut, dass jeder schon anhand des schreibstils feststellen kann, ob da etwas faul ist oder nicht.


@Kojote, Du hast Recht, das Deutsch in derartigen Mails wird immer schlechter. Aber es scheint immer noch genug Dumme zu geben, die sich NICHT vorstellen können, was nicht sein kann:
Das solche Nachrichten von ihrer Bank z.B. - in derartig schlechtem Deutsch, ankommen! ;) ich sage nur ...Pisa!

Gool
01.08.2005, 05:20
Und ich kenn genügend Kandidaten, die so schlecht Deutsch können (Deutsche, keine Asylanten oder Imigranten), dass sie problemlos darauf hereinfallen könnten.

Kojote
01.08.2005, 05:42
offensichtlich kann man das problem nur an der wurzel anpacken: deutsch kurse für alle :D ... wenn da aber pisher mitmachen und die nun auch wieder besser werden... ein teufelskreis ;)

Sirius
01.08.2005, 07:47
Hallo.

Ich habe heute das Mail gleich mehrfach bekommen. Allerdings wurden die Domains serverbackup77.com und deutschi-bank.net inzwischen abgeschaltet (serverbackup77.com hat immerhin noch zwei DNS-Einträge).

deutschi-bank.net war in den Niederlanden registriert, ob das stimmt bezweifel ich mal.

Die Banken scheinen immer schneller zu reagieren, sodass es mittlerweile zu "race conditions" zwischen den Phishing-Mails und und dem Abschalten der betroffenen Domains kommt. :p

Grüße

webeinspunktnull
01.08.2005, 14:33
Return-Path: <OnlinePolice [at] Deutsche-Bank.de>
Delivery-Date: Sun, 31 Jul 2005 xx:xx:xx +0200
Received: from [24.92.187.75] (helo=dt122n4b.tampabay.res.rr.com)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from Deutsche-Bank.de (wo1.prod.Deutsche-Bank.de [217.73.48.228])
by dt122n4b.tampabay.res.rr.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sun, 31 Jul 2005 xx:xx:xx -0500
Date: Sun, 31 Jul 2005 xx:xx:xx -0500
From: Online Police <OnlinePolice [at] Deutsche-Bank.de>
X-Mailer: The Bat! (v2.00.5) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Webmistress <>
Subject: Deutsche Bank Security Issue
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------8F7A8A4680DE70F"
X-Virus-Scanned: Norton
X-RBL-Warning: warn.bl.kundenserver.de says: This mail has been received from a dialup host.
Envelope-To:

------------8F7A8A4680DE70F
Content-Type: text/html
Content-Transfer-Encoding: 7bit

webeinspunktnull
01.08.2005, 14:36
Return-Path: <SecurityUpdate [at] Deutsche-Bank.de>
Delivery-Date: Sun, 31 Jul 2005 xx:xx:xx +0200
Received: from [60.176.195.229] (helo=alacarta.com)
by mxeu8.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from Deutsche-Bank.de (wo1.prod.Deutsche-Bank.de [217.73.48.228])
by alacarta.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sun, 31 Jul 2005 xx:xx:xx -0500
Date: Sun, 31 Jul 2005 xx:xx:xx -0500
From: Deutsche-Bank Police <SecurityUpdate [at] Deutsche-Bank.de>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Webmistress <>
Subject: Deutsche Bank Account Reactivation
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------2936817144DABA9"
X-GMX-Antivirus: 0 (no virus found)
Envelope-To:

------------2936817144DABA9
Content-Type: text/html
Content-Transfer-Encoding: 7bit


Return-Path: <SecurityUpdate [at] Deutsche-Bank.de>
Delivery-Date: Sun, 31 Jul 2005 xx:xx:xx +0200
Received: from [211.192.182.235] (helo=ultrapostman.com)
by mxeu11.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from Deutsche-Bank.de (wo2.prod.Deutsche-Bank.de [217.73.48.227])
by ultrapostman.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sun, 31 Jul 2005 xx:xx:xx -0500
Date: Sun, 31 Jul 2005 xx:xx:xx -0500
From: Deutsche-Bank Police <SecurityUpdate [at] Deutsche-Bank.de>
X-Mailer: The Bat! (v2.00.8) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Webmistress <>
Subject: Deutsche Bank Security Issue
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------FFF68AFCA101476"
X-AntiVirus: OK! AntiVir MailGate Version 2.0.1; AVE: 6.15.0.0; VDF: 6.15.0.6
Envelope-To:


Return-Path: <OnlinePolice [at] Deutsche-Bank.de>
Delivery-Date: Sat, 30 Jul 2005 xx:xx:xx +0200
Received: from [69.207.171.178] (helo=cpe-69-207-171-178.rochester.res.rr.com)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from Deutsche-Bank.de (wo2.prod.Deutsche-Bank.de [217.73.48.227])
by cpe-69-207-171-178.rochester.res.rr.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sun, 31 Jul 2005 xx:xx:xx -0500
Date: Sun, 31 Jul 2005 xx:xx:xx -0500
From: Online Police <OnlinePolice [at] Deutsche-Bank.de>
X-Mailer: The Bat! (v2.00.1) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Webmistress <>
Subject: Deutsche Bank Security Issue
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------44AC21C8A034240"
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: cpe-69-207-171-178.rochester.res.rr.com)
Envelope-To:

------------44AC21C8A034240
Content-Type: text/html
Content-Transfer-Encoding: 7bit

Raencker
05.08.2005, 07:05
Return-Path: <security [at] deutsche-bank.de>
Delivery-Date: Fri, 05 Aug 2005 xx:xx:xx +0200
Received: from [219.154.33.46] (helo=skim.com)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutsche-bank.de (wo1.prod.deutsche-bank.de [217.73.48.228])
by skim.com (Postfix) with ESMTP ID: [ID filtered]
for <***********************>; Fri, 05 Aug 2005 xx:xx:xx -0700
Date: Fri, 05 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Thomas <***********************>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------0362536C20776B6"
X-Virus-Scanned: by AMaViS perl-11 mion
Envelope-To: ***********************
http://www.directupload.net/images/050805/temp/ETu88sya.jpg (http://www.directupload.net/show/d/415/ETu88sya.jpg)
Link führt auf: http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backupserver11.com/mod/WebObjects/dbpbc.woa/

burninghey
05.08.2005, 09:40
Hi,


http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backupserver11.com/mod/WebObjects/dbpbc.woa/

Seite gepackt (17KB) (http://azrael.free-space-4you.de/usr/DeutscheBank_fishing_site.zip)

http://azrael.free-space-4you.de/usr/DeutscheBank_fishing_mail.png

gruß, burninghey

webeinspunktnull
05.08.2005, 13:37
HTML file required for this letter.

Return-Path: <security [at] deutsche-bank.de>
Delivery-Date: Fri, 05 Aug 2005 xx:xx:xx +0200
Received: from [86.125.57.248] (helo=shaniastuff.com)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutsche-bank.de (wo1.prod.deutsche-bank.de [217.73.48.228])
by shaniastuff.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Fri, 05 Aug 2005 xx:xx:xx -0700
Date: Fri, 05 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Acquisition <>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------AB4E362002B5866"
X-Virus-Scanned: Symantec AntiVirus Scan Engine
Envelope-To:

This is a multi-part message in MIME format.

------------AB4E362002B5866
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----------649F1CD7FBE82DF"

------------649F1CD7FBE82DF
Content-Type: multipart/alternative;
boundary="----------F8A36D99D9B8E3F"

------------F8A36D99D9B8E3F
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

HTML file required for this letter.
------------F8A36D99D9B8E3F
Content-Type: text/html
Content-Transfer-Encoding: 7bit


deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backupserver11.com/mod/WebObjects/dbpbc.woa

Raencker
05.08.2005, 13:59
Und nocheinmal mit der selben Ziel-URL:

Return-Path: <security [at] deutsche-bank.de>
Delivery-Date: Fri, 05 Aug 2005 xx:xx:xx +0200
Received: from [220.162.30.117] (helo=garzagarcia.com)
by mxeu1.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutsche-bank.de (wo2.prod.deutsche-bank.de [217.73.48.227])
by garzagarcia.com (Postfix) with ESMTP ID: [ID filtered]
for <***********************>; Fri, 05 Aug 2005 xx:xx:xx -0700
Date: Fri, 05 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.8) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Thomas <***********************>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------566CC179C7B5B9C"
X-GMX-Antivirus: 0 (no virus found)
Envelope-To: ***********************
Thomas

Bretzelsepp
05.08.2005, 14:32
Also, ich hab diese Mail auch mehrfach erhalten (3x?)
Aber mein GMX war so nett, das ding gleich mehrfach in die Tonne zu kloppen... :D
es is ja langsam richtig langweilig... ;)

Investi
05.08.2005, 14:37
Heute 7 Mal. Aber gut gefiltert.

Sirius
05.08.2005, 14:39
Hallo.

Ist soben 3 mal auf derselben Adresse bei mir anugeschlagen:From security [at] deutsche-bank.de Fri Aug 5 xx:xx:xx 2005
Return-Path: <security [at] deutsche-bank.de>
X-Flags: 1001
Delivered-To: GMX delivery to ###@###.###
Received: (qmail invoked by alias); 05 Aug 2005 xx:xx:xx -0000
Received: from natscum.rzone.de (EHLO natscum.rzone.de) [81.169.145.172]
by mx0.gmx.net (mx019) with SMTP; 05 Aug 2005 xx:xx:xx +0200
Received: from 196-1-187-233.nitelnet.com (196-1-187-233.nitelnet.com [196.1.187.233] (may be forged))
by mailin.webmailer.de (8.13.1/8.13.1) with SMTP ID: [ID filtered]
for <###@###.###>; Fri, 5 Aug 2005 xx:xx:xx +0200 (MEST)
Received: from deutsche-bank.de (wo1.prod.deutsche-bank.de [217.73.48.228])
by 196-1-187-233.nitelnet.com (Postfix) with ESMTP ID: [ID filtered]
for <###@###.###>; Fri, 05 Aug 2005 xx:xx:xx -0700
Date: Fri, 05 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.1) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Mdhs <###@###.###>
Subject: Deutsche Bank
Der Phishing-Link (backupserver11.com (http://www.backupserver11.com)) ist bereits tot. http://www.vazne.ic.cz/pictures/anim/fallingopt.gif

Grüße

Investi
05.08.2005, 15:02
Der Phishing-Link (backupserver11.com (http://www.backupserver11.com)) ist bereits tot. http://www.vazne.ic.cz/pictures/anim/fallingopt.gif

Grüße


Das liegt daran, daß die Deutsche Bank selbst auf dem fernen Kontinent im Osten wesentlich mehr Macht hat, als z.Bsp. MS. Denn immerhin kann auch ein asiatischer Provider mal von einer Bank was wollen. Dann darf man sich nicht durch Phishing-Unterstützung unbeliebt machen.

webeinspunktnull
06.08.2005, 18:12
Nu isses die Deutsche Pank Punk never dies ;-))


deutschepank.com
und maiaddy deutsche banc

die denken echt Deutsche haben Pisa Probs? Oder denken die an Domainvertippser der User?? Oder daran das der User eventuell den Zaun nicht sieht und die offensichtlichen Druckfehler überliest in Eile??? Halten die einen wirklich für so doof?

[HEADER]Return-Path: <meine_bank [at] deutschebanc.de>
Delivery-Date: Sat, 06 Aug 2005 xx:xx:xx +0200
Received: from [211.223.172.244] (helo=sex-set.com)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutschebanc.de (mxpf01.ispgateway.de [80.67.18.12])
by sex-set.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sat, 06 Aug 2005 xx:xx:xx -0500
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: Acquisition <>
Subject: Online Bank
Date: Sat, 06 Aug 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
X-RAV-AntiVirus: This message has been scanned for viruses on sex-set.com
Envelope-To: HEADER]

wieviele Schreibweisen diesen Cleverles wohl noch so einfallen um einen zu verwirren?????

windsurfer
06.08.2005, 19:36
Ich habe die Mail nicht vom server runtergeladen sonder nur mit Super Spam Killer vielleicht könnt ihr etwas damt anfangen.

Ich bin kein Kunde bei dieser Bank

Return-Path: <meine_bank [at] deutschebanc.de>
Received: from smtp.
by (Cyrus v2.1.5-Debian2.1.5-1) with LMTP; Sat, 06 Aug 2005 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from mx26.web.de (mx26.web.de [217.72.192.218])
(Postfix) with ESMTP ID: [ID filtered]
for <>; Sat, 6 Aug 2005 xx:xx:xx +0200 (CEST)
Received: from [60.210.213.211] (helo=surrealismo.com)
by mx26.web.de with smtp (WEB.DE 4.105 #297)
ID: [ID filtered]
; Sat, 06 Aug 2005 xx:xx:xx +0200
Received: from deutschebanc.de (mxpf01.ispgateway.de [80.67.18.4])
by surrealismo.com (Postfix) with ESMTP ID: [ID filtered]
; Sat, 06 Aug 2005 xx:xx:xx -0500
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
Subject: spam: Online Bank
Date: Sat, 06 Aug 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.20.0.1; VDF: 6.20.0.46; host: surrealismo.com)


HTML mit Verweisen auf http://www.deutschepank.com gelöscht. - Fidul

webeinspunktnull
06.08.2005, 19:42
Hallo Windsurfer Herzlich Willkommen an Bord. Das Thema gehört eher hierhin...http://www.antispam-ev.de/forum/showthread.php?t=8552

Du musst da kein Kunde sein. Ist Phishing, die Masche wo versucht wird Deine Daten auszuspähen...


Und am besten kein HTML posten, aber das wird noch ;-))

Mods könnt Ihrs verschieben ider zusammenführn?

windsurfer
06.08.2005, 19:56
ok ich werds mir merken.
dachte nur das es vielleicht gut ist es bekantzugeben

webeinspunktnull
06.08.2005, 19:59
is auch gut so.. Und es ist auch gut, dass Du nicht reinfällst und mitdenkst... :-) Je mehr Aufklärung desto besser!

Fidul
07.08.2005, 03:19
deutschepank.com - unser Leo Kuvayev wird ja richtig kreativ... :sick:

oliveer
07.08.2005, 15:07
Received: from [202.147.208.85] (helo=gd202147208085.b31.kcn-tv.ne.jp)
by mx33.web.de with smtp (WEB.DE 4.105 #297)
ID: [ID filtered]
for xxx; Sun, 07 Aug 2005 xx:xx:xx +0200
Received: from deutschebanc.de (mxpf00.ispgateway.de [80.67.18.8])
by gd202147208085.b31.kcn-tv.ne.jp (Postfix) with ESMTP ID: [ID filtered]
for <xxx>; Sat, 01 Feb 2003 xx:xx:xx -0600
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: Oliveer <xxx>
Subject: Online Bank
Date: Sat, 01 Feb 2003 xx:xx:xx -0600
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-Virus-Scanned: Norton
Sender: meine_bank [at] deutschebanc.de


Hab auch so eine nette eMail bekommen und man achte besonders auf die Absenderdomain "deutschebanc.de" ! Dies ist ja immer wieder die gleiche nette Person, auf die diese Domain angemeldet wird. Aber irgendwie ist der Hoster etwas schneller, denn die Seite ist verschwunden . :D

in diesem Sinne


Oliver

trekkie
07.08.2005, 15:34
Bei mir auch - GMX hat's aber gefiltert.

Interessanterweise sind bei mir im Quelltext lauter Links zu CNN, Cisco, Microsoft und AOL drin, ohne jedoch irgendwelchen Text zu umschließen. Warum die Links da drin auftauchen, geht mir nicht in den Kopf. Soll das Bayes-Filter verwirren?

:confused:

CanisLupusGray
07.08.2005, 18:44
Moin zusammen,
ich hab mir den header sowie die verlinkte domain auch mal zur brust genommen. übrigens; an das grottenschlechte deutsch hab ich mich ja schon gewöhnt, aber nun lassen die typen auch noch die schönen bunten bildchen weg tztztz...

aber zum kern:
die whois-einträge für den header bringen mich alle zu domainfactory in wetter (D) (nur wer ist so unintelligent und registriert noch de-domains - wo sich doch schon so manche staatsanwaltschft brennend dafür interessiert???)

und deutschepank.com ist über csl mit sitz in dusseldorf registriert worden.
nur wo habt ihr Leo bei der Sache gesehen?

Wie tief müssen wir noch sinken, bevor mal einer diesen Tapen den GARAUS macht?

schönen sonntag noch

CanisLupusGray
===========
normal sind immer die anderen

homer
07.08.2005, 21:55
Interessanterweise sind bei mir im Quelltext lauter Links zu CNN, Cisco, Microsoft und AOL drin, ohne jedoch irgendwelchen Text zu umschließen. Warum die Links da drin auftauchen, geht mir nicht in den Kopf. Soll das Bayes-Filter verwirren?
Ich denke, das soll den Spamcop dazu bringen abzubrechen. Dann wird er sich nicht beim Hoster der eigentlichen Domain beschweren. Ich hab die Erfahrung gemacht, dass Spamcop nach x verschiedenen URLs im Test abbricht mit der Fehlermeldung "too many Domains".

webeinspunktnull
08.08.2005, 00:35
Return-Path: <meine_bank [at] deutschebanc.de>
Delivery-Date: Sun, 07 Aug 2005 xx:xx:xx +0200
Received: from [61.106.132.153] (helo=puertorrico.com)
by mxeu11.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutschebanc.de (mxpf00.ispgateway.de [80.67.18.9])
by puertorrico.com (Postfix) with ESMTP ID: [ID filtered]
for <Sat, 01 Feb 2003 xx:xx:xx -0600
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: Acquisition <>
Subject: Online Bank
Date: Sat, 01 Feb 2003 xx:xx:xx -0600
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
Envelope-To:

webeinspunktnull
08.08.2005, 00:37
Return-Path: <meine_bank [at] deutschebanc.de>
Delivery-Date: Sun, 07 Aug 2005 xx:xx:xx +0200
Received: from [61.106.132.153] (helo=puertorrico.com)
by mxeu11.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutschebanc.de (mxpf00.ispgateway.de [80.67.18.11])
by puertorrico.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sat, 01 Feb 2003 xx:xx:xx -0600
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: Acquisition <>
Subject: Online Bank
Date: Sat, 01 Feb 2003 xx:xx:xx -0600
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal


Return-Path: <meine_bank [at] deutschebanc.de>
Delivery-Date: Sun, 07 Aug 2005 xx:xx:xx +0200
Received: from [221.221.69.104] (helo=genie.com)
by mxeu7.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutschebanc.de (mxpf01.ispgateway.de [80.67.18.6])
by genie.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Sat, 01 Feb 2003 xx:xx:xx -0600
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: Webmistress <>
Subject: Online Bank
Date: Sat, 01 Feb 2003 xx:xx:xx -0600
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1082
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
Envelope-To:

webeinspunktnull
11.08.2005, 00:54
und wieder deutschepank
das Date 05.02.2003 xx:xx:xx und das im Header ist wohl ein bissie veraltet??? Phishing aus der vergangehiet - nun zurück in der Zukunft?

rc=3d"http://www=2edeutschepank=2ecom/l=
etter/s_files/logo_db=2egif"
3d"http://www=2edeutschepank=2ecom"

Return-Path: <meine_bank [at] deutschebanc.de>
Delivery-Date: Thu, 11 Aug 2005 xx:xx:xx +0200
Received: from [60.209.241.107] (helo=mail.com)
by mxeu11.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutschebanc.de (deutschebanc.de [213.146.149.149])
by mail.com (Postfix) with ESMTP ID: [ID filtered]
for <>; Tue, 04 Feb 2003 xx:xx:xx -0600
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: Acquisition <>
Subject: Online Bank
Date: Tue, 04 Feb 2003 xx:xx:xx -0600
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: mail.com)
Envelope-To:

webeinspunktnull
11.08.2005, 02:27
checked by Dr.WEb. Dr. Web kenn ich und mag ich, stöber gern dort ( bei der .de ) .net ist aber anscheinend ein anderes Angebot

Return-Path: <meine_bank [at] deutschebanc.de>
Delivery-Date: Thu, 11 Aug 2005 xx:xx:xx +0200
Received: from [220.208.233.91] (helo=nissin42091.ccnw.ne.jp)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutschebanc.de (deutschebanc.de [213.146.149.149])
by nissin42091.ccnw.ne.jp (Postfix) with ESMTP ID: [ID filtered]
for <>; Tue, 04 Feb 2003 xx:xx:xx -0600
From: Deutsche Bank <meine_bank [at] deutschebanc.de>
To: <>
Subject: Online Bank
Date: Tue, 04 Feb 2003 xx:xx:xx -0600
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
Envelope-To:

dolphin
15.08.2005, 08:12
Zur allgemeinen Belustigung und Aufklaerung kann ich auch etwas beisteuern.Heute erhielt ich diese Mail, die wie immer, in schlechtem Stil abgefasst ist und so offensichtlich nicht von der Deutschen Bank ist!
Hoffe nur, dass niemand mehr auf so etwas hereinfaellt.
wuerg - da wirds mir richtig schlecht!

X-Envelope-From: <security [at] deutsche-bank.de>
X-Envelope-To:
X-Delivery-Time: 1124075880
Received: from 136740384 (Af2d6.a.pppool.de [213.6.242.214])
by mailin.webmailer.de (8.13.1/8.13.1) with SMTP ID: [ID filtered]
for ; Mon, 15 Aug 2005 xx:xx:xx +0200 (MEST)
Received: from deutsche-bank.de (137499472 [136780120])
by Af2d6.a.pppool.de (Qmailv1) with ESMTP ID: [ID filtered]
for ; Mon, 15 Aug 2005 xx:xx:xx -0700
Date: Mon, 15 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.1) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Contact
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------DEC9E45640A47A8"
X-Virus-Scanned: by amavisd-milter (http://amavis.org/)

This is a multi-part message in MIME format.

------------DEC9E45640A47A8
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

HTML file required for this letter.

------------DEC9E45640A47A8
Content-Type: text/html
Content-Transfer-Encoding: 7bit


Sehr geehrter Kunde,
Die Deutsche Bank sorgt immer f&uuml;r die Sicherheit von unseren Kunden, deswegen werden von uns immer wieder neue Methoden zur Sicherung der Interessen von unseren Klienten entwickelt.
In der letzten Zeit wurden die Betr&uuml;gereiversuche, die Geldmittel von den Bankkonten zu stehlen, h&auml;ufiger geworden. Das Anwendungssystem der TAN - Aufstellung hat sich nicht ganz bew&auml;hrt. Die Schwindler haben verstanden, wie sie diese Schutzart umgehen k&ouml;nnen.
Wir haben sehr sorgf&auml;ltig jeden Diebstahl von den Konten behandelt und haben somit eine Liste von den Merkmalen der verd&auml;chtigen Operation gemacht.
Gegenw&auml;rtig haben wir ein neues elektronisches Sicherheitssystem aufgebaut, das den Zugang zu den Bankkonten verhindert, das ist praktisch einsatzbereit. Scheint die Transaktion unsauber, so wird von dem System eine Geheimfrage gestellt. Bekommt das System keine Antwort, so werden das Konto und die laufende Transaktion bis zur Kl&auml;rung der Umst&auml;nde blockiert.

Wir bitten Sie, um das System richtig laufen zu lassen, www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backup011.com/mod/WebObjects/dbpbc.woa/ die Form der zus&auml;tzlichen Autorisation auszuf&uuml;llen.


Wir hoffen, dass Sie unser neues Sicherheitssystem richtig einschatzen.
Danke f&uuml;r die Zusammenarbeit,
Deutsche Bank

Fidul
15.08.2005, 14:47
Ja, wieder unser Leo Kuvayev: http://www.backup011.com/

Dogbert
15.08.2005, 14:50
Au weia *kotzeimerhole* .... ich frage mich jetzt wirklich, ob die es wirklich nicht besser können oder ob hier ein kleiner Jungspammer ersucht, besonders originell zu wirken? Oder beschäftigt die Deutsche Bank ihre Auszubildenden mit dem Verfassen dieser Texte? Ich rufe mal ganz laut nach PISA. :D

Ach, ist das wahr? Leo ist das? Oder Leo junior?

Raencker
15.08.2005, 20:22
Ob das jemals aufhört, wer fällt denn darauf noch herein?


Return-Path: <deutschewebaccess [at] meine.deutsche-bank.de.deutschekonto.com>
Delivery-Date: Mon, 15 Aug 2005 xx:xx:xx +0200
Received: from [200.127.58.48] (helo=144124648)
by mxeu13.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from meine.deutsche-bank.de.deutschekonto.com (-1215568064 [-1212828568])
by 200-127-58-48.cab.prima.net.ar (Qmailv1) with ESMTP ID: [ID filtered]
for <***********************>; Tue, 16 Aug 2005 xx:xx:xx -0700
Date: Tue, 16 Aug 2005 xx:xx:xx -0700
From: Billing Info <deutschewebaccess [at] meine.deutsche-bank.de.deutschekonto.com>
X-Mailer: The Bat! (v2.00.8) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Thomas <***********************>
Subject: Security Issue - Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------0EE99EA91780B6B"
X-Kaspersky-Antivirus: passed
Envelope-To: ***********************
Sehr geehrte Kundin,
Sehr geehrter Kunde,

Im Zusammenhang mit der komplizierten Situation, die in unserem Land mit online - Banking zustande gekommen ist, haben wir die Verordnung bekommen, alle online - Konten von unserer Bank zu ?berpr?fen. Diese Maßnahme wurde wegen der "Tageskonten" getroffen, die von den Misset?tern f?r Geldw?sche der gestohlenen Mittel benutzt werden. Wir bitten unsere Kunden inst?ndig, die Form der Kontobest?tigung auf unserer offiziellen Seite auszuf?llen.
Die Konten, die bis zum 27.08.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umst?nde ihrer Er?ffnung und Verwendung gebunden. Diese Kontrolle ist sowohl f?r die Privatkunden, als auch f?r die Firmenkunden aktuell.

[Image ignored] [links to http://meine.deutsche-bank.de.deutschekonto.com]

Wir entschuldigen uns f?r die Unannehmlichkeiten, die wir Ihnen mit der Durchf?hrung der Maßnahme bereitet haben, wir hoffen auf Ihre Mithilfe und Verst?ndnis.

Mit freundlichen Gr?ßen,
Sicherheitsabteilung,
Deutsche Bank

trekkie
15.08.2005, 22:09
Ob das jemals aufhört, wer fällt denn darauf noch herein?

Viel zu viele, leider...

Die Domains werden auch immer dämlicher. Scheint, als ob denen die sinnvollen Namen ausgehen... Endlich... :D

Raencker
15.08.2005, 22:34
Viel zu viele, leider...
Und die Opfergruppen? Von Omi, die ja nicht blöd ist, sich aber dank "Geiz ist Geil"-Mentalität des MultiMüllRamsch Marktes trotzdem einen für Ihre Bedürfnisse völlig fehldimensionierten Computer andrehen lässt bis zu ihrem Enkel, der zwar einen 3000 Euro teuren Computer besitzt des Lesens vor allem aber auch des Verstehens nur bedingt mächtig ist.

Thomas

webeinspunktnull
16.08.2005, 00:12
deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backup011.com/mod/WebObjects/dbpbc.woa

Return-Path: <security [at] deutsche-bank.de>
Delivery-Date: Mon, 15 Aug 2005 xx:xx:xx +0200
Received: from [219.154.32.187] (helo=-1210964608)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutsche-bank.de (-1209289480 [-1213088848])
by allsaintsfan.com (Qmailv1) with ESMTP ID: [ID filtered]
for <>; Mon, 15 Aug 2005 xx:xx:xx -0700
Date: Mon, 15 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.1) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Acquisition <>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------9A3CDDB80F00700"
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Envelope-To:



Return-Path: <security [at] deutsche-bank.de>
Delivery-Date: Mon, 15 Aug 2005 xx:xx:xx +0200
Received: from [219.154.32.187] (helo=-1210964608)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from deutsche-bank.de (-1210605072 [-1210720928])
by allsaintsfan.com (Qmailv1) with ESMTP ID: [ID filtered]
for <>; Mon, 15 Aug 2005 xx:xx:xx -0700
Date: Mon, 15 Aug 2005 xx:xx:xx -0700
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.3) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Acquisition <>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------84BB9D04DEC4D2C"
X-GMX-Antivirus: 0 (no virus found)
Envelope-To:

dolphin
16.08.2005, 12:23
Au weia *kotzeimerhole* .... ich frage mich jetzt wirklich, ob die es wirklich nicht besser können oder ob hier ein kleiner Jungspammer ersucht, besonders originell zu wirken? Oder beschäftigt die Deutsche Bank ihre Auszubildenden mit dem Verfassen dieser Texte? Ich rufe mal ganz laut nach PISA. :D



Ach, ist das wahr? Leo ist das? Oder Leo junior?

Da mach ich mit und rufe auch: PISA, PISA
Glaube aber, dass diese Jungs das nur verstehen, wenn es so geschrieben wird: PIESA ;-))

Und: who the fuck is Leo? Wird wahrscheinlich auch demnächst erschossen werden, wenn er so weiter macht. Macht aber nichts oder? Selbst Schuld! :rambo:

kjz1
17.08.2005, 13:00
Und: who the fuck is Leo?


Infos gibt's unter:

http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK4932

- kjz

kjz1
17.08.2005, 13:04
Gestern eingetroffen, Phishing für die Deutsche Bank:

http://219.156.123. 230/rpm/

Das mit den Verzeichnis /rpm gab's doch auch beim Volksbank Phishing. Wieder ein Beleg dafür, dass hinter den meisten Spams and Scams nur einige wenige 'Paten' weltweit stehen. Und Leo ist einer davon...

- kjz

drboe
17.08.2005, 20:49
Gestern eingetroffen, Phishing für die Deutsche Bank:

http://219.156.123. 230/rpm/
Heute bei mir. Allerdings 202.222.18.92/rpm/

M. Boettcher

LazyDog
18.08.2005, 09:23
Received: from 222.186.61.28 ([222.186.61.28])
by mailin.webmailer.de (8.13.1/8.13.1) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 18 Aug 2005 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
From: Deutsche Bank <632hurley [at] mail.com>
To: poor [at] spamvictim.tld
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Thu, 18 Aug 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_ED1218EF.CA345ACC"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16) on blade6
X-Spam-Level: *
X-Spam-Status: hits=2.0 tests=EXTRA_MPART_TYPE,FORGED_OUTLOOK_TAGS,
HTML_MESSAGE,HTML_TAG_EXIST_TBODY,RCVD_NUMERIC_HELO version=3.0.2
X-SpamCop-Checked: 192.168.1.103 81.169.145.172 222.186.61.28 222.186.61.28
X-PMFLAGS: 570966144 0 1 PNCEAIRT.CNM

<HTML><HEAD><TITLE>Zusätzliche Sicherheitsmaßnahme für Ihr Online-Banking.</TITLE>
<LINK href="http://www.charteronebank.com/styles/main.css" type=text/css rel=stylesheet>
</HEAD>
<BODY bgColor=#ffffff leftMargin=0 topMargin=0 marginwidth="0" marginheight="0">
<TABLE cellSpacing=10 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD vAlign=top>


Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit häufiger wiederholten Angriffen auf die Portale der deutschen Banken ist die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollständige Zwangserneuerung der Informationen über Ihre Konten vorzunehmen. Sie müssen das nachfolgende Link befolgen und die Angaben zum Zugriff von Ihrem Konto ändern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verständnis und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa


Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen. Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen Seite «Hilfe» ein.
2005 Deutsche-Bank Inc.© Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.

Tomfi
18.08.2005, 14:22
Hi,

der Link zeigt aber auf die legitime Seite deutsche-bank.de ... beim Posting (ver/ge)aendert?

Investi
18.08.2005, 14:40
LazyDog hat nur vergessen, den eigentlichen Link zu posten. Im Posting selbst ist lediglich der angezeigte, nicht jedoch der tatsächlich verknüpfte Link zu sehen. Im HTML-Teil des Posts sieht man jedoch, wohin der Link führt: http://www.charteronebank.com/styles/main.css

Tomfi
18.08.2005, 14:50
Hi,


LazyDog hat nur vergessen, den eigentlichen Link zu posten. Im Posting selbst ist lediglich der angezeigte, nicht jedoch der tatsächlich verknüpfte Link zu sehen. Im HTML-Teil des Posts sieht man jedoch, wohin der Link führt: http://www.charteronebank.com/styles/main.css

nunja, nur ist charteronebank.com auch nicht gerade eine Phishing-Site ...

Investi
18.08.2005, 18:49
Ich habe die Mail inzwischen auch bekommen. Es gibt lediglich fünf unterschiedliche Links im Quellcode:
- http://www.oneilltel.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa
- http://www.charteronebank.com/styles/main.css
- https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa
- http://www.deutsche-bank.de/pbc/images/logo_db_kachel_u_zusatz.gif
- http://www.deutsche-bank.de/pbc/images/logo_db_claim2_gross.gif

Die beiden Deutsche-Bank-gifs sind inzwischen durch die DB geändert worden, so daß die Anzeige in der Mail fehlerhaft ist.

trekkie
19.08.2005, 21:48
Ich hab' ne neue Abart bekommen:


Return-Path: <general [at] meine.deutsche-bank.de.deutschekonto.com>
X-Flags: 0000
Delivered-To: GMX delivery to <>
Received: (qmail invoked by alias); 16 Aug 2005 xx:xx:xx -0000
Received: from 82-46-145-36.cable.ubr01.king.blueyonder.co.uk (HELO 142844104) [82.46.145.36]
by mx0.gmx.net (mx048) with SMTP; 16 Aug 2005 xx:xx:xx +0200
Received: from meine.deutsche-bank.de.deutschekonto.com (139085416 [135062328])
by 82-46-145-36.cable.ubr01.king.blueyonder.co.uk (Qmailv1) with ESMTP ID: [ID filtered]
for <>; Wed, 17 Aug 2005 xx:xx:xx -0700
Date: Wed, 17 Aug 2005 xx:xx:xx -0700
From: Deutschemerchant Department <general [at] meine.deutsche-bank.de.deutschekonto.com>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: M <>
Subject: Deutsche Bank Internet Banking
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------4F09F2D355C903"
X-Virus-Scanned: Symantec AntiVirus Scan Engine
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 6 (( SPAM:1 ))
X-GMX-UID: [UID filtered]
Sehr geehrte Kundin,
Sehr geehrter Kunde,

Im Zusammenhang mit der komplizierten Situation, die in unserem Land mit online - Banking zustande gekommen ist, haben wir die Verordnung bekommen, alle online - Konten von unserer Bank zu überprüfen. Diese Maßnahme wurde wegen der "Tageskonten" getroffen, die von den Missetätern für Geldwäsche der gestohlenen Mittel benutzt werden. Wir bitten unsere Kunden inständig, die Form der Kontobestätigung auf unserer offiziellen Seite auszufüllen.
Die Konten, die bis zum 27.08.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umstände ihrer Eröffnung und Verwendung gebunden. Diese Kontrolle ist sowohl für die Privatkunden, als auch für die Firmenkunden aktuell.


<http://meinedeutsche.com>

Wir entschuldigen uns für die Unannehmlichkeiten, die wir Ihnen mit der Durchführung der Maßnahme bereitet haben, wir hoffen auf Ihre Mithilfe und Verständnis.

Mit freundlichen Grüßen,
Sicherheitsabteilung,
Deutsche Bank

Das Deutsch ist ja grauslig...
Die bei der Deutschen Bank sollten ihren Mitarbeitern mal Deutsch beibringen... :clown:

Nee, Spaß beiseite, wer fällt nur auf den Müll rein?!? :confused:

trekkie
19.08.2005, 21:55
Das ist doch schon wieder Leo, oder? Der Whois sieht jedenfalls danach aus...

:skull:

trekkie
19.08.2005, 21:57
Ich denke, das soll den Spamcop dazu bringen abzubrechen. Dann wird er sich nicht beim Hoster der eigentlichen Domain beschweren. Ich hab die Erfahrung gemacht, dass Spamcop nach x verschiedenen URLs im Test abbricht mit der Fehlermeldung "too many Domains".

Das klingt plausibel... :thumbsup:

Fidul
20.08.2005, 01:17
Das ist doch schon wieder Leo, oder? Der Whois sieht jedenfalls danach aus...
Ja, das isser wieder. Und deshalb klebe ich die Threads jetzt zusammen. :)

kjz1
22.08.2005, 09:09
Heute frisch eingetrudelt vom Zombie m163.net81-67-162.noos.fr:

http://www.deutsche-bank.de. pbc_content.ser_obs_sic_grundlagen.deutcshe-bank. net/mod/WebObjects/dbpbc.woa/

also deutcshe-bank. net. Na das sieht mir doch wieder schwer nach Leo aus. Yesnic hat die Domain jedoch schon 'abgeschossen'. War also wohl nix mit Phishing....

- kjz

homer
22.08.2005, 09:41
Me too.

Yesnic hat die Domain jedoch schon 'abgeschossen'. War also wohl nix mit Phishing....
Kann nicht sein. Ich schalt mich grade wieder frei auf der Seite, will ja nicht, dass mir ein Schwindler meine Bankdaten klaut ;)
Entweder prüfen die jetzt gleich die TAN online, oder die versuchen durch Fake-Fehlermeldungen mehrere TANs zu ergaunern. Nach dem 1. Ausfüllen des Formulars kommt

Die eingegebene TAN ist zum 1. oder 2. Mal falsch.
Bitte geben Sie eine gultige TAN ein.
Ja, dann muss ich mal eine gultige TAN raussuchen. Ja, jetzt klappt das ;)

kjz1
22.08.2005, 11:05
Ja, leider hat Yesnic die Domain anscheinend gerade wieder freigeschaltet, vorher stand da noch: no nameserver:

Domain Name: DEUTCSHE-BANK.NET
Registrar: YESNIC CO. LTD.
Whois Server: whois.yesnic.com
Referral URL: http://www.yesnic.com
Name Server: NS1.DEUTCSHE-BANK.NET
Name Server: NS2.DEUTCSHE-BANK.NET
Name Server: NS3.DEUTCSHE-BANK.NET
Name Server: NS4.DEUTCSHE-BANK.NET
Name Server: NS5.DEUTCSHE-BANK.NET
Status: ACTIVE
Updated Date: 21-aug-2005 <---
Creation Date: 10-aug-2005
Expiration Date: 10-aug-2006

Grrrr.....

Domain Name : deutcshe-bank.net

::Registrant::
Name : Foundation Men On Line
Email : domainsupport [at] sent.com
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

und da es so schön war, hat Leo gleich weiter zugeschlagen:

Domain Name : deutcshe-bank.com

::Registrant::
Name : Foundation Men On Line
Email : support [at] onbiz.us
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

und Domain Name : deutcshe-bank.org gibt es auch noch....

- kjz

moshauer
23.08.2005, 07:56
Jetzt hab auch ich Post bekommen....


Return-Path: <security [at] deutsche-bank.de>
Delivery-Date: Tue, 23 Aug 2005 xx:xx:xx +0200
Received: from [218.242.109.187] (helo=carmax.com)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Tue, 23 Aug 2005 xx:xx:xx +0000
From: Deutsche Bank <security [at] deutsche-bank.de>
Subject: Deutsche Bank
To: Webmaster <poor [at] spamvictim.tld>
References: <05BLI600JKI9D684 [at] moshauer.de>
In-Reply-To: <05BLI600JKI9D684 [at] moshauer.de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_855G3CE7FLJ6D6ACD7339ACG9"
Envelope-To: poor [at] spamvictim.tld


Der Inhalt:


Sehr geehrter Kunde,

Die Deutsche Bank sorgt immer für die Sicherheit von unseren Kunden, deswegen werden von uns immer wieder neue Methoden zur Sicherung der Interessen von unseren Klienten entwickelt.
In der letzten Zeit wurden die Betrügereiversuche, die Geldmittel von den Bankkonten zu stehlen, häufiger geworden. Das Anwendungssystem der TAN - Aufstellung hat sich nicht ganz bewährt. Die Schwindler haben verstanden, wie sie diese Schutzart umgehen können.
Wir haben sehr sorgfältig jeden Diebstahl von den Konten behandelt und haben somit eine Liste von den Merkmalen der verdächtigen Operation gemacht.
Gegenwärtig haben wir ein neues elektronisches Sicherheitssystem aufgebaut, das den Zugang zu den Bankkonten verhindert, das ist praktisch einsatzbereit. Scheint die Transaktion unsauber, so wird von dem System eine Geheimfrage gestellt. Bekommt das System keine Antwort, so werden das Konto und die laufende Transaktion bis zur Klärung der Umstände blockiert.

Wir bitten Sie, um das System richtig laufen zu lassen, die Form der zusätzlichen Autorisation (http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.deutcshe-bank.com/mod/WebObjects/dbpbc.woa/) auszufüllen.

Wir hoffen, dass Sie unser neues Sicherheitssystem richtig einschatzen.

Danke für die Zusammenarbeit,
Deutsche Bank


Ganz schön falsch, denn der Link in der Mail schickt mich hier hin:


<strong><a href="http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.deutcshe-bank.com/mod/WebObjects/dbpbc.woa/"><font size="3">die Form der zus&auml;tzlichen Autorisation</font></a></strong>

Sieht auf den ersten Blick ganz nett aus, fehlt nur dummer Weise die SSL Verschlüsselung... eben mal WHOIS durchgejagt:



Domain Name : deutcshe-bank.com

::Registrant::
Name : Foundation Men On Line
Email : support [at] onbiz.us
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Administrative Contact::
Name : Foundation Men On Line
Email : support [at] onbiz.us
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Technical Contact::
Name : Foundation Men On Line
Email : support [at] onbiz.us
Address : PO Box 76613, AMSTERDAM, NH
Zipcode : 1070 HE
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Name Servers::
ns1.deutcshe-bank.com
ns2.deutcshe-bank.com
ns3.deutcshe-bank.com
ns4.deutcshe-bank.com
ns5.deutcshe-bank.com

::Dates & Status::
Created Date 2005-07-14 xx:xx:xx EDT
Updated Date 2005-07-14 xx:xx:xx EDT
ValID: [ID filtered]
Status ACTIVE


Ich habe aus Spaß ein paar Daten, natürlich nur wirres Zeug eingegeben. Nch dem Hinweis es wäre etwas fehlerhaft und ich solle nochmal die Daten eingeben, wurde ich auf die echte Deutsche Bank Seite wetergeleitet.

Ich hoffe ich konnte ein paar aktuelle Sachen liefern.

kjz1
23.08.2005, 08:37
Scheint wieder weg zu sein. Kommentar von Yesnic:

<snip>
We have deactivated and locked the domain name "deutcshe-bank.net" following our registration policy.
It will be kept locked until the registrant provides us with the proper explanation on this matter.

The domain name is currently inactive but it can seem active for a moment as it takes some time for all the name servers to be updated
worldwide.
<snap>

- kjz

Goofy
24.08.2005, 16:05
Dafür aber heute wieder, beworbene Domain:
-------deutsche-ebank.net------- :sick:

Return-Path: <support [at] deutschebank.net>
Received: from cienciaficcion.com ([203.130.105.95]) by mailin12.sul.t-online.de
with smtp ID: [ID filtered]
Received: from deutschebank.net (deutschebank.net [211.106.65.103])
by cienciaficcion.com (Postfix) with ESMTP ID: [ID filtered]
for <---Goofy------>; Tue, 23 Aug 2005 18:00:-----------
From: deutschebank <support [at] deutschebank.net>
To:<----Goofy------>
Subject: Online Bank
Date: Tue, 23 Aug 2005 18:00:------------
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build ----------
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.-------------
X-AntiVirus: OK! AntiVir MailGate Version 2.0.1; AVE: 6.15.0.0; VDF: 6.15.0.6
X-TOI-SPAM: u;--------------
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false








aus dem Spamtext:
Danke fürr die Mitarbeit...

Aber natürlich, Leo.
Gerne doch! Warte nur, ich werd Dir helfen.

(Nachtrag) Yesnic hat die Domain bereits rausgenommen, auch diese Phisherseite ist vom Netz.

Investi
10.09.2005, 08:47
Erst dachte ich, daß die sich jetzt nicht mehr darauf stützen, eigene Domains zu registrieren, sondern die eigenen Daten zum Phishzug auf gekaperten Rechnern hosten. Aber nachdem die Firma A-Tex und auch die Inhaberin der Seite "Ferrells Farmers Market" in Austin, TX nicht zu ermitteln sind, glaube ich das nicht mehr.

Heute bei mir eingetroffen eine Mail, die u.a. auf folgende Seite verweist:

http://www.atexservice.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa

Im Whois zu http://www.atexservice.com sieht man, daß die Seite bereits am 01.10.2003 registriert wurde.

Goofy
10.09.2005, 10:06
Es handelt sich ziemlich sicher um einen gehackten Webserver.
Der Besitzer der Website dürfte nichts davon ahnen, dass Leo sein Passwort gehackt und seine Phischerseite da mit draufgestellt hat.

Man sollte mal an admin[at]ipowerweb.com mailen!
Überhaupt ist der Webserver miserabel administiert, directory listing erlaubt...

Goofy
11.09.2005, 00:45
Ipowerweb hat reagiert:


account suspended...

Offenbar arbeitet das Abuse-Team dort auch Samstags, die Phisherseite ist nicht mehr erreichbar.
Auf ein neues, Leo!
Lass Dir was neues einfallen, die Hintermänner werden sicher schon ungeduldig.
Solche Schlappen wie in der Vergangenheit kannst Du Dir nicht mehr lange leisten.

SpamRam
11.09.2005, 16:09
Heute im Postfach gefunden: (vor kurzem schon mal ähnlich, da hab ichs gleich auf dem Mailserver gelöscht.)


header:
--------------------------------------
Return-Path: <35gert [at] smapxsmap.net>
Received: from tep-81-27-202-39.karneval.cz ([81.27.202.39]) by mailin14.sul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche Bank <35gert [at] smapxsmap.net>
To: poor [at] spamvictim.tld <---- SpamRam ---->
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Sat, 10 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_3E760A57.B966B970"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TOI-SPAM: u;0;2005-09-10Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
--------------------------------------

Der Text:


Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit hufiger wiederholten Angriffen auf die Portale der deutschen Banken ist
die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollstndige
Zwangserneuerung der Informationen ber Ihre Konten vorzunehmen. Sie mssen das nachfolgende Link befolgen und die Angaben zum Zugriff von Ihrem Konto ndern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verstndnis und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen. Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen Seite «Hilfe» ein.

2005 Deutsche-Bank Inc.© Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.

Es folgt als nächstes eine HTML-Seite, die folgende Links enthält:
(Der Text auf der Seite ist wie oben, enthält nur auch die Umlaute!)


<LINK href="http://www.charteronebank.com/styles/main.css" type=text/css rel=stylesheet>
<img border="0" src="http://www.deutsche-bank.de/pbc/images/logo_db_kachel_u_zusatz.gif" width="292" height="43" align="left" vspace="10" hspace="5">
<IMG alt="Deutsche Bank" hspace=5 height="42" width="231" align=right src="http://www.deutsche-bank.de/pbc/images/logo_db_claim2_gross.gif" border=0 vspace="10">
Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, .....
<FORM action= Javascript:window.open('http://www.atexservice.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa', 'DeutscheBank','toolbar=yes,location=no,status=no,menubar=yes, resizable=yes,scrollbars=yes');void(0) method=get>

<A href="https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa">
<INPUT style="border:0pt none; CURSOR:hand; BORDER-BOTTOM: 0pt; margin-left:10; padding:0px; HEIGHT:15; WIDTH: 355; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline; font-family:helvetica,arial,geneva,sans-serif;
font-size:12px; font-weight:bold; letter-spacing:0; color:#00308F"
type=submit value=https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa></A><br><br>

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen. Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen Seite «Hilfe» ein.

2005 Deutsche-Bank Inc.© Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.


Ich habs nicht geprüft, aber es sieht wohl so aus, dass Grafik von den Originalseiten der DB geholt wird. Das stylesheet-file kommt jedenfalls von der charteronebank. Die Zieladressen sind sicher auch nicht auf den Servern der DB zu finden.

Wer Erfahrung hat, einen Provider zur Domain-Sperrung zu veranlassen, kann und sollte sich bitte einmal darum kümmern. :shootem:
Ich werde jedenfalls auch die DB informieren (bin da sicher nicht der erste, oder doch ??)

SpamRam

Goofy
11.09.2005, 16:36
Die Originalgrafiken werden tatsächlich von der Deutschen Bank geladen, es wird aber zusätzlich ein Javascript geöffnet:


<FORM action= javascript:window.open('http://www.atexservice.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa', 'DeutscheBank','toolbar=yes,location=no,status=no, menubar=yes, resizable=yes,scrollbars=yes');void(0) method=get>

atexservice.com ist aber seit gestern abend tot, der Webhoster hat die Domain abgeschaltet. :D

Die Stylesheets holt er von der Charter One Bank. Die gibt es tatsächlich, gegen die hat Leo auch schon Phishing gefahren.

malwiederda
11.09.2005, 18:06
Hallo, ist das alles, was ihr so braucht? Und sollte vorname [at] domain davon wissen?



Received: from [84.97.54.7] (helo=7.54.97-84.rev.gaoland.net)
From: Deutsche Bank <vorname [at] domain.freeserve.co.uk>



Sehr geehrte Kundin Sehr geehrter Kunde
Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit
hufiger wiederholten Angriffen auf die Portale der deutschen Banken ist
die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollstndige
Zwangserneuerung der Informationen ber Ihre Konten vorzunehmen. Sie mssen
das nachfolgende Link befolgen und die Angaben zum Zugriff von Ihrem Konto
ndern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verstndnis
und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern. Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese
Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen.
Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen
Seite «Hilfe» ein.

<FORM action=Javascript:window.open('http://www.marshill.org/deutsche-bank.de/mod/WebObjects/dbpbc.woa','DeutscheBank','toolbar=yes,location=no,status=no,menubar=yes,resizab le=yes,scrollbars=yes');void(0) method=get>

<A href="https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa">

Goofy
11.09.2005, 18:29
Ja, das ist alles, was wir brauchen.
Schon wieder ist ipowerweb betroffen, ich werde gleich mal wieder dahin kabeln.
Ich möchte mal wissen, wieviele 0wned server der Dreckspatz da noch hat.
Wahrscheinlich auch hier wieder ein kompromittierter Server, ich glaube kaum, dass Leo sich die Arbeit gemacht hätte, nur zur Tarnung seit 2004 den ganzen Astroklumpatsch da ins Netz zu stellen.

Abgekippt wurde wohl über eine verseuchte Kiste bei Gaoland.net, das ist der Netzname des merkbefreiten französischen Providers Neuf-Telecom.

Goofy
11.09.2005, 19:27
... Und sollte vorname [at] domain davon wissen?

Den bitte nicht damit behelligen. Die Absendeaddresse wird i.d.R. gefälscht. Entweder gibt es die gar nicht, oder jemand unschuldiges steht da drin. Der darf sich dann mit den ganzen bounces und Beschwerden rumärgern... :sick:

Fidul
11.09.2005, 19:47
Ich möchte mal wissen, wieviele 0wned server der Dreckspatz da noch hat.Was mir gar nicht gefällt ist das:
atexservice.com = 66.235.199.61 = host165.ipowerweb.com
marshill.org = 66.235.199.64 = host165.ipowerweb.comHoffentlich 0wnz Leo nur die einzelnen Domains (Trojaner+Keylogger) und nicht gleich den ganzen Server.

c64doc
11.09.2005, 20:05
Das ist heute mittag bei mir aufgeschlagen, die Seite ist noch aktiv.

Return-Path: <support_ref_04530990 [at] sparkasse.de>
Delivery-Date: Sun, 11 Sep 2005 xx:xx:xx +0200
Received: from [58.10.29.236] (helo=fi.ba.29.236.revip2.asianet.co.th)
by mxeu13.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
FCC: mailbox://support_ref_04530990 [at] sparkasse.de/Sent
X-Identity-Key: id1
Date: Sun, 11 Sep 2005 xx:xx:xx -0100
From: sparkasse <support_ref_04530990 [at] sparkasse.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: SPARKASSE ONLINE-BANKING [Sun, 11 Sep 2005 xx:xx:xx -0400]
Content-Type: multipart/related;
boundary="------------020606040409060800090002"
Message-ID: [ID filtered]
Envelope-To: poor [at] spamvictim.tld
X-AntiVirus: checked by AntiVir MailGuard (Version: 6.31.0.3; AVE: 6.31.1.0; VDF: 6.31.1.226)

This is a multi-part message in MIME format.
--------------020606040409060800090002
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit

<html><p><font face="Arial"><A HREF="https://www.sparkasse.de/firmenkunden/B_electronic-banking/online_banking_cud.html"><map name="zqO"><area coords="0, 0, 672, 420" shape="rect" href="http://210.22.144.94/rpm/"></map><img SRC="cid:part1.07040609.04070705 [at] identdep_op3210920873@sparkasse.de" border="0" usemap="#zqO"></A></a></font></p><p><font color="#FFFFF7">There's also another one DMX Death Penalty Tennis No problem. </font></p></html>

--------------020606040409060800090002
Content-Type: image/gif;
name="quarterback.GIF"
Content-Transfer-Encoding: base64
Content-ID: [ID filtered]
Content-Disposition: inline;
filename="quarterback.GIF"


Nach dem Anklicken landet man auf http://210.22.144.94/rpm/

Jeden Tag bekomme ich mehrere dieser Mails auf verschiedene Adressen, die kann ich auf Wunsch gerne hier einstellen (die, bei denen sie Seiten aktiv sind).

Goofy
11.09.2005, 20:25
inetnum: 210.22.144.0 - 210.22.144.255
netname: shanghai-fengxiang-corp
country: cn
descr: shanghai city
admin-c: YH276-AP
tech-c: YH276-AP
status: ASSIGNED NON-PORTABLE
changed: daihy [at] china-netcom.com 20020927
mnt-by: MAINT-CN-HY28
source: APNIC


Wenn wir da eine Abuse-Mail schreiben, stören wir die nur beim Schälen der Mu-Err-Pilze.
In China werden i.d.R. die Abuse-Mails gleich in den Trash gehauen. Denn der Phisher hat gut dafür bezahlt, damit er da seine Scam-Seite hosten darf (kostet auch in China extra, damit die Behörden wegschauen).

Stell das Zeugs nur rein, wenn Du was hast. Mach aber bei Sparkasse-Phish einen neuen Thread für die Sparkasse auf.

c64doc
12.09.2005, 10:24
Gerade aufgeschlagen:


Return-Path: <865fu-hua [at] walla.com>
Delivery-Date: Mon, 12 Sep 2005 xx:xx:xx +0200
Received: from [71.57.70.213] (helo=c-71-57-70-213.hsd1.il.comcast.net)
by mxeu8.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche Bank <865fu-hua [at] walla.com>
To: poor [at] spamvictim.tld
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Mon, 12 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_54E90210.02F4BAA8"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: poor [at] spamvictim.tld
X-AntiVirus: checked by AntiVir MailGuard (Version: 6.31.0.3; AVE: 6.31.1.0; VDF: 6.31.1.228)





Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit häufiger wiederholten Angriffen auf die Portale der deutschen Banken ist die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollständige Zwangserneuerung der Informationen über Ihre Konten vorzunehmen. Sie müssen das nachfolgende Link befolgen und die Angaben zum Zugriff von Ihrem Konto ändern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verständnis und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.




Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen. Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen Seite «Hilfe» ein.
2005 Deutsche-Bank Inc.© Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.

Die "beworbene" URL: http://marshill.org/deutsche-bank.de/mod/WebObjects/dbpbc.woa/

Sven Udo
14.09.2005, 17:33
Die "Deutsche Bank" aus Polen, hat mich nun auch beglückt!
Text = wie vorher gepostet.
From Deutsche Bank Wed Sep 14 xx:xx:xx 2005
X-Apparently-To: xxxxx [at] yahoo.com.au via 66.218.93.228; Wed, 14 Sep 2005 xx:xx:xx -0700
X-YahooFilteredBulk: 83.237.236.85
X-Originating-IP: [83.237.236.85]
Return-Path: <517chai [at] poczta.onet.pl>
Authentication-Results: mta329.mail.scd.yahoo.com from=poczta.onet.pl; domainkeys=neutral (no sig)
Received: from 83.237.236.85 (HELO ppp83-237-236-85.pppoe.mtu-net.ru) (83.237.236.85) by mta329.mail.scd.yahoo.com with SMTP; Wed, 14 Sep 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
From: "Deutsche Bank" <517chai [at] poczta.onet.pl> Add to Address Book
To: xxxxxxxxxyahoo.com.au
Subject: Geehrte Kunden und Kundinnenu Deutsche Bank!
Date: Wed, 14 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_712E08BF.8922159A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Length: 2001

Fidul
19.09.2005, 00:52
http://www.waynelammers.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa

Sven Udo
19.09.2005, 01:39
http://www.waynelammers.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa
@Fidul, das verstehe ich jetzt nun nicht! Dein "whois:" bezieht sich auf:
X-Apparently-To: xxxxx [at] yahoo.com.au via 66.218.93.228; Wed, 14 Sep 2005 xx:xx:xx

Richtig? Ok, aber die Original IP kommt von:
Originating-IP: [83.237.236.85]
Received: from 83.237.236.85 (HELO ppp83-237-236-85.pppoe.mtu-net.ru)

Ja, und die löst ganz wo anders auf. Was mir bei der Art der Mail auch logisch erscheint:

Queried whois.ripn.net with "mtu-net.ru"...
domain: MTU-NET.RU
type: CORPORATE
nserver: dns0.mtu.ru.
nserver: dns1.mtu.ru.
state: REGISTERED, DELEGATED
org: MTU-INTEL JSC
phone: +7 095 7538282
fax-no: +7 095 9039129
e-mail: nic [at] mtu.ru
registrar: RUCENTER-REG-RIPN
created: 1998.02.25
paid-till: 2006.04.01
source: TC-RIPN

Queried whois.ripe.net with "-B 83.237.236.85"...

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '83.237.160.0 - 83.237.255.255'

inetnum: 83.237.160.0 - 83.237.255.255
netname: MTU-PPPOE
descr: ZAO MTU-Intel
descr: Mamonovskij pereulok d.5
descr: 123001, Moscow
descr: Russia
admin-c: MTU1-RIPE
tech-c: MTU1-RIPE
country: RU
status: ASSIGNED PA
mnt-by: MTU-NOC
changed: lir [at] mtu.ru 20050704
source: RIPE

role: MTU-Intel NOC
address: ZAO MTU-Intel
address: Mamonovskij pereulok d.5, build.1,2
address: P.O. BOX 38 123001
remarks: *****************************************
remarks: Please send abuse reports to abuse [at] mtu.ru
remarks: *****************************************
phone: +7 095 903 9577
fax-no: +7 095 903 2524
e-mail: lir [at] mtu.ru
admin-c: AVZ-RIPE
tech-c: OB36-RIPE
tech-c: AVZ-RIPE
tech-c: RVP-RIPE
nic-hdl: MTU1-RIPE
mnt-by: MTU-NOC
changed: lir [at] mtu.ru 20021018
changed: noc [at] mtu.ru 20040213
changed: rvp [at] mtu.ru 20041223
source: RIPE

% Information related to '83.237.0.0/16AS8359'

route: 83.237.0.0/16
descr: ZAO MTU-Intel's Moscow Region Network
descr: ZAO MTU-Intel
descr: Moscow, Russia
origin: AS8359
notify: noc [at] mtu.ru
mnt-by: MTU-NOC
remarks: *****************************************
remarks: Please send abuse reports to abuse [at] mtu.ru
remarks: *****************************************
changed: noc [at] mtu.ru 20040213
source: RIPE

Goofy
19.09.2005, 19:38
Fidul meint etwas anderes. Er bezieht sich auf die URL und auf die beworbene Domain einer neuen Phishing-Mail, die er wohl frisch reinbekommen hat.

Wenn im o.g. Header die IP 83.237.236.85 drinsteht, dann heißt das nur, dass die Mail da drüber versendet wurde. Das muss aber nicht unbedingt etwas mit dem Spammer/Phisher zu tun haben. Wahrscheinlich steht hinter dieser IP wieder mal ein infizierter Rechner, der ohne Wissen seines Besitzers den Müll ferngesteuert verteilt hat.

Waynelammers.com ist im übrigen wiedermal bei Ipowerweb gehostet, wieder derselbe Webserver wie bei den beiden letzten Beispielen gehackter Hostaccounts.
So langsam sollten die Knallchargen sich mal was zur Sicherung ihres Servers einfallen lassen. Oder haben die da
kapituliert?

Sven Udo
19.09.2005, 19:44
Danke, das ist plausibel und ich verstehe es jetzt besser :).

Fidul
20.09.2005, 02:48
Yep, genauso war's. Die Seite ist auch schon in der Byte-Hölle angekommen.

trekkie
21.09.2005, 23:14
Was soll DAS denn werden? :rolleyes:

Das wird ja immer dreister. Der Link führt auf http://interdatingdatabase.com. Die Suche hier im Forum blieb ergebnislos, ist also wohl ein neues Derivat?!?

Vom Whois her paßt es aber mal wieder, wenn ich das richtig sehe.

Ich hab' mal einen Screenshot mit angehängt.



Received: (qmail 8047 invoked by alias); 21 Sep 2005 xx:xx:xx -0000
Delivered-To: GMX delivery to <>
Received: (qmail invoked by alias); 21 Sep 2005 xx:xx:xx -0000
Received: from 210-194-19-174.rev.home.ne.jp (HELO 141880584) [210.194.19.174]
by mx0.gmx.net (mx025) with SMTP; 21 Sep 2005 xx:xx:xx +0200
Received: from deutsche-bank.com (-1228227968 [-1217774000])
by 210-194-19-174.rev.home.ne.jp (Qmailv1) with ESMTP ID: [ID filtered]
for <>; Wed, 21 Sep 2005 xx:xx:xx -0700
Date: Wed, 21 Sep 2005 xx:xx:xx -0700
From: deutsche-bank.com SSL <ssl [at] deutsche-bank.com>
X-Mailer: The Bat! (v2.00.4) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: M <>
Subject: Deutsche Online Banking
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------BE39716B81852E4"
X-Virus-Scanned: Norton
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-OriginalArrivalTime: 21 Sep 2005 xx:xx:xx.0948 (UTC)

Die Mail enthielt folgende Bilder:

------------BE39716B81852E4
Content-Type: image/jpeg; name="soybeans.jpg"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="soybeans.jpg"
Content-ID: [ID filtered]

------------BE39716B81852E4
Content-Type: image/gif; name="quadruped.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="quadruped.gif"
Content-ID: [ID filtered]

------------BE39716B81852E4
Content-Type: image/jpeg; name="spideriest.JPG"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="spideriest.JPG"
Content-ID: [ID filtered]

Hier noch der Text:

Wichtige Information von der Verwaltung der Deutsche Bank AG!

Sehr geehrte Kundin,
sehr geehrter Kunde,

Es freut uns sehr Ihnen über planmäßige Modernisierung des Softwares (inkl. Transaktionsicherheitsmodul, Übergang zum Protokoll SSL 4.5 u s.w.) mitzuteilen. Diese Maßnamen gewährleisten die Vereinfachung für Benutzung unseres Zahlung-Online-Systems und bieten noch mehr Datenschutzsicherheit an.
Der Übergang zum neuen System wird nicht später als am 12.09.2005 erfolgen.
Im Zusammenhang mit der Modernisierung bitten wir alle unsere Kunden ein spezielles Registrierungsformular der Benutzer des neuen Systems auszufüllen.


<http://interdatingdatabase.com>

Beachten Sie, dass der Übergang zum neuen System für alle Benutzer Deutsche Bank AG Online-Banking erforderlich ist. Bitte füllen Sie die Registrierungsform unverzüglich nach dem Empfang dieses Mails aus.

Wir bedanken uns für Zusammenarbeit.



Achtung: diese Mail ist automatisch versendet. Keine Antwort darauf wird bearbeitet.
Alle Fragen senden sie bitte an Helpdesk Deutsche Bank support[at]deutsche-bank.de

Hier mal das Ganze noch als Bild:


http://img254.imageshack.us/img254/4426/deutschebank9bx.png (http://imageshack.us)


Das Formular auf der Webseite dagegen ist altbekannt:


http://img254.imageshack.us/img254/2817/deutschebank29zc.png (http://imageshack.us)

Die URL jedenfalls finde ich wirklich dreist. Wenn da einer drauf reinfällt, dann weiß ich auch nicht mehr...

<EDIT>
Die Sprache läßt auch mal wieder zu wünschen übrig - bzw. scheint es sogar wieder schlechter zu werden? So schlechtes Deutsch haben die Jungs doch sonst nicht ?!?
</EDIT>

:sick:

Fidul
22.09.2005, 01:25
Ja, das sieht genauso schrottig aus wie bei den bisherigen Seiten. Leo hat auch wieder den DNS (http://www.antispam-ev.de/~phil/spamlink/?url=http://1l1-vx.com) registriert.

Sirius
22.09.2005, 09:08
interdatingdatabase.com (http://centralops.net/co/DomainDossier.aspx?addr=interdatingdatabase.com&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit) ist tot. http://www.vazne.ic.cz/pictures/anim/fallingopt.gif

Die Whois-Daten wurden allein in den letzten 4 Wochen 8 mal geändert!

Investi
25.09.2005, 22:45
Mal wieder zum Wochenende:

X-Timeout:
X-Timeout:
Return-Path: <92maia [at] free.fr>
Delivery-Date: Sun, 25 Sep 2005 xx:xx:xx +0200
Received: from [221.126.68.90] (helo=221.126.68.90)
by mxeu4.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche Bank <92maia [at] free.fr>
To: owner [at] ....de
Subject: [SPAM?]: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Sun, 25 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_F71A8580.EF7FB1BE"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: info [at] ....de
X-SpamScore: 2.387
tests= EXTRA_MPART_TYPE RCVD_NUMERIC_HELO
X-Spam-Flag: No
X-Spam-Level: 3/5

Beworben: www.onegooddoctor.com/..... (http://www.onegooddoctor.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa), http://www.onegooddoctor.com (Mit Sicherheit gekapert)

Sirius
26.09.2005, 09:09
Hallo

Die Phisher haben nur den Account von Mr. Christodoulakis gehackt, denn der Computer (Server) antwortet ganz normal: http://66.235.199.62

Professionell ist es aber nicht gemacht: http://onegooddoctor.com/deutsche-bank.de/

Das Password des Medizinmanns war wohl nicht gut genug.

Goofy
26.09.2005, 19:05
Schon wieder ist Ipowerweb betroffen, der Server ist wiedermal der host165.ipowerweb.com.
Wenn es so ist, muss ich an Fiduls Anmerkung denken: hoffentlich hat Leo nicht gleich das Admin-Passwort für diesen Webserver geknackt.
3 gehackte Domains auf einem Webserver - das kann kein Zufall sein.
Die Tränen bei Ipowerweb scheinen aber auch wirklich dermassen unfähig zu sein.

Fidul
27.09.2005, 03:53
Die Tränen bei Ipowerweb scheinen aber auch wirklich dermassen unfähig zu sein.
Das sind sie offenbar, denn das ist nicht der einzige Server dort, von dem ständig irgendwelcher Dreck ausgeht. Die Nasen haben auch hier schon eine ziemliche Krankenakte.

Fidul
27.09.2005, 15:02
Ganz frisch: http://www.oneilltel.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa

Und bei welchem Hoster ist das wohl wieder? :sick:

Sirius
27.09.2005, 19:03
Die Schlafmützen von Ipowerweb sind anscheinend aufgewacht.

Die Accounts sind gesperrt:
http://onegooddoctor.com/deutsche-bank.de/
http://www.oneilltel.com/deutsche-bank.de/

Ich bin gespannt, ob dort nochmal eine neue DB-Filiale eröffnet ...

SpamRam
30.09.2005, 11:28
Return-Path: <43bettie [at] gmx.net>
Received: from 211.169.218.69 ([211.169.218.69]) by mailin13.sul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: Deutsche Bank <43bettie [at] gmx.net>
To: poor [at] spamvictim.tld
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Wed, 28 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_426B94E9.A4124371"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TOI-SPAM: u;0;2005-09-28Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false

Die IP-Adresse führt nach Korea.

Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit
hufiger wiederholten Angriffen auf die Portale der deutschen Banken ist
die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollstndige
Zwangserneuerung der Informationen ber Ihre Konten vorzunehmen. Sie mssen
das nachfolgende Link befolgen und die Angaben zum Zugriff von Ihrem Konto
ndern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verstndnis
und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese
Anschrift geschickt werden, werden nicht beantwortet. Um Hilfe zu bekommen.
Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen
Seite «Hilfe» ein.
2005 Deutsche-Bank Inc.© Alle Rechte vorbehalten. Handelsmarken und Brands
sind Eigentum von ihren Besitzern.

Dann folgt HTML-Code. Darin der gleiche Text, allerdings mit Umlauten.
Style wird geladen von http://www.charteronebank.com/styles/main.css
Logo wird geladen von der Seite der DB:
http://www.deutsche-bank.de/pbc/images/logo_db_kachel_u_zusatz.gif und http://www.deutsche-bank.de/pbc/images/logo_db_claim2_gross.gif

Beim Klick auf den Link: https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa

wird mit JavaScript ein neues Fenster geöffnet:

<FORM action=Javascript:window.open('http://www.collegetownpizza.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa','DeutscheBank','toolbar=yes,location=no,status=no,menubar=yes,resizab le=yes,scrollbars=yes');void(0) method=get>
http://www.collegetownpizza.com/deutsche-bank.de/mod/WebObjects/dbpbc.woa

Habe nicht versucht, die Adressen zu analysieren. DB wurde informiert und die Fachabteilung will etwas unternehmen.

BTW: Mein Viren-Guard AV-Personal hat einen "PHISH" gemeldet!

SpamRam
30.09.2005, 15:06
Die Mails "Deutsche-Bank" enthalten laut AntiVir-Personal die Signatur des "PHISH/DeutBkfraud.L-virus".

Also Vorsicht!

Bei den Phishing-Mails anderer Banken wird es wohl nicht anders sein!

kjz1
02.10.2005, 22:42
Hier mal eine Liste von Spamhaus (http://www.spamhaus.org/rokso/evidence.lasso?rokso_id=ROK5690) , alleine auf leimomi01 @ tom.com hatte Leo mindestens 238 Domains laufen. Darunter Phishing für Bank of Oklahoma, Bank of the West, Charter One, Deutsche Bank, eBay, IntMed (Geldwäsche), Paypal, Postbank, SouthTrust, etc. Wie man sieht, ist Leo absolut skrupellos und läßt keine Gaunerei aus, um illegal an Geld zu kommen.

- kjz

Alexander
05.10.2005, 12:30
Hallo leute, das hatte ich heute hier:

Return-path: <security [at] deutsche-bank.de>
Delivery-date: Wed, 05 Oct 2005 xx:xx:xx +0200
Received: from
by mbox72.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for @freenet.de; Wed, 05 Oct 2005 xx:xx:xx +0200
Received: from pool-162-84-214-139.ny5030.east.verizon.net ([162.84.214.139] helo=-1274239416)
by mx7.freenet.de with smtp (Exim 4.53 #4)
ID: [ID filtered]
for @freenet.de; Wed, 05 Oct 2005 xx:xx:xx +0200
Received: from deutsche-bank.de (-1281082104 [-1280330872])
by pool-162-84-214-139.ny5030.east.verizon.net (Qmailv1) with ESMTP ID: [ID filtered]
for <freenet.de>; Wed, 05 Oct 2005 xx:xx:xx -0500
Date: Wed, 05 Oct 2005 xx:xx:xx -0500
From: Deutsche Bank <security [at] deutsche-bank.de>
X-Mailer: The Bat! (v2.00.7) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: <@freenet.de>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------FFF4B676A597ECE"
X-Virus-Scanned: Symantec AntiVirus Scan Engine
Delivered-To: @freenet.de
Envelope-to: @freenet.de
X-Warning: Message contains Spam signature (149285::051005085615-1E6E4000-15CAED56)
Delivered-To: @freenet.de


Als ich anhand dieser IP nachgeprüft habe wurde mir nur gesagt das der Rechner in New York steht, wurde aber kein Domainname genannt.






Sehr geehrter Kunde,

Die Deutsche Bank sorgt immer für die Sicherheit von unseren Kunden, deswegen werden von uns immer wieder neue Methoden zur Sicherung der Interessen von unseren Klienten entwickelt.
In der letzten Zeit wurden die Betrügereiversuche, die Geldmittel von den Bankkonten zu stehlen, häufiger geworden. Das Anwendungssystem der TAN - Aufstellung hat sich nicht ganz bewährt. Die Schwindler haben verstanden, wie sie diese Schutzart umgehen können.
Wir haben sehr sorgfältig jeden Diebstahl von den Konten behandelt und haben somit eine Liste von den Merkmalen der verdächtigen Operation gemacht.
Gegenwärtig haben wir ein neues elektronisches Sicherheitssystem aufgebaut, das den Zugang zu den Bankkonten verhindert, das ist praktisch einsatzbereit. Scheint die Transaktion unsauber, so wird von dem System eine Geheimfrage gestellt. Bekommt das System keine Antwort, so werden das Konto und die laufende Transaktion bis zur Klärung der Umstände blockiert.

Wir bitten Sie, um das System richtig laufen zu lassen, die Form der zusätzlichen Autorisation auszufüllen.

Wir hoffen, dass Sie unser neues Sicherheitssystem richtig einschatzen.

Danke für die Zusammenarbeit,
Deutsche Bank

Der link führte zu:

http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.secondary03.net/mod/WebObjects/dbpbc.woa/

Ganz scön dreist, die lernen es nie. Ob ich denen mal antworte um mit dem Anwalt zu drohen?

Sirius
05.10.2005, 14:02
Der Link führt zu diversen Computern - nicht nur nach New York, sondern z.B. auch nach Holland.

Alle Rechner sind durch Trojaner infiziert, die durch ein Bot-Net gesteuert werden.

Hier ein Ausschnitt einer Datenverfolgung:
traceroute to www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.secondary03.net (217.122.135.86), 30 hops max, 40 byte packets
1 router (192.168.2.1)
2 #.#.#.117
3 #.#.#.26
4 #.#.#.170
5 sl-bb20-ham-2-0.sprintlink.net (213.206.131.53)
6 sl-bb21-ams-14-0.sprintlink.net (213.206.129.49)
7 217.149.32.114
8 217.149.47.158
9 bb1-new-ge2-0-0-0.amsix-nikhef.home.nl (213.51.158.120)
10 bb1-ge6-0.zwoll1.ov.home.nl (213.51.158.150)
11 r1-pos1-0.hgv1.dr.home.nl (213.51.132.27)
12 ubr1-pc1-201.hgv1.dr.home.nl (213.51.133.51)
13 cc783852-a.hgv1.dr.home.nl (217.122.135.86)
-------

traceroute to www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.secondary03.net (68.63.20.36), 30 hops max, 40 byte packets
1 router (192.168.2.1)
2 #.#.#.117
3 #.#.#.26
4 #.#.#.130
5 dt-gw.n54ny.ip.att.net (192.205.32.57)
6 tbr2-p011601.n54ny.ip.att.net (12.123.3.61)
7 tbr2-cl1.wswdc.ip.att.net (12.122.10.54)
8 tbr1-cl1.attga.ip.att.net (12.122.10.70)
9 gbr4-p10.ormfl.ip.att.net (12.122.12.122)
10 12.122.10.165
11 12.122.4.101
12 gbr1-p20.hs1tx.ip.att.net (12.122.12.138)
13 gar2-p360.hs1tx.ip.att.net (12.123.134.81)
14 12.119.213.54
15 68.87.162.117
16 68.87.162.98
17 pcp01567266pcs.hlcrs201.al.comcast.net (68.63.20.36)
Am anderen Ende befindet sich immer ein Windows-Rechner, dessen Besitzer zu geizig war, sich einen Virenscanner zuzulegen.

Alexander
05.10.2005, 14:09
Ich hab gleich 3.

Den Trojancheck 6 mit regelmäßigen Updates
Den Spysweeper
Den Antivir

Bin mal egespannt wieviele Deutsche bank mails ich noch bekomme

ber der Link scheint irgendwie ein echter zu sein der deutschen bank,oder?

Sirius
05.10.2005, 14:56
ber der Link scheint irgendwie ein echter zu sein der deutschen bank,oder?Nein. Alles ist gefälscht.

Allerdings werden im Formular Links der Deutschen Bank verwendet, damit der Betrogene nicht merkt, dass er betrogen wurde. Nach der Eingabe seiner persönlichen Daten wird er z.B. zur Deutschen Bank weitergeleitet.

Alexander
05.10.2005, 14:58
Was passiert eigentlich wenn ich auf diese Mail antworte?

sis
05.10.2005, 15:17
Die von sirius angegebene Phishing-URL wechselt z.Zt. tatsächlich fast im Sekundentakt die Einträge in der IP Address Lookup Tabelle. Siehe CentralOps dot Net.

Alexander
05.10.2005, 15:19
Was passiert mit meinem rechner wenn ich auf die e-mail unter der angegebenen E-Mail Adresse antworte?

SpamRam
05.10.2005, 15:25
Zitat von Alexander:
Was passiert eigentlich wenn ich auf diese Mail antworte?

Ja, dann könnte es Probleme geben. Die Auswirkungen des in der Mail versteckten Virus sind mir nicht bekannt, aber ich würde es jedenfalls nicht darauf ankommen lassen. Möglich wäre z.B., dass Dein Rechner dann auch zu einem Zombie mutiert und in Zukunft ferngesteuert Spam verteilt. :eek: .

Wenn man die Mail mit einem Browser ansieht - und nicht nur als Text - dann wird eine Seite angezeigt, bei der die Grafiken von den Original-Bank-Seiten geladen werden, der Rest ist gefälscht, was man am Text leicht erkennen kann. Bei den Banken reden und schreiben die Leute nicht so gebrochen Deutsch!

Mein Tip: nicht zu neugierig sein!


Was passiert, wenn ich an die Adresse eine Mail schicke?
Wenn Du eine neue Mail schreibst und die Mail-Adresse als Empfänger angibst, bekommt irgendwer eine Mail, der vielleicht nichts mit der Sache zu tun hat, möglicherweise auch der Besitzer eines gekaperten Rechners. Mit Deinem Rechner passiert dabei nichts. Wichtig ist nur: Nicht auf den angegebenen Link klicken!!!!

sis
05.10.2005, 15:25
Was passiert mit meinem rechner wenn ich auf die e-mail unter der angegebenen E-Mail Adresse antworte?Mit Deinem Rechner passiert nichts, solange die für die Antwort Deinen lokal installierten eMail-Client verwendest. Allerdings "veröffentlichst" Du Deine eMail-Adresse und gibst auch Deine IP-Adresse bekannt.

Alexander
05.10.2005, 15:27
Hm... Ein Virus wurde bei mir nicht gefunden......
Hab die über 3 Virenscanner durchlaufen lassen.

Das hab ich über die IP noch rausgefunden:

Address lookup
canonical name pool-162-84-214-139.ny5030.east.verizon.net.
aliases
addresses 162.84.214.139
DNS records
name class type data time to live
pool-162-84-214-139.ny5030.east.verizon.net IN A 162.84.214.139 86400s (1.xx:xx:xx)
verizon.net IN SOA
server: ns1.bellatlantic.net
email: dnsadmin.bellatlantic.net
serial: 2005100401
refresh: 86400
retry: 3600
expire: 604800
minimum ttl: 86400
86400s (1.xx:xx:xx)
verizon.net IN NS ns1.bellatlantic.net 86400s (1.xx:xx:xx)
verizon.net IN NS ns2.verizon.net 86400s (1.xx:xx:xx)
verizon.net IN NS ns2.bellatlantic.net 86400s (1.xx:xx:xx)
verizon.net IN NS ns4.verizon.net 86400s (1.xx:xx:xx)
verizon.net IN MX
preference: 0
exchange: relay.verizon.net
300s (xx:xx:xx)
verizon.net IN TXT v=spf1 ip4:206.46.232.0/24 ip4:206.46.170.0/24 ip4:206.46.252.0/24 ip4:206.46.128.33 ip4:206.46.128.101 ip4:209.84.13.21 ip4:209.84.13.20 ?all 300s (xx:xx:xx)
verizon.net IN A 206.46.230.37 3600s (xx:xx:xx)
139.214.84.162.in-addr.arpa IN PTR pool-162-84-214-139.ny5030.east.verizon.net 86400s (1.xx:xx:xx)
Traceroute

Tracing route to pool-162-84-214-139.ny5030.east.verizon.net [162.84.214.139]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 2 0 0 64.29.192.3 port-64-1949699-dal16509a-drtn.devices.datareturn.com
3 0 0 0 64.29.192.142 port-64-1949838-zzt0prespect.devices.datareturn.com
4 0 0 0 64.29.192.229 daa.g921.ispa.datareturn.com
5 0 0 0 209.246.152.201 ge-6-3.car2.dallas1.level3.net
6 0 0 0 4.68.122.35 ge-7-0-0-52.gar2.dallas1.level3.net
7 1 1 1 4.78.234.2 verizon-inte.gar2.level3.net
8 47 1 1 130.81.17.174 so-7-1-0-0.bb-rtr2.dfw01.verizon-gni.net
9 22 22 22 130.81.19.21 so-7-3-0-0.bb-rtr2.atl01.verizon-gni.net
10 39 38 38 130.81.19.34 so-7-1-0-0.bb-rtr1.res.verizon-gni.net
11 44 44 44 130.81.8.254 so-7-2-0-0.bb-rtr1.ny325.verizon-gni.net
12 45 45 45 130.81.18.89 so-0-2-0-0.core-rtr1.ny325.verizon-gni.net
13 45 45 45 130.81.10.34
14 * * *
15 * * *
16 * * *
17 * * *

Trace aborted
Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
NNTP - 119 Error: TimedOut

-- end --
URL for this output | return to CentralOps.net
Domain Dossier now supports internationalized domain names (IDNs).
Try a few:

* 한글.kr
* 日本語.jp
* مصريين.com
* 中国互联网络信息中心.cn
* đäňîċ-ţåŝŧďómãĵņ.de

Alexander
05.10.2005, 15:57
Ausserdem wechselt meine IP bei jedem erneuten "Interneteintritt"
Der SpySweeper, der Trojancheck 6, der Antivir und der Spionfrei haben keinerlei Viren oder Cookies gefunden.

Sirius
05.10.2005, 16:27
Hallo Alexander,

wenn du auf die Mail antwortest, dann schreibst du der Deutschen Bank: security{ät}deutsche-bank.de

Den Computer, der die Mail verschickt hat, kannst du auf diese Weise nicht erreichen. Es handelt sich ebenfalls um einen gekaperten Rechner, der als Spam-Schleuder arbeitet. Solche Rechner hängen nicht permanet im Internet, deshalb ging dein Tracing ins Leere (trace aborted).

Alexander
05.10.2005, 16:45
Also würde mir theoretisch nix passieren, wenn ich der security schreibe,oder?

Goofy
05.10.2005, 17:29
@ Alex

Der Security von der Deutschen Bank kannst Du natürlich schreiben, bringt aber nicht viel, weil die sicher inzwischen längst BescheID: [ID filtered]



Zitat von Alexander
...der Link scheint irgendwie ein echter zu sein der deutschen bank,oder?

Nein.
Der Phisher arbeitet mit einem Trick. Der Link ist sehr lang. Dabei übersieht das Opfer, dass es sich hier bei
http://www.deutsche-bank.de.pbc_content.ser....etc....
lediglich um eine Subdomain! handelt. Die Domain, auf die Du hinverbunden wirst, ist gar nicht die deutsche-bank.de. Die Hauptdomain heisst secondary03.net, die siehst Du in der URL-Zeile
..blalba..ser_obs_sic_grundlagen.secondary03.net/mod/..blabla..
erst ganz hinten, nach dem vorletzten "."(dot). Und da wirst Du wirklich hinverbunden.
Was vorne in der Url steht, ist immer eine Subdomain, und sowas kann jeder zu seiner Hauptdomain anlegen, wie er will.
Viele Webbrowser zeigen solch lange URLS in der Adresszeile gar nicht ganz an. Darin liegt der Phishing-Trick.

Alexander
05.10.2005, 18:13
Hab mir die Seite angeguckt, sieht wirklich täuschend echt aus.
Habe aber nix eingegeben, da ich ja KEIN Kunde dieser Bank bin

Alexander
06.10.2005, 13:50
EineIP die ich bekam ist auf die internetseite

http://www.markmonitor.com/phishing/fraudprotection-nl.html

zugelassen. schon komisch das die für Anti-Pershing werben :)

Alexander
09.10.2005, 10:07
Hat Leo wohl aufgegeben. Seit 5 Tagen keine Mails mehr mit der Deutschen Bank, die Adresse istt auch im Nirwana.
Jetzt bin ich a bisserl traurig :D

Alexander
17.10.2005, 08:11
Von: "Security"<security [at] postbank.de> »

Sehr geehrter Kunde,

Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert.

Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.

Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen.

Danke für die Zusammenarbeit,
Administration der Postbank Online Banking

Die Seite führt zu: http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.serverp0.info/


Return-path: <security [at] postbank.de>
Delivery-date: Mon, 17 Oct 2005 xx:xx:xx +0200
Received: from [xxx.xx.xx.xxx] (helo=mx8.freenet.de)
by mbox72.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 17 Oct 2005 xx:xx:xx +0200
Received: from [69.65.130.102] (helo=-1208157472)
by mx8.freenet.de with smtp (Exim 4.53-RC2 #21)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 17 Oct 2005 xx:xx:xx +0200
Received: from postbank.de (-1208512704 [-1208200592])
by badtzmail.com (Qmailv1) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 17 Oct 2005 xx:xx:xx -0400
Date: Mon, 17 Oct 2005 xx:xx:xx -0400
From: Security <security [at] postbank.de>
X-Mailer: The Bat! (v2.00.5) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Froelich <poor [at] spamvictim.tld>
Subject: Postbank Online
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------F46D51960F0A5D4"
X-Virus-Scanned: by amavisd-milter (http://amavis.org/)
Delivered-To: poor [at] spamvictim.tld
Envelope-to: poor [at] spamvictim.tld
X-Warning: Message contains Spam signature (149285::051017073938-38274000-6F9DDF23)
Delivered-To: poor [at] spamvictim.tld

Das ganze abgeladen in Miami

ookup failed 69.65.130.102
Could not find a domain name corresponding to this IP address.
Domain Whois record

Don't have a domain name for which to get a record
Network Whois record

Queried whois.arin.net with "69.65.130.102"...

OrgName: MEGADATOS
OrgID: [ID filtered]
Address: 7270 NW 12th St #554
City: Miami
StateProv: FL
PostalCode: 33126
Country: US

NetRange: 69.65.128.0 - 69.65.159.255
CIDR: 69.65.128.0/19
NetName: ACCESSRAM-BLOCK1
NetHandle: NET-69-65-128-0-1
Parent: NET-69-0-0-0-0
NetType: Direct Allocation
NameServer: NS.ACCESSINTER.NET
NameServer: NS2.ACCESSINTER.NET
Comment:
RegDate: 2003-08-08
Updated: 2004-08-17

OrgAbuseHandle: JFA7-ARIN
OrgAbuseName: Acquaviva, Jorge Fabrizio
OrgAbusePhone: +1-305-717-5083
OrgAbuseEmail: jfa [at] accessinter.net

OrgNOCHandle: JFA7-ARIN
OrgNOCName: Acquaviva, Jorge Fabrizio
OrgNOCPhone: +1-305-717-5083
OrgNOCEmail: jfa [at] accessinter.net

OrgTechHandle: JFA7-ARIN
OrgTechName: Acquaviva, Jorge Fabrizio
OrgTechPhone: +1-305-717-5083
OrgTechEmail: jfa [at] accessinter.net

# ARIN WHOIS database, last updated 2005-10-16 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

DNS records

DNS query for 102.130.65.69.in-addr.arpa returned an error from the server: NameError

No records to display
Traceroute

Tracing route to 69.65.130.102 [69.65.130.102]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.3 port-64-1949699-dal16509a-drtn.devices.datareturn.com
3 0 0 0 64.29.192.142 port-64-1949838-zzt0prespect.devices.datareturn.com
4 7 1 0 64.29.192.229 daa.g921.ispa.datareturn.com
5 0 0 15 209.246.152.201 ge-6-3.car2.dallas1.level3.net
6 1 0 0 4.68.122.1 ae-1-51.bbr1.dallas1.level3.net
7 32 52 127 64.159.0.1 as-1-0.mp1.miami1.level3.net
8 43 35 53 4.68.112.46 so-7-0-0.gar1.miami1.level3.net
9 494 31 31 4.79.100.46
10 30 30 96 69.25.0.77 border5.pc2.bbnet2.mia003.pnap.net
11 84 84 31 69.25.2.70 atria-1.border5.mia003.pnap.net
12 46 43 44 216.139.185.130
13 448 333 358 216.219.1.1
14 353 546 340 157.100.40.1
15 551 347 376 157.100.40.18
16 336 336 362 69.65.130.102

Trace complete
Service scan
FTP - 21
SMTP - 25 220 adm1.educarecuador.edu.ec Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713 ready at Mon, 17 Oct 2005 xx:xx:xx -0500
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
NNTP - 119 Error: ConnectionRefused

-- end --

Wenigstens der Trace funktionierte diesmal teilweise

Goofy
17.10.2005, 19:53
serverp0.info
ns2.postik.net. [66.191.230.86]:

Und da verliessen sie ihn auch schon, der Nameserver antwortet inzwischen nicht mehr. :shootem:

Alexander
17.10.2005, 21:24
Ich ging eben auf den Link

http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.serverp0.info/


Und er funktioniert noch

Goofy
17.10.2005, 21:51
Tasächlich, das bot-DNS ist auch im Gang:

ns4.postik.net. [66.191.230.86]

ns1.postik.net. [66.56.36.62]: Timed out
ns2.postik.net. [66.191.230.86]: Error

serverp0.info. A IN 5 68.34.215.98
serverp0.info. A IN 5 84.24.235.224
serverp0.info. A IN 5 24.195.18.43
serverp0.info. A IN 5 62.101.160.86
serverp0.info. A IN 5 24.14.51.159


ns1.postik.net. A IN 172800 12.215.193.251
ns1.postik.net. A IN 172800 12.217.57.81
ns1.postik.net. A IN 172800 24.160.122.97
ns1.postik.net. A IN 172800 66.56.36.62
ns1.postik.net. A IN 172800 67.176.213.97
ns1.postik.net. A IN 172800 67.186.73.99
ns1.postik.net. A IN 172800 68.127.26.151
ns1.postik.net. A IN 172800 68.34.215.98
ns1.postik.net. A IN 172800 68.58.110.87
ns1.postik.net. A IN 172800 68.60.127.244
ns1.postik.net. A IN 172800 71.8.197.224
ns1.postik.net. A IN 172800 81.190.131.195
ns1.postik.net. A IN 172800 84.24.235.224

ns2.postik.net. A IN 172800 24.148.169.219
ns2.postik.net. A IN 172800 24.6.197.6
ns2.postik.net. A IN 172800 66.191.230.86
ns2.postik.net. A IN 172800 67.176.61.29
ns2.postik.net. A IN 172800 67.186.73.99
ns2.postik.net. A IN 172800 67.189.200.125
ns2.postik.net. A IN 172800 68.115.148.142
ns2.postik.net. A IN 172800 68.255.251.92
ns2.postik.net. A IN 172800 68.60.127.244
ns2.postik.net. A IN 172800 68.61.247.99
ns2.postik.net. A IN 172800 68.77.204.135
ns2.postik.net. A IN 172800 71.12.20.244
ns2.postik.net. A IN 172800 82.46.190.16

ns3.postik.net. A IN 172800 12.215.193.251
ns3.postik.net. A IN 172800 24.14.251.172
ns3.postik.net. A IN 172800 24.14.51.159
ns3.postik.net. A IN 172800 24.6.197.6
ns3.postik.net. A IN 172800 24.61.233.226
ns3.postik.net. A IN 172800 66.214.36.102
ns3.postik.net. A IN 172800 67.176.213.97
ns3.postik.net. A IN 172800 68.203.191.157
ns3.postik.net. A IN 172800 68.54.0.145
ns3.postik.net. A IN 172800 68.60.127.244
ns3.postik.net. A IN 172800 68.75.188.164
ns3.postik.net. A IN 172800 71.10.255.245
ns3.postik.net. A IN 172800 71.12.20.244

ns4.postik.net. A IN 172800 24.130.187.61
ns4.postik.net. A IN 172800 24.61.233.226
ns4.postik.net. A IN 172800 24.90.55.13
ns4.postik.net. A IN 172800 24.98.25.158
ns4.postik.net. A IN 172800 66.191.230.86
ns4.postik.net. A IN 172800 66.214.36.102
ns4.postik.net. A IN 172800 66.56.36.62
ns4.postik.net. A IN 172800 67.165.71.72
ns4.postik.net. A IN 172800 68.203.191.157
ns4.postik.net. A IN 172800 68.255.251.92
ns4.postik.net. A IN 172800 68.61.247.99
ns4.postik.net. A IN 172800 68.63.20.36
ns4.postik.net. A IN 172800 70.247.75.152

ns5.postik.net. A IN 172800 12.217.57.81
ns5.postik.net. A IN 172800 24.13.123.241
ns5.postik.net. A IN 172800 24.98.25.158
ns5.postik.net. A IN 172800 67.176.61.29
ns5.postik.net. A IN 172800 68.204.134.128
ns5.postik.net. A IN 172800 68.255.251.92
ns5.postik.net. A IN 172800 68.51.32.6
ns5.postik.net. A IN 172800 68.54.0.145
ns5.postik.net. A IN 172800 68.74.186.60
ns5.postik.net. A IN 172800 71.12.20.244
ns5.postik.net. A IN 172800 71.8.197.224
ns5.postik.net. A IN 172800 82.46.190.16
ns5.postik.net. A IN 172800 84.24.235.224

Goofy
18.10.2005, 17:40
serverp0.info ist aus dem DNS raus.

Alexander
24.10.2005, 15:17
Und auf ein neues:

Von "Deutsche Bank"<1corky [at] surrealismo.com> »

ehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit haufiger wiederholten Angriffen auf die Portale
der Deutsche Banken ist die Direktion der Deutsche Bank zur Entscheidung gekommen, eine vollstandige
Zwangserneuerung der Informationen uber Ihre Konten vorzunehmen. Sie mussen das nachfolgende Link befolgen und die
Angaben zum Zugriff von Ihrem Konto andern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verstandnis
und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet.
Um Hilfe zu bekommen.
Kommen Sie auf Ihr Deutsche Bank konto und tippen Sie oben auf der beliebigen Seite
ein.


2005 Deutsche Bank Inc.c
Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.

IP:69.241.44.44 abgekippt in den USA,

wieder mal über Comcast.net geschickt, können diese P*** sich nicht mal ein virenscanner oder Virenschutzprogramm zulegen?

http://www.networksolutions.com


Registrant:
Comcast Corporation
1500 Market Street
Philadelphia, PA 19102
US

Goofy
24.10.2005, 20:15
Führte der Link in der Mail wirklich zu networksolutions.com? Das ist eigentlich nur ein Domainregistrar, bestimmt kein Phisherserver.
War da im Link eine andere Url versteckt? (Die eigentliche URL, auf die der Browser hinverbunden wird, sieht man in der unteren Leiste des Browserfensters, wenn man mit dem Mauscursor über den Link fährt)


wieder mal über Comcast.net...

Es gibt tatsächlich einige Provider, die durch besonders häufigen Botnetz-Abuse auffallen. Dazu gehört sicherlich Comcast, aber auch pacbell, charter, gaoland u.a.

Alexander
24.10.2005, 20:34
https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa

da gehts hin

Goofy
24.10.2005, 21:06
da geht´s hin
hmmm.... dann wär das kein Phishing, das ist nämlich die reguläre DB-Seite.

Entweder ist da irgendwo noch ein anderer Link versteckt, oder der Phisher hat da was verbaselt.

Alexander
24.10.2005, 21:12
Ich glaub da hat der Pisher einen feler gemacht.. eine andere URL gibt es nicht in dieser ganzen mail.....und diese besagte is ja eine verschlüsselte


*rot imm kalender anstreich fehler beim pishen*

denn die e-mail kommt einem komisch vor

corlis
25.10.2005, 08:06
Schau dir die komplette Mail mal in der "Source-Ansicht" - also dem puren Code an, und sieh nach, ob sich da nicht wirklich noch was anderes versteckelt - kommt oft vor, dass man eine winzige Kleinigkeit sonst übersieht.

Fidul
11.11.2005, 16:52
Leo ist wieder mit der alten Masche unterwegs:

http://deutshe-bank.com/mod/WebObjects/dbpbc.woa/ -> DNS über http://dynsecurity.com
http://deulsche-bank.com/mod/WebObjects/dbpbc.woa/ -> DNS über http://backupservis.com

Die Phishs wurden über bookmyname.com registriert und die DND-Domains direkt über joker.com. dynsecurity.com von gestern hat es wohl bereits erwischt (status: hold,invalid-address) und die andere sollte auch bald dran glauben.

kjz1
11.11.2005, 20:42
Die Phishs wurden über bookmyname.com registriert und die DND-Domains direkt über joker.com. dynsecurity.com von gestern hat es wohl bereits erwischt (status: hold,invalid-address) und die andere sollte auch bald dran glauben.

Da würde ich aber nicht drauf wetten. Herr L. aus D. scheint nicht unbedingt ungern Geschäfte mit Spammern zu machen und lässt sich mit dem Abklemmen für gewöhnlich recht lange Zeit. Bis dahin ist die Domain eh verbrannt.

- kjz

sis
29.11.2005, 11:38
Return-Path: <support_ref_... [at] deutsche-bank.de>
X-Sieve: CMU Sieve 2.2
Received: from ip156-192.admiral.ru ([217.146.192.156]) by ...
with smtp ID: [ID filtered]
FCC: mailbox://support_ref_... [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Tue, 29 Nov 2005 06:xx:07 -0400
From: Deutsche Bank AG <support_ref_... [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <...>
Subject: DEUTSCHE BANK INTERNET-BANKING

Im GIF-Image versteckter Link:
http://218.104.139.67:680/rock/d/

Beschwerde an die im WHOIS angegebenen Adressen des chinesischen ISP "TECH GROUP CNC" ist bereits verschickt (bewirkt dort wahrscheinlich noch nicht einmal das Umfallen eines Teebeutels).

SpamRam
29.11.2005, 13:19
Auch hier:


header:
01: Return-Path: <custservice_ref_4369516319728 [at] deutsche-bank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to x_ich_x [at] gmx.net
04: Received: (qmail invoked by alias); 29 Nov 2005 xx:xx:xx -0000
05: Received: from adsl-69-211-157-187.dsl.wotnoh.ameritech.net (HELO
06: adsl-69-211-157-187.dsl.wotnoh.ameritech.net) [69.211.157.187]
07: by mx0.gmx.net (mx053) with SMTP; 29 Nov 2005 xx:xx:xx +0100
08: FCC: mailbox://custservice_ref_4369516319728 [at] deutsche-bank.de/Sent
09: X-Identity-Key: id1
10: Date: Tue, 29 Nov 2005 xx:xx:xx +0400
11: From: DEUTSCHE BANK <custservice_ref_4369516319728 [at] deutsche-bank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: nicht_ich [at] gmx.net
15: Subject: DEUTSCHE BANK ONLINE-BANKING [Tue, 29 Nov 2005 xx:xx:xx +0600]

Hier der Link versteckt in einer Image-Map im Bild "crockery.GIF"
http://200.69.195.227:780/rock/d/

schara56
30.11.2005, 01:46
Und nocheinmal

Return-Path: <custservice_51766937 [at] deutsche-bank.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Wed, 30 Nov 2005 xx:xx:xx +0100 (CET)
Received: from cpe-68-173-182-167.nyc.res.rr.com (cpe-68-173-182-167.nyc.res.rr.com [68.173.182.167])
by xxxxxx.xx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 29 Nov 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
FCC: mailbox://custservice_51766937 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Tue, 29 Nov 2005 xx:xx:xx -0200
From: DEUTSCHE BANK <custservice_51766937 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: {Spam?} Deutsche Bank Banking
Content-Type: multipart/related;
boundary="------------090600040508060003010009"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=18.477, benoetigt 6,
autolearn=spam, BAYES_99 5.40, FROM_ENDS_IN_NUMS 0.99,
HTML_60_70 0.11, HTML_FONT_INVISIBLE 0.60, HTML_IMAGE_ONLY_02 1.23,
HTML_MESSAGE 0.10, HTML_TAG_BALANCE_A 0.20, MIME_BASE64_ILLEGAL 1.58,
MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_SHORT 3.03,
NORMAL_HTTP_TO_IP 0.10, RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60,
RCVD_IN_SORBS 0.10, WEIRD_PORT 1.41)
X-MailScanner-SpamScore: ssssssssssssssssss
X-MailScanner-From: custservice_51766937 [at] deutsche-bank.de
X-Collected-By: xx [at] xxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://61.110.74.238:680/rock/d

corlis
01.12.2005, 07:53
ebenfalls:

Received: from [201.8.159.162] (helo=201008159162.user.veloxzone.com.br) by mx26.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
FCC: mailbox://custservice_id_1187756513 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Wed, 30 Nov 2005 xx:xx:xx -0700 (18:47 CET)
From: Deutsche Bank AG <custservice_id_1187756513 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Es ist wichtig!
Content-Type: multipart/related; boundary="------------070205010108040208070004"
Message-ID: [ID filtered]
Sender: custservice_id_1187756513 [at] deutsche-bank.de

Beworben: http://61.110.74.238:680/rock/d/

Die Seite konnte allerdings nicht geladen werden.

schara56
01.12.2005, 22:31
Der nächster Herr, dieselbe Dame...
Return-Path: <custservice_id_0749300145 [at] deutsche-bank.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Thu, 01 Dec 2005 xx:xx:xx +0100 (CET)
Received: from 177.Red-83-56-36.dynamicIP.rima-tde.net (177.Red-83-56-36.dynamicIP.rima-tde.net [83.56.36.177])
by xdxxx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 1 Dec 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
FCC: mailbox://custservice_id_0749300145 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Thu, 01 Dec 2005 xx:xx:xx +0400
From: Deutsche Bank <custservice_id_0749300145 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: {Spam?} Deutsche Bank Internet-Banking [Thu, 01 Dec 2005 xx:xx:xx +0100]
Content-Type: multipart/related;
boundary="------------090909090205090206040002"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=15.527, benoetigt 6,
autolearn=spam, BAYES_99 5.40, FROM_ENDS_IN_NUMS 0.99,
FROM_HAS_ULINE_NUMS 0.96, HTML_60_70 0.11,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_02 1.23,
HTML_MESSAGE 0.10, HTML_TAG_BALANCE_A 0.20, MIME_BASE64_ILLEGAL 1.58,
MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_SHORT 3.03,
NORMAL_HTTP_TO_IP 0.10, WEIRD_PORT 1.41)
X-MailScanner-SpamScore: sssssssssssssss
X-MailScanner-From: custservice_id_0749300145 [at] deutsche-bank.de
X-Collected-By: xxxxx [at] xxxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.948; FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://200.69.195.227:780/rock/d/ 'leider' bekomme ich eine Zeitüberschreitung bei der Verbindung...

kjz1
02.12.2005, 20:51
Und Leo hat schon die nächste Maschine gekapert:

http://219. 83. 68. 50:680/rock/d/

- kjz

SpamRam
03.12.2005, 10:08
Von derselben Maschine in Indonesien wurde ich heute morgen als CC-Empfänger auch belästigt!

http://219.83.68.50:680/rock/d/


header:
01: Return-Path: <support_num_663573179191 [at] deutsche-bank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 03 Dec 2005 xx:xx:xx -0000
05: Received: from 20132226086.user.veloxzone.com.br (HELO
06: 20132226086.user.veloxzone.com.br) [201.32.226.86]
07: by mx0.gmx.net (mx024) with SMTP; 03 Dec 2005 xx:xx:xx +0100
08: FCC: mailbox://support_num_663573179191 [at] deutsche-bank.de/Sent
09: X-Identity-Key: id1
10: Date: Sat, 03 Dec 2005 xx:xx:xx -0300
11: From: DEUTSCHE BANK AG <support_num_663573179191 [at] deutsche-bank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: not-me [at] gmx.net
15: Subject: Die Information für die Kunden
16: Content-Type: multipart/related;

schara56
03.12.2005, 10:19
dto.

Return-Path: <identdep_op140971865522 [at] deutsche-bank.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Sat, 03 Dec 2005 xx:xx:xx +0100 (CET)
Received: from 82.149.228.140 ([200.217.253.18])
by xxx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sat, 3 Dec 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
FCC: mailbox://identdep_op140971865522 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Sat, 03 Dec 2005 xx:xx:xx +0200
From: DEUTSCHE BANK AG <identdep_op140971865522 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: {Spam?} DEUTSCHE BANK INTERNET-BANKING
Content-Type: multipart/related;
boundary="------------060505000702090501090003"
X-Antivirus: avast! (VPS 0548-1, 01/12/2005), Outbound message
X-Antivirus-Status: Not-Tested
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=18.535, benoetigt 6,
autolearn=spam, BAYES_99 5.40, FROM_ENDS_IN_NUMS 0.99,
FROM_HAS_ULINE_NUMS 0.96, HTML_60_70 0.11, HTML_FONT_INVISIBLE 0.60,
HTML_IMAGE_ONLY_02 1.23, HTML_MESSAGE 0.10, HTML_TAG_BALANCE_A 0.20,
MIME_BASE64_ILLEGAL 1.58, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_SHORT 3.03, NORMAL_HTTP_TO_IP 0.10, RCVD_IN_DSBL 0.71,
RCVD_IN_NJABL 0.10, RCVD_IN_NJABL_PROXY 0.50, RCVD_IN_SORBS 0.10,
RCVD_IN_SORBS_HTTP 1.10, WEIRD_PORT 1.41)
X-MailScanner-SpamScore: ssssssssssssssssss
X-MailScanner-From: identdep_op140971865522 [at] deutsche-bank.de
X-Collected-By: xxx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.948; FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://219.83.68.50:680/rock/d/

schara56
04.12.2005, 10:06
Die Maschine scheint recht gut zu 'ernten'

Return-Path: <support_refnum_29 [at] deutsche-bank.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Sat, 03 Dec 2005 xx:xx:xx +0100 (CET)
Received: from 219-71-200-225.cable.dynamic.giga.net.tw (219-71-200-225.cable.dynamic.giga.net.tw [219.71.200.225])
by xxxx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sat, 3 Dec 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
FCC: mailbox://support_refnum_29 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Sat, 03 Dec 2005 xx:xx:xx -0500
From: DEUTSCHE BANK AG <support_refnum_29 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: {Spam?} Deutsche Bank Banking
Content-Type: multipart/related;
boundary="------------010904030102080101000006"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=18.919, benoetigt 6,
autolearn=spam, BAYES_99 5.40, FROM_ENDS_IN_NUMS 0.99,
FROM_HAS_ULINE_NUMS 0.96, HTML_70_80 0.10,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_02 1.23,
HTML_MESSAGE 0.10, HTML_TAG_BALANCE_A 0.20, MIME_BASE64_ILLEGAL 1.58,
MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_SHORT 3.03,
NORMAL_HTTP_TO_IP 0.10, RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60,
RCVD_IN_SORBS 0.10, WEIRD_PORT 1.41)
X-MailScanner-SpamScore: ssssssssssssssssss
X-MailScanner-From: support_refnum_29 [at] deutsche-bank.de
X-Collected-By: xxx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.948; FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://219.83.68.50:680/rock/d/

Stalker2002
04.12.2005, 13:52
Die Maschine scheint recht gut zu 'ernten'

Hatte ich gestern gegen Mittag auch im Körbchen.
Nachdem ich den Phish gefüttert hatte, kam dann eine Warnmeldung der echten Deutschen Bank, die offenbar mittlerweile auf ihrer logout-Seite die Referrer auswertet um die Opfer zeitnah zu warnen.

MfG
L.

schara56
08.12.2005, 05:33
Sind die Kunden der Deutschen Bank etwas leichter zu bephishen als andere Bankkunden?

Return-Path: <support_id_7389088801 [at] deutsche-bank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 07 Dec 2005 xx:xx:xx -0000
Received: from ip-62-241-119-175.evc.net (HELO ip-62-241-119-175.evc.net) [62.241.119.175]
by mx0.gmx.net (mx053) with SMTP; 07 Dec 2005 xx:xx:xx +0100
FCC: mailbox://support_id_7389088801 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Wed, 07 Dec 2005 xx:xx:xx -0200
From: DEUTSCHE BANK <support_id_7389088801 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Deutsche Bank Banking
Content-Type: multipart/related;
boundary="------------070002080304000401090006"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.948; FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://219.84.70.10:680/rock/d/

corlis
08.12.2005, 07:56
Schlägt bei mir mittlerweile täglich mehrfach auf. Habe jetzt mal versucht, einen etwas anderen "abuse"-letter zu versenden, mit dem Hinweis auf offensichtlich agierende Rootkits/Viren, etc. Bisher noch keine wirkliche Reaktion, mal sehen, ob sich das wenigstens in einigen Fällen noch ändert.

Alexander
08.12.2005, 15:16
Ich glaub unser Leo wird langsam kribbelig da keiner mehr auf seine e-mails hereinfällt und dementsprechend auch die kohl wegbleibt

SpamRam
09.12.2005, 18:02
Als BCC-Empfänger erhalten:
header:
01: Return-Path: <identdep_op99912472 [at] deutsche-bank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 09 Dec 2005 xx:xx:xx -0000
05: Received: from 195-190-176-190.adsl.ticino.com (HELO 195-190-176-190.adsl.ticino.com)
06: [195.190.176.190] <- zielt in die Schweiz>
07: by mx0.gmx.net (mx058) with SMTP; 09 Dec 2005 xx:xx:xx +0100
08: FCC: mailbox://identdep_op99912472 [at] deutsche-bank.de/Sent
09: X-Identity-Key: id1
10: Date: Fri, 09 Dec 2005 xx:xx:xx +0400
11: From: DEUTSCHE BANK <identdep_op99912472 [at] deutsche-bank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: this-is-not-me [at] gmx.net
15: Subject: Die wichtige Information [Fri, 09 Dec 2005 xx:xx:xx +0100]
16: Content-Type: multipart/related;
17: boundary="------------000807020907000604000002"
18: Message-ID: [ID filtered]
19: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
20: X-GMX-Antispam: 0 (Mail was not recognized as spam)

http://62.248.111.250:680/rock/d/ (soll in der Türkei zuhause sein)

schara56
10.12.2005, 11:26
Bäumchen wechsel dich! /rock/d hat nun wohl ausgediehnt; auch der Port 680 ist nicht mehr gefragt.
'Endlich' wieder /rpm !

Return-Path: <support_id_151891929 [at] deutsche-bank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 10 Dec 2005 xx:xx:xx -0000
Received: from 201-26-99-81.dsl.telesp.net.br (HELO 201-26-99-81.dsl.telesp.net.br) [201.26.99.81]
by mx0.gmx.net (mx028) with SMTP; 10 Dec 2005 xx:xx:xx +0100
FCC: mailbox://support_id_151891929 [at] deutsche-bank.de/Sent
X-Identity-Key: id1
Date: Sat, 10 Dec 2005 xx:xx:xx -0400
From: Deutsche Bank <support_id_151891929 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Deutsche Bank Internet-Banking [Sat, 10 Dec 2005 xx:xx:xx -0300]
Content-Type: multipart/related;
boundary="------------060201060608010009040009"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.948; FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://210.192.100.80/rpm/

schara56
20.12.2005, 07:56
Gleiches Strickmuster wie bisher - ich hänge das mal an, auch wenn es Volksbankphishing ist.

Return-Path: <support_id_378387489 [at] volksbank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 19 Dec 2005 xx:xx:xx -0000
Received: from 200-210-106-108-tau.cpe.vivax.com.br (HELO 200-210-106-108-tau.cpe.vivax.com.br) [200.210.106.108]
by mx0.gmx.net (mx043) with SMTP; 19 Dec 2005 xx:xx:xx +0100
FCC: mailbox://support_id_378387489 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Mon, 19 Dec 2005 xx:xx:xx -0200
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_id_378387489 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Die Information für die Kunden
Content-Type: multipart/related;
boundary="------------070906050908090200070009"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.948; FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]


http://218.104.139.67:680/rock/v/

kjz1
20.12.2005, 10:12
Ja, Leo scheint zur Zeit wieder eine massive Volksbank-Phishing Kampagne angeschoben zu haben. Ist seit gestern auch mehrfach hier eingeschlagen.

- kjz

schara56
20.12.2005, 19:24
genauso massiv werden die gekaperten Rechner wieder aus dem Kollektiv gelöst

Return-Path: <support_num_47287 [at] volksbank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 20 Dec 2005 xx:xx:xx -0000
Received: from 13.Red-80-38-79.staticIP.rima-tde.net (HELO 13.Red-80-38-79.staticIP.rima-tde.net) [80.38.79.13]
by mx0.gmx.net (mx035) with SMTP; 20 Dec 2005 xx:xx:xx +0100
FCC: mailbox://support_num_47287 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Wed, 21 Dec 2005 xx:xx:xx +0400
From: Volksbanken Raiffeisenbanken AG <support_num_47287 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: DIE WICHTIGE INFORMATION
Content-Type: multipart/related;
boundary="------------000207010106080801090005"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=4.252; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://81.214.129.110:680/rock/v/ 'leider' schon dicht...

schara56
21.12.2005, 06:33
Return-Path: <support_ref_17 [at] volksbank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 21 Dec 2005 xx:xx:xx -0000
Received: from 20132180004.user.veloxzone.com.br (HELO 20132180004.user.veloxzone.com.br) [201.32.180.4]
by mx0.gmx.net (mx067) with SMTP; 21 Dec 2005 xx:xx:xx +0100
FCC: mailbox://support_ref_17 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Tue, 20 Dec 2005 xx:xx:xx -0700
From: Volksbanken Raiffeisenbanken <support_ref_17 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------070906080509030101060008"
X-Antivirus: avast! (VPS 0551-2, 20/12/2005), Outbound message
X-Antivirus-Status: Clean
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=2.498; FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]


http://210.192.100.80/rpm/ ...performt sogar noch einigermassen...

corlis
21.12.2005, 09:01
komisch. Früher täglich mehrmals beglückt, krieg ich garnix mehr an banken-phishing. Liegts an spamcop?

stieglitz
21.12.2005, 12:34
komisch. Früher täglich mehrmals beglückt, krieg ich garnix mehr an banken-phishing. Liegts an spamcop?
Ich hab auch schon seit einiger Zeit keine mehr gesehen.
Vielleicht ist diese Methode inzwischen ausgelutscht?

kjz1
21.12.2005, 14:22
Um das gephishte Geld zu transferieren, sucht Leo jetzt auch wieder Geldwäscher:

info (at) ecolife-company.com

Anscheinend teilweise auf Zombies gehostet.

- kjz

kjz1
13.01.2006, 18:12
Zur Zeit macht Leo in Dresdner Bank, z. Bsp.:

http://210. 160. 173.150/rpm/

Wahrscheinlich aber schon wieder abgeklemmt....

- kjz

schara56
15.01.2006, 16:00
Sieht dieses mal etwas anders aus - neue Masche oder anderer Phisher?

Return-Path: <martha [at] correo1.com>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 15 Jan 2006 xx:xx:xx -0000
Received: from unknown (HELO 60.24.21.153) [60.24.21.153]
by mx0.gmx.net (mx048) with SMTP; 15 Jan 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
From: beau llewellyn <martha [at] correo1.com>
To: xxx
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgRGV1dHNjaGUgQmFuayE=?=
Date: Sun, 15 Jan 2006 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_E49E1EA4.54BEC65B"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)
X-GMX-UID: [UID filtered]


http://links2.co.uk/mod/WebObjects/dbpbc.woa

Telekomunikacja
16.01.2006, 13:48
Um das gephishte Geld zu transferieren, sucht Leo jetzt auch wieder Geldwäscher:

info (at) ecolife-company.com

Anscheinend teilweise auf Zombies gehostet.

- kjz

Passt das
From mxivhnpcicwxb [at] yahoo.com Sat Jan 14 xx:xx:xx 2006
Return-Path: <mxivhnpcicwxb [at] yahoo.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 14 Jan 2006 xx:xx:xx -0000
Received: from 201-254-66-113.speedy.com.ar (HELO 201-254-66-113.speedy.com.ar) [201.254.66.113]
by mx0.gmx.net (mx072) with SMTP; 14 Jan 2006 xx:xx:xx +0100
FCC: mailbox://mxivhnpcicwxb [at] yahoo.com/Sent
X-Identity-Key: ID7
Date: Sat, 14 Jan 2006 xx:xx:xx -0200
From: ECOLIFE C0MPANY <mxivhnpcicwxb [at] yahoo.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Make Your contribution to keep the environment non-polluted!
Content-Type: multipart/related;
boundary="------------030505040602080203060004"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From mass domain over foreign mail server)
X-GMX-UID: [UID filtered]
info [at] ecoswitzerland.net

hierhin?

kjz1
16.01.2006, 15:36
Die Domain hat momentan leider :) 'DNS-Schluckauf', aber die Nameserver sind:

identbox.com. A IN 300 213.213.217.35 -> host-213-213-217-35.brutele.be

identbox.com. A IN 300 71.68.12.41 -> cpe-071-068-012-041.carolina.res.rr.com

identbox.com. A IN 300 70.29.126.140 -> CPE00012927920a-CM00140454b802.cpe.net.cable.rogers.com

Also DNS (mit kurzen TTLs) auf Zombies gehostet. Ich würde sagen:
jau, das passt schon.

- kjz

SpamRam
24.01.2006, 09:55
header:
01: Return-Path: <support_id_30294 [at] deutsche-bank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 24 Jan 2006 xx:xx:xx -0000
05: Received: from donobi-24-200.ra.donobi.net (HELO donobi-24-200.ra.donobi.net)
06: [64.113.24.200]
07: by mx0.gmx.net (mx085) with SMTP; 24 Jan 2006 xx:xx:xx +0100
08: FCC: mailbox://support_id_30294 [at] deutsche-bank.de/Sent
09: X-Identity-Key: id7
10: Date: Tue, 24 Jan 2006 xx:xx:xx -0600
11: From: Deutsche Bank <support_id_30294 [at] deutsche-bank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: jemandanders [at] gmx.net
15: Subject: ES IST WICHTIG! [Tue, 24 Jan 2006 xx:xx:xx -0300]
16: Content-Type: multipart/related;
17: boundary="------------020301040702020708060001"
18: Message-ID: [ID filtered]
19: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
20: X-GMX-Antispam: 0 (Mail was not recognized as spam)
21: X-GMX-UID: [UID filtered]
22: X-PM-PLACEHOLDER: .

http://200.35.207.201:680/rock/d/


His face was an insane grimace of effort and concentration. He didn't know if that had been his intention or not, but it surely dID: [ID filtered]

kjz1
24.01.2006, 16:25
Nach Dresdner macht Leo jetzt wieder auf DB:

http://200.35. 207.201:680 /rock/d/ ---> SUPERCABLE.NET.VE

http://211. 241.148.70:680 /rock/d/ ---> Krline.net, KR

-kjz

schara56
25.01.2006, 02:08
Return-Path: <identdep_op251990009848 [at] deutsche-bank.de>
X-Flags: 1000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 24 Jan 2006 xx:xx:xx -0000
Received: from 215-7-155-85.user.auna.net (HELO 215-7-155-85.user.auna.net) [85.155.7.215]
by mx0.gmx.net (mx015) with SMTP; 24 Jan 2006 xx:xx:xx +0100
FCC: mailbox://identdep_op251990009848 [at] deutsche-bank.de/Sent
X-Identity-Key: iD7
Date: Wed, 25 Jan 2006 xx:xx:xx -0700
From: DEUTSCHE BANK <identdep_op251990009848 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Es ist wichtig!
Content-Type: multipart/related;
boundary="------------000505090101030106010001"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=5.052; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://211.241.148.70:680/rock/d/

schara56
25.01.2006, 03:46
Return-Path: <identdep_op716851886 [at] deutsche-bank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 25 Jan 2006 xx:xx:xx -0000
Received: from 58.69.0.81.pldt.net (HELO 58.69.0.81.pldt.net) [58.69.0.81]
by mx0.gmx.net (mx045) with SMTP; 25 Jan 2006 xx:xx:xx +0100
FCC: mailbox://identdep_op716851886 [at] deutsche-bank.de/Sent
X-Identity-Key: Id7
Date: Wed, 25 Jan 2006 xx:xx:xx +0500
From: DEUTSCHE BANK <identdep_op716851886 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------000209040007010101070006"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=5.523; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO SUBJ_ALL_CAPS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

http://61.247.143.170:780/rock/d/

SpamRam
25.01.2006, 14:43
header:
01: Return-Path: <custservice_21 [at] deutsche-bank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 25 Jan 2006 xx:xx:xx -0000
05: Received: from 137.Red-80-34-94.staticIP.rima-tde.net (HELO
06: 137.Red-80-34-94.staticIP.rima-tde.net) [80.34.94.137]
07: by mx0.gmx.net (mx025) with SMTP; 25 Jan 2006 xx:xx:xx +0100
08: FCC: mailbox://custservice_21 [at] deutsche-bank.de/Sent
09: X-Identity-Key: id7
10: Date: Thu, 26 Jan 2006 xx:xx:xx +0200
11: From: DEUTSCHE BANK AG <custservice_21 [at] deutsche-bank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: notme [at] gmx.net
15: Subject: Die Information für die Kunden [Thu, 26 Jan 2006 xx:xx:xx -0200]
16: Content-Type: multipart/related;
17: boundary="------------080709000801020608040002"
18: Message-ID: [ID filtered]
19: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
20: X-GMX-Antispam: 0 (Mail was not recognized as spam)
21: X-GMX-UID: [UID filtered]
22: X-PM-PLACEHOLDER: .

http://61.247.143.170:780/rock/d/ [nicht erreichbar!]

... ansonsten das übliche!
[Da ich nicht bei "To:" als Empfänger drin stehe, landen die Sachen im lokalen Spam-Ordner.}

Telekomunikacja
25.01.2006, 19:36
From support_id_40821 [at] deutsche-bank.de Tue Jan 24 xx:xx:xx 2006
Return-Path: <support_id_40821 [at] deutsche-bank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 24 Jan 2006 xx:xx:xx -0000
Received: from 070077.user.veloxzone.com.br (HELO 070077.user.veloxzone.com.br) [201.29.70.77]
by mx0.gmx.net (mx091) with SMTP; 24 Jan 2006 xx:xx:xx +0100
FCC: mailbox://support_id_40821 [at] deutsche-bank.de/Sent
X-Identity-Key: iD7
Date: Wed, 25 Jan 2006 xx:xx:xx +0100
From: Deutsche Bank AG <support_id_40821 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Es ist wichtig!
Content-Type: multipart/related;
boundary="------------090001040205020307010002"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=3.702; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]
http://211.241.148.70:680/rock/d/

Telekomunikacja
26.01.2006, 02:03
From custservice_ref_8322082050 [at] deutsche-bank.de Thu Jan 26 xx:xx:xx 2006
Return-Path: <custservice_ref_8322082050 [at] deutsche-bank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 26 Jan 2006 xx:xx:xx -0000
Received: from 231.red-82-159-69.user.auna.net (HELO 231.red-82-159-69.user.auna.net) [82.159.69.231]
by mx0.gmx.net (mx067) with SMTP; 26 Jan 2006 xx:xx:xx +0100
FCC: mailbox://custservice_ref_8322082050 [at] deutsche-bank.de/Sent
X-Identity-Key: ID7
Date: Thu, 26 Jan 2006 xx:xx:xx -0600
From: DEUTSCHE BANK AG <custservice_ref_8322082050 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Die wichtige Information
Content-Type: multipart/related;
boundary="------------040100000904060007060009"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=3.702; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]
https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa/407/wo/confirm.asp
http://200.60.139.131:780/rock/d/

Angefügter Text:

He put it on and jumped out of the plane and that was fair enough. He remembered he had cried and his father had told him it was just a little cut. Then I am going into my room. When they put me up on the stand in Denver. The first two blows had perhaps not gone deep enough to do much damage, but this time the cross's support post went at least three inches into the kneeling trooper's back, driving him flat.

P.S. Oben (http://www.antispam-ev.de/forum/showpost.php?p=51890&postcount=150) lautete der angefügte Text:

"A minute, Mr. Bewildered but pleased, she hugged him back — and because he knew she was all right, Geoffrey found he could abide their love, now and forever. "she asked, still smiling. Pardon me, please. "When he saw us, he started to cry,»he said, and finally added: "He kept calling me David.

SpamRam
26.01.2006, 13:39
Return-Path: <identdep_op64720187 [at] deutsche-bank.de>
X-Flags: 1000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 26 Jan 2006 xx:xx:xx -0000
Received: from uner.jeo.hacettepe.edu.tr (HELO uner.jeo.hacettepe.edu.tr) [193.140.217.59]
by mx0.gmx.net (mx064) with SMTP; 26 Jan 2006 xx:xx:xx +0100
FCC: mailbox://identdep_op64720187 [at] deutsche-bank.de/Sent
X-Identity-Key: ID7
Date: Thu, 26 Jan 2006 xx:xx:xx -0300
From: Deutsche Bank <identdep_op64720187 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Deutsche Bank Internet-Banking
Content-Type: multipart/related;
boundary="------------050304070904010006080002"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
X-PM-PLACEHOLDER: .


http://218.28.165.168:680/rock/d/ [Kein Anschluss unter dieser Nummer!]


Her breath smelled like a corpse decomposing in rotted food. [Ziemlich eklig, was er da beschreibt!] Should be all right, the place looked like a goddam junk-heap — Leaning far to his left, he was able to snag a second carton. Her tone was spuriously jolly. DID: [ID filtered]

Abgeschickt über Universitätsnetz: (HELO uner.jeo.hacettepe.edu.tr) http://193.140.217.59 (Türkei)

SpamRam
27.01.2006, 18:33
header:
01: Return-Path: <support_ref_10995509070481 [at] deutsche-bank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 27 Jan 2006 xx:xx:xx -0000
05: Received: from 20151236128.user.veloxzone.com.br (HELO
06: 20151236128.user.veloxzone.com.br) [201.51.236.128]
07: by mx0.gmx.net (mx003) with SMTP; 27 Jan 2006 xx:xx:xx +0100
08: FCC: mailbox://support_ref_10995509070481 [at] deutsche-bank.de/Sent
09: X-Identity-Key: iD7
10: Date: Sat, 28 Jan 2006 xx:xx:xx +0100
11: From: Deutsche Bank AG <support_ref_10995509070481 [at] deutsche-bank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: notme [at] gmx.net
15: Subject: Die wichtige Information
16: Content-Type: multipart/related;
17: boundary="------------050304020007050608080006"
18: Message-ID: [ID filtered]
19: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
20: X-GMX-Antispam: 0 (Mail was not recognized as spam)
21: X-GMX-UID: [UID filtered]
22: X-PM-PLACEHOLDER:

http://211.119.24.70:680/rock/d/ [Korea]

sociii
30.01.2006, 22:53
Received: from [66.203.238.38] (helo=238-38.dothan.cable.graceba.net)
by mx24.web.de with smtp (WEB.DE 4.105 #340)
ID: [ID filtered]
FCC: mailbox://support_refnum_2 [at] deutsche-bank.de/Sent
X-Identity-Key: ID7
Date: Tue, 31 Jan 2006 xx:xx:xx +0400
From: Deutsche Bank <support_refnum_2 [at] deutsche-bank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ***@web.de
Subject: Deutsche Bank Internet Banking [Tue, 31 Jan 2006 xx:xx:xx +0500]
Content-Type: multipart/related;
boundary="------------040706090808050004050000"
Message-ID: [ID filtered]
Sender: support_refnum_2 [at] deutsche-bank.de

whois:
http://218.28.165.168:180/rock/d/

exe
20.02.2006, 11:54
Um das gephishte Geld zu transferieren, sucht Leo jetzt auch wieder Geldwäscher:

info (at) ecolife-company.com

Anscheinend teilweise auf Zombies gehostet.

- kjz
Wieder aktuell wie es schein, diesmal mit org als TLD http://www.ecolife-company.org/

Ist das wieder Leo?

Fidul
22.02.2006, 00:34
Das riecht in der Tat nach ihm. Er hat früher die "Honda Equipment Inc." am Laufen gehabt.

In den letzten Tagen sind auch wieder mehr Phishing-Banks mit eigenen URLs aufgetaucht. DB, Chase usw.

kjz1
25.10.2006, 21:52
Nach langer Pause widmet sich Leo jetzt auch wieder mal der deutschen Bank:

http://meine.deutsche-bank.de.webobjects.heleta.info/dbpbc.woa

Sollte die Volksbank nicht mehr so ergiebig sein?

- kjz

stieglitz
25.10.2006, 22:08
Heute kamen mehrfach Deutsche Bank und Volksbank Berlin.
Öfters mal was neues.
:cool:

sis
27.10.2006, 13:55
Öfters mal was neues.http://meine.deutsche-bank.de.webobjects.nklosqsresu.net.bz/dbpbc.woa

Heute nacht gekommen und schon tot. Dickes Lob an die Deutsche Bank. Das Katz-und-Maus-Spiel geht weiter.

kjz1
28.10.2006, 14:44
Heute für Leo am Start:

http://meine.deutsche-bank.de.webobjects.yulius.biz/dbpbc.woa

- kjz

kjz1
28.10.2006, 20:25
Gerade bin ich noch über die IP von yulius.biz am recherchieren, was sehen meine Augen da:


The server returned the following data:

www.berliner-volksbank.de.navigation.jorder.cc A 218.55.152.222

porex-gmbh.hk A 218.55.152.222 <-----AHA!
www.porex-gmbh.hk A 218.55.152.222


www.volksbank.de.vr-web.networld.tdduetof.tk A 218.55.152.222
www.barclays.co.uk.brccontrol.tdduetof.tk A 218.55.152.222
www.volksbank.de.vr-web.networld.issue.web.com A 218.55.152.222
heleta.info A 218.55.152.222
a.heleta.info A 218.55.152.222
meine.deutsche-bank.de.webobjects.heleta.info A 218.55.152.222
citibank.de.homebankingsecure.tuker.info A 218.55.152.222
meine.deutsche-bank.de.webobjects.tuker.info A 218.55.152.222
thirdt.info A 218.55.152.222
meine.deutsche-bank.de.webobjects.thirdt.info A 218.55.152.222
meine.deutsche-bank.de.webobjects.endmednts.ws A 218.55.152.222
meine.deutsche-bank.de.webobjects.boperseller.bz A 218.55.152.222
www.volksbank.de.vr-web.networld.nklosqsresu.net.bz A 218.55.152.222
www.volksbank.de.vr-web.networld.eislandstoset.bz A 218.55.152.222
nsf1.fif1a.biz A 218.55.152.222
nsf2.fif1a.biz A 218.55.152.222
www.volksbank.de.vr-web.networld.loreta.biz A 218.55.152.222
ns1.ro3ich.biz A 218.55.152.222
ns2.ro3ich.biz A 218.55.152.222
www.volksbank.de.vr-web.networld.ro3ich.biz A 218.55.152.222
meine.deutsche-bank.de.webobjects.ro3ich.biz A 218.55.152.222
www.volksbank.de.vr-web.networld.go1sti.biz A 218.55.152.222
nsg1.lugers.biz A 218.55.152.222
nsg2.lugers.biz A 218.55.152.222
www.volksbank.de.vr-web.networld.lugers.biz A 218.55.152.222
accounts.key.com.startsession.lugers.biz A 218.55.152.222
meine.deutsche-bank.de.webobjects.lugers.biz A 218.55.152.222
www.lugers.biz A 218.55.152.222
meine.deutsche-bank.de.webobjects.impers.biz A 218.55.152.222
www.volksbank.de.vr-web.networld.itores.co.nz A 218.55.152.222
www.volksbank.de.vr-web.networld.filane.net.nz A 218.55.152.222
www.berliner-volksbank.de.navigation.filane.net.nz A 218.55.152.222

Also Porex ist auch Leo.

- kjz

Goofy
28.10.2006, 20:58
Und einige von den o.g. Domains laufen wieder mal auf eNom-Hausservern.

schara56
30.10.2006, 05:31
Return-Path: <customercare-54321006693033db [at] deutsche-bank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 29 Oct 2006 xx:xx:xx -0000
Received: from abfe207.neoplus.adsl.tpnet.pl (HELO abfe207.neoplus.adsl.tpnet.pl) [83.7.42.207]
by mx0.gmx.net (mx090) with SMTP; 29 Oct 2006 xx:xx:xx +0100
Received: from kichimail.com (ehlo esthost.com.calpop.com [89.39.15.50])
by bmale.com with SMTP ID: [ID filtered]
for x; Sun, 29 Oct 2006 xx:xx:xx -0800
Received: from amqa.com (unknown [40.59.248.46])
by chocofan.com with SMTP ID: [ID filtered]
for x; Sun, 29 Oct 2006 xx:xx:xx -0100
From: "Deutsche Bank" <customercare-54321006693033db [at] deutsche-bank.de>
To: x
X-MSMail-Priority: 3 (Normal)
Subject: obligatorisch zu lesen Sun, 29 Oct 2006 xx:xx:xx -0800
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="NJFCKT.W4HLRMCCQC8E.HRJ"
Date: Sun, 29 Oct 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHO RT_LINK_IMG_2,MIME_HTML_ONLY,MISSING_MIMEOLE,POL_DIALUP_1)
X-GMX-UID: [UID filtered]

http://meine.deutsche-bank.de.webobjects.ro3ich.biz/dbpbc.woa

Gespamt über Polen und komlett in Indien 218.248.65.140 inkl. DNS gehostet.

sis
01.11.2006, 11:38
http://meine.deutsche-bank.de.webobjects.addday.info/dbpbc.woa

kjz1
02.11.2006, 12:52
Leo legt nach:

http://meine.deutsche-bank.de.webobjects.banizatio.ws/dbpbc.woa

- kjz

Lachsy
02.11.2006, 13:53
http://meine.deutsche-bank.de.webxobjects.banizatio.ws/dbpbc.woa

nomad
08.11.2006, 11:38
Hallo,
nach dem ich lange Zeit Ruhe hatte, kommen jetzt 8 Mails pro Tag.
Zeit wieder hier vorbeizuschauen.

Heute um 08:30 über:
210.207.213.104


Link in der Mail funktioniert (08.11.06 11:00):

http://meine.deutsche-bank.de.webobjects.gonzat.web.com/dbpbc.woa

sis
11.11.2006, 15:24
http://meine.deutsche-bank.de.webobjects.icindcator.st/dbpbc.woa

sis
11.11.2006, 16:49
http://meine.deutsche-bank.de.webobjects.riashtsgh.cd/dbpbc.woa

sis
14.11.2006, 23:27
http://meine.deutsche-bank.de.webobjects.iningco.jp/dbpbc.woa

sis
15.11.2006, 14:56
http://meine.deutsche-bank.de.webobjects.ldlestb.md/dbpbc.woa

Lachsy
18.11.2006, 20:30
http://meine.deutsche-bank.de.webxobjects.romdecl.us/dbpbc.woa

sis
20.11.2006, 09:06
http://meine.deutsche-bank.de.webobjects.jiuildf.bz/dbpbc.woa

Das Subject der eMail beginnt tatsächlich mit dem Wort "[PHISHING]". Könnte aber auch freundlicherweise von T-Online eingefügt sein :)

sis
20.11.2006, 15:38
http://meine.deutsche-bank.de.webobjects.dpenedi.bz/dbpbc.woa

Mir scheint, die Bande kann ihren Koks-Verbrauch nicht mehr bezahlen und verdoppelt deshalb die Spamrate (an immer denselben Personenkreis).

sis
22.11.2006, 10:35
http://meine.deutsche-bank.de.webobjects.hrenijk.co.nz/dbpbc.woa