PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Volksbank-Phishing



Seiten : 1 2 [3]

kjz1
27.01.2007, 13:08
http://www.volksbank.de.vr-web.networld454r.poial.info/confirm/anmelden.cgi

und Phiski hat auf dieser merkbefreiten IP in Korea noch weiter 'vorgesorgt':

www.deutsche-bank.de.pbcank_id08135.hifio.com A 211.106.229.177
localpbs.com A 211.106.229.177
www.deutsche-bank.de.pbcank_id448466517.localpbs.com A 211.106.229.177
officials2you.info A 211.106.229.177
www.53.com.bankingportal.id215499229821.honis.jp A 211.106.229.177
www.volksbank.de.networld.onlineid1206833.killron.net A 211.106.229.177
0nsmundo.net A 211.106.229.177
orbad.biz A 211.106.229.177
www.deutsche-bank.de.pbcank_id192804.orbad.biz A 211.106.229.177
www.deutsche-bank.de.pbcank_id295968.lrland.biz A 211.106.229.177
ns1.avanhe.biz A 211.106.229.177
ns2.avanhe.biz A 211.106.229.177
www.volksbank.de.networld.onlineid5481534783.avanhe.biz A 211.106.229.177
allroe.biz A 211.106.229.177
www.volksbank.de.networld.onlineid24163.allroe.biz A 211.106.229.177
www.deutsche-bank.de.pbcank_id803709.allroe.biz A 211.106.229.177
www.volksbank.de.networld.onlineid048285841.bestpe.biz A 211.106.229.177
algxi.biz A 211.106.229.177
www.volksbank.de.networld.onlineid8661927.algxi.biz A 211.106.229.177
petlocal.biz A 211.106.229.177
www.deutsche-bank.de.pbcank_id98426941.petlocal.biz A 211.106.229.177
www.volksbank.de.networld.onlineid212150.yourheter.biz A 211.106.229.177
www.deutsche-bank.de.pbcank_id593141.yourheter.biz A 211.106.229.177
ezgor.biz A 211.106.229.177
www.53.com.bankingportal.id6888140974.ezgor.biz A 211.106.229.177
www.deutsche-bank.de.pbcank_id00646.ezgor.biz A 211.106.229.177

- kjz

cmds
29.01.2007, 08:09
http://www.volksbank.de.networld.onlineid4303946.honis.jp/kunde.htm

Chris

joey43
29.01.2007, 12:56
Check zu http://www.volksbank.de.vr-web.networld454r.poial.info:


Host host.85.130.89.181.customers.net-surf.net (85.130.89.181) appears to be up ... good.
Interesting ports on host.85.130.89.181.customers.net-surf.net (85.130.89.181):
Not shown: 1679 closed ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
180/tcp open ris
444/tcp filtered snpp
445/tcp filtered microsoft-ds
539/tcp filtered apertus-ldp
707/tcp filtered unknown
1434/tcp filtered ms-sql-m
1720/tcp filtered H.323/Q.931
4444/tcp filtered krb524
4899/tcp open radmin
6667/tcp filtered irc
Gruß

Joey43

Auf net-surf-net vorhandener IRC-Server:
Screenshot sh.
http://www.sharebigfile.com/file/71578/irc1-JPG.html

Lachsy
31.01.2007, 16:46
http://www.volksbank.de.vr-web.networld50dx.estdomer.info/confirm/anmelden.cgi

sis
31.01.2007, 17:30
http://www.volksbank.de.networld.onlineid00.usetx.com/kunde.htm

Eniac
01.02.2007, 13:47
http://www.volksbank.de.networld.onlineid04711.tbitx.us/kunde.htm

Beschwerde ist raus.


Eniac

sis
01.02.2007, 19:58
http://www.volksbank.de.networld.onlineid00.ghu34f.biz/kunde.htm

Lachsy
02.02.2007, 10:21
http://www.volksbank.de.networld.onlineid92233.ghu34f.biz/kunde.htm

cmds
02.02.2007, 10:27
http://www.volksbank.de.networld.onlineid488066418.juv4lr.sa.com/kunde.htm

cmds
03.02.2007, 09:51
http://www.volksbank.de.networld.onlineid7884510269.k4ipa.co.nz/kunde.htm

Chris

cmds
03.02.2007, 17:40
http://www.volksbank.de.networld.onlineid320623.k4ipa.co.nz/kunde.htm

Chris

sis
06.02.2007, 17:56
:yawn: http://www.volksbank.de.networld.onlineid00.ragill.net/kunde.htm

cmds
07.02.2007, 09:51
http://www.volksbank.de.vr-web.networld14ec.westdepot.info=/confirm/anmelden.cgi

Chris

Lachsy
08.02.2007, 09:38
http://www.volksbank.de.networld.onlineid8137202.brend-send.info/kunde.htm

und die postbank

http://www.postbank.de.privat.app534t.vnsun.biz/confirm/welcome.do

cmds
09.02.2007, 22:23
http://www.volksbank.de.networld.onlineid28115583.vnaid.biz/kunde.htm

Chris

Zwilling
10.02.2007, 20:38
Hallo zusammen,

habe heute diese mail erhalten:

Volksbanken Raiffeisenbanken AG" <manager44640vr [at] vr-networld.de>

cmds
10.02.2007, 20:47
Volksbanken Raiffeisenbanken AG" <manager44640vr [at] vr-networld.de>

Willkommen im Forum,

das ist nur der Absender der Mail, interessant ist hier die verlinkte, gefakte Bankenseite, damit die Experten hier versuchen können, diese abschalten zu lassen.

Chris

sis
11.02.2007, 23:14
http://www.volksbank.de.networld.onlineid00.iddos.biz/kunde.htm

sis
12.02.2007, 18:48
An den anonymen Bewerter dieses Zitat "Bankenmists": Danke für die stilvolle negative Bewertung. Wenn es niemanden mehr interessiert, dann lassen wir es eben. Hier der letzte Link:

http://www.volksbank.de.vr-web.networld921oq.hkdop.info/confirm/anmelden.cgi

Der verseuchte Botnet-Client aus Zambia hat sogar Panda Antivirus installiert, so dass am Anfang und am Ende des deutschen Phishings folgender englischer Text steht:
Panda Antivirus 2007 has detected that this email could be spoofed

Take maximum precautions, as spoofed emails could be the sign of a fraud attempt.Gekillt hat Panda Antivirus diesen Müll allerdings nicht.

Goofy
13.02.2007, 19:40
Received: from chello089078100108.chello.pl ([89.78.100.108])...

Diesmal:
http://www.volksbank.de.networld.onlineid9446530.nspus.info/kunde.htm

Nur:


No A records exist for nspus.info, and nspus.info does not exist. [Neg TTL=7200 seconds] :rolleyes:
Daher lädt die Phisher-Seite auch nicht.

Momentan gibt es auphphallend phiele Phisher-Domääänz bei Register.com. Ob die wohl schon von Russki-Maphski gekauft wurden...?

kjz1
13.02.2007, 21:40
Momentan gibt es auphphallend phiele Phisher-Domääänz bei Register.com. Ob die wohl schon von Russki-Maphski gekauft wurden...?

Nee, die müssen erst noch den Ankauf folgender 'Firmen' verdauen:



dirty registrars:

Count - REGISTRAR
2436 - THE NAME IT CORPORATION DBA NAMESERVICES.NET
1547 - BULKREGISTER, LLC.
1163 - ENOM, INC.
0825 - PacNames
0229 - BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN
0194 - MONIKER ONLINE SERVICES, INC.



- kjz

sis
13.02.2007, 23:14
http://www.volksbank.de.networld.onlineid00.joasje4.biz/kunde.htm

sis
14.02.2007, 18:15
http://www.volksbank.de.networld.onlineid00.lof80.info/kunde.htm

Disclaimer: Diese Domains poste ich gerne, damit andere damit spielen können.

Goofy
14.02.2007, 18:52
joasje4.biz und lof80.info haben einen bedauerlichen DNS-Kollaps erlitten.

cmds
15.02.2007, 02:28
http://www.volksbank.de.networld.onlineid6334143.olope6g.no.com/kunde.htm

Chris

Runzelruebe
18.02.2007, 15:06
Diese waren eben noch aktiv (Sonntag 18.02.2007 - 15:00)

http://www.volksbank.de.networld.onlineid470495942.rytter.us/vr/
http://www.volksbank.de.networld.onlineid88040975.rid0.info/vr/
http://www.volksbank.de.networld.onlineid34465530.mlofirtn.info/vr/

Server und IP vom letzten gibt es auch für Kunden der Postbank
http://www.mlofirtn.info

Muss mal langsam Buch darüber führen, wo ich überall Konten eröffnet habe *lol*

Eniac
19.02.2007, 11:04
http://www.volksbank.de.networld.onlineid4711081500.hukowet.biz/vr/

Beschwerde ist raus.


Eniac

Activity
19.02.2007, 15:40
Guten Tag mal zusammen,

ich finde das Forum sehr unterhaltsam und muß auch mal was loswerden (erstes Posting).

Warum schreiben die Volksbank Phisher denn immer www.volksbank.de die Domain gibt es gar nicht für Onlinebanking. Wie blöd sind die eigentlich.

Gruß
Activity

Goofy
19.02.2007, 17:45
Warum schreiben die Volksbank Phisher denn immer www.volksbank.de die Domain gibt es gar nicht für Onlinebanking. Wie blöd sind die eigentlich.


Sieht zwar "blöd" aus. Aber der DAU sieht halt nicht, dass das Onlinebanking ihn normalerweise auf vr-networld-ebanking.de führt, er aber mit dem Phisherlink auf eine getürkte URL verbunden wird, wo volksbank.de nur eine Subdomain ist.

sis
23.02.2007, 19:20
Weiter geht's nach kurzer Pause:
http://www.volksbank.de.networld.onlineid00.lezzhax.tv/vr

sis
24.02.2007, 08:41
Zum Spielen für Interessierte: http://www.volksbank.de.networld.onlineid00.onlineuli.info/vr

cmds
27.02.2007, 12:13
http://www.volksbank.de.networld.onlineid92040606.webglotpo.cc/vr

Zum Abschuss freigegeben!
Chris

fever12
01.03.2007, 13:43
Received: from [72.183.204.138] (helo=cpe-72-183-204-138.satx.res.rr.com)
by mx29.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from durable.brainpod.com (HELO brainpod.com.mediaplazza.com [33.216.185.120])
by hotbox.com with SMTP ID: [ID filtered]
for <XXXXXXX>; Fri, 23 Feb 2007 xx:xx:xx -0800
From: "Volksbanken Raiffeisenbanken AG" <rechnungen_693400061274593vr [at] vr-networld.de>
To: "XXX" <XXXXXXXXX>
Subject: Volksbanken Raiffeisenbanken: eilige Information -Fri, 23 Feb 2007 xx:xx:xx -0800
XAuthentication-Warning: IAI65-philadelphia08.BXK810nkoa.agouti.info.gamanetwork.com (qldsugar.com.swiftwill.com [44.210.192.152]): d60pigeonhole set sender to rechnungen_451337050314282vr [at] volksbank.de using -y
X-Mailer: Calypso Version 3.20.01.01 (4)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="QF8RZN4WCPS6P01JW1U968IY"
Message-ID: [ID filtered]
Date: Sat, 24 Feb 2007 xx:xx:xx +0100
Sender: rechnungen_693400061274593vr [at] vr-networld.de


"She turned around so he could put his arms around her neck. boson bate "He nodded toward the hall.

They're a little dog-eared, but that's a sign a book has been well read and well loved, isn't it? ""I should have gotten you another machine,»she said. "Paul, are you really done? "He slammed in a third wad, a fourth. At the same time another voice was screaming: I'll be good, Annie! He remembered her coming in here, withholding the capsules, coercing permission to read the manuscript of Fast Cars. He had just a moment to wonder if she might not have put a bolt on the outside of the door as well — he had tried very hard to seem weaker and sicker than he now really felt, but the suspicions of the true paranoiac spread wide and ran deep. blackberryObwohl die Mail falsch adressiert ist kam sie bei mir an ???

Goofy
01.03.2007, 20:03
Obwohl die Mail falsch adressiert ist kam sie bei mir an ???

Das liegt wohl daran, dass der Spam mit "BCC" ("blind carbon copy", "Durchschlag") an Dich versendet wurde. Dann enthält der Header nur die fremde Mailaddresse, an die die Mail auch geschickt wurde. Deine Addresse taucht aber dann nicht im Header auf (deswegen "blind"), trotzdem kriegst Du den Mist.

cmds
01.03.2007, 22:22
http://www.volksbank.de.networld.onlineid9776638.irwie.info/vr

Chris

skater
02.03.2007, 13:58
http://www.volksbank.de.networld.onlineid9597912.ssidjunior.tv/vr

skater

skater
02.03.2007, 16:37
http://www.volksbank.de.networld.onlineid285581139.fermonde.info/vr

skater
02.03.2007, 23:52
Und der dritte für heute:
http://www.volksbank.de.networld.onlineid461521.fervirtuel.info/vr/

Meldung ist natürlich raus.
Was mir so noch einfällt.
Gibt es so ne ähnliche Seite wie phishfighting.com, die ja leider nicht bei den Volksbanken-Phishing funktioniert, wo man die Spammer mit ärgern kann?
Wenigstens solange die Seiten online sind :D

skater

skater
03.03.2007, 12:58
http://www.volksbank.de.networld.onlineid288432266.fermonde.info/vr/
Meldung ist eben rausgegangen.
Irgendwie werde ich im mom zugemüllt mit dem Kram *grummel*

skater

Lachsy
03.03.2007, 13:32
www.volksbank.de.networld.onlineid78299834.agvej.com/vr

cmds
03.03.2007, 14:42
http://www.volksbank.de.networld.onlineid480862238.userdtt.hk/vr

Chris

skater
05.03.2007, 01:03
Frisch eingetroffen
http://www.volksbank.de.networld.onlineid754861.nyamp.info/vr/

truelife
05.03.2007, 01:22
Gibt es so ne ähnliche Seite wie phishfighting.com, die ja leider nicht bei den Volksbanken-Phishing funktioniert, wo man die Spammer mit ärgern kann?


phishtank.com?

cmds
05.03.2007, 07:53
http://www.volksbank.de.networld.onlineid200775.lizigi.web.com/vr

skater
05.03.2007, 11:44
http://www.volksbank.de.networld.onlineid201965.justgyl.biz/vr/

skater

cmds
05.03.2007, 12:06
http://www.volksbank.de.networld.onlineid321989.nyled.info/vr

Lachsy
05.03.2007, 14:54
www.volksbank.de.networld.onlineid6256814054.fw1881.net/vr

sis
05.03.2007, 20:54
http://www.volksbank.de.networld.onlineid00.techid.hk/vr

cmds
06.03.2007, 01:38
http://www.volksbank.de.networld.onlineid43684936.techhk.hk/vr

Eniac
06.03.2007, 08:26
http://www.volksbank.de.networld.onlineid480862238.userdtt.hk/vr

Antwort von enquiry[at]hkdnr.hk:


Dear customer,

Thank you for your email. As we would work together with HKCERT and Hong
Kong Police to make Hong Kong and the Internet a safe place for business, do
you mind if we can also forward your email to Hong Kong Police and HKCERT
for investigation? In the meantime, you can consider to report the case to
your local law enforcement authority.

Should you have any queries, please feel free to contact us.

Best regards,

Customer Service Department
Hong Kong Domain Name Registration Company Limited

Na also, geht doch!


Eniac

skater
06.03.2007, 11:55
http://www.volksbank.de.networld.onlineid6678640.easyniz.info/vr/

kjz1
06.03.2007, 15:09
Na also, geht doch!

Nicht unbedingt, denn das ist der Textbaustein, der von deren Auto-Ignorebot automatisch auf alle Anfragen herausgeht. Da wende ich mich lieber per CC direkt ans HKCert und die Polizei in Hongkong, wobei ich von letzterer sogar schon einmal eine persönliche Antwort bekommen habe.

- kjz

srm71
08.03.2007, 13:19
heute auch bei mir :mad:





"Volksbank" <sicherheitsabteilung [at] volksbank.de>
08.03.2007 13:24
Bitte antworten an
"Volksbank" <sicherheitsabteilung [at] volksbank.de>

An
"c3RlcGhhbi5yaWNodGVyLW1lbmRhdUBhbGxpYW56LmRl"
Kopie

Thema
Sicherheitsabteilung von Volksbank





Sehr geehrte Kundin, Sehr geehrter Kunde

wir sind beauftragt, die maximale Sicherheit Ihrer Personaldaten mit den Hochtechnologien zu gewährleisten.
Wir haben einen ganzen Stab von Mitarbeitern, die Monitoring der online-Aktivität durchführen und verdächtige Aktionen vorbeugen.
Wir tun alles mögliche, um unsere online-Kunden zu schützen, aber Schritte, die wir unternehmen,
können weitaus besser und effektiver sein, wenn Sie mit uns zusammenarbeiten werden, um sich selbst zu schützen.
Am 8 März 2007 brachte unser Sicherheitssystem den erfolglosen Versuch des online Zugangs zu Ihrem Konto ans Licht
von der IP-Adresse 213.7.18.217, was Ihrer aktuellen IP-Adresse nicht entspricht.

Bitte klicken Sie hier um online-Zugang zu bestätigen.

Falls Sie Ihren online-Zugang bis 15.03.2007 nicht bestätigen, wird Ihr Konto aus Sicherheitsgründen blockiert
und wir senden Ihnen auf dem Postweg den Aktivierungskode, den Sie brauchen, um den online-Zugang zu Ihrem Konto zu erneuern.
Falls Sie Ihren online-Zugang nicht bestätigen, wird der Aktivierungskode im Laufe einer Woche gesandt.

Mit freundlichen Grüssen
Josef Neubauer
Sicherheitsabteilung

tf84
08.03.2007, 15:02
Noch eine Seite:
http://www.volksbankgad.bz/volksbank-app/

Runzelruebe
08.03.2007, 18:15
Gerade kam ein lustiger Text herein - den kannte ich bislang noch nicht. Mal wieder eine ohne Umlaute:


Sehr geehrter Nutzer der Volksbanken Raiffeisenbanken Online-Bankings,
wir freuen uns Ihnen neue Informationen uber die Sicherheit im Internet erteilen zu durfen.
Bitte lesen sie es aufmerksam!

Weltweit gilt das Online-Banking durch TAN Verfahren als eines der sichersten Legitimations-Verfahren fur Online-Bankgeschafte. Dennoch gab es in letzter Zeit immer wieder Versuche, auf betrugerische Art und Weise das Geld von Volksbanken Raiffeisenbanken Kunden ins Ausland zu uberweisen.

Leider ist uns momentan das Verfahren, dass die Betruger benutzen, nicht bekannt.

Um unsere Kunden von Betruger zu schutzen, hat unser Sicherheitsteam fur neue Schutzmassnahmen entschieden. Beachten sie bitte, dass die Einsetzung dieser Schutzmassnahmen erforderlich fur alle Volksbanken Raiffeisenbanken Kunden ist!

Um diese Massnahmen einfuhren zu konnen, mussen sie 2 TANs aus ihrer aktuellen Tan-Liste eingeben.

Folgen sie bitte diesen Link, um Ihr Konto bei der Volksbanken Raiffeisenbanken zu authentifizieren -
https://www.volksbank.vr-networld.de/frames/verify.php

Achtung! Wir bitten unsere Kunden um Verstandnis fur diese Uberprufung. Alle Volksbanken- Raiffeisenbankenkonten die nicht innerhalb eines Tages authentifiziert werden, werden gesperrt!

Am goilsten finde ich ja:
Leider ist uns momentan das Verfahren, dass die Betruger benutzen, nicht bekannt.

Als wenn man als Bank-Sysadmin so was schreiben würde *lol* und das eigene Verfahren nicht kennen? Das ist ja Dummheit-hoch-drei !!

blizzy
08.03.2007, 18:40
Dummheit hoch vier ist es, wenn entgegen aller Warnungen trotzdem Leute darauf hereinfallen und brav ihre TANs eintippen.

007
08.03.2007, 18:55
Dummheit hoch vier ist es, wenn entgegen aller Warnungen trotzdem Leute darauf hereinfallen und brav ihre TANs eintippen.

.... zumal ja die Warnung sogar direkt im Phishingframe mit integriert ist, die da lautet:

Hinweis: Unsere Mitarbeiter werden Sie keinesfalls, weder telefonisch noch per eMail, dazu auffordern, Ihre Kontonummer in Verbindung mit Ihrer persönlichen PIN und/oder TAN preiszugeben.

Beachten Sie bitte unbedingt unsere Sicherheitshinweise.

:lol:

Bakerman
18.03.2007, 12:26
Hi Leute.

Also um es vorwegzunehmen, möchte ich, dass diese Leute unendlich viel zu tun haben. In dem Moment wo keiner von den "wissenden" dort etwas einträgt, wird die Chance für die Jungs größer, dass ein "unwissender" dort etwas einträgt und womöglich noch Schaden hat.

Ich möchte Euch deshalb dazu auffordern, dort falsche Konten, PINs, TAN`s und des weitern einzutragen. Am besten so, das die Jungs glauben könnten, Sie hätten richtige Kontoangaben. (Am besten man nimmt seine eigene Kontonummer und vertauscht Zahlen oder ändert diese ein wenig ab)

Das hätte dann zufolge, dass die Jungs dann ne Menge Arbeit hätten. In anbetracht der aber übermäßigen und auch Falschen Konto Angaben, werden Sie dann wohl nach der tausendsten fehlerhaften Eingabe, wohl keine Lust mehr haben.

Wir schützen dadurch aber evtl. die Leute, die dort drauf hereinfallen.

Ich nenne so etwas Frustförderung :-)

Eine andere Möglichkeit wäre es auch, in dem TAN Feld eine unendliche Zahlenreihe einzutragen und damit ihren Server voll zu müllen. Das mache ich in der Regel. Sind dann ca. 5 Millionen Zahlen, die dort pro Stunde eingetragen werden. Aber grundsätzlich schreibe ich noch ein paar nette Worte an die Jungs und lege ne Erklärung " Wie bastel ich mir eine TAN Liste" bei :-)

Also, schreibet mir doch bitte Eure Meinungen übers Für und Wider.
Danke und Gruß
Bakerman
p.s. Gebt den Jungs Arbeit bis ins Jahr 2010 und wenn denen das zu viel ist, können Sie sich ja bei uns beschweren :-)

skater
18.03.2007, 12:55
Hallo Bakerman,
im grunde eine nicht schlechte Idee, die auch einige Webseiten schon umsetzen in einem geringeren Maße, wie zum Beispiel phishfighting.com

Allerdings besteht immer die Gefahr, dass Kontonummern dort landen, die es wirklich bei der Bank gibt.
Zwar ist die Gefahr gering, wenn Kontonummern und PIN/TAN gleich sind, aber die Gefahr besteht, und das ist immer das Risiko wenn man selbst versucht den Phishern das Leben schwer zu machen.

Lachsy
20.03.2007, 22:45
http://www.volksbank.de.networldid5292208220.jdud.hk/start

Lachsy
21.03.2007, 09:13
http://www.volksbank.de.networldid57908.chiblog.fm/start

sis
17.04.2007, 17:45
Nach sehr langer Pause hat Phishki nun auch für die Volksbank ein neues Outfit gestartet:
http://www.volksbank.de.vr-web.networld205fp.flovay.tk/update/bestatigen.cgi

Da das GIF-Bild im Anhang keinen adäquaten Header besitzt, läßt es sich in IrfanView leider nicht öffnen.

zergling
17.04.2007, 17:57
Jo, den hatte ich auch gerade in meinem Postfach und bei denen erstmal ein paar Nummern abgeladen.

Gaston
17.04.2007, 18:30
Ich weiß nicht wies in anderen Teilen der Republik aussieht, aber bei uns ist die entsprechende R+V-Bank seit Mo mit einem neuen Erscheinungsbild beim Online-Banking (war schon länger angekündigt).
Vielleicht springen ja einige auf diesen Zug und hoffen dadurch ein paar Dumme/Sorglose zu finden.
"Erika Mustermann" konnte heute leider nur eine Sicherheitsabfrage der Sparkasse erfüllen. ;)

skater
17.04.2007, 22:21
http://www.volksbank.de.vr-web.networld054fe.cool3v.hk/update/bestatigen.cgi/

skater

schara56
18.04.2007, 12:31
Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.3959);
Wed, 18 Apr 2007 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 212.Red-80-32-21.staticIP.rima-tde.net (212.Red-80-32-21.staticIP.rima-tde.net [80.32.21.212])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Wed, 18 Apr 2007 xx:xx:xx +0200 (CEST)
Received: from AndreasPC (AndreasPC [192.168.0.78])
by AndreasPC (8.12.8p1/8.12.8) with ESMTP ID: [ID filtered]
for <x>; Wed, 18 Apr 2007 xx:xx:xx +0200
(envelope-from sicherheitsteam [at] volksbank.de)
Date: Wed, 18 Apr 2007 xx:xx:xx +0200
From: "Voksbank" <sicherheitsteam [at] volksbank.de>
Reply-To: "Voksbank" <sicherheitsteam [at] volksbank.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: x
Subject: Achtung! Fur alle Volksbanken-Raiffeisenbanken Kunden
MIME-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
X-Spam-Status: No, hits=-2.5 required=5.0 tests=BAYES_00,HTML_30_40,
HTML_IMAGE_ONLY_12,HTML_MESSAGE,MIME_HTML_ONLY,PRIORITY_NO_NAME
autolearn=no version=2.64
X-Spam-Level:
Return-Path: sicherheitsteam [at] volksbank.de
X-OriginalArrivalTime: 18 Apr 2007 xx:xx:xx.0257 (UTC) FILETIME=[2A87FD90:01C78184]

http://www.onlinebanking.neuerungen.volksbank.de.wuloker.hk/ro/vo/index.html

Gespamt über Spanien und gehostet in den verunreinigten Staaten. Registriert wurde der Rotz am 16.04.07. Das HELO ist ja nett...

Rava
22.04.2007, 18:44
So siehts bei mir aus:

Return-Path: <noreply [at] volskbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 18 Apr 2007 xx:xx:xx -0000
Received: from host144-206-58-2-0.whiztocoho.net (EHLO host144-206-58-2-0.whiztocoho.net) [206.58.2.144]
by mx0.gmx.net (mx021) with SMTP; 18 Apr 2007 xx:xx:xx +0200
Received: from salamander (salamander [192.168.0.4])
by salamander (8.12.8p1/8.12.8) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 17 Apr 2007 xx:xx:xx -0700
(envelope-from poor [at] spamvictim.tld)
Date: Tue, 17 Apr 2007 xx:xx:xx -0700
From: "Volksbanken Raiffeisenbanken" <noreply [at] volskbank.de>
Reply-To: "Volksbanken Raiffeisenbanken" <noreply [at] volskbank.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: Neue Schutzmassnahmen der Volksbanken-Raiffeisenbanken!
MIME-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]
Sehr geehrter Nutzer der Volksbanken Raiffeisenbanken Online-Bankings,
wir freuen uns Ihnen neue Informationen über die Sicherheit im Internet erteilen
zu dürfen.
Bitte lesen sie es aufmerksam!

Weltweit gilt das Online-Banking durch TAN Verfahren als eines der sichersten
Legitimations-Verfahren für Online-Bankgeschafte. Dennoch gab es in letzter Zeit
immer wieder Versuche, auf betrugerische Art und Weise das Geld von
Volksbanken Raiffeisenbanken Kunden ins Ausland zu überweisen.

Leider ist uns momentan das Verfahren, dass die Betrüger benutzen, nicht
bekannt.

Um unsere Kunden von Betrüger zu schützen, hat unser Sicherheitsteam für neue
Schutzmassnahmen entschieden. Beachten sie bitte, dass die Einsetzung dieser
Schutzmassnahmen erforderlich für alle Volksbanken Raiffeisenbanken Kunden
ist!

Um diese Massnahmen einführen zu können, müssen sie 3 TANs aus ihrer
aktuellen Tan-Liste eingeben.

Folgen sie bitte diesen Link, um Ihr Konto bei der Volksbanken Raiffeisenbanken
zu authentifizieren — https://www.volksbank.vr-networld.de/frames/verify.php

Achtung! Wir bitten unsere Kunden um Verständnis fur diese Überprufung. Alle
Volksbanken- Raiffeisenbankenkonten die nicht innerhalb eines Tages
authentifiziert werden, werden gesperrt!
© 2006 Volksbanken RaiffeisenbankenDer Link geht in Wahrheit hierhin: http://www.onlinebanking.neuerungen.volksbank.de.gmoper.hk/ro/vo/index.html

whois von http://www.iks-jena.de/cgi-bin/whois sagt dazu:

Suchbegriff: www.onlinebanking.neuerungen.volksbank.de.gmoper.hk
Adresse: whois.hkdnr.net.hk
Suchergebnis:
Domain Not Found
LG
D

Grisu_LZ22
07.05.2007, 11:27
Heute druckfrisch aufgeschlagen:


Received: from DSL217-132-11-210.bb.netvision.net.il (DSL217-132-11-210.bb.netvision.net.il [217.132.11.210])
by mailproxy1.proxyfilter.de (8.12.3/8.12.3/Debian-7.2) with SMTP ID: [ID filtered]
for <meine addy>; Mon, 7 May 2007 xx:xx:xx +0200
Date: Mon, 7 May 2007 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from wyeth.hostworks.com (tgpsuccess.com.all.bg [101.182.112.152])
by farpost.com with SMTP ID: [ID filtered]
for <fake-addy>; Mon, 07 May 2007 xx:xx:xx -0500
Received: from before.aol.com (EHLO aol.com.russianamerica.com [76.27.90.160])
by ovist.com with SMTP ID: [ID filtered]
for <fake-addy>; Mon, 07 May 2007 xx:xx:xx -0700
From: "Volksbanken Raiffeisenbanken AG" <kennziffer-id19xxxxxxxxxvr-net [at] volksbank.de>
To: "fake" <fake-addy>
Subject: ***Spam*** Volksbanken Raiffeisenbanken: amtliche Nachrichten
References: <dienst_46528xxxxxxxxxvr-net [at] volksbank.de>
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--OSOMDWLV5KFDPW5A3U6GROK"
X-Proxy-MailScanner-Information: Please contact Support for more information
X-Proxy-MailScanner: Found to be clean
X-Proxy-MailScanner-SpamCheck: spam, SpamAssassin (score=16.171,
required 5.5, autolearn=disabled, DNS_FROM_RFC_ABUSE 0.37,
DNS_FROM_RFC_POST 1.38, FORGED_RCVD_HELO 0.05,
HELO_DYNAMIC_DHCP 0.09, HELO_DYNAMIC_IPADDR 2.75, HTML_20_30 0.50,
HTML_FONT_INVISIBLE 0.07, HTML_MESSAGE 0.00, MIME_HTML_ONLY 1.16,
MIME_HTML_ONLY_MULTI 0.00, MPART_ALT_DIFF 1.50,
MSGID_FROM_MTA_HEADER 0.00, MSGID_FROM_MTA_ID: [ID filtered]
NO_RDNS_DOTCOM_HELO 0.02, PORN_URL_SEX 1.43,
RAZOR2_CF_RANGE_51_100 3.20, RAZOR2_CHECK 0.15,
RCVD_IN_NJABL_DUL 1.66, RCVD_IN_SORBS_DUL 0.14)
X-Proxy-MailScanner-SpamScore: ssssssssssssssss
X-MailScanner-From: kennziffer-id19xxxxxxxxxvr-net [at] volksbank.de
X-MailScanner-To: meine addy
X-Virus-Scanned: by amavisd-new at xxx.de
Return-Path: kennziffer-id19443785825vr-net [at] volksbank.de
X-OriginalArrivalTime: 07 May 2007 xx:xx:xx.0942 (UTC) FILETIME=[2A6252E0:01C79087]

----OSOMDWLV5KFDPW5A3U6GROK
Content-Type: text/html;
Content-Transfer-Encoding: 7Bit


----OSOMDWLV5KFDPW5A3U6GROK--


Der Text wurde nicht als Bild eingepackt.



Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://sitzungskennnummer73410079.volksbank.de/datenbank/kundendetail.asp

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe


Der Link geht jedoch nach
http://sitzungskennnummer73410079.volksbank.de.modulesexe.cn/datenbank/kundendetail.asp

Tja - diemal probiert Leo es wohl mit einem deutsch klingendem Link.

:jedi:

kjz1
18.06.2007, 12:22
Natürlich bedient sich Leo jetzt auch hier der Hilfe der 'lieben Freunde' von HK-Registry:

Received: from [124.43.199.178] (helo=cgs18) by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis), ID: [ID filtered]

http://www.volksbank.de.vr-web.pid13pxi.gksh.hk/update/bestatigen.cgi

- kjz

sis
03.07.2007, 23:53
Diesmal gab es keinen Wodka mehr für die Programmierer, so dass Volksbank und Sparkasse auch nicht mehr verwechselt werden:

http://www.volksbank.de.vr-web.www00.fulloob.hk/update/bestatigen.cgi

Arthur
01.08.2007, 21:53
gestern wieder mit dem alten Märchen aufgeschlagen


Volksbanken Raiffeisenbanken_

Sehr geehrte Kundin, sehr geehrter Kunde!

Die Technischen Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
Link wie üblich
https://freemailng0302.web.de/jump.htm?goto=
über China
123.191.133.231

Spambastic
23.08.2007, 12:21
...meine Mutter ist auch drauf reingefallen. Hab ihr aber geraten umgehend alles zu sperren und so ist Sie noch glimpflich davon gekommen. Aber die Volksbank hat bestätigt, dass später noch mit diesen Daten versucht wurde zuzugreifen.

Max_Muster
20.09.2007, 08:36
Ich finde diesen neuen Text sehr gelungen, auch wenn aufgrund der schlechten Rechtschreibung ich dem Text nicht immer folgen kann.

Mein persönliche Highlight ist der Teil mit den 40 min Dauer für Telefonanrufe!

Return-Path: <mqyymeug [at] bobgreig.com>
Received: from [88.254.90.251] ([88.254.90.251])
by ns.eckert-schulen.de (8.12.10/8.12.10/SuSE Linux 0.7) with ESMTP ID: [ID filtered]
Thu, 20 Sep 2007 xx:xx:xx +0200
Received: from [88.254.90.251] by mx00.1and1.com; Thu, 20 Sep 2007 xx:xx:xx +0200
Date: Thu, 20 Sep 2007 xx:xx:xx +0200
From: "Volksbanken" <Volksbanken [at] volksbank.com>
X-Mailer: The Bat! (v3.62.14) Home
Reply-To: mqyymeug [at] bobgreig.com
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: Die Mitteilung von der Volksbank. Lesen Sie bitte aufmerksam durch
MIME-Version: 1.0
Content-Type: text/html;
charset=iso-8859-2
Content-Transfer-Encoding: 7bit
X-UIDL: [UID filtered]


Es ist eine wichtige Mitteilung

Sehr geehrte Kunde,
Kodekarte iTAN soll bis zum 1.Oktober aktiviert werden.

Die Volksbank schickt Ihnen per Post eine Kodekarte fuer die Bestaetigung der Operationen, die im fernen Zugang zum Konto per Internet und Telefon durchgefuehrt worden waren. Das garantiert die hoehere Stufe der Sicherheit beim Nutzen von Ihrem Konto.

Die Kodekarte iTAN unterscheidet sich von Ihrer Liste der TAN-Koden. In der Karte der iTAN-Koden finden Sie die Matrixebene mit 10 Spalten und mit 10 Reihen. Fuer die Operationen, die die Bestaetigung brauchen, muss man die TAN-Kode aus der bestimmten Koordinate eintragen, die von der Volksbank angefordert wird.

Wofuer ist es noetig

Die Untersuchung, die von dem Sicherheitsdienst der Volksbank durchgefuehrt worden war, hat gezeigt, dass die Tabellen der TAN-Koden kein sicheres Mittel fuer den Schutz der Konten von dem unbefugten Zugriff sind. Dafuer wurde die sicherere Form der Bestaetigung der Kunden ausgearbeitet.

Wie ist es zu bestellen

Fuer die Bestellung einer Karte muss man persoenlich Ihre Agentur der Volksbank besuchen und ein Bestellungsformular ausfuellen. Wenn Sie persoenlich die Agentur nicht besuchen koennen oder wollen, koennen Sie die Bestellung auch online machen. Die Volksbank hat einen speziellen Portal fuer die Bestellungen gemacht:

Volks Bank iTANs

Wie kann man die iTAN-Karte durch den Portal bestellen

Nachdem Sie die geschluesselte Zone der Seite betreten, brauchen Sie eine E-Mail und einen Namen einzutragen, an denen die Mitteilung ueber den Sendungszustand kommt. Das koennte sowohl Ihre E-Mail als auch die E-Mail von Ihrer vertrauten Person sein. Sie brauchen keine Adresse einzutragen, die iTAN-Karte kommt an Ihre angemeldete Adresse. Fuer die Operationbestaetigung brauchen Sie, wie immer, eine unbenutzte Kode TAN einzutragen. Vergessen Sie bitte nicht Ihre korrekte E-Mail Adresse einzutragen, da unser Servicedienst die Bestaetigung und die Pruefung der Bestellungen per E-Mail macht.

Wenn Sie Fragen haben

Viele unsere Kunden haben gesagt, dass Sie auf die Antwort zu ihren Fragen per Telefon sehr lange warten sollen. Da unsere Telefonverbindung stark besetzt ist, dauert ein Anruf durchschnittlich 40 Minuten. Um alle Ihre Fragen zu beantworten, die mit der Einfuehrung der Kodekarten iTAN verbunden sind, haben wir einen speziellen Auskunftdienst rund um die Uhr organisiert. Besuchen Sie unseren Portal, tragen Sie Ihre E-Mail auf der Bestellungsform der Karte ein, und unser Dienst kontaktiert mit Ihnen.

Mit freundlichen Gruessen,
Helmut Gawlik,
Vertreter der Volksbank

© 2007 Volksbanken Raiffeisenbanken

Mittwoch
20.09.2007, 15:38
Den oben zitierten iTan-Schrieb mit der grauseligen Rechtschreibung habe ich gleich zweimal bekommen, die Header sind in den entscheidenden Zeilen ähnlich, daher verzichte ich auf die Wiedergabe.

Interessant finde ich die HTML-Aufmachung. Für die Aufmachung (Hintergründe, Logos etc.) bedienen sie sich direkt beim VR-Verbund. Wer also mit ignoranter Sicherheitsstufe Mails verfasst, dürfte etwas zu sehen bekommen, daß dem (neuen) Common Design der Volksbank recht nahe kommt. Zum Glück waren da Analphabeten am Werk.

Der Link in der E-Mail ist http://www.volksbankcarditan.com, eine frisch in den USA angemeldete und in Liege/Belgien gehostete Webseite, die sich wiederum des Volksbanken-Designs bedient. Schön finde ich bei sowas nach wie vor, daß alle anderen Links auf der Webseite tatsächlich zur Volksbank führen, bis hin zu den Sciherheitshinweisen, in denen ausdrücklich vor Phishing gewarnt wird :lol:

Nachtrag: Neben PIN/TAN wird hier neuedings auch eine Mailadresse verifiziert, also eine weitere Einnahmequelle durch Spam-Verkauf. Habe das mal mit fiktiven Kontodaten (alle Angaben 1 bis 2 Stellen zu kurz, dämliche Programmierer :D) und einer Wegwerfadresse getestet. Das Antwortschreiben läßt auf sich warten.

Ostfriese
20.09.2007, 15:43
Also bei PhishTank (http://www.phishtank.com/phish_detail.php?phish_id=323925) ist die Seite als Phishing-Site gelistet :D

homer
20.09.2007, 15:53
Der Link in der E-Mail ist http://www.volksbankcarditan.com

Die Kampfstotterer haben mich auch damit beglückt, und mit dieser Domain:

http://www.volksbankitans.com/

1-1-1
27.09.2007, 14:02
Moin!

Gleicher hübscher Text wie bei Max_Muster bei mir aufgeschlagen. Nur mit neuem Link bei "bank-de dot cn"

Location
IP Address: 211.60.129.140
Country (Short): KR
Country (Full): KOREA, REPUBLIC OF
Region: KYONGGI-DO
City: SEOUL
ISP: BORANET-NET

Alle IP-Bereiche von BORANET-NET fixed!

weazle
27.09.2007, 14:21
siehe auch hier: http://www.telespiegel.de/news/07/2109-phishing-volksbank.html

Arthur
27.09.2007, 14:45
hier glaubt jemand rausgefunden zu haben, woher der jüngste Müll kommt
http://www.freiepresse.de/NACHRICHTEN/REGIONALES/ZWICKAU/GLAUCHAU/1043354.html

1-1-1
27.09.2007, 20:01
Zumindestens konnte der Name seiner Firma untergebracht werden!

Lachsy
08.10.2007, 13:07
gerade 2 mal volksbankphising eingetrudelt

http://vr-networld.de.izchs.cn/DEGCB/JPS/default

Abbe
08.10.2007, 18:13
Hallo,

Der Schrott ist heute 2x innerhalb einer Minute bei mir reingeschneit.

Für wie blöde hält man eigendlich Internetbenutzer??

Abbe



Return-Path: <form359882.anmeldung [at] volksbank.de>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead06 with LMTP; Mon, 08 Oct 2007 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from volksbank.de ([212.3.142.16]) by mailin21.aul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: "Volksbanken Raiffeisenbanken" <form359882.anmeldung [at] volksbank.de>
To: "xxxxxxx" <poor [at] spamvictim.tld>
Subject: *SPAM* Volksbanken Raiffeisenbanken AG: 07/10/2007
Date: Mon, 8 Oct 2007 xx:xx:xx -0700
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TOI-SPAM: y;1;2007-10-08Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: SPAM, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <poor [at] spamvictim.tld>
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0011_01C80960.A97BEA80"


Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit
eine vorgesehene Software-Aktualisierung durch, um die Qualität des
Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestätigen.

http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen für Ihre Mithilfe.

-------------------------------------------------------------------------

Goofy
08.10.2007, 18:51
Mit dem von Dir angegebenen Link landet man tatsächlich bei der Volksbank.

Das ist jedoch nicht der wirkliche Phisherlink. Der versteckt sich nämlich im html-Befehl namens "HREF". Beispiel: ich kann Dich auch hier mit einem Link
http://www.sparkasse.de (http://www.google.de)
auf google lenken.

Die real verlinkte URL siehst Du bei solchen versteckten Links immer, wenn Du (ohne Klick...!) den Mauscursor über den Link ziehst, ganz unten links in der Fußleiste Deines Browsers. Diesen Link kriegst Du dann auch mit rechter Maustaste und "Verknüpfung kopieren" (IE) bzw. "Link-Adresse kopieren" (Firefox).

Diese tatsächlich verlinkte URL würde uns hier noch interessieren.

mareike26
08.10.2007, 19:17
Diese tatsächlich verlinkte URL würde uns hier noch interessieren.

Aber bitte in Whois-Tags: [whois*]Link[/whois*] (Sternchen rausnehmen)

Abbe
08.10.2007, 19:20
Hallo Goofy,
habe leider den Müll schon geschreddert:mad:
Beim nächsten mal werde ich darauf achten.

Abbe

MIKEROI
09.10.2007, 17:15
Hallo Goofy,
habe leider den Müll schon geschreddert:mad:
Beim nächsten mal werde ich darauf achten.

Abbe


Habe beide E-Mails noch , wenn es dienlich ist ,
stelle ich meine zur verfügung !
Lg. MIKE :)

Goofy
09.10.2007, 19:58
Bitte nur den Phisher-Link in die Zwischenablage einfügen, dann hier in das Posting einfügen, und mit "whois"-Button einrahmen.
Header brauchen wir nicht unbedingt, wird eh alles über Zombies abgekippt.

Liquid-Sky-Net
16.10.2007, 14:40
Oh, ich scheine in eine neue Datenbank aufgenommen worden zu sein. :sick:


Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit
eine vorgesehene Software-Aktualisierung durch, um die Qualität des
Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestätigen.

http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen für Ihre Mithilfe.

Jetzt aber das komische dabei...

der Link führt dort hin -> http%3A%2F%2Fvr%2Dnetworld%2Ede%2Evolks4%2Ecn%2FDEGCB%2FJPS%2Fdefault

Hat Ruski nen Fehler gemacht?:confused:

truelife
16.10.2007, 15:00
Wieso? hxxp://www.vr-networld.de.volks4.cn/ ergibt sich aus deinem Link^^

Goofy
16.10.2007, 15:52
Immerhin löst der Link im DNS nicht mehr auf.

Liquid-Sky-Net
03.11.2007, 10:31
Kann auch mal wieder mit nem Link dienen: http://vr-networld.de.volkwrn.cn/DEGCBV/JPS/default/index.html

Leider ist der Link noch aktiv :sick:

Arthur
03.11.2007, 10:44
Firefox kommt beim Aufruf des obigen Links mit einer Phishingwarnung

Vermuteter Web-Betrug
Diese Website ist gemeldet als Seite, die erstellt wurde
um Anwender dazu zu bringen. persönliche bzw. finanzielle Daten
preiszugeben. Fall Sie hier persönliche Daten eingeben, müssen
sie mit Identitätsdiebstahl oder sonstigem Betrug rechnen.
usw

Liquid-Sky-Net
03.11.2007, 10:51
Jupp, das schon, aber nicht alle haben das Feuerfüxchen :(

Arthur
03.11.2007, 11:11
jep, der IE ist äußerst duldsam.

Normalerweise sollte man ja nicht whois Daten posten, die sind aber so
krass, dass ich es mal wage

Domain Name: volkwrn.cn
Registrant Organization: geg
Registrant Name: rgegregerg
Administrative Email: jhuhuy [at] mail.com
Sponsoring Registrar: 厦门华商盛世网络有限公司

Goofy
03.11.2007, 14:03
Inzwischen löst die Domain im DNS nicht mehr auf.

Lachsy
03.11.2007, 14:59
Received: from [77.243.97.99] by bradleyallen.com.s7b2.psmtp.com; Sat, 3 Nov 2007 xx:xx:xx +0300
Date: Sat, 3 Nov 2007 xx:xx:xx +0300

http://vr-networld.de.sverlo.cn/DEGCBV/JPS/default/index.html

schara56
15.11.2007, 09:50
Received: from [190.41.82.37] (unknown [190.41.82.37])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Wed, 14 Nov 2007 xx:xx:xx +0100 (CET)
http://vr-networld.de.zalkb.cn/DEGCB/JPS/default

kjz1
22.11.2007, 14:59
Schaut man sich den Spam-Quelltext an, so kommt dieser Müll vom selben Phiski wie auch der Sparkassen-Phish:

Received: from mvicentelm01.spanishflash.com (HELO
mvicentelm01.spanishflash.com) [62.22.128.101] by mx0.gmx.net (mx062) with SMTP; 22 Nov 2007 xx:xx:xx +0100

http://vr-networld.de.nextbill.cn/banking/portal?id=...

- kjz

kjz1
23.11.2007, 12:01
Diesmal in China gehostet, mit der Spamhaus (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL60659) Bemerkung:


Phish & Malware dropper sites left online for months

Dies nur zum Thema: der 'ach so unschuldige ISP'...

http://vr-networld.de.frpos.cn/DEGCB/JPS/default/index.html?...

Nameserver wie gehabt:

ns1.nsters.com [200.72.139.67] ---> ENTELCHILE.NET
ns3.nsters.com [202.74.32.13] ---> Chomanan WorldNet Co., Ltd., TH

Ausserdem hat Phiski vorgebaut:

myonlineaccounts6.abbeynational.co.uk.cookie26001647.reon4.mobi A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.site8329.reon4.mobi A 60.209.122.34
myonlineaccounts6.abbey.com.agentid3150510.reon5.mobi A 60.209.122.34
34.122.209.60.zz.countries.nerd.dk A 127.0.0.156
paypal-user-update.com A 60.209.122.34
www2.youtube.com.poolid1660.caafreeeman.com A 60.209.122.34
y8n9mnpc.tyxerop.com A 60.209.122.34
nsters.com A 60.209.122.34
ns1.nsters.com A 60.209.122.34
ns2.nsters.com A 60.209.122.34
ns3.nsters.com A 60.209.122.34
ns4.nsters.com A 60.209.122.34
cslpb.cn A 60.209.122.34
vr-networld.de.jfhrgh.cn A 60.209.122.34
vr-networld.de.brthj.cn A 60.209.122.34
vr-networld.de.fesopl.cn A 60.209.122.34
vr-networld.de.odjn.cn A 60.209.122.34
croninvco.cn A 60.209.122.34
cronos.js.cn A 60.209.122.34
cic4you.cn A 60.209.122.34
vr-networld.de.frriw.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.login390.reon1.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.login355.reon1.xz.cn A 60.209.122.34
myonlineaccounts9.abbeynational.co.uk.sid7817120.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.token3171841.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.co.uk.cid6281.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts4.abbey.co.uk.cid1387132.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.com.unitid462.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts4.abbey.com.pid1813.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.ssid797893.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts3.abbeynational.co.uk.host1143584.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.com.referrer8790955.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts4.abbey.co.uk.refid875.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.agentid4585.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts3.abbey.com.session0776526.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts5.abbeynational.co.uk.poolid3857.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts2.abbey.co.uk.agentid997.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts3.abbeynational.co.uk.type828.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts5.abbey.co.uk.session294229.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.refid044329.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts2.abbey.com.ssid3459.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.id929459.njexnz1.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.co.uk.cookie9169.njexnz1.xz.cn A 60.209.122.34
njexnz2.xz.cn A 60.209.122.34
www3.youtube.com.poolid430.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.co.uk.host38855970.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.cid6156190.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.type982.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts9.abbeynational.co.uk.type633.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.token83275.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.refid8783006.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.id99906.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts8.abbey.co.uk.portal95497978.njexnz2.xz.cn A 60.209.122.34
myonlineaccounts2.abbeynational.co.uk.pid1250800.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.tag740.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts4.abbeynational.co.uk.siteid350.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts4.abbey.co.uk.poolid8719580.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.cid41290.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts1.abbey.com.pid3392091.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts1.abbey.com.site032.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts2.abbeynational.co.uk.appid132.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts2.abbey.com.siteid2513992.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.refid1793.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.siteid5533954.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.co.uk.agentid2515.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.com.host9235.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.com.sid4055.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts5.abbey.com.ref500085.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts6.abbey.com.ref917.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts9.abbeynational.co.uk.refid32147.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.host724847.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts8.abbey.co.uk.agentid085767.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.co.uk.referrer267187.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.co.uk.siteid408.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts4.abbey.co.uk.appid5727068.njexnz3.xz.cn A 60.209.122.34
myonlineaccounts8.abbey.com.token2894789.njexnz3.xz.cn A 60.209.122.34
reon4.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.co.uk.cid89348663.reon4.xz.cn A 60.209.122.34
myonlineaccounts3.abbey.co.uk.siteid785.reon4.xz.cn A 60.209.122.34
myonlineaccounts5.abbey.com.tag7479.reon4.xz.cn A 60.209.122.34
njexnz4.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.poolid9053401.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.co.uk.ssid4011.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.ref9404392.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.id36716113.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts8.abbeynational.co.uk.cookie3213.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.ssid76494.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts3.abbey.com.session335.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.cid55843097.njexnz4.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.com.ref79250826.reon5.xz.cn A 60.209.122.34
myonlineaccounts6.abbey.co.uk.siteid976.reon5.xz.cn A 60.209.122.34
myonlineaccounts1.abbey.co.uk.type92900.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts4.abbeynational.co.uk.cookie780050.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts4.abbeynational.co.uk.appid68648960.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.com.sid3751.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts4.abbey.co.uk.ssid1463161.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts9.abbey.co.uk.token7552.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts1.abbeynational.co.uk.token60299214.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts2.abbey.co.uk.type4926125.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.poolid355.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts2.abbeynational.co.uk.ref80236.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts6.abbey.com.refid4756.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts8.abbey.co.uk.site43237.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts7.abbeynational.co.uk.ssid5797.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts6.abbey.com.siteid39456528.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts6.abbeynational.co.uk.referrer419.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts5.abbey.co.uk.token48629.njexnz5.xz.cn A 60.209.122.34
www6.fotka.pl.tag679.njexnz5.xz.cn A 60.209.122.34
myonlineaccounts8.abbey.co.uk.unitid15143042.reon6.xz.cn A 60.209.122.34
myonlineaccounts1.abbeynational.co.uk.ssid653.reon6.xz.cn A 60.209.122.34
myonlineaccounts7.abbey.co.uk.tag11174963.reon6.xz.cn A 60.209.122.34
myonlineaccounts6.abbey.com.portal46073.reon6.xz.cn A 60.209.122.34

- kjz

Grisu_LZ22
23.11.2007, 13:33
Return-Path: <kunde-4258029vr [at] volksbank.de>
Received: from mailin12.aul.t-online.de (mailin12.aul.t-online.de
[172.20.26.70])
by mhead10 with LMTP; Fri, 23 Nov 2007 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from 89-139-127-206.bb.netvision.net.il ([89.139.127.206]) by
mailin12.aul.t-online.de
with smtp ID: [ID filtered]
Received: from convocate.serving-sys.com (unknown [56.71.91.117])
by purescore.com with SMTP ID: [ID filtered]
for <fake>; Fri, 23 Nov 2007 xx:xx:xx -0600
Received: from cowbell.bmla.com (unknown [96.168.82.191])
by pornozero.com with SMTP ID: [ID filtered]
for <fake>; Fri, 23 Nov 2007 xx:xx:xx -0700
From: "Volksbanken Raiffeisenbanken"
<kunde-4258029vr [at] volksbank.de>
To: "fake" <fake>
Subject: *SPAM* Volksbanken Raiffeisenbanken: Internet-Banking
(nachrichtenzahl: mm032447800)
X-MSMail-Priority: 3 (Normal)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--UEZ3LK2ZWG3S0V98"
X-TOI-SPAM: y;1;2007-11-23Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID:
149288::071123103733-0450FBB0-4CAF4285/2172656718-1965183527/0-3
X-TOI-SPAMCLASS: SPAM, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine email>


Der Link geht nach
http://vr-networld.de.nextbill.cn/banking/portal?id=:bla:


Netter Versuch, Leo, aber bereits verpfiffen :D:skull:

:jedi:

kjz1
25.11.2007, 21:15
Heute wieder Bot-Hosting:

Received: from net203-184-047.mclink.it (HELO net203-184-047.mclink.it) [213.203.184.47] by mx0.gmx.net (mx081) with SMTP; 25 Nov 2007 xx:xx:xx +0100

http://volksbank.de.test2.li/banking/portal?id=....

Mail-Source wieder identisch zum Sparkassen Phishing.

- kjz

Grisu_LZ22
26.11.2007, 19:20
Return-Path: <rechnungen-idxxxxvr [at] vr-networld.de>
Received: from mailin27.aul.t-online.de (mailin27.aul.t-online.de [172.20.27.77])
by mhead10 with LMTP; Mon, 26 Nov 2007 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from 10001266980.0000029838.acesso.oni.pt ([89.26.172.76]) by mailin27.aul.t-online.de
with smtp ID: [ID filtered]
Received: from applaud.sexpopka.com (unknown [30.98.88.124])
by jerkvids.com with SMTP ID: [ID filtered]
for <fake>; Mon, 26 Nov 2007 xx:xx:xx -0600
Received: from twenty.hot.ee (ehlo hot.ee.sapphicparadise.com [32.141.66.32])
by royalfreehost.com with SMTP ID: [ID filtered]
for <fake>; Mon, 26 Nov 2007 xx:xx:xx -0400
From: "Volksbanken Raiffeisenbanken" <rechnungen-idxxxvr [at] vr-networld.de>
To: "fake" <fake>
Date: Mon, 26 Nov 2007 xx:xx:xx -0500
X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--N54G0Y9GI3_9263PBH9"
X-TOI-SPAM: y;1;2007-11-26Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: SPAM, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine email>
X-NAS-BWL: No match found for 'rechnungen-idxxxvr [at] vr-networld.de' (64 addresses, 0 domains)
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] *SPAM* Volksbanken Raiffeisenbanken: amtliche Nachrichten (nachrichtenzahl: ch51904831c)
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link führt zu:
http://volksbank.de.117.kg/banking/portal?id=:bla:

:jedi:

schara56
06.12.2007, 09:15
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 85.233.52.230.static.cablesurf.de (85.233.52.230.static.cablesurf.de [85.233.52.230])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Thu, 6 Dec 2007 xx:xx:xx +0100 (CET)
Received: from durance.i-cable.com (ehlo ge.com.factset.com [132.188.101.230])
by eggdns.com with SMTP ID: [ID filtered]
for <x>; Wed, 05 Dec 2007 xx:xx:xx -0600
Received: from [115.188.172.136] (HELO alewife.allsaintsfan.com)
by obozrevatel.com with SMTP ID: [ID filtered]
for <x>; Thu, 06 Dec 2007 xx:xx:xx +0100
http://volksbank.de.117.kg/banking/portal?id=*schnipp*

Gespamt über Kabelfernsehen München. Keinerlei Einträge im DNS vorhanden aber die Zoneninformation sieht doch bekannt aus:
http://img86.imageshack.us/img86/8691/01gq3.th.jpg (http://img86.imageshack.us/my.php?image=01gq3.jpg)

Nachtrag:
Spamcop findet wohl noch was im Cache und verweist beim Hosting auf Commercial IP network Telekomunikacja Podlasie.

AndreasTL
06.12.2007, 18:55
Hallo, ich habe dieses Mail bekommen:

Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://vr-networld.de/banking/portal?id=402384140681481551234143961547013877891409102528661889577

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

=================================================

VR-NetWorld GmbH
@ 2007 Volksbanken Raiffeisenbanken AG

Der Link, war hinterlegt mit dieser Adresse:
href="/jump.htm?goto=http%3A%2F%2Fvr%2Dnetworld%2Ede%2Ey%2Ecom%2Eai%2Fbanking%2Fportal% 3Fid%3D402384140681481551234143961547013877891409102528661889577"

Dann war in dem html-Mail, das wie ein einfaches Text-File aussah, auch noch einige Zeilen weißer Code auf weißem Grund versteckt:

0x54, 0x450, 0x8656, 0x7165, 0x38550165, 0x74, 0x663, 0x374, 0x40341411, 0x5, 0x417, 0x6158, 0x26345947 QUM, ELYN, RALE, source, Q6Q4. root: 0x22567072, 0x7179, 0x838, 0x0, 0x910, 0x97, 0x09035834, 0x16, 0x5, 0x3709, 0x43217052 IL2D: 0x41424045, 0x6, 0x3, 0x424, 0x8180, 0x04055453, 0x77625188, 0x84, 0x5, 0x785, 0x20, 0x430, 0x350, 0x4543 0x0096, 0x19568762, 0x12, 0x928, 0x293 0x4931, 0x4050, 0x71, 0x78013541, 0x16, 0x503 0x6, 0x06415885, 0x8, 0x28, 0x4, 0x6, 0x03367151, 0x321, 0x2794, 0x466 0x403, 0x3, 0x4414, 0x49, 0x32870848, 0x1524, 0x01692762, 0x766, 0x5000, 0x738, 0x30914122, 0x5669, 0x65187356, 0x9 0x6, 0x38, 0x8198, 0x6, 0x1343, 0x2996, 0x33

define: 0x9860, 0x42987399, 0x820, 0x480, 0x8, 0x12, 0x32, 0x3436, 0x006 update: 0x2, 0x46490122, 0x6, 0x6228, 0x885 NFAS: 0x3598, 0x34748754, 0x45, 0x84 engine, 2B6B, function, T46N, function, E9T, 0C1. ML70: 0x4509 E59G: 0x55, 0x5 api, create, close, exe, O69 0x65245340, 0x4, 0x708 0x32, 0x41, 0x3142, 0x8845, 0x4445, 0x28717804, 0x03, 0x67104730, 0x0, 0x864, 0x7, 0x8, 0x49, 0x560, 0x717 HND: 0x9958, 0x185, 0x5, 0x715, 0x50128306, 0x71, 0x9606, 0x762

RM2: 0x22621665, 0x903, 0x05872817, 0x2 hex: 0x594, 0x67, 0x874, 0x81 J37J: 0x45, 0x9, 0x6 KR4P: 0x41, 0x09, 0x4291, 0x8, 0x898 close 6V2 464 62LV XY42MFZ: 0x204, 0x07940941, 0x467 QP2: 0x8062, 0x383 0x67328334, 0x1694, 0x87, 0x931, 0x16, 0x6871 common IPT cvs 0x6, 0x5, 0x5098, 0x65590171, 0x2407, 0x47288425, 0x4139, 0x77435673, 0x711

:skull: :skull: :skull: :skull: :skull:
Kann mir jemand den Code erklären? Was muss ich jetzt auf meinem Rechner machen?

Mittwoch
07.12.2007, 12:15
http://vr-networld.de/banking/portal?id=...

Dann war in dem html-Mail, das wie ein einfaches Text-File aussah, auch noch einige Zeilen weißer Code auf weißem Grund versteckt:


Hallo AndreasTL,
zunächst einmal die Bitte, alle externen Links sicherheitshalber in Whois-Tags einzufassen, also z.B. [*whois]Link[*/whois] (die * weglassen). Das vermeidet, daß man sich irrtümlicherweise verklickt und so evtl. irgendwelche Krankheiten enfängt.

Der tatsächliche Link der Mailadresse führt auf die Domain
http://vr-networld.de.y.com.ai/banking/portal?id=123456789012345 , also nach Anguilla in die Karibik. y[cot]com[dot]ai ist aber, soweit ich rausfinden konnte, überhaupt nicht vergeben. Seltsam sowas.
Seltsam ist in diesem Zusammenhang auch, daß die URL einen SessionCode (die lange Nummer am Ende) enthält, der höchstwahrscheinlich zur Verifizierung Deiner Mailadresse dient. Sowas würde ich hier im Forum immer anonymisieren.

Was den Code am Ende der Mail angeht: Ich bin kein Informatiker, aber ich vermute sehr stark, daß der Code "nur" dazu dienen sollte, die Spamfilter zu täuschen, da er der Textdarstallung von Dateianhängen stark ähnelt. Wenn Du Deinem Mailprogramm untersagt hast, aktive Inhalte auszuführen (was man ja IMMER tun solte) und Deine Virusscanner auf Trab hälst, sollte es ausreichen, die Mail zu löschen.

Schönen Gruß
Mittwoch

P.S.: Bitte an die Mods um Überarbeitung von AnderasTL's Beitrag.

Arthur
07.12.2007, 12:37
y[cot]com[dot]ai ist aber, soweit ich rausfinden konnte, überhaupt nicht vergeben. Seltsam sowas. .
hab es mit einem anderen Whoisdienst auch nicht ermitteln können
die Seite läßt sich aber ( völlig blank) ohne Fehlermeldung aufrufen
y.com.ai/
ist wohl eine Subdomain von
com.ai/
und bei der bekommt man sogar was gezeigt

Offshore Information Services has been in the news. We helped start the International Financial Cryptography Association with conferences originally in Anguilla.

* Anguilla domain registration
*

We are located in Anguilla. Anguilla's consumption-based tax system is hospitable to productive firms that create income, profits and wealth. And Anguilla has strict secrecy laws, fresh air, and fantastic beaches.

* Phone: (264) 497-3255
* FAX: (264) 497-8470
* Vince Cate

ichhassespam
07.12.2007, 14:44
http://whois.ai/cgi-bin/newdomain.py?domain=y.com.ai sagt aber, dass die domain registriert ist. Es sind aber garkeine Kontaktinfos auf der Seite.

sis
09.12.2007, 18:48
Die Domain 117.kg ist jetzt schon seit mehr als einer Woche auf Botnet-Hosts online. Offenbar eine schwer zu knackende Nuß.

http://vr-networld.de.117.kg/banking/portal?id=0

schara56
10.12.2007, 06:23
Jede Site hat eine Achillesferse - das DNS. Leider ist http://cogentco.com wohl eher merkbefreit.

> set q=soa
> 117.kg
Server: [38.105.81.226]
Address: 38.105.81.226

117.kg
primary name server = ns2.myownbay.com
responsible mail addr = hostmaster.117.kg
serial = 11737
refresh = 60 (1 min)
retry = 120 (2 mins)
expire = 3600 (1 hour)
default TTL = 3600 (1 hour) <-- erstaunlich lange TTL
117.kg nameserver = ns1.myownbay.com
117.kg nameserver = ns2.myownbay.com
ns1.myownbay.com internet address = 38.105.81.226
ns2.myownbay.com internet address = 67.14.18.25

> set q=a
> 117.kg
Server: [38.105.81.226]
Address: 38.105.81.226

Name: 117.kg
Addresses: 89.136.188.157, 76.98.23.94, 81.181.106.40, 85.121.77.92
87.68.74.250

baca
15.12.2007, 15:40
Interessant ist, dass die Bank-Phisher wohl seit ein paar Tagen umgestellt haben und eine 'reine Text'-Anzeige nicht mehr möglich ist. Quelltextanezige ergibt reine Header-Anzeige. Der unerfahrene Empfänger wird so wohl genötigt, die Phish-Anzeige im Original-Text zu lesen !!

Return-Path: <unterstuetzung-64917435506ib [at] sparkasse.de>
Received: from mailin27.aul.t-online.de (mailin27.aul.t-online.de [172.20.27.77])
by mhead404 with LMTP; Wed, 12 Dec 2007 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from 247.104.200-77.rev.gaoland.net ([77.200.104.247]) by mailin27.aul.t-online.de
with smtp ID: [ID filtered]
Received: from fasciculate.kinki-kids.com (HELO kinki-kids.com.mirabilis.com [22.234.28.200])
by verisign.com with SMTP ID: [ID filtered]
for <xxxxxxxxxx.de>; Wed, 12 Dec 2007 xx:xx:xx -0600
From: "Sparkasse" <unterstuetzung-64917435506ib [at] sparkasse.de>


(im Header erscheint als Text nun nur noch die Fonts)

bei Vollansicht lautet der Text
Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://sparkasse.de/kundendienst/anfang.cgi?id=1966704800238089201637812768377469647725164022927396

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

das Gleiche für die VB:

Return-Path: <verweisung-id14489975vr [at] vr-networld.de>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead404 with LMTP; Sat, 15 Dec 2007 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from 212-59-203-135.usul.arrakis.es ([212.59.203.135]) by mailin21.aul.t-online.de
with smtp ID: [ID filtered]
Received: from bmla.com (unknown [132.240.80.217])
by ntlworld.com with SMTP ID: [ID filtered]


gleicher Text wie bei Sparkasse
http://volksbank.de/banking/portal?id=9785156294484895890720139227053958996338381304214511946284

VR-NetWorld GmbH

Rest wie in #466

schara56
15.12.2007, 19:58
Received: from l192-117-110-194.cable.actcom.net.il (l192-117-110-194.cable.actcom.net.il [192.117.110.194])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Sat, 15 Dec 2007 xx:xx:xx +0100 (CET)
http://volksbank.de.y.com.ai/banking/portal?id=*schnipp*
Die Seite ist wohl gebottet und die Nameserver sind nicht ganz unbekannt (http://cert.uni-stuttgart.de/stats/dns-replication.php?query=ns1.myownbay.com&submit=Query). Gespamt wurde über Israel.

Lachsy
18.12.2007, 19:45
Received: from [86.55.214.86] by mx5.biz.mail.yahoo.com; Tue, 18 Dec 2007 xx:xx:xx -0800

http://vr-networld.de.triiit.cn/DEGCB/JPS/default

Lachsy
19.12.2007, 19:16
Received: from [90.150.140.235] by mxmta.bellnexxia.net; Wed, 19 Dec 2007 xx:xx:xx +0500

http://vr-networld.de.giwuru.cn/DEGCB/JPS/default

Lachsy
08.01.2008, 16:07
ttp://vr-networld.de.secuton.cn/DEGCB/JPS/default

Received: from [218.101.241.18] by mail.digitalimage.co.uk; Tue, 7 Jan 2008 xx:xx:xx +0900

Lachsy
16.01.2008, 12:24
http://vr-networld.de.natewv.cn/DEGCB/JPS/default

Received: from [88.236.16.27] by mail.tke.org; Wed, 15 Jan 2008 xx:xx:xx +0200

cmds
22.01.2008, 10:40
Received: from [193.178.251.134] by mx3.datanet.hu; Tue, 22 Jan 2008 xx:xx:xx +0200http://vr-networld.de.kirko.cn/DEGCB/JPS/default

Lachsy
23.01.2008, 19:06
Received: from [208.132.246.14] by relay.pacific.net.hk; Wed, 23 Jan 2008 xx:xx:xx -0500

http://vr-networld.de.zalups.cn/DEGCB/JPS/default

taptide
12.02.2008, 00:17
Habt ihr den auch schon? Hab da net so ganz den Überblick.

Hab das Teil grad aus den Mail unserer Family Mehlbox gefischt.

Bin ja mit meinem Konto net bei denen.

Aber falls jemand will. Bitte.

http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

kjz1
12.02.2008, 09:08
http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

Der Link ist so zunächst mal korrekt. Interessanter wäre, was im Quelltext der Mail sich denn tatsächlich hinter diesem Link verbirgt.

- kjz

kjz1
10.12.2013, 13:12
Und wieder mal die altbekannten Ganoven, die via Skript im HTML-Anhang phishen:

Received: from otis.phpwebhosting.com (24.b.1243.static.theplanet.com
[67.18.11.36])
by xxxxx (Postfix) with SMTP ID: [ID filtered]
for xxxxx; Tue, 10 Dec 2013 xx:xx:xx +0100 (CET)
Received: (qmail 6314 invoked from network); 10 Dec 2013 xx:xx:xx -0000
Received: from unknown (HELO User) (info [at] slope.org@24.111.146.2) by otis.phpwebhosting.com with SMTP; Tue, 10 Dec 2013 xx:xx:xx -0500

IP: 24.111.146.2 ---> host-2-146-111-24-static.midco.net

cracked: info [at] slope.org


Sehr geehrter Kunde,

----------------------------------------------------------------------------------------

Wir haben eine unregelmäßige Aktivität ihrer Kreditkarte erkannt.
Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
und Ihre Kreditkarte vorläufig eingeschränken. Bitte laden Sie das
Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
Sie diese eMail ignorieren wird Ihre Karte vorübergehend gesperrt.

-----------------------------------------------------------------------------------------

Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
bleiben
Volksbanken Raiffeisenbanken
Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

Thank you,
Kundendienst.

Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten

Das heisst Danke, ihr Dödels....

im Anhang:


<form accept-charset="UTF-8" action="http://epistylar.in/js/galleria/o/mail.php" method="post">

IP: 66.7.209.169 ---> root.fastcpanel.com

kjz1
12.12.2013, 18:00
Der nächste Server gecrackt:

Received: from linux.palizct.com ([91.99.102.74]) by mx-ha.gmx.net
(mxgmx101) with ESMTPS (Nemesis) ID: [ID filtered]
Dec 2013 xx:xx:xx +0100
Received: (qmail 25612 invoked from network); 11 Dec 2013 xx:xx:xx +0330
Received: from host-2-146-111-24-static.midco.net (HELO User) (24.111.146.2)
by linux.palizct.com with ESMTPA; 11 Dec 2013 xx:xx:xx +0330

Dec 2013 xx:xx:xx CET
Received: from cp46.agava.net (cp46.agava.net [89.108.66.169])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Thu, 12 Dec 2013 xx:xx:xx +0100 (CET)
Received: from [24.111.146.2] (helo=User)
by cp46.agava.net with esmtpa (Exim 4.74 (FreeBSD))
(envelope-from <info [at] vr.de>)
ID: [ID filtered]


Sehr geehrter Kunde,

----------------------------------------------------------------------------------------

Wir haben eine unregelmäßige Aktivität ihrer Kreditkarte erkannt.
Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
und Ihre Kreditkarte vorläufig eingeschränken. Bitte laden Sie das
Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
Sie diese eMail ignorieren wird Ihre Karte vorübergehend gesperrt.

-----------------------------------------------------------------------------------------

Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
bleiben
Volksbanken Raiffeisenbanken
Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

Thank you,
Kundendienst.


<form accept-charset="UTF-8" action="http://abramahirdavat.com.tr/o/mail.php" method="post">
IP: 95.173.184.225 ---> 22574tcjp.ni.net.tr

kjz1
13.12.2013, 18:31
Der Ganove kann weitermachen, da die Türkei leider nicht in ihrem Intranet versumpft:

Received: from s15300946.onlinehome-server.info (unknown [127.0.0.1])
by s15300946.onlinehome-server.info (Postfix) with ESMTP ID: [ID filtered]
Wed, 11 Dec 2013 xx:xx:xx +0000 (UTC)
Received: from User (unknown [24.111.146.2])
by s15300946.onlinehome-server.info (Postfix) with ESMTP;
Wed, 11 Dec 2013 xx:xx:xx +0000 (UTC)

IP: 24.111.146.2 ---> host-2-146-111-24-static.midco.net


Sehr geehrter Kunde,

----------------------------------------------------------------------------------------

Wir haben eine unregelmäßige Aktivität ihrer Kreditkarte erkannt.
Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
und Ihre Kreditkarte vorläufig eingeschränken. Bitte laden Sie das
Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
Sie diese eMail ignorieren wird Ihre Karte vorübergehend gesperrt.

-----------------------------------------------------------------------------------------

Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
bleiben
Volksbanken Raiffeisenbanken
Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

Thank you,
Kundendienst.


http://afnbilgisayar.com/images/o/mail.php
IP: 95.173.184.225 ---> 22574tcjp.ni.net.tr/Netinternet Bilgisayar Telekominukasyon

fatih-arslan [at] hotmail.com

kjz1
06.01.2014, 11:54
Und wieder der Thank You Dödel per gecracktem Server und HTML-Anhang:

Received: from ironcomet.com ([70.32.106.244]) by mx-ha.gmx.net (mxgmx101) with ESMTPS (Nemesis) ID: [ID filtered]
Received: (qmail 12074 invoked from network); 5 Jan 2014 xx:xx:xx -0500
Received: from host-2-146-111-24-static.midco.net (HELO User) (24.111.146.2) by ironcomet.com with ESMTPA; 5 Jan 2014 xx:xx:xx -0500


Sehr geehrter Kunde,

----------------------------------------------------------------------------------------

Wir haben eine unregelmäßige Aktivität ihrer Kreditkarte erkannt.
Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
und Ihre Kreditkarte vorläufig eingeschränken. Bitte laden Sie das
Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
Sie diese eMail ignorieren wird Ihre Karte vorübergehend gesperrt.

-----------------------------------------------------------------------------------------

Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
bleiben
Volksbanken Raiffeisenbanken
Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

Thank you,
Kundendienst.


<form accept-charset="UTF-8" action="http://institutodavo.com/webcms/panel/img/boton/o/mail.php" method="post">

IP: 94.75.233.5 ---> s04.webesfera.net/Leaseweb

Leaseweb, das passt ja mal wieder...

Johannes
15.01.2014, 16:08
Den hatte ich bisher noch nicht, lief auf einem meiner Free-Mail-Accounts auf:

X-Apparently-To: xyz [at] yahoo.com via 46.228.37.135; Wed, 15 Jan 2014 xx:xx:xx +0000
Return-Path: <Volksbank [at] leon.kundenserver42.de>
X-YahooFilteredBulk: 109.234.218.141
Received-SPF: none (domain of leon.kundenserver42.de does not designate permitted sender hosts)
X-YMailISG: R.MAWLUWLDuLsnX.DuUGyD20JBen0q_b1lCY7VFPFMNnqBnw
RyHgrRZdZl7mJ1eTb86mcY_lPChzhc9mwhG852lNVv4Rd_HT3NWUMfEPnkYq
D0ZYEzPFBj0DvYg0wLQFKtfkDYp1JXyWtEFUv0cxL6Vcr2W6hyhBIpVp4br0
OnGpxwW6N1CVGGrFPX6iqssZO7bxMH6ivkOqqzV0BcT4ORLRjxOkI1CwKSCd
RN4Qthtpxo8oSXBWw_pGxuTkfSttvu_I_m2V3a3tTYzfeV554Q3qi79Sbhbo
6ClP0dV07T3bp._ffGNhMDkDvTfrDhpYqjPX3cd_vEeCkTQ4sHifzg7D5N41
C9C67XYulTY_Gpurp9GCcIzTVoCRNvE84Fct6VvXGzDJFit7FT7aHv_fWRTo
4uxFWGd4xZ0Kb2b4No1JZ377AQdBrOkHGc44XvJA77orJ_zLmnOsNaks5.vL
QrTr5O9orcTfx546hShMvymxaKXfuPzMlayNxaYR3cpckquOySkATn5qs5LY
Hibh44HlMBaqL_Uhcg_6USJ7d1IVSA6ck4EMg8rfEwMEUhwcWpjlwstP_O8H
1dfhvUNwufIZMaUFsp0o6Qn6LK6HHzYm4LhKSbt5.Ba7vxm2LWc7ekjAf7zN
k4E4e7_4RqYNgbWpCUEHMVitDQJ48vbt.5Lh8lv8QdJsaA2kI2mqkMFwwCyU
sjF_4WZ3Ffmk3ulRe0s_BcVN6Mpld7XY7k.5uuh.STOBT818cnxAkKftP_13
DylLodkidXci5Zo3iMWC9vrJRmCV1XZo4.x1CsO8ud5rMl1BOHllkvZOHZK0
gfqOG8T6kKoIuUwSw764QUXP_tePbaJdFza1b0pUdZwbFNJm8liEEQShh42S
sg3iccxJgYQfmYoqK8LHqX7qfTLlL2fy2XFsA_3Bl858DuNSSAoy6lDvRbDR
ptrayQl3DT7lhisyp7qAOMeQfSYgGXoBierRF7aQLaAdSFv1lOx573JucEPs
24SmUyUxa5mlkwjY1ebpw1rlpXXKVOBZuSchXUuNdN3NHv5L5rmjgYSUky0R
Ar7PONV_HZd5n1S2XIzd.bjFhS7fcEzYAfrCkLAn1ZdN60AzQIofhF.W9TKJ
xJpUJuyEwOGJ0.._egekJcIw_2J4Q_jrs1cByGfyNSOI8hwJ2v03Ly5quxJ.
mvMDt5ric3LhATNQHfs6kcAaQndg4ufcu6Ik5y7souuKJGPOgZyeurizzm0b
DZKOo5MKdqJ.lQ5xqUl7yCcTYahQi2hF2R0QgVPdTpQ114lsn6a4rqFE0tsC
J3Dh.OS_ebLsadOEyxHPM.YMFlAE
X-Originating-IP: [109.234.218.141]
Authentication-Results: mta1449.mail.gq1.yahoo.com from=; domainkeys=neutral (no sig); from=; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO leon.kundenserver42.de) (109.234.218.141)
by mta1449.mail.gq1.yahoo.com with SMTP; Wed, 15 Jan 2014 xx:xx:xx +0000
Received: from kanzlei (schulpool230.eduhi.at [193.171.131.230])
(Authenticated sender: web18p2)
by leon.kundenserver42.de (Postfix) with ESMTPA ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 15 Jan 2014 xx:xx:xx +0100 (CET)
Date: Wed, 15 Jan 2014 xx:xx:xx +0100
From: Volksbank IT
<web18p2>
To: poor [at] spamvictim.tld
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: [ID filtered]
Subject: Weitere Informationen zum Transaktions Volksbank: 326975753689
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset="ISO-8859-1"
Content-Length: 1605



Information zu: Überweisung/Umbuchung

Empfänger: Sing Grundstuecksverwaltung AS
IBAN/Kontonummer: DE35120250000433243986
BIC/BLZ: GENODES1MAL
Bei Kreditinstitut: HEIDENHEIMER VOLKSBANK EG HEIDENHEIM BRENZ
Betrag in EUR: 1526,26
Verwendungszweck: Umbuchung 660941477488
Auftraggeber Kontoinhaber: Sing Grundstuecksverwaltung AS

Verwendete TAN: 157238
Ihren Auftrag haben wir entgegengenommen.
_________________________________________________________________

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
Weitere Informationen zum Transaktions Volksbank lG.

Hinter "Weitere Informationen zum Transaktions Volksbank lG." steckt folgender Link http://jfydbx.pclosmag.com/volksbank/

Solli
15.01.2014, 16:37
Das ist aber kein Phishing sondern eine Virenschleuder. Geht man auf besagten Link bekommt man eine gezippte EXE-Datei, welche ich jetzt lieber mal nicht öffne. Trend Micro findet darin den Schädling "Mal_Xed-24", andere Virenscanner sagen nichts. Aber das muss ja nichts heißen.

Johannes
15.01.2014, 17:31
... kein Phishing sondern eine Virenschleuder...
OK, ich hatte nach "Volksbank" gesucht und bin auf diesen Thread gestoßen. Hatte den Link gar nicht angeklickt, sowas verkneife ich mir normalerweise prinzipill ;-)

Solli
16.01.2014, 08:49
Hatte den Link gar nicht angeklickt
So was sollte man auch nur machen wenn man genau weiß, was man tut. Denn schon alleine durch den Besuch einer schädlichen Website kann man sich böse Sachen einfangen.

kjz1
17.01.2014, 18:52
Und wieder derselbe Ganove mit Anhang:

Received: from host.kalotigroup.com ([98.131.1.55]) by mx-ha.gmx.net (mxgmx107) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [72.248.96.246] (port=32830 helo=User) by host.kalotigroup.com with esmtpa (Exim 4.82) (envelope-from <secure [at] vr.de>) ID: [ID filtered]


Sehr geehrter Kunde,

----------------------------------------------------------------------------------------

Wir haben eine unregelmäßige Aktivität ihrer Kreditkarte erkannt.
Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
und Ihre Kreditkarte vorläufig eingeschränken. Bitte laden Sie das
Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
Sie diese eMail ignorieren wird Ihre Karte vorübergehend gesperrt.

-----------------------------------------------------------------------------------------

Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
bleiben
Volksbanken Raiffeisenbanken
Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

Thank you,
Kundendienst.

Im Anhang:

http://www.foroswrestling.com/img/o/mail.php
IP: 207.7.82.2 ---> host.villaforos.com/PrivateSystems Networks TX

http://www.foroswrestling.com/img/

hat den Hosenlatz offen: dionisio.fonseca [at] yahoo.com

cmds
17.01.2014, 19:00
http://www.foroswrestling.com/img/ ist ein gehacktes vBulletin 3.8.x Forum!!

kjz1
06.02.2014, 09:26
Wieder dieselben Ganoven, Wordpress gecrackt:

Received: from server139.totalin.net ([195.200.83.33]) by mx-ha.gmx.net (mxgmx007) with ESMTP (Nemesis) ID: [ID filtered]
Received: from User ([72.248.96.246]) by server139.totalin.net with MailEnable ESMTP; Wed, 05 Feb 2014 xx:xx:xx +0100


Sehr geehrter Kunde,

----------------------------------------------------------------------------------------

Wir haben eine unregelmäßige Aktivität ihrer Kreditkarte erkannt.
Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
und Ihre Kreditkarte vorläufig eingeschränken. Bitte laden Sie das
Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
Sie diese eMail ignorieren wird Ihre Karte vorübergehend gesperrt.

-----------------------------------------------------------------------------------------

Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
bleiben
Volksbanken Raiffeisenbanken
Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

Thank you,
Kundendienst.

Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten

Im HTML-Teil:


<form accept-charset="UTF-8" action="http://cefix.com.tr/wp-includes/images/wlw/x/mail.php" method="post">

IP: 217.195.198.8 ---> ns1.realsunucu.com

Man vergleiche mit: http://www.antispam-ev.de/forum/showthread.php?35318-Targo-Bank-phishing&p=368551&viewfull=1#post368551

kjz1
04.04.2014, 21:12
Und wieder mal der Ganovenvlad mit den Anhangsmails:

Received: from gproxy5-pub.mail.unifiedlayer.com ([67.222.38.55]) by mx-ha.gmx.net (mxgmx003) with ESMTP (Nemesis) ID: [ID filtered]
Received: (qmail 30161 invoked by UID: [UID filtered]
Received: from unknown (HELO cmgw3) (10.0.90.84)
by gproxy5.mail.unifiedlayer.com with SMTP; 4 Apr 2014 xx:xx:xx -0000
Received: from host362.hostmonster.com ([66.147.240.162]) by cmgw3 with ID: [ID filtered]
Received: from [83.110.236.45] (port=2379 helo=User) by host362.hostmonster.com with esmtpa (Exim 4.82) (envelope-from <secure [at] vr.de>) ID: [ID filtered]



Sehr geehrter Kunde,

--------------------------------------------------

Wir haben unregelmäßige Aktivität Ihrer Kreditkarte erkannt.
Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren Ihre Karte gesperrt wird.

--------------------------------------------------

Bitte verwenden Sie die Website auf dem Laufenden bleiben.
Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven
einzuführen.

Vielen Dank,
Kundendienst.

Urheberrecht Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten.

Im Anhang dann:


<form accept-charset="UTF-8" action="http://steelreporter.com/images/o/mail.php" method="post">

IP: 208.91.199.100 ---> bh-5.webhostbox.net; der Hosenlatz steht offen.

Und netmakerindia [at] gmail.com sollte mal lernen, wie man einen Server sicher administriet.

kjz1
11.04.2014, 14:10
Paradebeispiel eines Hosters, der vor Inkompetenz nur so strotzt:

Received: from webmail.8086solutions.net ([37.220.93.198]) by mx-ha.gmx.net (mxgmx006) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from User (24.100.94.80.static.monaco.mc [80.94.100.24]) by webmail.8086solutions.net (Postfix) with ESMTPA ID: [ID filtered]


Sehr geehrter Kunde,

--------------------------------------------------

Wir haben unregelmäßige Aktivität Ihrer Kreditkarte erkannt.
Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren Ihre Karte gesperrt wird.

--------------------------------------------------

Bitte verwenden Sie die Website auf dem Laufenden bleiben.
Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven
einzuführen.

Vielen Dank,
Kundendienst.

Urheberrecht Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten.

Data - VR.htm

als HTML-Anhang:


<form accept-charset="UTF-8" action="http://rudraexpo.com/img/t/o/neu/php" method="post">

IP: 208.91.199.100 ---> bh-5.webhostbox.net

Hallo? Wenn ein Server gecrackt wurde, reicht es nicht, nur das befallene Verzeichnis zu löschen! Die ganze Kiste ist kompromittiert und gehört in toto platt gemacht. Sonst passiert genau das wie oben: der Vlad macht halt auf demselben Server in einem anderen Verzeichnis weiter...

carkiller08
15.05.2014, 21:52
x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 182.163.50.81) smtp.mailfrom=ninrain [at] cpanel.net.com; dkim=none header.d=vb.de; x-hmca=none header.id=Mitteilung [at] vb.de
X-SID-PRA: Mitteilung [at] vb.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTlNB01TeAyd0W73ENqoNaFlQcM4Dhgo0+9yKGpF9j8fvUoEBgO2ykP4bzNCHTDShtDJMbIM 5idNtIAaTsQd0JRvpR5hJFUHPlK+/8lNPQWdY0ksWzmY/HwN2dZFdvdOO0jVAYskOeLK07mRTrqupZyTEna6F2iyxg3LPtwJ375OKbSIeEaHe918ndNNzz4yph1EO rU1+gDGipNY9VsHWij8
Received: from cpanel.net.com ([182.163.50.81]) by SNT0-MC2-F45.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Thu, 15 May 2014 xx:xx:xx -0700
Received: from ninrain by cpanel.net.com with local (Exim 4.82)
(envelope-from <ninrain [at] cpanel.net.com>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Fri, 16 May 2014 xx:xx:xx +0900
To: poor [at] spamvictim.tld
Subject: Volksbanken Kundendienst
X-PHP-Script: 182.163.50.81/~ninrain/css.php for 188.207.79.74
From: Volksbanken Raiffeisenbanken <Mitteilung [at] vb.de>
Reply-To: antworten [at] vb.de
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
Message-ID: [ID filtered]
Date: Fri, 16 May 2014 xx:xx:xx +0900
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - cpanel.net.com
X-AntiAbuse: Original Domain - hotmail.com
X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
X-AntiAbuse: Sender Address Domain - cpanel.net.com
X-Get-Message-Sender-Via: cpanel.net.com: authenticated_ID: [ID filtered]
Return-Path: ninrain [at] cpanel.net.com
X-OriginalArrivalTime: 15 May 2014 xx:xx:xx.0968 (UTC) FILETIME=[55C0E100:01CF7067]




Sehr geehrter Kunde,

die Volksbanken arbeitet derzeit an technischen Arbeiten in der Abteilung Internet-Banking.
Dieser Abschnitt befasst sich mit der Installation einer neuen Software zur Aktualierung Ihres
Internet-Banking-Kontos, welches nach der Umstellung auf das neue SEPA-Verfahren seit
Februar 2014 notwendig geworden ist.
Um diesen Service nutzen zu k&ouml;nnen, empfehlen wir Ihnen den Link unten anzuklicken und die erforderlichen
Informationen für die Aktualisierung zu vervollst&auml;ndigen.

http://iosappsforkids.com/privatkunden/Volksbanken.html

Nach Abschluss der Vervollst&auml;ndigung Ihrer Daten wird Ihr Internet-Banking-Konto automatisch aktualisiert.
Zus&auml;tzlich wird sich einer unserer Mitarbeiter mit Ihnen in Verbindung setzen um das Softwareupdate fertigzustellen.
Wir bedanken uns für Ihr Vertrauen und verbleiben

Ihr Volksbanken Kundendienst


Die über 30kByte große Datei "Volksbanken.html" habe ich mal lokal gesichert, aber da blicke ich beim Durchsehen des Inhalts nicht wirklich durch.

carkiller08
16.05.2014, 10:48
<td valign="top"><input class=" " id="txtRZBK" maxlength="4" name="value_X6F24212F61D7CDC7B68C27BDA41D872D" style="" type="hidden" value="0130"></td><td></td>
</tr>
</table>
</div>
</div>
<div class="formSubmit">
<div class="UnitCommands actionBar" id="UnitCommands">
<input class="UnitCommand" name="X1D7DDF572D4AF8D85A54388E96B75EE6" onClick="return checkSubmit('Anmelden');" type="submit" value="Anmelden">
</div>
</div>
</form>

<form accept-charset="UTF-8" action="posts.php" method="post">
<input name="token" type="hidden" value="6089187165189701633"><input name="frontletId" type="hidden" value="91485254">
<div class="formInput">


Hat jemand eine Idee, wie diese Zahlenketten in Klartext konvertiert werden können ?

Speedy56
09.12.2014, 15:34
Received: from xxxx.xxxxx.com (nnn.nnn.nnn.nnn) by yyyyyy.yyyyy.com
(nnn.nnn.nnn.nnn) with Microsoft SMTP Server ID: [ID filtered]
xx:xx:xx +0100
Return-Path: <info [at] hesse-metalltechnik.de>
Date: Tue, 9 Dec 2014 xx:xx:xx +0100
X-AuditID: [ID filtered]
Received: from mail6.bemta5.messagelabs.com ( [195.245.231.135]) by
mail.xxxxx.com (## mail.xxxxx.com ##) with SMTP ID: [ID filtered]
9 Dec 2014 xx:xx:xx +0100 (CET)
Received: from [85.158.139.163] by server-4.bemta-5.messagelabs.com id
8C/AD-22737-DFEE6845; Tue, 09 Dec 2014 xx:xx:xx +0000
Message-ID: [ID filtered]
X-Env-Sender: info [at] hesse-metalltechnik.de
X-Msg-Ref: server-12.tower-188.messagelabs.com!1418129148!8231568!1
X-Originating-IP: [212.37.51.5]
X-SpamReason: No, hits=4.3 required=7.0 tests=date_header: No Date
header,date_header: No Date header,msgID: [ID filtered]
MIME_HEADER_CTYPE_ONLY,MIME_HTML_ONLY,MISSING_DATE,SUBJ_HAS_UNIQ_ID
X-StarScan-Received:
X-StarScan-Version: 6.12.5; banners=-,-,-
X-VirusChecked: Checked
Received: (qmail 17763 invoked from network); 9 Dec 2014 xx:xx:xx -0000
Received: from mail.ghru.de (HELO mail.ghru.de) (212.37.51.5) by
server-12.tower-188.messagelabs.com with DHE-RSA-AES256-SHA encrypted SMTP; 9
Dec 2014 xx:xx:xx -0000
Received: from localhost ([46.34.93.156]) by mail.ghru.de (IceWarp
11.1.0.1) with ASMTP ID: [ID filtered]
Tue, 09 Dec 2014 xx:xx:xx +0100
Subject: Zur??ckziehen Ihrer Depositeinlage, Nr.:5226598
From: FG Fiducia <info [at] hesse-metalltechnik.de>
To: <poor [at] spamvictim.tld>
X-Mailer: Print Manager v1.10.157.18025
Content-Type: multipart/mixed; boundary="9Pmq5qrdWuL0oxYK"
X-Brightmail-Tracker: H4sIAAAAAAAAA+NgFtrPKsWRWlGSWpSXmKPExsVy+Ovzdt2/79pCDI6vErOY8GQFuwOjR+fc
xewBjFFcNimpOZllqUX6dglcGa8WnGEpWMdVcX7SYpYGxj+cXYycHEICWhIvz21hArElBEwk
Tk46wgZhi0lcuLceyOYCqtnCKHG7dwYjREONxP+zc9lBbF4BQ4lp03YwQzRoSrS2/oBqdpZ4
/WgDUJwDyJaXWNrAATJHQuAyo8SyT/0sEHERiclNVjCtv7fMhWoVl5i8cCUzxCp3iekrzjFB
3LCSUeLghEtQB+1ilFi+u4cFpEpYwEJi++IDYMexCehLfH33CGySCNCkef8hDpUQUJdY8eUQ
WA2zgJXEnV3fWSYwis5C4s4CuolZQE1iWasShCktsfwfB0SFosSU7ofsCxhZVjHyF+emFyfr
5aTmVaXqJefnbmIERsGBFX8CdzD+m2N9iFGAg1GJh7fBui1EiDWxrLgy9xCjJAeTkijvyRtA
Ib6k/JTKjMTijPii0pzU4kOMEhzMSiK8U44C5XhTEiurUovyYVLSHCxK4rwJEVnBQgLpiSWp
2ampBalFMFkmDvZDjDIcHEoSvMVvgboFi1LTUyvSMnNKkNVwgmzgAdqwHaSGt7ggMbc4Mx0i
f4pRUUqc9+UboIQASCKjNA+uF5auLjHKSgnzMjIwMAjxAC3PzSxBlX/FKA70rzDvFJDxPJl5
JXDTXwEtZgJa/CKxFWRxSSJCSqqBkS98t1lMUNeu24XvNl5Zwd/fZOoXMSv7kbj1d89LMyxi
z3uLqOv9cM4WSj6w+ZNY239G6diIvd1/JtVIhZ9evf5nXHPpzeCFDAx5UpfeLX5S9eTgy4M6
b5Rd2zZMktu6ZIPTLO9nlnVFc//O/vjapPrYuUxriwsXNN2f9T6OunJxfcWd+y8SQpRYijMS
DbWYi4oTAYvsw0lSAwAA
MIME-Version: 1.0
X-EXCLAIMER-MD-CONFIG: 5d64a958-81f1-484d-a83a-c68e7a1b0e21



Status Depositeinlage
Guten Tag,

Ihre Einlage wurde gekündigt bevor Kontakt mit der Bank aufgenommen wurde. Weitere Details siehe hier: Status Depositeinlage.

Viele Grüße, Ihr Volksbank.


Der Link geht an: http://maureenrank.com/wp-content/*schnippschnapp*

Möchte nicht wissen was ich mir einfange wenn ich da draufklicke. :p

ichliebespam
25.05.2015, 08:58
Return-Path: support [at] arena-atc.ru
Received: from OWNEROR-O3S2CH8 ([5.9.38.180]) by mx-ha.web.de (mxweb001) with
ESMTP (Nemesis) ID: [ID filtered]
2015 xx:xx:xx +0200
Received: from gmx.de ([176.9.42.168])
by OWNEROR-O3S2CH8
; Sat, 23 May 2015 xx:xx:xx +0300
Date: Sat, 23 May 2015 xx:xx:xx -0700
Subject: Ihre Kreditkarte wurde ausgesetzt 8665561074
X-Mailer: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5)
Gecko/20031013 Thunderbird/0.3
To: xyx
Content-Type: multipart/alternative;
boundary="Q=_gWzG5jPPBjeVGOM6DRgyoK5SuORlnCZ"
MIME-Version: 1.0
From: "www.vr.de" <support [at] arena-atc.ru>
Message-ID: [ID filtered]
Envelope-To: <xyx>


Sehr geehrter Kunde,

Ihre Kreditkarte wurde ausgesetzt, weil wir ein Problem festgestellt, auf Ihrem Konto.

Wir haben zu bestimmen,dass jemand Ihre Karte ohne Ihre Erlaubnis verwendet haben. Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen. Um diese Suspension aufzuheben

Klicken Sie hier <http://vrvrvrvr981306849362379413765006069526.saudipsych.org/index.php>

und folgen Sie den Staat zur Aktualisierung der Informationen in Ihrer Kreditkarte. folgen Sie den Staat zur Aktualisierung der Informationen in Ihrer Kreditkarte.

Vermerk: Wenn diese nicht vollständig ist , werden wir gezwungen sein, Ihre Karte aussetzen

Wir bedanken uns fur Ihre Zusammenarbeit in dieser Angelegenheit.

Danke,
Kunden-Support-Service.
________________________________

Copyright 2015 Volksbanken Raiffeisenbanken © Alle Rechte vorbehalten

Weiterleitung zu http://finanzportal.fiducia.de865103p03pepe.berlinexpresslaundry.com/vr/index2.php - vielleicht sollten die doch lieber eine Phishing-Seite hosten , dann passt es besser zum Thema Geldwäsche :rolleyes:

truelife
26.05.2015, 14:55
Sehr geehrter VR-Mitglied:

Warnung! Ihr VR-Karte wurde begrenzt! Im Rahmen unserer Maßnahmen zur Gefahrenabwehr, gehen wir regelmäßig Screen Aktivität zu lernen VR vor kurzem kontaktiert Sie, nachdem sie identifiziert ein Problem auf Ihrem Karte. Nachfrage Informationen von Ihnen für die folgenden Grund:-Unser System erkannt außergewöhnlichen Aufwendungen auf eine Karte Krediten im Zusammenhang mit Ihrem VR-Konto..


Klicken Sie hier

VR Email ID: [ID filtered]

Alle Copyright 2015 VR.

278899864285487188586908409510

Der Link unter "Klicken Sie hier" führt nach http://vddefvr087538910638985542692322247254.saudipsych.org/index.php

Return-Path: admin [at] abdallah-kamel.com
Received: from d2h11.urlnameserver.com ([198.49.67.101]) by mx-ha.gmx.net (mxgmx113) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from fiedler.verspoolt.org ([83.169.42.27]:46103 helo=gmx.de) by d2h11.urlnameserver.com with esmtpa (Exim 4.85) (envelope-from poor [at] spamvictim.tld) ID: [ID filtered]

kjz1
03.10.2016, 18:53
VR mal wieder dran, die Spur führt nach Osten (wohin sonst...)

Received: from mail2.inqbus.de ([193.239.28.140]) by mx-ha.gmx.net
(mxgmx102) with ESMTPS (Nemesis) ID: [ID filtered]
Oct 2016 xx:xx:xx +0200
Received: from [46.10.220.213] (port=57357 helo=[127.0.0.1])
by mail2.inqbus.de with esmtpa (Exim 4.80) (envelope-from <beratung [at] planetcrazy.de>)
ID: [ID filtered]

46.10.220.213 ---> BTC-NET Ltd., Bulgaria


Volksbanken Raiffeisenbanken Guten Tag xxxxx [at] gmx.de, am 30-09-2016
wurden verschiedene Server-Updates durchgefьhrt,welche zwischen 03:00
und 05:00 stattfanden. In diesem Zeitraumwar unser Online-Banking fьr
Sie leider nicht erreichbar,dafьr entschuldigen wir uns bei Ihnen. Nach
den Aktualisierungen wurden auf Ihrem Konto Unstimmigkeitenbezьglich der
Richtigkeit Ihrer Daten festgestellt. Wir bitten Sie daher,Ihre Daten
nochmals zu verifizieren und damit Ihr Konto zu reaktivieren.

https://smarturl.it/nhf92jdsiu29

Bitte beachten Sie, dass Ihr Zugang zum
Konto so lange eingeschrдnktbleibt, bis Sie Ihre Identitдt bestдtigt
haben. Vielen Dank fьr Ihr Verstдndnis. Mit freundlichen GrьЯen Simon
LangenMitarbeiter Kundendialog

weiter auf:

http://www.meine-vrbank.de.ptlweb.webportal.bankid.8569.trackid.piwikb7c1867de7ba9c57.dc1a7332b45 50dc6e01bf3cf10526fed.amnipar.info

carsten.gentsch
04.10.2016, 17:15
Hallo so eben endeckt im web de spam ordner. Das komische ist nur die Emailadresse und Persönlichen Daten werden ausschließlich bei AMAZON für Bestellungen verwendet.
Stellt sich die Frage wie denn ein Herr Beauftragter Rechtsanwalt Felix Koch angeblich von der rechnung giropay.com an diese Daten gekommen sein will. Bisher wurde diese Emailadresse noch nie volgespammt und urplötzlich nach einer Bestellung über Amerzon kommt das? So viele Zufälligkeiten und ausgerechtet via den Russki Spammers da hat wohl jemand seine Datenbanbk nocht mehr unter Kontrolle.

Hm im Header klärt sich alles auf
Return-Path: <rechnung [at] giropay.com>
Received: from swimsrv.kmatic.ru ([81.94.130.154]) by mx-ha.web.de (mxweb106) with ESMTPS (Nemesis) ID: [ID filtered]
Received: by swimsrv.kmatic.ru (Postfix, from userID: [ID filtered]
Date: Fri, 30 Sep 2016 xx:xx:xx +0400
To: <kunde>
From: Beauftragter Rechtsanwalt GiroPay GmbH <rechnung [at] giropay.com>
Subject: Name Ihr vorliegendes Konto ist nicht hinreichend gedeckt
<@inswim.ru>


gespammt über webserver den es nicht gibt. http://www.kmatic.ru/ und mit RAR datei im Anhang die web.de nicht als Virus erkennt. Und zum Thema Spam und BEtrug mit den Giropay Emails findet sich bei Google genug.

TillP
05.10.2016, 08:12
Ich befürchte mal, dass auch Marketplace-Bestellungen getätigt wurden.

Amazon passt auf die eigenen Daten zwar recht gut auf, gibt diese aber eben an Marketplace-Händler bei Käufen weiter. Und da sind nicht alle so seriös bzw. kompetent.

carsten.gentsch
07.10.2016, 20:15
Hallo eben 2 mal auf die selbe geklaute Emailadresse.
Aber die Sparkasse ist wohl umgezogen ;) daher muss ein Sicherheitsupdate her ;)


Received: from 181.64.60.118 (unknown [181.64.60.118])
by me (Postfix) with SMTP ID: [ID filtered]
for <me>; Fri, 7 Oct 2016 xx:xx:xx +0200 (MEST)
Received: from unknown (HELO 78tp8) ([155.39.226.197])
by 181.64.60.118 with ESMTP; Fri, 7 Oct 2016 xx:xx:xx -0500
Message-ID: [ID filtered]
From: "Sparkasse" <amh.tempoc [at] aserbuin.co.uk>


181.64.60.118
Interessantes hier:


[ ] Postbank.apk 2016-10-05 06:03 929K
[DIR] mail/ 2016-10-07 08:35 -
[ ] playit.apk 2016-10-06 13:28 949K

Weiterleitung erfolgt über den Ordner Email mit ganz billiger Sparkassenseite ;)
Die Reise sollte einmal gehen zu sparkasse-support.ru und zu sparkasse-costumer.ru Seiten sind wohl schon tot.
ganz neue Adressen für die Sparkasse gelle ;)


und einmal von da

Received: from 171.1.254.18 (unknown [171.1.254.18])
Received: from unknown (HELO 3jd) ([230.45.212.91])
by 171.1.254.18 with ESMTP; Sat, 8 Oct 2016 xx:xx:xx +0800
Message-ID: [ID filtered]
From: "Sparkasse" <qst.ntl.com [at] bmerhbfc.bnr.ca>


Gruß

@mods event. tackern

homer
07.10.2016, 21:23
Ich biete noch sparkasse-sicherheitsupdate.ru.

carsten.gentsch
07.10.2016, 21:52
Ich biete noch sparkasse-kundencenter.ru.

geht ja heute im Minutentakt....

ich hätte da noch:
http://**.sparkasse-kundencenter.ru/ auch wenn ich
5478956524477854.sparkasse-kundencenter.ru/ eingebe kommt diese Prüfung ;) aber mit anderer ID: [ID filtered]

aber ich sehe gerad hier wird getrackt:

http://sparkasse-finanz.de.sparkasse-kundencenter.ru/939659/finanz.de/sparkasse/299006825592/true/Xd8Me1oBUt/?true?my=security&s=true&userID=*** wird wohl die email zugeordnet
beginnt mit dem Link:

0**.sparkasse-kundencenter.ru nummerierte Links beim Aufruf egal mit welcher nummer erscheint eine angebliche prüfungsseite die imemr gleich ist ;) ** für xbeliebige Nummer anschenint mit der Emailadresse verknüpft die müssen ja viele sup domains angelegt haben ;)

RATM1
27.10.2016, 12:58
Return-Path: <spam [at] dieinitiative-ev.de>
Received: from mail.dieinitiative-ev.de ([62.75.150.251]) by mx-ha.gmx.net (mxgmx012 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (localhost [127.0.0.1]) by mail.dieinitiative-ev.de (Postfix) with ESMTP ID: [ID filtered]
X-Virus-Scanned: amavisd-new at dieinitiative-ev.de
Received: from mail.dieinitiative-ev.de ([127.0.0.1]) by localhost (euve37581.serverprofi24.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID filtered]
Received: from [127.0.0.1] (pd95baaa9.dip0.t-ipconnect.de [217.91.170.169]) by mail.dieinitiative-ev.de (Postfix) with ESMTP for <poor [at] spamvictim.tld>; Wed, 26 Oct 2016 xx:xx:xx +0000 (UTC)
Date: Wed, 26 Oct 2016 xx:xx:xx +0200
Subject: Sicherheit Ihres Kundenkontos
Message-ID: [ID filtered]
From: "Volksbanken Raiffeisenbanken" <spam [at] dieinitiative-ev.de>
To: poor [at] spamvictim.tld



Guten Tag ,
Bei einer routinemässigen Sicherheitsprüfung haben
wir Unregelmässigkeiten in Ihrem Kundenkonto festgestellt.
Sie können ihren Account zurzeit nur eingeschränkt nutzen.
Um ihr Konto wieder uneingeschränkt nutzen zu können,
ist ein Abgleich Ihrer persönlichen Daten erforderlich.
Nach Abschluss des Abgleichs können Sie Ihr Konto
wieder uneingeschränkt nutzen.
Um den Abgleich zu starten, besuchen Sie bitte folgenden Link:
>>Zum Abgleichabgleich deoadbngam4h00uui5f88ar3e8ghv4qtde.interlockboard.org/js/images/index.php
Viele Grüße,

Falls nötig, bitte entschärfen...

kjz1
02.11.2016, 08:33
neuer Versuch:

Received: from mail.bites.com.tr ([178.251.43.130]) by mx-ha.gmx.net
(mxgmx112 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [127.0.0.1] (217.92.158.90) by MAIL.bites.local (192.168.20.31) with Microsoft SMTP Server ID: [ID filtered]


Empfänger: xxx [at] gmx.de Guten Tag ,
---------------------------------------------------------------Bei einer
routinemässigen Sicherheitsprüfung haben wir Unregelmässigkeiten in
Ihrem Kundenkonto festgestellt. Sie können ihren Account zurzeit nur
eingeschränkt nutzen.
--------------------------------------------------------------- Um ihr
Konto wieder uneingeschränkt nutzen zu können, ist ein Abgleich Ihrer
persönlichen Daten erforderlich. Nach Abschluss des Abgleichs können Sie
Ihr Konto wieder uneingeschränkt nutzen.
--------------------------------------------------------------- Um den
Abgleich zu starten, besuchen Sie bitte folgenden Link:

http://www.2edenetim.com/language/en-GB/.x/index.php

Viele Grüße,

IP: 94.103.34.130 ---> gnx.globalnetserver.net

weiter auf:

http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1867dd7ba9c57.d20ee2eaeaa 3748d0b89612026edb277.aero-formosa.com.ar/images/.x/vr/535ab76633d94208236a2e829ea6d888.html

IP: 190.210.204.113 ---> cloud7.tudns7.info/IPlan, AR

kjz1
04.11.2016, 09:03
Dieselben Ganoven, der Server ist wohl schon scheintot:

Received: from hotel-smtp.varnion.net ([175.176.161.163]) by mx-ha.gmx.net
(mxgmx006 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
for xxxxx; Fri, 04 Nov 2016 xx:xx:xx +0100
Received: from mx2.lv8bali.com (unknown [111.68.124.138])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by hotel-smtp.varnion.net (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Fri, 4 Nov 2016 xx:xx:xx +0700 (WIB)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mx2.lv8bali.com (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Thu, 3 Nov 2016 xx:xx:xx -0400 (EDT)
Received: from mx2.lv8bali.com ([127.0.0.1])
by localhost (mx2.lv8bali.com [127.0.0.1]) (amavisd-new, port 10032)
with ESMTP ID: [ID filtered]
Thu, 3 Nov 2016 xx:xx:xx -0400 (EDT)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mx2.lv8bali.com (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Thu, 3 Nov 2016 xx:xx:xx -0400 (EDT)
X-Virus-Scanned: amavisd-new at mx2.lv8bali.com
Received: from mx2.lv8bali.com ([127.0.0.1])
by localhost (mx2.lv8bali.com [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP ID: [ID filtered]
Thu, 3 Nov 2016 xx:xx:xx -0400 (EDT)
Received: from [127.0.0.1] (unknown [172.16.10.19])
by mx2.lv8bali.com (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Thu, 3 Nov 2016 xx:xx:xx -0400 (EDT)


Datum: 02.11.2016Guten Tag xxxxx [at] xxxxx.de,
aufgrund Aufgrund der steigenden Terrorgefahren und erhöhten
Betrugsversuchen, hat Volksbanken Raiffeisenbanken die &bdquo;Kenn
deinen Kunden“ Strategie eingeführt. In regelmäßigen Abständen werden
ihre persönlichen Daten erneut abgefragt um auf diesem Wege sicher
zustellen, das Sie der rechtmäßige Eigentümer des Kundenkontos sind.Über
den unten angezeigt Button gelangen sie direkt zur erneuten Eingabe
Ihrer persönlichen Daten,Bitte achten Sie auf die korrekte Schreibweise
und die Vollständigkeit Ihrer Daten. Sollten die angegebenen Daten nicht
mit den bei uns hinterlegten übereinstimmen, sind wir dazu verpflichtet
ihr Konto bis zur Verifikation ihrer Person über den Postweg zu sperren.

http://asd827857563596077890625454609528.abusturkiye.com/TR/images/.x/index.php

Vielen Dank für Ihr Verständnis in dieser Angelegenheit. Dies ist eine
automatisch versendete Nachricht.Bitte antworten Sie nicht auf dieses
Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

IP: 94.103.34.130 ---> gnx.globalnetserver.net (Türkei)

kjz1
06.11.2016, 15:47
Und wieder dieselben Gauner, Wordpress gecrackt:

Received: from tbdns05.toyota-boshoku.co.jp ([202.245.96.205]) by
mx-ha.gmx.net (mxgmx011 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [127.0.0.1] (unknown [10.2.253.204]) by tbdns05.toyota-boshoku.co.jp (Postfix) with ESMTP ID: [ID filtered]


Diese Nachricht hat eine hohe Prioritätsstufe. Datum: 05.11.2016
Volksbanken RaiffeisenbankenAktueller Sicherheitshinweis: Sehr
geehrte/r kunde, Grüße von Ihrer Volksbanken Raiffeisenbanken! Wir haben
festgestellt, dass Sie Ihre persönlichen Daten bis heute nicht bestätigt
haben. Um Ihnen weiterhin einen sicheren Service anbieten zu können, ist
die Bestätigung Ihrer persönlichen Daten notwendig. Ihr Nutzerkonto
wurde temporär gesperrt. Nach Abschluss der Bestätigung wird Ihr
Nutzerkonto automatisch freigeschaltet.Die Bestätigung können Sie über
den unten ausgeführten Button starten. Kommen Sie dieser E-Mail
innerhalb 14 Tagen nicht nach, ist die Freischaltungnur über den Postweg
möglich. Dabei wird eine Bearbeitungsgebühr in Höhe
von79,95&euro;fällig, welche wir anschließend von Ihrem Konto abbuchen
werden.

http://asd760132373724811316631103878167.swimacademy.co.za/images/smilies/.x/index.php

Wir bitten Sie die Umstände zu entschuldigen und bedanken uns bei Ihnen
für Ihr Verständnis. Mit freundlichen Grüßen Ihre Volksbanken
Raiffeisenbanken Dies ist eine automatisch versendete Nachricht.Bitte
antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur
Versendung von E-Mails eingerichtet ist.

IP: 154.66.196.17 ---> host1.bizitdns.com/DOM-CLOUD-196

weiter auf:

http://www.meine-vrbank.de.ptlweb.webportal.bankid.7569.trackid.piwikb7c1868dd7ca9c57.ceb725083b3 d16b17ae2e59b0f8e5ab4.beaucience.co.za/wp-includes/images/smilies/.x/vr/f1747d6b0fd9d439f81450117eba3725.html

IP: 41.185.29.168 ---> WEBAFRICA

kjz1
20.11.2016, 15:39
Wieder dieselben Ganoven:

Received: from bc1.fsmtc.fm ([119.252.116.147]) by mx-ha.gmx.net (mxgmx013
[212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from smtp.fm (smtp.fm [119.252.116.169]) by bc1.fsmtc.fm with
ESMTP ID: [ID filtered]
+1100 (PONT)
Received: from localhost (unknown [119.252.117.234])
by smtp.fm (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Sat, 19 Nov 2016 xx:xx:xx +1100 (PONT)
Received: from Spooler by localhost (Mercury/32 v4.62) ID: [ID filtered]
19 Nov 2016 xx:xx:xx +1100
Received: from spooler by localhost (Mercury/32 v4.62); 19 Nov 2016
xx:xx:xx +1100
Received: from [127.0.0.1] (92.247.36.182) by pchc (Mercury/32 v4.62)
with ESMTP ID: [ID filtered]

IP: 92.247.36.182 ---> mobiltel.bg (Bulgarien, daher weht also der Wind)


Guten Tag xxxxx, Die EU-Verordnung ьber elektronische
Identifizierung und Vertrauensdienste (eIDAS-Verordnung) schafft
einheitliche Sicherheitsbedingungen fьr die grenzьberschreitende Nutzung
elektronischer Daten. Im Rahmen dieser Verordnung ist Volksbanken
Raiffeisenbanken dazu verpflichtet ihre persцnlichen Daten erneut zu
ьberprьfen, um sicherzustellen das Sie der rechtmдЯige Eigentьmer des
Kundenkontos sind. Bitte achten sie wдhrend der Ьberprьfung auf die
fehlerfreie Eingabe ihrer Daten, sollten Ihre Eingabe mit den bei uns
hinterlegten Informationen nicht ьbereinstimmen,sind wir dazu
verpflichtet Ihr Kundenkonto zu sperren.

http://asdudl87uc4g6jtsfy2tgldruloyycfpd.zosterops168.lovein.tw/bbs/images/images/smilies/wan/.x/index.php

IP: 104.143.9.6 ---> Versaweb, LLC

weiter auf:

http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1867dd7ba9c57.6961c80b25c 0b60c724a293684b3441c.tomorrowcreative.co.za/.x/vr/61bdf049525b7d4c2cf79257ec7c2c56.html

IP: 197.189.202.71 ---> emerald.lusion.co.za/Hetzner

Hetzner jetzt also auch mit Niederlassung in Südafrika. Wie praktisch, denn da beissen sich deutsche Strafverfolgungsbehörden die Zähne aus...

kjz1
13.12.2016, 08:56
Ein neuer Anlauf, wieder mit dem richtigen Namen (stat xxx):

Received: from mout.kundenserver.de ([212.227.126.134]) by mx-ha.gmx.net
(mxgmx104 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
for <xxxxx>; Mon, 12 Dec 2016 xx:xx:xx +0100
Received: from VMF02169CQ ([82.165.77.203]) by mrelayeu.kundenserver.de
(mreue005 [212.227.15.167]) with ESMTPSA (Nemesis) id
0M7Fcg-1cb5Pl003S-00x3Lc for <xxxxx> Mon, 12 Dec 2016 xx:xx:xx +0100

gecrackt: muvezki9191 [at] online.de


Mehr Sicherheit mit unserem Online-Banking


Sehr geehrte/r xxx,

Um einen optimalen Schutz vor Missbrauch zu bieten, folgen Sie dazu den
weiteren Schritten und beachten Sie, dass sie verpflichtet sind den
Aufforderungen unserer Mitarbeiter nachzukommen.

Anderfalls können Sie bei möglich entstanden Schäden die durch Dritte
verursacht wurden, haftbar gemacht werden. Mit unserem neusten
Sicherheitssystem und den neuen AGB`s (gültig ab dem 01. Januar 2017)
genießen sie unseren optimalen Schutz vor Missbrauch.

Fortfahren

geklautes Bild: http://i.imgur.com/Q1PRkE4.jpg

http://bit.ly/2hneSq5

weiter auf:

http://serviceguard-aktualisierung-sepa.ru/quality/agbs/faq/gfjfgk

'gehostet' auf einem Botnet in Russland/Ukraine.

Wuschel_MUC
13.12.2016, 10:10
Ein neuer Anlauf, wieder mit dem richtigen Namen
Geht dein bürgerlicher Name aus deiner E-Mail-Adresse hervor? Wenn nein und wenn du tatsächlich ein Volksbank-Konto hast, solltest du das der Bank mitteilen.

Wuschel

kjz1
13.12.2016, 10:19
Die Daten stammen aus einem anderen (größeren) Crack und scheinen seitdem auf dem Schwarzmarkt zu kursieren (und wurden auch schon bei Muli-Spams verwendet). Und ein Konto bei der betreffenden Bank besitze ich auch nicht. Traurig zu sagen, aber eine Aussage, die ich mal gelesen habe, scheint sich mehr und mehr zu bewahrheiten: jede Datenbank wird gecrackt, es ist nur eine Frage des Aufwandes und des Wann.

kjz1
20.12.2016, 20:18
Die Ganoven nehmen sich wieder mal die Volksbank vor:

Received: from NAM01-SN1-obe.outbound.protection.outlook.com
([104.47.32.236])
by mx-ha.gmx.net (mxgmx009 [212.227.15.9]) with ESMTPS (Nemesis) id
0M6eQu-1cXll11eLc-00wVF3 for <xxxxx>; Tue, 20 Dec 2016 xx:xx:xx +0100
Received: from BN3PR03CA0112.namprd03.prod.outlook.com (10.174.66.30) by
BN1PR0301MB0740.namprd03.prod.outlook.com (10.160.78.147) with
Microsoft SMTP
Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.789.14; Tue, 20 Dec 2016 xx:xx:xx +0000
Received: from BL2FFO11FD041.protection.gbl (2a01:111:f400:7c09::146) by
BN3PR03CA0112.outlook.office365.com (2603:10b6:400:4::30) with
Microsoft SMTP
Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.771.8 via Frontend Transport; Tue, 20 Dec 2016 xx:xx:xx +0000
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning
conacyt.mx discourages use of 148.207.158.210 as permitted sender)
Received: from psvantispam.institutomora.edu.mx (148.207.158.210) by
BL2FFO11FD041.mail.protection.outlook.com (10.173.161.137) with Microsoft
SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) ID: [ID filtered]
Frontend Transport; Tue, 20 Dec 2016 xx:xx:xx +0000
Received: from PSVCASMBX2.institutomora.edu.mx ([10.1.1.100])
by psvantispam.institutomora.edu.mx (SonicWALL 8.2.1.4973)
with ESMTPS (version=TLSv1.2 cipher=ECDHE-RSA-AES256-SHA384 bits=256/256)
ID: [ID filtered]
Received: from PSVCASMBX2.institutomora.edu.mx (10.1.1.100) by
PSVCASMBX2.institutomora.edu.mx (10.1.1.100) with Microsoft SMTP Server
(TLS)
ID: [ID filtered]
Received: from psvantispam.institutomora.edu.mx (10.1.1.210) by
PSVCASMBX2.institutomora.edu.mx (10.1.1.100) with Microsoft SMTP Server id
15.0.1076.9 via Frontend Transport; Tue, 20 Dec 2016 xx:xx:xx -0600
Received: from [127.0.0.1] ([91.83.100.169])
by psvantispam.institutomora.edu.mx (SonicWALL 8.2.1.4973)
with ESMTP ID: [ID filtered]

X-Mlf-Connecting-IP: 91.83.100.169 ---> INVITEL, HU
X-Mlf-Country-Code: HU

Anscheienend kann man sich in Mexiko keinen eigenen Mailserver leisten und muss MS zur Hilfe nehmen.


Mehr Sicherheit mit unserem Online-Banking Sehr geehrte/r xxxxx, wir
möchten Sie freundlichst auf die anstehende Aktualisierung Ihrer
Nutzerdaten hinweisen. Wir haben unsere Sicherheitsstandards erhöht und
aus diesem Grund ist eine Aktualisierung Ihrer Nutzerdaten bei der
Volksbank notwendig. Diese Aktualisierung ist zu Gunsten Ihrer
Sicherheit unumgänglich! Die Aktualisierung starten Sie über den unten
ausgeführten Button:

http://asd0roqn0k8oid6eebjebjxln99obujsl.diyainsaat.com.tr/images/manto/.x/index.php

——————————————————————————-Bitte
führen Sie alle notwendigen Schritte vollständig durch. Anschließend
werden Sie auf die Hauptseite weitergeleitet und können wie gewohnt
fortfahren. Beachten Sie bitte, dass diese Aktualisierung binnen 14
Tagen durchgeführt werden muss. Ansonsten können Bearbeitungsgebühren
anfällig werden, zwecks manueller Durchführung. Wir bedanken uns bei
Ihnen für Ihr Verständnis. Mit freundlichen GrüßenIhre Volksbank AG

IP: 87.251.2.80 ---> mail.doganataweb.net

weiter auf:

http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1867dd7ba9c57.76f778e08bc 890c4b2cf34126b83c52f.programsadap.com/images/.x/vr/d74cb35426f3d808325876f45b69dbf1.html

IP: 67.222.111.93 ---> vps5.garuda.solindohost.com

kjz1
09.02.2017, 16:25
neuer Anlauf:

Received: from mail.itstandart.spb.net ([188.93.244.10]) by mx-ha.gmx.net (mxgmx109 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (localhost [127.0.0.1]) by mail.itstandart.spb.net (Postfix) with ESMTP ID: [ID filtered]
Received: from mail.itstandart.spb.net ([127.0.0.1]) by localhost (mail.itstandart.spb.ru [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID filtered]

IP: 188.93.244.10 ---> mail.itstandart.spb.ru

http://de4tnr8isxjlxsd9hrugkpuom34h5t0v.fdfsdfds.uc.com.tr/7vc/.x/index.php

IP: 80.93.217.194 ---> static-80-93-217-194.fibersunucu.com.tr

weiter auf:

http://monitoreosserpram.cl/......

IP: 190.96.85.31 ---> lufy8531.planetahosting.cl/GRUPOGTD

kjz1
10.02.2017, 11:47
Und wieder dieselben Gauner:

Received: from mail2.aspan.kz ([217.11.64.234]) by mx-ha.gmx.net (mxgmx012
[212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
Received: from [127.0.0.1] (unknown [80.75.100.91])
by mail2.aspan.kz (Postfix) with ESMTPA ID: [ID filtered]

http://deewbpfrnqwhhwnz5jgnlxdonmmrwiqo.fdfsdfds.sweptaway.com.au/images/.x/index.php

IP: 223.130.27.125 ---> c1s2-2e-mel.hosting-services.net.au

weiter auf:

http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1887dd7be9c57.873fb4c9c23 652a06854c8d44697f9e7.fahrradbau.ch/websitemap/.x/vr/6fe131632104526e3a6e8115c78ec1e1.html

IP: 5.189.172.7 ---> host07.bomm.ch

mephistopheles
20.02.2017, 15:00
Jetzt spammt ein Minimalist


Sehr geehrte xyz [at] t-offline,de,

Alle Volksbanken Raiffeisenbanken - Konten wurden aktualisiert. Ihr Konto ist gesperrt.
So bleibt es, dem Link zu folgen, um Ihr Konto zu reaktivieren:
s68b03i5rf0rdh05i47kk87zhqzaak

Klick hier
t3i1b8z2ea2h9lhbxtmvrksbh9mx3j
Vielen Dank,

From - Mon Feb 20 xx:xx:xx 2017
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <test [at] portmann.org>
Received: from mailin56.aul.t-online.de ([172.20.27.5])
by ehead412.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Mon, 20 Feb 2017 xx:xx:xx +0100
Received: from angelion.portmann.org ([89.238.67.174]) by mailin56.aul.t-online.de
with esmtp ID: [ID filtered]
Received: from [127.0.0.1] (unknown [80.75.100.91])
(Authenticated sender: test [at] portmann.org)
by angelion.portmann.org (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 20 Feb 2017 xx:xx:xx +0100 (CET)
From: Volksbank Raiffeisenbanken =?UTF-8?B?S29udG9wcsO8ZnVuZw==?=
<test [at] portmann.org>
Content-Type: multipart/alternative;
boundary="Apple-Mail-F4157073-662A-F52C-DE2F-F8665BA760C1"
Mime-Version: 1.0 (1.0)
Subject: Neue =?UTF-8?B?U2ljaGVyaGVpdHNtYcOfbmFobWUs?= wir bitte um Ihre
Mithilfe : 984464431235486
Message-ID: [ID filtered]
Date: Mon, 20 Feb 2017 xx:xx:xx +0200
To: poor [at] spamvictim.tld
X-Mailer: iPhone Mail (13E238)
X-TOI-SPAM: n;1;2017-02-20Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false

nach dem Klck geht es zu http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1867dd7ba9c57.80d83b7ca59 1df16eb96ebeb54cba7ec.tokkyojimusho.org/wp-includes/images/smilies/.x/vr/*schnippelschnappel*.html

truelife
28.02.2017, 09:14
Hier auch eingeschlagen:


Sehr geehrte ***@***.**,

Alle Volksbanken Raiffeisenbanken - Konten wurden aktualisiert. Ihr Konto ist gesperrt.
So bleibt es, dem Link zu folgen, um Ihr Konto zu reaktivieren:p2see5gs7v9120dx6egwk9o7kbg6rv
y2fvnw5gw6otwdkzz8y2px0qxgt6vl

Klick hier
dp0so71d6ueog1nlg8gqvux85e1eid
Vielen Dank,
lnpz09s0fgaxg7jo300l9v5vlksix8
0a2ehs3rtiaekp4kq0rcgrky26xlpj

Interessant ist der Buchstabenschrott dazwischen, die mit weißen Buchstaben auf weißen Hintergrund geschrieben wurde.

Phishky phisht via https://bit.ly/2mF8uMH auf http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1867dd7ba9c57.7400631231d e1407198c43d2274a56a5.mohammadbinabdullah.com/etsel/.x/vr/c3992e9a68c5ae12bd18488bc579b30d.html

Return-Path: <test [at] nya.cat>
Received: from deckard.agarwaen.net ([91.224.149.220]) by mx-ha.gmx.net (mxgmx013 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (localhost [127.0.0.1]) by deckard.agarwaen.net (Agarwaen.net SMTP server) with ESMTP ID: [ID filtered]
X-Virus-Scanned: Debian amavisd-new at deckard.agarwaen.net
Received: from deckard.agarwaen.net ([127.0.0.1]) by localhost (deckard.agarwaen.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID filtered]
Received: from [127.0.0.1] (217198146052-host.zednet.nu [217.198.146.52]) by deckard.agarwaen.net (Agarwaen.net SMTP server) with ESMTPA ID: [ID filtered]
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=nya.cat; s=mail; t=1488269143; bh=xFMM73dMEagkWR52RZedLdY6PSZqfbWDVY/+52x9rKs=; h=To:From:Subject:Date:From; b=iZ5jj2mfz5HcdzD4L4dMKeIguPaspbXQDA++Mbr3FgQrApXAkRPH0juag4O88xk/y hF0l0c24YYb6vBmI6byQJqORfHlxjvZDelqe5KR6IVnKAFzxPVS92Esd8vLmiZfaMG sr/NG40sJXkeBkO8ihcg0Ldj8y5eFz2yNDnmC4+4=
To: ***
From: Volksbank Raiffeisenbanken =?UTF-8?B?S29udG9wcsO8ZnVuZw==?= <test [at] nya.cat>
Subject: Neue =?UTF-8?B?U2ljaGVyaGVpdHNtYcOfbmFobWUs?= wir bitte um Ihre Mithilfe : 492905315922502
Message-ID: [ID filtered]
Date: Tue, 28 Feb 2017 xx:xx:xx +0100
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:38.0) Gecko/20100101 Thunderbird/38.2.0
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="------------989816733646164143407482"
Envelope-To: <***>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

kjz1
28.02.2017, 11:16
Es dürfte sich wohl um dieselben Ganoven handeln: die Verwendung von Zufallsstrings, um den Bayes-Filter zu verwirren in der Kombination mit Piwik zur Auswertung:

https://de.wikipedia.org/wiki/Piwik

mephistopheles
16.03.2017, 12:07
hier scheint aber Einer noch zu üben.
- schlechtes Deutsch
- Anrede mit Mail-Addy
- kein Logo, reine html-Mail

From - Thu Mar 16 xx:xx:xx 2017
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <SRS0=5AEHyN=2Z=chericolaw.com=admin [at] eigbox.net>
Received: from mailin57.aul.t-online.de ([172.20.27.6])
by ehead412.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Thu, 16 Mar 2017 xx:xx:xx +0100
Received: from bosmailout03.eigbox.net ([66.96.189.3]) by mailin57.aul.t-online.de
with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
esmtp ID: [ID filtered]
Received: from bosmailscan11.eigbox.net ([10.20.15.11])
by bosmailout03.eigbox.net with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 16 Mar 2017 xx:xx:xx -0400
Received: from [10.115.3.31] (helo=bosimpout11)
by bosmailscan11.eigbox.net with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 16 Mar 2017 xx:xx:xx -0400
Received: from bosauthsmtp13.yourhostingaccount.com ([10.20.18.13])
by bosimpout11 with
ID: [ID filtered]
X-Authority-Analysis: v=2.1 cv=SZN5d5hu c=1 sm=1 tr=0
a=UH8/iCWBfdUmbm4Ft4Vi3Q==:117 a=f3JsuBpjTDvMEg6mVcm7tw==:17
a=L9H7d07YOLsA:10 a=9cW_t1CCXrUA:10 a=s5jvgZ67dGcA:10 a=6Iz7jQTuP9IA:10
a=9DvhAHx2yrWFMPxQWpQA:9 a=aM8gLu4gAAAA:8 a=ym8DdA9eD3IZLIKW_rkA:9
a=QEXdDO2ut3YA:10 a=q4UH08J_g1cA:10 a=KVN638fA8Ul8LJI940UA:9
a=obsqw5EqefK0cm2E:21 a=_W_S_7VecoQA:10 a=ltXguwzyz4UKhWyt9Mex:22
Received: from [91.112.219.58] (port=53848 helo=[127.0.0.1])
by bosauthsmtp13.eigbox.net with esmtpa (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 16 Mar 2017 xx:xx:xx -0400
From: Volksbank Raiffeisenbanken =?UTF-8?B?S29udG9wcsO8ZnVuZw==?=
<admin [at] chericolaw.com>
Content-Type: multipart/alternative;
boundary="Apple-Mail-1276E1D3-DBCD-A580-AFA2-5B537C3FD3FE"
Mime-Version: 1.0 (1.0)
Subject: Neue Sicherheits, wir bitte um Ihre Mithilfe : 795448709210855
Message-ID: [ID filtered]
Date: Thu, 16 Mar 2017 xx:xx:xx +0100
To: poor [at] spamvictim.tld
X-Mailer: iPad Mail (13E238)
X-EN-UserInfo: f74dcc9e8f8595a7d3e41b8c724648c6:931c98230c6409dcc37fa7e93b490c27
X-EN-AuthUser: admin [at] chericolaw.com
Sender: Volksbank Raiffeisenbanken Kontoprüfung
<admin [at] chericolaw.com>
X-EN-OrigIP: 91.112.219.58
X-EN-OrigHost: unknown
X-TOI-SPAM: n;1;2017-03-16Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <poor [at] spamvictim.tld>

und hier ist das Fake-Formular http://www.meine-vrbank.de.ptlweb.webportal.bankid.7559.trackid.piwikb7c1867dd7ba9c57.5cfb953e3e9 a61303f57699b42634b9a.killerbeads.org/js/.x/vr/8f125da0b3432ed853c0b6f7ee5aaa6b.html

Lieber Phisher, eine VR-Bank mit ID7559 ... gibbet es nicht

Frechdachs
10.07.2018, 08:51
Hallo zusammen,

weiter gehts.


Volksbank - Neue Mitteilung Datum: 10.07.2018
Sehr geehrte Kundin, sehr geehrter Kunde,
wir haben zur höheren Sicherheit und Komfortabilität unsere Sicherheitseinstellungen angepasst und können Ihnen nun ein angenehmeres Erlebnis beim Online-Banking bieten.

Aufgrund der neuen Sicherheitseinstellungen ist nun eine Aktualisierung Ihres Kontos erforderlich, um eventuelle Fehlinformationen und Sicherheitslücken aufzudecken.

Klicken Sie bitte auf den unten stehenden Link, um die Aktualisierung zu starten.
Zur Aktualisierung
Vielen Dank für Ihre Geduld und Ihre Mühen in dieser Angelegenheit.


Mit freundlichen Grüßen,
Ihr Service Team

Wir machen den Weg frei.
Gemeinsam mit den Spezialisten der genossenschaftlichen FinanzGruppe Volksbanken Raiffeisenbanken
Impressum Datenschutz Nutzungsbedingungen AGB Pflichtinformationen Newsletter | Sitemap
Return-path: <7f18de4e.AMwAAA9lZRcAAAAAAAAAAADNMm4AAAAUii4AAAAAAAvQ1gBbQ_lp [at] bnc3.mailjet.com>
Delivery-date: Tue, 10 Jul 2018 xx:xx:xx +0200
Received: from [195.4.92.20] (helo=mx10.freenet.de)
by mbox94.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 10 Jul 2018 xx:xx:xx +0200
Received: from o46.p25.mailjet.com ([185.189.236.46]:59283)
by mx10.freenet.de with esmtps (TLSv1.2:ECDHE-RSA-CHACHA20-POLY1305:256) (port 25) (Exim 4.90_1 #2)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 10 Jul 2018 xx:xx:xx +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; q=dns/txt;
d=anasdma1.win; i=poor [at] spamvictim.tld; s=mailjet;
h=message-id:mime-version:from:to:subject:date:list-unsubscribe:x-csa-complaints:
x-mj-mid:x-mj-smtpguid:x-report-abuse-to:content-type;
bh=O4t7UJi7nUyQTtu4JPTuQIcaxl/wuYqIYRGQLbTgfco=;
b=YZOZwehQBP1OkvmcY+ew0BKAZTnOpFf6XDv7G845y5PzHqjx2YAn3wffl
HVGW7/3Ne1YSeB15t/gScj4gd0HkWO2DS6Mc8KJzSogkyZwMRDdeS6dTKe/P
TfBQcu62YjnJ69iHH14SFqKDtkpk80jAGgi9DkDpzU/UB/B9uydP1A=
Message-ID: [ID filtered]
MIME-Version: 1.0
From: Volksbanken Raiffeisenbanken <info [at] anasdma1.win>
To: "mein-name" <poor [at] spamvictim.tld>
Subject: Neue Sicherheitseinstellungen
Date: Tue, 10 Jul 2018 xx:xx:xx +0200
List-Unsubscribe: <mailto:[UNSUB filtered]@bnc3.mailjet.com>
X-CSA-Complaints: whitelist-complaints [at] eco.de
X-MJ-Mid:
AMwAAA9lZRcAAAAAAAAAAADNMm4AAAAUii4AAAAAAAvQ1gBbQ_lpjrHw8KBPQgK0Kh-Z8XbK9wAL5TU
X-MJ-SMTPGUID: [UID filtered]
X-REPORT-ABUSE-TO: Message sent by Mailjet please report to
poor [at] spamvictim.tld with a copy of the message
Content-Type: multipart/alternative;
boundary="=_R4ZdIAVSH5vkBDRmBvPxPWDnKYb7D8Di"
X-Warning: 185.189.236.46 is listed at csa.dnsbl.freenet.de
X-Spam-score: -1.9
X-Spamreport: Action: no action
Symbol: NEURAL_HAM(-2.99)
Symbol: IP_SCORE(0.07)
Symbol: R_SPF_ALLOW(-0.20)
Symbol: FN_FUZZY_PROB(1.33)
Symbol: RCPT_COUNT_ONE(0.00)
Symbol: HAS_LIST_UNSUB(-0.01)
Symbol: MIME_GOOD(-0.10)
Symbol: TO_MATCH_ENVRCPT_ALL(0.00)
Symbol: RCVD_COUNT_ONE(0.00)
Symbol: DKIM_TRACE(0.00)
Symbol: FREEMAIL_TO(0.00)
Symbol: FORGED_SENDER(0.30)
Symbol: TO_DN_ALL(0.00)
Symbol: ASN(0.00)
Symbol: FREEMAIL_ENVRCPT(0.00)
Symbol: FROM_NEQ_ENVFROM(0.00)
Symbol: R_DKIM_ALLOW(-0.20)
Symbol: RCVD_TLS_ALL(0.00)
Symbol: RBL_CSA(0.00)
Symbol: FROM_HAS_DN(0.00)
Symbol: DMARC_POLICY_ALLOW(-0.25)
Symbol: BAYES_HAM(-0.87)
Symbol: URI_COUNT_ODD(1.00)
Message: (SPF): spf allow
Message-ID: [ID filtered]
X-FN-Spambar:
Delivered-To: poor [at] spamvictim.tld
Envelope-to: poor [at] spamvictim.tld
X-Originated-At: 185.189.236.46!59283
X-Antivirus: Avast (VPS 180709-2, 09.07.2018), Inbound message
X-Antivirus-Status: Clean

This is a multi-part message in MIME format

--=_R4ZdIAVSH5vkBDRmBvPxPWDnKYb7D8Di
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Der Kurzlink führt zu einer gefälschten Volksbankseite.
https://weltsehen.site/link/?l=xxxxxx

Mindgespammt
02.03.2019, 21:18
Return-Path: <info [at] realproduction.de>
Received: from smtprelay08.ispgateway.de ([134.119.228.106]) by ...
with ESMTPS (Nemesis) ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 27 Feb 2019 xx:xx:xx +0100
Received: from [134.255.216.199] (helo=vps-zap379422-9.zap-srv.com)
by smtprelay08.ispgateway.de with esmtpa (Exim 4.90_1)
(envelope-from <info [at] realproduction.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 27 Feb 2019 xx:xx:xx +0100
From: "Volksbank" <info [at] realproduction.de>


IP 134.119.228.106 = domainfactory GmbH, Ismaning
IP 134.255.216.199 = ZAP-Hosting GmbH & Co., Münster

Text, Einstellungvereinfachtes HTML


Kundenservice

Sehr geehrte/r Frau/Herr Vorname Nachname,

wir konnten Sie leider telefonisch am 26.02 um 15:00 Uhr wiederholt nicht erreichen.

Wir müssen Sie deshalb letztmalig auffordern, Ihre Handynummer zu aktualisieren. Die ist notwendig um den geltenden Datenschutzrichtlinien zu entsprechen.

Bitte nehmen Sie sich die Zeit, um ein eventuelles in Kostenstellen von weiterem Schriftverkehr zu vermeiden. Es dauert nur wenige Minuten und erspart Ihnen weitere Diskrepanzen.

Aktuellen Kontaktdaten:

PLZ Ort
Straße Hausnummer

Zum Online Abgleich: Hier

Sollten Sie Fragen haben, rufen Sie und an oder besuchen Sie und in der nächstgelegenen Filiale

Wir bitten um Ihr Verständnis
Kerstin Schmidt


Haus mit Garten sucht Sie

Lange Zinssicherheit und Flexibilität wünschen sich alle Bauherren für ihre Immobilienfinanzierung. Ihre Volksbank eG bietet Ihnen eine Finanzierung zum Wohlfühlen, die zu Ihren Bedürfnissen passt. Nutzen Sie für Ihre Immobilienfinanzierung das Sonderprogramm der MünchenerHyp vom 15. Februar bis 31. März 2019 und profitieren Sie dabei von besonders günstigen Top-Konditionen

Förderberechtigung prüfen.

Diese E-Mail wurde verschickt an und ist ein Service für die Mitglieder der Volksbank eG. Sie erhalten unsere aktuellen Informationen niemals unverlangt.

In Reiner Text nennt sich das verständnisheischende Individuum Hannelore Petry.

Der Abgleich geht zu
googl-search.info/VLKS1KS

Förderberechtigung prüfen geht zu
https://news.volksbank-fntt.de/-link/schnapp

Ein Tracking-Pixel ist auch enthalten
https://news.volksbank-fntt.de/-open2/schnapp


Unnötig zu erwähnen, dass ich nie etwas mit der Volksbank zu tun hatte.
Bedenklich ist, dass die Bande nicht nur den vollständigen Namen sondern auch die Adresse hat

schara56
03.03.2019, 05:36
...] Der Abgleich geht zu
googl-search.info/VLKS1KS [...Der Phish scheint sich aber schon im Prozess der Verwesung zu befinden.

kjz1
19.04.2019, 13:24
Auch die VR Bank ist mal wieder dran:

Received: from mail.tychydis.com.pl ([109.95.203.242]) by mx-ha.gmx.net
(mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
for <x>; Thu, 18 Apr 2019 xx:xx:xx +0200
Received: from 212.114.52.122 (unknown [212.114.52.122])
by mail.tychydis.com.pl (e.leclerc) with ESMTP ID: [ID filtered]
for <x>; Thu, 18 Apr 2019 xx:xx:xx +0200 (CEST)

gecrackt: jszabla [at] tychydis.com.pl

Die Schadlast besteht aus zusammengefrickelten Bildchen:

https://i.imgur.com/mxyqwu2.png
https://i.imgur.com/qKSc01N.png
https://i.imgur.com/CjgUFQH.png
https://i.imgur.com/w89P6Ea.png

Man hat eigens eine Redirect-Domain erstellt:

http://redirect09243092348.de
IP: 162.210.70.23 ---> 162.210.70-23.publicdomainregistry.com

guenni
02.05.2019, 14:45
Anscheinend läuft das Geschäft der Phishkies doch nicht so recht und deshalb haben diese angeblich ihre Betrugssyteme aufgerüstet.

Zitat:

Guten Tag (Name wie Email- Adresse)
Aufgrund einer aktuell anschwellenden Betrugswelle haben wir unsere Betrugssyteme erweitert und verstärkt.

Weiter mit einer Drohkulisse und Aufforderung zur Bestätigung über Button, wie üblich.

Texte wurden als Bilddatei hinterlegt
Ausserdem, wieso soll ich Daten verifizieren, die die VR- Bank gar nicht haben kann? Offensichtlicher geht nicht mehr.


Gruß Guenni

Frechdachs
02.05.2019, 15:05
Anscheinend läuft das Geschäft der Phishkies doch nicht so recht und deshalb haben diese angeblich ihre Betrugssyteme aufgerüstet.

Zitat:

Guten Tag (Name wie Email- Adresse)
Aufgrund einer aktuell anschwellenden Betrugswelle haben wir unsere Betrugssyteme erweitert und verstärkt.

Weiter mit einer Drohkulisse und Aufforderung zur Bestätigung über Button, wie üblich.

Texte wurden als Bilddatei hinterlegt
Ausserdem, wieso soll ich Daten verifizieren, die die VR- Bank gar nicht haben kann? Offensichtlicher geht nicht mehr.


Gruß GuenniDie sind wenigstens ehrlich.:devil:

gerste
02.05.2019, 18:13
Ich habe in Deutschland keine "Volksbank" oder "Raiffeisenbank" oder "Volks- und Raiffeisenbank" gefunden, genausowenig wie eine "Sparkasse".
Mene ersten erhaltenen Bank-Phishingmails verlangten die Eingaben meiner Daten bei "Bank of America" und "Wells Fargo Bank". Obwohl ich Kunde einer "Bank" (in Deutschland, nicht "der Bank") war, konnte ich aber keine eigenen Zugangsdaten für diese amerikanischen Banken finden :( und damit wurden meine angeblichen Konten dort sicherlich kurze Zeit später gesperrt. Da ich aber nie eine Aufforderung der IRS erhalten habe endlich mal meine US-amerikanische Steuererklärung abzugeben, dürfte sich mein durch die Unfähigkeit auf mir völlig unbekannte Konten bei nur dem Namen nach bekannten Banken zugreifen zu können entstandener Verlust in engen Grenzen gehalten haben.

kjz1
13.05.2019, 08:54
Wieder dieselben Ganoven:

Received: from EUR04-HE1-obe.outbound.protection.outlook.com ([40.107.7.44])
by mx-ha.gmx.net (mxgmx014 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from AM5EUR03FT060.eop-EUR03.prod.protection.outlook.com
(2a01:111:f400:7e08::206) by DB7PR03CA0051.outlook.office365.com
(2603:10a6:5:2a::28) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) ID: [ID filtered]
Transport; Sun, 12 May 2019 xx:xx:xx +0000
Received-SPF: Fail (protection.outlook.com: domain of imprimerie-rollin.com
does not designate 5.39.233.150 as permitted sender)
receiver=protection.outlook.com; client-ip=5.39.233.150;
helo=mailhost.imprimerie-rollin.com;
Received: from mailhost.imprimerie-rollin.com (5.39.233.150) by
AM5EUR03FT060.mail.protection.outlook.com (10.152.16.160) with
Microsoft SMTP
Server ID: [ID filtered]
+0000
Received: from 95.168.191.85 ([95.168.191.85])
(authenticated user gladys [at] imprimerie-rollin.com)
by mailhost.imprimerie-rollin.com (Kerio Connect 8.3.1)
for x;
Sun, 12 May 2019 xx:xx:xx +0200

IP: 95.168.191.85 -> Leaseweb, hier einschlägig als Schwarzhut bekannt

gecrackt: gladys [at] imprimerie-rollin.com

https://i.imgsafe.org/87/877d143a4c.png
https://i.imgsafe.org/87/877d14468b.png
https://i.imgsafe.org/87/877d1ce829.png

wieder eigene Redirect Domain:

http://redirect3204949.de
IP: 162.215.252.78 ---> 162-215-252-78.unifiedlayer.com/Public Domain Registry

auf:

http://vr-hilfe-online.com
IP: 104.18.59.122 ---> Cloudflare

Arthur
13.05.2019, 09:19
http://vr-hilfe-online.com
IP: 104.18.59.122 ---> Cloudflare
Fiefox mag den Müll nicht

Betrügerische Website blockiert
Firefox hat diese Seite blockiert, da sie versuchen könnte, Sie mittels Tricks dazu zu bringen, Software zu installieren oder persönliche Informationen wie Passwörter oder Kreditkarteninformationen preiszugeben.

Mindgespammt
01.06.2020, 11:25
Sorry, ich hatte zu spät gesehen, dass es noch einen neueren Fred gibt, hier
https://www.antispam-ev.de/forum/showthread.php?8623-Volksbank-Phishing/page53&
und ich weiß nicht, wie ich meinen Text komplett löschen kann

Mindgespammt
01.06.2020, 11:34
Return-Path: <mailer [at] 486917032-45.email>
Received: from rdns197.437015296-35.email ([181.214.213.68]) by ...
for <poor [at] spamvictim.tld>; Mon, 01 Jun 2020 xx:xx:xx +0200
From: "Volksbanken und Raiffeisenbanken e.V." <mailer [at] 486917032-45.email>

IP 181.214.213.68 = Digital Energy Technologies Limited Brasilien, Server in Chile

Der Text fängt so an


Gebet mehr als alles? Die schöne, sanfte, muntere und immer Wahlheim, das diese Seltenheiten hervorbringt. Es war der herrlichste Sonnenaufgang. Der tröpfelnde Wald und Gebirg erklang; und ich will mich bessern, will nicht mehr heiraten, und aus völkerrechtlicher Sicht identische Staatliche Gemeinschaft Serbien und.

Der Link geht zu
a4ok.nl
das hat IP 176.121.14.133 = Flowspec LTD, Belize

Arthur
01.06.2020, 11:37
Passagen von Goethe geklaut und gemixt mit selbst kreiertem Schrott.

Die schöne, sanfte, muntere und immer Wahlheim, das diese Seltenheiten hervorbringt.
....
Es war der herrlichste Sonnenaufgang. Der tröpfelnde Wald und Gebirg erklang;

PS: Nu ist das Zitat wech...

Arthur
01.06.2020, 15:38
Sorry, ich hatte zu spät gesehen, dass es noch einen neueren Fred gibt, hier
https://www.antispam-ev.de/forum/showthread.php?8623-Volksbank-Phishing/page53&
Beginnen beide fast gleichzeitig in 2005...

schara56
01.06.2020, 20:01
Beginnen beide fast gleichzeitig in 2005...Z'am babbt.

Arthur
02.06.2020, 11:17
Volksbank und Sparkassen Phishing gehört zu den zählebigsten, (Start 2005 bzw 2006)
längsten Threads und meistgelesenen Themen im Forum.

Aliena2020
19.11.2020, 21:49
Volksbank-Phishing:

Also die Typen genieren sich noch nicht mal mehr....
Russian Federation Moscow Ooo Freenet Group
ASN Russian Federation AS202423 MGNHOST-AS, RU (registered May 17, 2018)
Resolve Host rentdiamondbeach.net
Whois Server whois.ripe.net
IP Address 193.233.149.171

schara56
20.11.2020, 05:51
@Aliena2020
Ein Header ist dann fast noch interessanter, als die beworbene Phishing-Domain.
Kannst Du den Header noch Posten?

Aliena2020
20.11.2020, 11:18
da isser:
Return-Path: <billing [at] rentdiamondbeach.net>
Received: from rentdiamondbeach.net ([193.233.149.171]) by mx.kundenserver.de
(mxeue109 [217.72.192.67]) with ESMTP (Nemesis) ID: [ID filtered]
for <meineEmail>; Thu, 19 Nov 2020 xx:xx:xx +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=mail; d=rentdiamondbeach.net;
h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type;
i=billing [at] rentdiamondbeach.net;
bh=bsu7S/VgPdOwpEAnx8E0B/cjotqYe7qLsPJZKqsDDTY=;
b=n42gh0vnRd7XEIwlXbO95AabI42BiYIOJ4w7CHXfnTQgy4ox4czOJn1xDvDNc5sWOXH2hed+d9Ls
l+qCgLTn8SKLJjCTDyfqNjftMPF+8o7O7qh26MBYb28+YDZJzTUX7B2HPQi4BpbmubDOQZtJ7S6N
Ss/xC3yly80DbrTqmt0=
Message-ID: [ID filtered]
From: KundenService <billing [at] rentdiamondbeach.net>
To: MeinName
Subject: | Ihre Volksbank |
Date: Thu, 19 Nov 2020 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="x"
Envelope-To: <MeinName>
X-Spam-Flag: YES