PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Volksbank-Phishing



Seiten : [1] 2 3

homer
04.08.2005, 08:33
Return-Path: <custservice_id_75015115762 [at] volksbank.de>
Received: from 12-208-89-117.client.insightbb.com (12.208.89.117) by 0 with
SMTP; 4 Aug 2005 xx:xx:xx -0000
FCC: mailbox://custservice_id_75015115762 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Thu, 04 Aug 2005 xx:xx:xx +0400
From: Volksbanken Raiffeisenbanken <custservice_id_75015115762 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: x [at] x.x
Subject: DIE WICHTIGE MITTEILUNG [Thu, 04 Aug 2005 xx:xx:xx +xxxx]
Bescammt wird http://219.149.236.116/rpm/, das hinter einem Bildlein als Map liegt. Der Text im Bild ist das übliche Scammer-Deutsch.

spinne
05.08.2005, 11:02
ganz frisch eingetroffen ;)


Return-Path: <custservice_470 [at] volksbank.de>
Authentication-Results: mta169.mail.mud.yahoo.com from=volksbank.de; domainkeys=neutral (no sig)
Received: from 83.133.49.117 (EHLO dd6816.kasserver.com) (83.133.49.117) by mta169.mail.mud.yahoo.com with SMTP; Thu, 04 Aug 2005 xx:xx:xx -0700
Received: by dd6816.kasserver.com (Postfix, from userID: [ID filtered]
Received: from 61-229-70-225.dynamic.hinet.net (61-229-70-225.dynamic.hinet.net [61.229.70.225]) by dd6816.kasserver.com (Postfix) with SMTP ID: [ID filtered]
FCC: mailbox://custservice_470 [at] volksbank.de/Sent
X-Identity-Key: id1
Datum: Fri, 05 Aug 2005 xx:xx:xx +0300
Von: "Volksbanken Raiffeisenbanken AG" <custservice_470 [at] volksbank.de> Zum Adressbuch hinzufügen
X-Accept-Language: en-us, en
MIME-Version: 1.0
An: meineadresse
Betreff: DIE WICHTIGE INFORMATION
Content-Type: multipart/related; boundary="------------040904010503050302060007"
Message-Id: <20050805064128.6C75DB9FD9 [at] dd6816.kasserver.com>


text kann ich nicht reinkopieren, da es (mal wieder) nur n bild ist ;)

link: http://219.150.180.138/rpm/

*mal ausfüllen geh*

uuups, ich seh grad, das thema gabs schon gestern... sry für neueröffnung

Fidul
05.08.2005, 15:45
Threads zusammengeführt. ;)

Catcher
05.08.2005, 17:12
Anzuklickendes Bild:
http://www.picsup.net/img.php/8a1defb375ff60e91ce0432b312dfbf8.jpg


Quelltext der Webseite:

<html><p><font face="Arial"><A HREF="http://www.volksbank.de/__C1256B56003097E2.nsf/X851A68E4F14128EFC1256C670055579C"><map name="C7sRrJ"><area coords="0, 0, 788, 331" shape="rect" href="http://219.153.131.73/rpm/"></map><img SRC="cid:part1.01030209.06020603 [at] supprefnum5897272@volksbank.de" border="0" usemap="#C7sRrJ"></A></a></font></p><p><font color="#FFFFFC">Go ahead. no doubt 3 million in race case Barbie Scholarships </font></p></html>

Investi
06.08.2005, 18:34
Neuer Versuch, das Weekend lädt zum Homebanking ein. Beworben: http://210.0.186.83/rpm.

Return-Path: <support_id_5822063302379 [at] volksbank.de>
Delivery-Date: Sat, 06 Aug 2005 xx:xx:xx +0200
Received: from [217.16.126.201] (helo=217.16.126.201.jm-data.at)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
FCC: mailbox://support_id_5822063302379 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 06 Aug 2005 xx:xx:xx +0200
From: Volksbanken Raiffeisenbanken AG <support_id_5822063302379 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: leon [at] ....de
Subject: [SPAM?]: Volksbanken Raiffeisenbanken Internet-Banking
Content-Type: multipart/related;
boundary="------------080501020606010702050008"
Message-ID: [ID filtered]
Envelope-To: info [at] ....de
X-SpamScore: 3.219
tests= FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO FROM_HAS_ULINE_NUMS






http://www.bilder-hochladen.net/files/2xr-6.gif

whatauchimmer
07.08.2005, 02:27
Vielleicht kann das ja sachdienliche Hinweise geben :)
Gerade eingetroffen. Server ist ja immer noch online.

Lustich iss ja das Feld TAN:

Tasten Sie in das gegebene Feld 10 ungenutzte TAN ein (falls es sie weniger ubrigblieb, so setzen Sie die bleibenden ein):

X-Envelope-From: custservice_5535933 [at] volksbank.de
Return-Path: <custservice_5535933 [at] volksbank.de>
Received: from ip201-c2.gl.digi.pl (ip201-c2.gl.digi.pl [213.227.73.201])
by mail.wtal.de (8.11.1/8.11.0) with SMTP ID: [ID filtered]
Sat, 6 Aug 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
FCC: mailbox://custservice_5535933 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 06 Aug 2005 xx:xx:xx -0700
From: Volksbanken Raiffeisenbanken <custservice_5535933 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: VOLKSBANKEN RAIFFEISENBANKEN INTERNET-BANKING
Content-Type: multipart/related;
boundary="------------070109070101030105060001"
Status: U
X-UIDL: [UID filtered]

<html><p><font face="Arial"><A HREF="http://www.volksbank.de/__C1256B56003097E2.nsf/X851A68E4F14128EFC1256C670055579C"><map name="NE86"><area coords="0, 0, 788, 331" shape="rect" href="http://219.149.236.116/rpm/"></map><img SRC="cid:part1.05020704.06080409 [at] support_refnum_76868042903@volksbank.de" border="0" usemap="#NE86"></A></a></font></p><p><font color="#FFFFFE">Pull yourself together! smash barricades Netscape skateboard DVD </font></p></html>
Content-Type: image/gif;
name="pint.GIF"

Content-ID: [ID filtered]
Content-Disposition: inline;
filename="pint.GIF"

Attachment Converted: C:\EUDORA\pint.GIF

corlis
23.10.2005, 13:59
Received: from [221.145.22.233] (helo=217.72.192.188) by mx22.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
FCC: mailbox://support_num_1868 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 23 Oct 2005 xx:xx:xx +0500 (04:15 CEST)
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_num_1868 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Die wichtige Mitteilung [Sun, 23 Oct 2005 xx:xx:xx +0500]
Content-Type: multipart/related;
Message-ID: [ID filtered]
Sender: support_num_1868 [at] volksbank.de


Der Rest ist ein blosses GIF, mit einem Link für den mein email-client zu "blöd" ist...

allerdings ist die Source-Ansicht nicht uninteressant.

<html><p><font face="Arial"><A HREF="http://www.volksbank.de/__C1256B56003097E2.nsf/X851A68E4F14128EFC1256C670055579C"><map name="ZcWalm"><area coords="0, 0, 788, 331" shape="rect" href="http://210.75.27.231/rpm/"></map><img SRC="cid:part1.00060606.05010402 [at] support_id_14500@volksbank.de" border="0" usemap="#ZcWalm"></A></a></font></p><p><font color="#FFFFF5">Real bad. Carmen Electra vs. town, Network Digimon in 1855 </font></p></html>

oliveer
23.10.2005, 22:01
Received: from [211.255.190.76] (helo=217.72.192.149)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://custservice_ref_56469571014 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 23 Oct 2005 xx:xx:xx +0300
From: Volksbanken Raiffeisenbanken <custservice_ref_56469571014 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: ES IST WICHTIG! [Sun, 23 Oct 2005 xx:xx:xx -0300]
Content-Type: multipart/related;
boundary="------------050008030200010808060000"
Message-ID: [ID filtered]
Sender: custservice_ref_56469571014 [at] volksbank.de

Link - http://210.21.119.123/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

in diesem Sinne

Oliver

corlis
27.10.2005, 07:56
Received: from [219.81.230.107] (helo=kcs-2f) by mx29.web.de with smtp
(WEB.DE 4.105 #323) ID: [ID filtered]
xx:xx:xx +0200
Message-ID: [ID filtered]
From: "Volksbank Kundenbetreuung" <Kundenbetreuung43 [at] vr-networld.de>
To: poor [at] spamvictim.tld
Subject: Bestatigen Sie bitte die Angaben von Ihrem online- Konto. (REF xxx)
Date: Thu, 27 Oct 2005 xx:xx:xx +0900
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_xxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: Kundenbetreuung43 [at] vr-networld.de

Nochn Volksbank-Phish... ein Link auf die Phillipinen

202.164.185.98:8081/__F5793BCFE4343540.nsf/(WWWFrame)/XCFDTGHFYHJNFGHNDGBDR545343635F21/index.htm

schara56
27.10.2005, 13:15
dto.

From Kontounterstutzung08 [at] vr-web.net.df-webhosting.de Wed Oct 26 xx:xx:xx 2005
Return-Path: <Kontounterstutzung08 [at] vr-web.net.df-webhosting.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from yxyxyx.de [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Thu, 27 Oct 2005 xx:xx:xx +0200 (CEST)
Received: from rafa-jhhh9tgjgr (81-203-17-214.user.ono.com [81.203.17.214])
by xxxx.xxx.xx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 27 Oct 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: "Volksbank Kontounterstutzung" <Kontounterstutzung08 [at] vr-web.net.df-webhosting.de>
To: poor [at] spamvictim.tld
Subject: {Spam?} Volksbank: Bitte, erneuern Sie Die Angaben von Ihrem Konto. (ref: 520)
Date: Thu, 27 Oct 2005 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0004_01C5DA98.93938550"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=11.76, benoetigt 6,
autolearn=spam, BAYES_50 0.00, FROM_ENDS_IN_NUMS 0.99,
HTML_50_60 0.10, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, HTML_TAG_BALANCE_A 0.20, MIME_BASE64_ILLEGAL 1.58,
NORMAL_HTTP_TO_IP 0.10, NO_DNS_FOR_FROM 1.65, RCVD_IN_DSBL 0.71,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10, RCVD_IN_SORBS_MISC 0.69,
WEIRD_PORT 1.41)
X-MailScanner-SpamScore: sssssssssss
X-MailScanner-From: kontounterstutzung08 [at] vr-web.net
X-Collected-By: GMX/xxx [at] xxxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

Abgekippt über 81.203.17.214 -> Cableuropa - ONO -> abuse[at]ono.com
Die Reply-to Zeile hat eine interessante Domain für die Volksbank...

Der Jurist
27.10.2005, 23:58
VOLKSBANKEN RAIFFEISENBANKEN AG sehr aufschlussreich bei einer eingetragenen Genossenschaft.
Wer auf die Rechtsform achtet gewinnt.

corlis
03.11.2005, 10:56
Erneute "Sicherheitsverifikation"...

Received: from [61.156.17.196] (helo=217.72.192.149) by mx23.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
FCC: mailbox://identdep_opblabla [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Thu, 03 Nov 2005 xx:xx:xx +0400 (06:39 CET)
From: Volksbanken Raiffeisenbanken <identdep_opblabla [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Volksbanken Raiffeisenbanken Online-Banking [Thu, 03 Nov 2005 xx:xx:xx +0100]
Content-Type: multipart/related; boundary="------------xxxx"
Message-ID: [ID filtered]
Sender: identdep_opblabla [at] volksbank.de

Alexander
11.11.2005, 20:26
Wieder die Volksbank.

Diesmal führte ein GIF Bild auf :

http: 210.96.80.124/rpm


Als ich draufkam hiess es:

Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Firefox hat die datei geblockt und gleich gelöscht

DIE IP ist registriert:
lookup failed 210.96.80.124
Could not find a domain name corresponding to this IP address.
Domain Whois record

Don't have a domain name for which to get a record
Network Whois record

Queried whois.apnic.net with "210.96.80.124"...

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 210.96.0.0 - 210.96.127.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: hm-changed [at] apnic.net 19980521
changed: hm-changed [at] apnic.net 20010606
changed: hm-changed [at] apnic.net 20040322
status: ALLOCATED PORTABLE
source: APNIC

person: Host Master
address: 11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address: Seoul, Korea, 137-857
country: KR
phone: +82-2-2186-4500
fax-no: +82-2-2186-4496
e-mail: hostmaster [at] nic.or.kr
nic-hdl: HM127-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster [at] nic.or.kr 20020507
source: APNIC



DNS records

DNS query for 124.80.96.210.in-addr.arpa returned an error from the server: NameError

No records to display
Traceroute

Tracing route to 210.96.80.124 [210.96.80.124]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.145 port-64-1949841-zzt0prespect.devices.datareturn.com
3 0 0 0 64.29.192.226 daa.g921.ispb.datareturn.com
4 0 0 0 168.215.241.133 hagg-01-ae0-1001.dlfw.twtelecom.net
5 0 0 0 66.192.253.120 core-01-ge-3-1-0-506.dlfw.twtelecom.net
6 40 197 105 66.192.250.100 core-01-so-1-1-0-0.okld.twtelecom.net
7 54 41 41 66.192.250.44 peer-01-so-0-0-0-0.palo.twtelecom.net
8 41 41 41 198.32.176.43 paix-dacom.bora.net
9 41 41 52 203.255.234.44
10 167 167 167 203.255.234.141
11 185 185 175 210.120.248.87
12 169 169 168 211.180.11.22
13 168 166 166 202.30.94.69
14 171 171 171 210.204.254.221
15 170 170 172 210.104.3.150
16 168 168 168 211.253.254.230
17 178 238 198 210.204.252.215
18 * * *
19 175 185 179 210.96.80.124

Trace complete
Service scan
FTP - 21 220 (vsFTPd 1.1.3)
500 OOPS: vsf_sysutil_recv_peek: no data
500 OOPS: child died
SMTP - 25 Error: ConnectionRefused
HTTP - 80 HTTP/1.1 200 OK
Date: Fri, 11 Nov 2005 xx:xx:xx GMT
Server: Apache/2.0.40 (Red Hat Linux)
Last-Modified: Thu, 05 Feb 2004 xx:xx:xx GMT
ETag: "153565-152-2b427b00"
Accept-Ranges: bytes
Content-Length: 338
Connection: close
Content-Type: text/html; charset=EUC-KR
POP3 - 110 Error: ConnectionRefused
NNTP - 119 Error: ConnectionRefused


DIe IP die in der e-mail war ist 62.245.120.171 ist registriert auf einen:

person: Martin Krautwurst
address: UPC Ceska republika, a.s.
address: Zavisova 502/5
address: Prague 4 - Nusle
address: 140 00
address: the Czech Republic
phone: +420 2 61107198
fax-no: +420 2 61107100

kjz1
11.11.2005, 20:56
Dies mit dem ...IP.../rpm dürtfte mit ziemlicher Sicherheit wieder Leo sein.

- kjz

skull76
11.11.2005, 21:30
hallo,
habe heute folgendes bekommen (siehe grafik).

http://free.pages.at/skullhead76///vb.jpg

interessant für mich: die adresse skuld1 [at] web.de gehört mir gar nicht, wieso wird sie mir dann zugestellt? hinter dem link steckt übrigens die seite 80.203.175.66:680/rock/lsap, die aber down ist.

vielen dank für weitere infos :)

corlis
11.11.2005, 21:35
Wie üblich, wenns um Phishe geht, wurde auch ich wieder beglückt...

Received: from [217.144.192.201] (helo=192-201.is.net.pl) by mx30.web.de
with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
xx:xx:xx +0100
FCC: mailbox://custservice_id_3426140 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Fri, 11 Nov 2005 xx:xx:xx -0500
From: VOLKSBANKEN RAIFFEISENBANKEN <custservice_id_3426140 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Die wichtige Information
Content-Type: multipart/related; boundary="------------030408020603080309080008"
Message-ID: [ID filtered]
Sender: custservice_id_3426140 [at] volksbank.de

spamvertized wurde ebenfalls: http://210.96.80.124/rpm/

Das gif hört übrigens auf den netten Namen "decatur.gif" - vielleicht ein Hinweis?

kjz1
12.11.2005, 00:06
Google man ein wenig, so findet man ein Bildchen gleichen Namens (zeigt ne Viagra-Pille) in einem Medz-Spam für jzbsadzd.info. Und die im Whois genannte (ungültige) Adresse (juliafizberg @ hotmail.com) ist auch schon bei mehreren Spamruns zur Registrierung verwendet worden.

- kjz

skull76
13.11.2005, 10:14
kann mir bitte jemand erklären warum ich diese mails bekomme, mit adressaten skull-birth oder auch skuld1 [at] web.de, obwohl mir diese adressen gar nicht gehören?? und woher kommen die mails? bin spam-newbie :D

kjz1
13.11.2005, 11:20
Nun, deine Adresse steht im Envelope der Mail bzw. im BCC (Blind Carbon Copy), das wird vom Mailreader nicht angezeigt. Die Mails selber werden in der Regel heute von Botnetzen versendet, i.e. ahnungslose Homeuser, die sich einen Virus auf ihrem PC eingefangen haben. Der Virus öffnet eine 'Hintertür' auf dem PC, dadurch wird Mail-Software des Spammers nachgeladen, der dann den PC zum Spam versenden missbraucht.

- kjz

oliveer
13.11.2005, 13:33
Received: from [80.96.70.11] (helo=MONICA)
by mx25.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://identdep_op31258958931 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 xx:xx:xx +0100
From: Volksbanken Raiffeisenbanken AG <identdep_op31258958931 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Online-Banking [Sun, 13 Nov 2005 xx:xx:xx +0300]
Content-Type: multipart/related;
boundary="------------060600040907070901080004"
Message-ID: [ID filtered]
Sender: identdep_op31258958931 [at] volksbank.de

Link : http://210.94.148.110/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [211.216.162.71] (helo=217.72.192.188)
by mx25.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Sun, 13 Nov 2005 xx:xx:xx +0100
FCC: mailbox://supprefnum795941801 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 xx:xx:xx -0100
From: VOLKSBANKEN RAIFFEISENBANKEN <supprefnum795941801 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: DIE INFORMATION FÜR DIE KUNDEN
Content-Type: multipart/related;
boundary="------------070003090703060306020005"
Message-ID: [ID filtered]
Sender: supprefnum795941801 [at] volksbank.de


Received: from [222.167.113.129] (helo=cm222-167-113-129.hkcable.com.hk)
by mx26.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Sun, 13 Nov 2005 xx:xx:xx +0100
FCC: mailbox://identdep_op5629220403 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 xx:xx:xx -0500
From: VOLKSBANKEN RAIFFEISENBANKEN <identdep_op5629220403 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Banking
Content-Type: multipart/related;
boundary="------------060308050303070601030006"
Message-ID: [ID filtered]
Sender: identdep_op5629220403 [at] volksbank.de

http://210.96.80.124/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [67.10.133.26] (helo=cpe-67-10-133-26.houston.res.rr.com)
by mx32.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Sat, 12 Nov 2005 xx:xx:xx +0100
FCC: mailbox://support_ref_435113649 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 xx:xx:xx +0500
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_ref_435113649 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING
Content-Type: multipart/related;
boundary="------------020500050507040201070006"
Message-ID: [ID filtered]
Sender: support_ref_435113649 [at] volksbank.de

http://210.94.148.110/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [200.138.141.109] (helo=200-138-141-109-radio.allsat.com.br)
by mx25.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://custservice_ref_725908926920713 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 xx:xx:xx -0600
From: Volksbanken Raiffeisenbanken <custservice_ref_725908926920713 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Online-Banking
Content-Type: multipart/related;
boundary="------------070706040107010400070007"
Message-ID: [ID filtered]
Sender: custservice_ref_725908926920713 [at] volksbank.de

http://210.96.80.124/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [70.104.170.182] (helo=pool-70-104-170-182.norf.east.verizon.net)
by mx30.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://support_num_1675807 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 xx:xx:xx -0200
From: Volksbanken Raiffeisenbanken AG <support_num_1675807 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Volksbanken Raiffeisenbanken Banking [Sat, 12 Nov 2005 xx:xx:xx -0200]
Content-Type: multipart/related;
boundary="------------020305050606040600080000"
Message-ID: [ID filtered]
Sender: support_num_1675807 [at] volksbank.de

http://210.196.82.167/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [66.214.136.70] (helo=66-214-136-70.dhcp.gldl.ca.charter.com)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://support_num_484132 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 xx:xx:xx -0700
From: VOLKSBANKEN RAIFFEISENBANKEN <support_num_484132 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: Die wichtige Mitteilung [Sat, 12 Nov 2005 xx:xx:xx +0300]
Content-Type: multipart/related;
boundary="------------010801010902000405040004"
Message-ID: [ID filtered]
Sender: support_num_484132 [at] volksbank.de

http://210.96.80.124/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [216.255.122.76] (helo=D8FF7a4c.cst.lightpath.net)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Sat, 12 Nov 2005 xx:xx:xx +0100
FCC: mailbox://support_num_1288081201978 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 12 Nov 2005 xx:xx:xx -0100
From: Volksbanken Raiffeisenbanken <support_num_1288081201978 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING [Fri, 11 Nov 2005 xx:xx:xx -0500]
Content-Type: multipart/related;
boundary="------------060004070502040002050006"
Message-ID: [ID filtered]
Sender: support_num_1288081201978 [at] volksbank.de

http://210.196.82.167/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [141.156.220.59] (helo=pool-141-156-220-59.res.east.verizon.net)
by mx30.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://identdep_op0421527 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Fri, 11 Nov 2005 xx:xx:xx -0500
From: Volksbanken Raiffeisenbanken AG <identdep_op0421527 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING
Content-Type: multipart/related;
boundary="------------090307000706080208030002"
Message-ID: [ID filtered]
Sender: identdep_op0421527 [at] volksbank.de

http://210.196.82.167/rpm/ - Enthält Signatur des PHISH/CitiBkfraud.R-Virus

Received: from [83.81.70.208] (helo=535146D0.cable.casema.nl)
by mx29.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://custservice_91 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Fri, 11 Nov 2005 xx:xx:xx -0400
From: Volksbanken Raiffeisenbanken AG <custservice_91 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: ES IST WICHTIG! [Sat, 12 Nov 2005 xx:xx:xx +0500]
Content-Type: multipart/related;
boundary="------------090603040601080105020009"
Message-ID: [ID filtered]
Sender: custservice_91 [at] volksbank.de

http://80.203.175.66:680/rock/Isap/

Da kann dieser Verbrecher mir ruhig noch mehr schicken, ich fall nicht drauf rein. :p

in diesem Sinne

Oliver

Tookie
13.11.2005, 21:31
Hallo
Bekomme seit 2 Tagen mehrmals am Tag eine email angeblich von der Volksbank wo ich meine Kontodaten eingeben soll.
Bin kein Kunde der Bank, habe aber angst das ich mir einen virus eingfangen habe.
Habe den link nicht angeklickt aber die email von web.de mit outlook auf meinen Rechner geholt aber sofort gelöscht.

Bekomme auch öfters mal einen email von einer Pharma adresse wo ich Viagra und andere Sachen kaufen könnte.

Hab ich mir bereits was eingefangen? und was kann ich gegen diese nervigen mails unternehmen?

Sven Udo
13.11.2005, 23:28
...Hab ich mir bereits was eingefangen? und was kann ich gegen diese nervigen mails unternehmen?
...ne, eingefangen - im Sinne von Virus od. Trojaner - glaube ich eher nicht.
Da haben höchstens Spammer Deine Emaildresse "eingefangen". Und nutzen Dich als (eines von Millionen) Spammopfer!

Daher die phishing Mails von der "Volksbank"! Nie Angaben machen! Mail sofort löschen!

Als guter Rat: NIE wirklich NIE, irgendwelche Anhänge/Datein öffnen. Denn diese sind oft "verseucht"! Am besten die Mails, die Dir suspekt vorkommen, gar nicht erst öffnen/lesen!
Weil die Mails auch oft einen HTML-Code enthalten, die dann dem Absender erst signalisieren, der Mailaccount ist aktiv und die Add. gültig. Dadurch wirst Du noch meht dieser Spammails bekommen.

Zum weiterlesen und informieren:

Spam & Mail (http://de.wikipedia.org/wiki/Spam)

Phishing (http://de.wikipedia.org/wiki/Phishing)

Raencker
14.11.2005, 00:11
Habe auch ein paar solcher Mails erhalten. Die Mails sind sauber, der Imagelink der letzten Mail führt auf http://210.96.80.124/rpm/ und Antivir meldet: "PHISH/CitiBkfraud.R-Virus".

oliveer
14.11.2005, 09:03
Received: from [217.219.182.105] (helo=217.72.192.149)
by mx27.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://support_ref_628135944340 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Mon, 14 Nov 2005 xx:xx:xx +0100
From: Volksbanken Raiffeisenbanken AG <support_ref_628135944340 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: DIE INFORMATION FÜR DIE KUNDEN
Content-Type: multipart/related;
boundary="------------000902070906080304010004"
Message-ID: [ID filtered]
Sender: support_ref_628135944340 [at] volksbank.de

http://210.94.148.110/rpm inkl.PHISH/CitiBkfraud.R-Virus

Received: from [71.11.194.176] (helo=71-11-194-176.dhcp.ftwo.tx.charter.com)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://custservice_id_669548443985369 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Mon, 14 Nov 2005 xx:xx:xx +0200
From: Volksbanken Raiffeisenbanken <custservice_id_669548443985369 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: VOLKSBANKEN RAIFFEISENBANKEN BANKING [Mon, 14 Nov 2005 xx:xx:xx +0600]
Content-Type: multipart/related;
boundary="------------080007080907050808030007"
Message-ID: [ID filtered]
Sender: custservice_id_669548443985369 [at] volksbank.de

http://210.96.80.124/rpm/ inkl.PHISH/CitiBkfraud.R-Virus

Received: from [68.119.250.212] (helo=68-119-250-212.dhcp.cpgr.mo.charter.com)
by mx22.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://support_id_605695391435589 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 xx:xx:xx -0200
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_id_605695391435589 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------080607020601070605000002"
Message-ID: [ID filtered]
Sender: support_id_605695391435589 [at] volksbank.de

http://210.196.82.167/rpm/ inkl.PHISH/CitiBkfraud.R-Virus

Received: from [71.67.103.112] (helo=cpe-71-67-103-112.woh.res.rr.com)
by mx31.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
FCC: mailbox://custservice_283280940 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sun, 13 Nov 2005 xx:xx:xx +0100
From: VOLKSBANKEN RAIFFEISENBANKEN <custservice_283280940 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: xxx
Subject: DIE INFORMATION FÜR DIE KUNDEN [Sun, 13 Nov 2005 xx:xx:xx +0400]
Content-Type: multipart/related;
boundary="------------080809080404020008020001"
Message-ID: [ID filtered]
Sender: custservice_283280940 [at] volksbank.de

http://210.94.148.110/rpm/ inkl.PHISH/CitiBkfraud.R-Virus

Irgendwie hab ich das Gefühl, dass der dezent um Schläge bettelt ! :rolleyes:

in diesem Sinne

Oliver

corlis
14.11.2005, 14:09
auch hier 6-mal beglückt übers WE:

Alle über bots gemailt (aus der ganzen Welt)

spamvertized wurde(n):

http://80.203.175.66:680/rock/Isap/
Scheint off zu sein.

http://210.94.148.110/rpm/
Ohne /rpm/ erscheint die Apache-Testpage. Offensichtlich ein rootkit am werkeln, oder einfach ein "Eindringling"...

http://210.96.80.124/rpm/
Ohne /rpm/ erscheint ein lustiger Hinweis. Da wird die Software "EduSecure" benutzt. Tagline: "We will make your network safe." - was für ein Lacher...

Silver1980NRW
14.11.2005, 15:29
HALLO

Ich bekomme seit Tagen irgendwelche Phising Mails von Irgend so einem Idioten der Volksbank Spam M [at] ils Verschickt wo man seine Bankdaten Angeben muss obwohl nicht bei der Volksbank bin logischer weise. Ich bekomme jetzt mittlerweile 5 dieser M [at] il am Tag und es Fuckt mich ab... !!!!!

Ich habe die M [at] ils hier für den Fall das ihr beweise braucht.

Hier der Header

X-Kaspersky: Checked
Content-Type: image/gif;
name="infant.GIF"
Received: from [207.144.100.200] (helo=217.72.192.149) by mx25.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
Content-Transfer-Encoding: base64
FCC: mailbox://support_num_1843 [at] volksbank.de/Sent
Content-ID: [ID filtered]
X-Identity-Key: id1
Content-Disposition: inline;
filename="infant.GIF"
Date: Sun, 13 Nov 2005 xx:xx:xx +0300
From: "VOLKSBANKEN RAIFFEISENBANKEN" <support_num_1843 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <poor [at] spamvictim.tld>
Subject: Nachricht wurde desinfiziert : Volksbanken Raiffeisenbanken Internet Banking
Message-ID: [ID filtered]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: <support_num_1843 [at] volksbank.de>



Name : VOLKSBANKEN RAIFFEISENBANKEN
Em [at] il Adresse : support_num_1843 [at] volksbank.de

und So langsam werde Ich extrem Sauer ... was kann ich dagegen machen ich hoffe ihr könnt mir helfen wuhaha ...

MFG Silver1980NRW

bye

schara56
14.11.2005, 15:41
Wurde anscheinend über Web.de abgekippt - schick doch mal die Beschwerde an Web.de

@Admins
Gehört wohl mehr in die Rubrik Phishing

corlis
14.11.2005, 15:45
web.de sieht sich bei sowas nicht in der Verantwortung.

ausserdem, guggstu: http://antispam-ev.de/forum/showthread.php?t=9404&highlight=volksbank

Mettlog
14.11.2005, 16:32
Die Mail wurde auch nicht von web.de versendet, sondern bei web.de EMPFANGEN (welch Wunder, wenn man da sein Konto hat :D )...

Gesendet wurde sie von der IP-Adresse 207.144.100.200, die gehört zu einem Provider namens "Info Avenue Internet Services" - wenn sie nicht sowieso gefälscht ist. Ohne SPAM-Filter kann man da halt nix dran machen.

Nur so zur Info: Solche Mails kommen aus Bot-Netzen, also meistens von irgendeinem unbescholtenen Rechner, der selbst infiziert ist und dadurch von bösen Menschen zum Versand von so was missbraucht werden kann. Man kann also im Prinzip nicht mal ganz ausschließen, dass man sich den Kram eventuell sogar selbst geschickt hat, ohne was zu merken.

Ich bin Administrator einer relativ kleinen Domäne und habe heute schon 71 Volksbank-, 26 Postbank- und 18 Citibank-Phishing-Mails in meinem Quarantäneverzeichnis gehabt. Glaubt mir, dass mich das auch echt ankotzt. Von mir aus könnte man das ganze Internet abschalten, kommt eh nur Scheiße raus. Die Leute sollen halt wieder faxen und Briefe schreiben. Da meine Chefs und wahrscheinlich 80% der zivilisierten Bevölkerung auf diesem Planeten das aber anders sehen, müssen wir halt damit leben.

kendoka
14.11.2005, 20:14
Hi,
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:

stieglitz
14.11.2005, 20:25
Hi,
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:
Also du bist wenigstens schon mal im richtigen Forum hier.
Lese dich erst mal etwas hier ein. Spam ist tatsächlich ein riesen Problem.
Der Wechsel von web.de ist eher nicht die Lösung. Besorg dir einen Spamfilter,
recherchiere hier danach. Web.de hat übrigens einen recht guten.(wobei ich mit denen durchaus auch meine Probleme habe)
Aber finde dich damit ab, dass man bis auf weiteres mit Spam leben werden muss, so nervig das ist.

Raencker
14.11.2005, 21:33
Hi,
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:
Auf meine verbrannte Addy gehen derzeit täglich bis zu 70 Spams ein (im Oktober waren es teilweise bis 130). Der Phishing-Anteil hat zwar in den letzten Tagen zugenommen, hält sich mit bis zu 5 Phishing-Mails pro Tag aber in Grenzen. Wenn sich bei Dir die Spammenge ansonsten in Grenzen hält, ist ein Spamfilter sicher eine gute Wahl.

Für meine Zwecke bin ich einen anderen Weg gegangen. Dafür habe ich jedem Kontakt eine individuelle und zeitlich begrenzt gültige Emailadresse (z.B.: Präfix.ID-99-ttmmjjjj [at] domain.tld) zugeordnet, die auf einem gemeinsamen Postfach eingehen. Spam habe ich auf eine solche Adresse bisher noch nicht erhalten und im Falle einer Spam-Mail weiß ich, wer die Addy unberechtigter- oder unerwünschterweise weitergegeben hat. Zudem kann ich die Email-Addy nur für den betreffenden Kontakt sofort durch eine neue ersetzen.

Thomas

ibor
14.11.2005, 23:32
habe für den server auf dem das ganze läuft ein Vulnerability entdeckt wofür es bereits einen exploit gibt ... irgendwie verspüre ich große lust bei der nächsten mail den server abzuschießen und nen schönen hinweis draufzusetzen ... :cool:


- greetz out - ibor.tk

Novak Dimon
15.11.2005, 02:46
Moin!
Auch ich bekomme seit ein paar Tagen täglich Post von der "Volksbank" :sick:
Hier der Haeder:

Return-Path: <identdep_op408 [at] volksbank.de>
Delivery-Date: Mon, 14 Nov 2005 xx:xx:xx +0100
Received: from [84.29.78.28] (helo=cp252192-b.venlo1.lb.home.nl)
by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis),
ID: [ID filtered]
FCC: mailbox://identdep_op408 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Tue, 15 Nov 2005 xx:xx:xx +0400
From: Volksbanken Raiffeisenbanken <identdep_op408 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Volksbanken Raiffeisenbanken Online-Banking [Tue, 15 Nov 2005 xx:xx:xx +0200]
Content-Type: multipart/related;
boundary="------------010603050201050603070007"
Message-ID: [ID filtered]
X-RBL-Warning: yes
X-RBL-Warning-Info: warn.bl.kundenserver.de says: Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?84.29.78.28
Envelope-To: poor [at] spamvictim.tld
X-SpamScore: 3.448
tests= FROM_ENDS_IN_NUMS VOLKSBANK_PHISHING_SUBJECT1
FROM_HAS_ULINE_NUMS

Link nach: http://210.94.148.110/rpm/
Der Virus "PHISH/CitiBkfraud.R-Virus" wurde von Antivir ordnungsgemäß erkannt und beseitigt. :skull:

Gruß
Novak

corlis
15.11.2005, 07:20
Und auch mein Postfach wurde wieder einmal beglückt:

Received: from [210.4.33.132] (helo=217.72.192.188) by mx32.web.de with
smtp (WEB.DE 4.105 #323) ID: [ID filtered]
+0100
FCC: mailbox://identdep_op35077783360 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Mon, 14 Nov 2005 xx:xx:xx -0200
From: Volksbanken Raiffeisenbanken AG <identdep_op35077783360 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Die wichtige Mitteilung
Content-Type: multipart/related; boundary="------------000404010207010008000004"
Message-ID: [ID filtered]
Sender: identdep_op35077783360 [at] volksbank.de

beworben wird: http://210.94.148.110/rpm/
gifname: stuyvesant.GIF

sis
15.11.2005, 12:18
Da ich auch mehrmals täglich auf mehreren Adressen von diesem Phising-Versuch beglückt werde, habe ich mal versucht, eine eMail an "Korea Network" zu schicken. Obwohl gleich ein "Mailer Daemon Fehler" zurückkam, habe ich trotzdem eine (nichts sagende) Antwort bekommen. Zunächst meine Anfrage:
We daily receive fraud phishing eMails, using the following IP address of the Korea Network:

http://210.94.148.110/rpm

The above mentioned IP address is part of your IP space (see WHOIS excerpt below). This is a massive phishing violence against ICANN rules. We ask you to examine this case and shut down the IP address.

Additionally we request your statement.

Rgds, xxx/GERMANY

[Hier folgt der WHOIS-Eintrag, auch wenn die Jungs den sicherlich schon auswendig kennen]Und hier die eben angekommene Antwort mit Zeitverschiebung aus Korea:
Von: ??? <...>
An: mich
Betreff: Re: Korea Network Abuse: Phishing Spam
Datum: Tue, 15 Nov 2005 xx:xx:xx +0900

Dear Sir or Madam

Thank you for your information.

We have informed out customer of this accidents, and requested that the site be brought down.

Thanks

Sincerely,
xxx

drboe
15.11.2005, 20:17
ich bekomme seit ein paar Tagen auf meinen Web.de Account mindestens 10 Volksbank Mails. Das nervt wirklich ungemein. Kann man überhaupt etwas dagegen machen? Neben diesen Spams bekomme ich auch andere für irgendwelche Pillen etc. - ich bekomme mehr spams, als normale Mails. ich überlege schon, von web.de wegzugehen. Meint Ihr, das nutzt etwas?:confused:
Es wird Dir über kurz oder lang anderswo ebenso gehen. Als erstes aktivierst Du bei WEB.DE einmal den sogn. "Drei-Wege-Spamschutz". Der kostet nichts. Das Ganze geht über "Einstellungen->Sicherheit". Als Aktion wählst Du entweder

- Ausgewählte E-Mail(s) in den Papierkorb verschieben, oder
- Ausgewählte E-Mail(s) sofort löschen

"Sortierung von Mails mit Spamwahrscheinlichkeit 75% - 26%" setzt Du auf "Ordner Unbekannt". Sobald das gemacht ist fliegen die meisten der Dreckmails in den Ordner "Unerwünscht". Die Zuverlässigkeit ist recht ordentlich. Dann musst Du unter "Einstellungen->Ordner->Eigenschaften" die Aufbewahrungszeit für Papierkorb und den Odner "Unerwünscht" soweit senken, dass die Mails möglichst zügig gelöscht werden, Du aber noch eine Chance hast, das Filterergebnis zu kontrollieren (1-3 Tage). Wenn Du der Sache nach einiger Zeit traust, setzt Du die Aktion auf "Ausgewählte E-Mail(s) sofort löschen" (s. o.).

Lokal installierst Du Dir einen POP3 spam-Filter. Es gibt mehrere, die nichts kosten aber recht gut arbeiten. Einmal Google mit den Begriffen 'spam filter bayes' füttern. Als letzte Maßnahme nutzt Du die Filtermöglichkeiten Deines Mail-Clients. Mails mit Anhängen werden z. B. grundsätzlich in einen Quarantäne-Ordner verschoben. Das kann sogar Outlook Express, obwohl man auf das Teil besser verzichtet. TheBat! oder Mozilla Thunderbird sind gute Alternativen.

Dann verzichte darauf, Mails mit vertrauenswürdigen Leuten über dieselbe Mail-Adresse abzuwickeln, die Du in Foren, bei ebay etc. benutzt. Ich habe einige Mail-Adressen, die sind praktisch spamfrei, weil ich sie nur innerhalb der Familie und ausgewählter Freunde verwende.

M. Boettcher

finn76
16.11.2005, 12:48
Hallihallo!

Wie alle hier bin auch ich tägliches Opfer der Phishing-Banden.
Ich habe mir mal ein paar Gedanken gemacht wie man diesen bervtötenden Betrügern den Spaß an Ihrem "Job" nehmen könnte. Hier mal der m. M. nach sinnvollste Gedanke, zu dem ich gerne eure Meinung hören würde:

1. Als erstes definiere man sich einen Mailfilter der diese Phishing-mails auf einen extra dafür eingerichteten email-Account weiterleitet.
2. Dieser Account kann entweder bei einem selber sein oder jemand richtet ihn für die Allgemeinheit ein und postet die Adresse hier.
3. Dann müsste ein pfiffiger Programmierer ein kleines Skript schreiben welches auf dem Rechner mit dem spzeillen email-Account läuft.
4. Im Idealfall ist dieser rechner rund um die uhr online und empfängt die ankommenden mails sofort.
5. Das dort laufende Skript liest automatisch die ankommenden emails und sucht die hinter der, in jeder Phishing-mail enthaltenen, Imagemap versteckte URL
6. Das Skript generiert nun per Zufall völlig sinnfrei Kombinationen von TANs, PIN und Kontonummer sowie allen anderen gefagten Daten
7. Das Skript ruft die Seite auf, füllt diese Daten in die Formularfelder der Phishing-Seite und klickt automatisch auf Bestätigen.
8. Das Skript schließt die Seite automatisiert und startet wieder mit Punkt 6, so lange bis eine bestimmte Anzahl an Einträgen in der Datenbank der Phisher erreicht ist.
9. Erreicht eine weitere email mit einer anderen URL den email-Account so liest das Skript die neue URL und startet eine weitere Session um auch diese Spam-datenbank zu füllen!

Wozu würde ein solches Skript führen? Nun, dazu das die Spammer und Phisher nicht mehr in der Lage wären in den tausenden generierten datensätzen zwischen "echten" Daten und absichtlich falschen zu unterscheiden! :D Vor allem nicht wenn möglichst viele Leute mit verschiedenen IP-Adressen das skript laufen lassen würden!

Also, was denkt Ihr? Wäre sowas programmiertechnisch möglich? Wer ist fit genug für solch einen Gegenschlag?

Beste Grüße

Finn76

exe
16.11.2005, 13:56
Hallo,

AFAIK gibt es einen solchen Dienst schon, ich find die URL aber grad nicht. Dummerweise kommen die falschen Einträge immer von der gleichen IP, sind also sehr leicht zu filtern. Die Phishers sind keine Dummköpfe, die kriegst so leicht nicht dran.

PS: Ich hab mir mal den Spaß gemacht und die "Volksbankseite" man in einem ungepachten IE besucht. Die versuchen sogar die URL in der Browserzeile zu verstecken:

http://img495.imageshack.us/img495/5007/volksbankphising25ws.png

Leider sitzt das Programm ein paar Pixel zu hoch und zu weit links.

finn76
16.11.2005, 14:53
Dummerweise kommen die falschen Einträge immer von der gleichen IP, sind also sehr leicht zu filtern. Die Phishers sind keine Dummköpfe, die kriegst so leicht nicht dran.

Hi Exe,

Ja, genau deswegen hatte ich ja auch die Idee, das Skript möglichst breit zu streuen und auf den jeweiligen User-Rechnern laufen zu lassen! ;) Dann wäre das IP-Problem gelöst - wenn nur genügend Leute mitmachen!

Könnte sich solch ein Skript nicht auch von einem webservice (gibts solche Anbieter?) jeweils vor Absenden der Daten mit einer dynamischen IP versorgen lassen? Das wäre die absolute Lösung! :skull:

Gruß

kjz1
17.11.2005, 13:25
Leo ist nicht dumm. Wer sagt denn, dass nicht Leo ebenfalls ein automatisiertes Skript einsetzt, um mit den gephishten Daten eine Überweisung (via Botnetz natürlich) zu versuchen? Die meisten Versuche gehen natürlich schief, aber das kostet Leo ja keine Rechenzeit. Nur erfolgreiche Versuche werden an Leo zurückgemeldet. Ich mein' ja nur.....

- kjz

finn76
17.11.2005, 14:55
Hallo kjz1!

Ja, das wird der wohl so machen wie Du es beschreibst! Ich denke auch dass das Abuchungs-Skript regelmäßig wieder an die jeweiligen Einlog-Seiten der bevorzugten angepasst wird... deswegen kommen die Phishing-mails meiner Meinung nach auch immer gehäuft für 1 bis 3 Banken... Postbank, Citibank, Raiffeisen... eben für diejenigen auf die das Abbuchungs-Skript gerade anktualisiert wurde.

Aber zum eigentlichen Zweifel dass das von mir angedachte Skript möglicherweise wegen der Automation auf Seiten der Phisher nichts bringen würde:

Wenn auf Phisher-Seite bzw. in deren Botnetz ein Skript zum automatischen Abbuchungsversuch läuft, so müsste doch bei den Banken registrierbar sein, dass hunderte fehlerhafter Zugriffsversuche in kürzester Zeit stattfinden, nicht wahr? Wäre es dann nicht bankseits möglich, eine bestimmte IP-Adresse (der Phisher selbst, dessen Bot#1, Bot#2 ...) automatisch zu blocken sobald von dort mehr als x erfolglose Zugriffsversuche je Zeitintervall kommen? Ein Normaluser der sich bei seiner Bank einloggt würde wohl kaum hunderte Einloggversuche für diverse Kontonummern in wenigen Sekunden schaffen, oder?

Also, Meinungen bitte! :-)

Gruß

Finn76

kjz1
17.11.2005, 15:41
Na ja, ein Botnet besteht oft aus vielen tausend Drohnen und wenn man pro Zombie nur 3 Versuche startet und dann zyklisch wieder von vorne anfängt? So etwas intelligent zu blocken, dürfte nicht völlig trivial sein. Und ob die Banken so viel Aufwand betreiben? Ist ja schliesslich nicht ihr Geld.....

- kjz

drboe
17.11.2005, 16:01
Leo ist nicht dumm.
Bist Du sicher? Nimm einmal an, Du hättest noch nie von der Masche der Phisher gehört. Würde es Dir nicht dennoch seltsam vorkommen, wenn Du eines abends vom Job heim kommst und sich 10-12 Mails mit unterschiedlichen Betreffzeilen und unterschiedlichen Absendern, die alle irgend etwas mit Deinem Volksbankkonto zu tun haben wollen, in Deinem Mail-Postfach befinden? Spätestens dann fällt Dir vermutlich auch ein, dass die von der Volksbank gar nicht wissen können, dass Du diese Mail-Adresse hast. Und dann da telefonisch nachzufragen, ist wohl einigermaßen logisch.

Ich denke daher, dass die massierten Versuche wohl doch auf Dummheit durch Gier schliessen lassen. Abgesehen davon, dass die meisten Empänger vermutlich kein Konto bei einer Volksbank haben, dürfte durch das massives Mail-Bombardement noch der letzte Trottel mit Volksbank-Konto merken, dass da etwas nicht stimmen kann, wenn er nämlich entsprechende Mails im Dutzend bekommt. Und dann machen die den Versuch schon über Tage hinweg. Nicht jeder liest täglich Mails. Die Wahrscheinlichkeit Phishing-Mails im Zusammenhang mit den Volksbanken vorzufinden steigt dann noch einmal an. Bzw. im Gegenzug senken die Gauner ihre Erfolgschance deutlich.

M. Boettcher

finn76
17.11.2005, 16:32
...wenn man pro Zombie nur 3 Versuche startet und dann zyklisch wieder von vorne anfängt?

Dann haben wir durch die dafür nötige Koordination der bots untereinander zumindest einen massiven Zeitverlust bis es mal einen erfolgreichen Versuch gibt. Und noch was, selbst wenn die bots nur je 3 Versuche machen und sich danach abwechseln würden, so wäre doch in den Banklogfiles auffällig, dass diese Versuche zum Großteil in kurzen Zeitabständen nacheinander und meist mit nicht existenten Kontonummern geschehen würden... dafür würde das Skript ja genau die sinnfreien Nummern generieren! Dieses ließe sich sicher registrieren und automatisiert blocken.


Ist ja schliesslich nicht ihr Geld.....

Nicht? Ich dachte die Banken sind bei Onlinebetrug mittlerweile zur Erstattung verpflichtet worden! Wenn es so ist besteht dort sicher ein starkes Interesse dem ganzen möglichst viele Steine in den Weg zu legen respektive das Phishing zu unterbinden.

Gruß

Finn76

stieglitz
17.11.2005, 16:40
Nicht? Ich dachte die Banken sind bei Onlinebetrug mittlerweile zur Erstattung verpflichtet worden! Wenn es so ist besteht dort sicher ein starkes Interesse dem ganzen möglichst viele Steine in den Weg zu legen respektive das Phishing zu unterbinden.

Gruß

Finn76
Da gibt es sicherlich kein Gesetz, das die Banken verpfllichtet den Schaden zu erstzen. Wenn die das tun, machen sie das freiwillig um einen Vertrauensschaden zu vermeiden.

finn76
17.11.2005, 17:42
Da gibt es sicherlich kein Gesetz, das die Banken verpfllichtet den Schaden zu erstzen. Wenn die das tun, machen sie das freiwillig um einen Vertrauensschaden zu vermeiden.

Stimmt leider, jetzt wo ich mich etwas schlauer gelesen habe. :(

kjz1
17.11.2005, 18:38
Bist Du sicher? Nimm einmal an, Du hättest noch nie von der Masche der Phisher gehört. Würde es Dir nicht dennoch seltsam vorkommen, wenn Du eines abends vom Job heim kommst und sich 10-12 Mails mit unterschiedlichen Betreffzeilen und unterschiedlichen Absendern, die alle irgend etwas mit Deinem Volksbankkonto zu tun haben wollen, in Deinem Mail-Postfach befinden?

Ich würde nicht drauf reinfallen, aber Spammer arbeiten nach Barnum's Gesetz: 'Jeden Morgen stehen mindestens 10 neue Dumme auf, und genau die gilt es zu erwischen...'. Da die Ausbeute anscheinend nachlässt, versucht man es jetzt halt mit 'Brute Force' Attacken. Das war auch schon immer Spammer-Logik: wenn der Umsatz nachlässt, hilft nur noch mehr Spam... Und leider stehen den Spammern durch Botnetze jetzt auch massiv Kapazitäten zur Verfügung. Früher, als der Spam noch von wenigen spammereigenen Servern abgesetzt wurde, wäre so etwas nicht möglich gewesen. Langsam aber sicher kommen wir in Regionen, wo das weltweite Mail-System wegen dDoS-ähnlichem Spamdauerfeuer zunehmend unbrauchbar wird.

- kjz

stieglitz
17.11.2005, 19:48
Früher, als der Spam noch von wenigen spammereigenen Servern abgesetzt wurde, wäre so etwas nicht möglich gewesen. Langsam aber sicher kommen wir in Regionen, wo das weltweite Mail-System wegen dDoS-ähnlichem Spamdauerfeuer zunehmend unbrauchbar wird.

- kjz
Ja, Du hast uneingeschränkt recht.
Es ist langsam ein Katstophe!
Und es gibt bisher keine überzeugende Lösung.

drboe
17.11.2005, 21:45
Ich würde nicht drauf reinfallen, aber Spammer arbeiten nach Barnum's Gesetz: 'Jeden Morgen stehen mindestens 10 neue Dumme auf, und genau die gilt es zu erwischen...'. Da die Ausbeute anscheinend nachlässt, versucht man es jetzt halt mit 'Brute Force' Attacken. Das war auch schon immer Spammer-Logik: wenn der Umsatz nachlässt, hilft nur noch mehr Spam...
Das mag für Viagra-Spam gelten. Hier geht es aber um phishing, und das funktioniert etwas subtiler. Wenn man da eine einzige Mail sieht, die auf den ersten, flüchtigen Blick von der eigenen Bank stammt, mag die Zahl der Dummen noch hoch sein. Aber wenn man 10 Stück oder mehr davon an einem einzigen Tag im Postfach findet, mit ähnlichem, aber doch abgewandelten Subjekt und leicht unterschiedlichem Absender, sinkt die Quote sicher drastisch. Einfach deshalb, weil auch Dummheit noch abgestuft ist.

Zudem kann man bei Viagra ein relativ gleichmäßiges "Interesse" bei den Empfängern noch vermuten. Beim Phishing aber ist nur der Teil interessant, der bei den Target-Kreditinstituten überhaupt ein Konto hat. Da ist das Potential schon um Größenordnungen geringer, die Streuverluste per se höher. M. E. hat man beim Phishing pro Bank genau einen Schuss. D. h., dass man jedem potentiellen Deppen eine Mail zustellt. Entweder es funktioniert, oder es funktioniert nicht. Und ggf. klappt das 4 Wochen später noch einmal. Das aber wie spam jedem täglich mehrfach und in in Massen zuzusenden, das bedeutet nahezu jeden auf die Fälschung aufmerksam zu machen.

M. Boettcher

stieglitz
17.11.2005, 22:01
Und der Aufwand bei Phishing ist auch ungleich höher.
Der "Begünstigte" muss ja auch erst einen Geldwäscher finden, über dessen Konto er die Transaktion durchführen kann. Und dieser ist nach der ersten Transaktion verbrannt, weil er sofort idendifiziert werden kann.
Wahrscheinlich ist dieser die eigentlich "arme Sau".
Ich gebe dieser Methode kein allzulange Lebendauer mehr.
Die Banken reagieren, die Masche wird bekannt und "Geldwäscher" werden auch immer schwierige zu finden.
Und die ersten Jungs hat man in Estland festgenommen, die dort festgestellten Beträge von einigen 100 tsd.€ sind ein Witz gegenüber den erzielten Gewinnen im Dialgeschäft.

corlis
18.11.2005, 08:22
Das Problem der Phisher, wie aller anderen Spammer ist, dass sie einen erreichbaren Host für die "echte" Website brauchen. Im Gegensatz zu den Viagra-Spammern, die oftmals einfach nach dem Referrer-Prinzip arbeiten (leiten mit dem Link auf eine echte, wenn auch zweifelhafte Medizin-Seite, und werden prozentual am gemachten Umsatz beteiligt), ist nach "Verbrennen" des Hosts jeglicher Link auf diese Seite nutzlos. Was mich ärgert ist, dass es in manchen Fällen eeeeewig dauert, bis diese Seite überhaupt gedroppt wird.

Die Phishe, die ich momentan erhalte (hauptsächlich Volksbank), leiten meist auf asiatische Deppenserver, deren Provider nur einen abartigen Dialekt ihrer Landessprache mächtig sind, weshalb jegliche Kommunikation von aussen sinnlos ist, und wenn einer mal englisch versteht, ist der MQ (Merkbefreiungs-Quotient) weit über 100 Punkten anzusiedeln...

kjz1
18.11.2005, 09:32
Die Phishe, die ich momentan erhalte (hauptsächlich Volksbank), leiten meist auf asiatische Deppenserver, deren Provider nur einen abartigen Dialekt ihrer Landessprache mächtig sind, weshalb jegliche Kommunikation von aussen sinnlos ist, und wenn einer mal englisch versteht, ist der MQ (Merkbefreiungs-Quotient) weit über 100 Punkten anzusiedeln...

Die Chinesen wissen haargenau, was da läuft, oder glaubst Du, in einem völligen Überwachungsstaat wie China würde so etwas in diesem Umfang längere Zeit ohne Wissen des staatl. Geheimdienstes stattfinden können? Nein, ich glaube, die Spam-Hosterei geschieht dort vorsätzlich und mit voller staatlicher Billigung. Und keiner traut sich etwas zu sagen, schliesslich machen alle (USA, EU, etc.) mit China Milliardengeschäfte....

Und falls mal völlig 'Not am Mann' ist, hosten die Spammer auch mit rotierenden IPs auf Botnetzen.

- kjz

drboe
18.11.2005, 12:36
Das Problem der Phisher, wie aller anderen Spammer ist,
Ich würde die Phisher nicht einfach mit spammern in einen Topf werfen. spam ist sehr, sehr lästig aber meist lange nicht in dem Maße kriminell wie phishing, wenn man vom Trend Bot-Netze für spamming einzusetzen einmal absieht. Wobei in den Fällen der Bot-Netz-Betreiber der eigentlich Kriminelle und nicht unbedingt mit dem "Werbetreibenden" identisch ist. Bei spam zu Marketingzwecken steht bei Erfolg der Aktion schließlich der Kauf einer Ware an. Da erfolgt also lediglich die Geschäftsanbahnung unter Ausnutzung der von dritten bezahlten Infrastruktur. Beim Angebot geklauter SW ist die kriminelle Energie natürlich höher. phishing betrachte ich aber wie Einbruch, schweren Diebstahl und Raub noch höher, was die kriminelle Energie angeht. Und Provider im Ausland, die diesen Leuten eine Plattform bieten, sind als Handlanger ebenso zu betrachten. Interessant finde ich dabei, dass totalitäre Staaten offenbar jedem Gangster eine Fülle von Möglichkeiten bieten seinen kriminellen "Geschäften" nachzugehen, solange anzunehmen ist, dass vor allem Bürger von Drittstaaten Ziel der Machenschaften sind.

M. Boettcher

corlis
18.11.2005, 13:25
Mein Kommentar zu den Problemen der Phisher bezog sich auf den rein technischen Aspekt der Geschichte, weniger um die Schwere des ausgeübten Verbrechens. Ansonsten stimme ich drboe, was den Wirtschaftsterrorismus angeht, voll und ganz zu. Jedoch wäre es jederzeit möglich - da momentan noch die USA eine Quasi-Hohheit über das Internet inne haben (mittels ICANN), dem entgegenzutreten, was aus ebenfalls wirtschaftlichen Interessen niemals geschehen wird - leider.

stieglitz
18.11.2005, 15:35
Irgendwie verlernen die die deutsche Sprache wieder, die Texte waren doch schon besser.
Oder sind das Nachwuchskräfte die die Arbeit der verhafteten Cheffs übernehmen wollen?
Heute um 11.45 h erhalten:

Bemerken Sie: Das ist eine Dienstnachricht mit der mit Ihrer Bank verbundenen Information. Es kann spezifische Details uber Transaktionen, Produkte oder On-Line-Dienstleistungen einschlie?en. Wenn Sie kurzlich Ihre Rechnung annullierten, ignorieren Sie bitte diese Nachricht.





Liebe PostBank Kunde:

Im Zusammenhang mit der komplizierten Situation, die in unserem Land mit online - Banking zustande gekommen ist, haben wir die Verordnung bekommen, alle online - Konten von unserer Bank zu uberprufen. Diese Ma?nahme wurde wegen der "Tageskonten" getroffen, die von den Missetatern fur Geldwasche der gestohlenen Mittel benutzt werden.

Wir bitten unsere Kunden instandig, die Form der Kontobestatigung auf unserer offiziellen Seite https://login.postbank.de/app/login.prep.do

Die Konten, die bis zum 17.11.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umstande ihrer Eroffnung und Verwendung gebunden. Diese Kontrolle ist sowohl fur die Privatkunden, als auch fur die Firmenkunden aktuell.

Wir entschuldigen uns fur die Unannehmlichkeiten, die wir Ihnen mit der Durchfuhrung der Ma?nahme bereitet haben, wir hoffen auf Ihre Mithilfe und Verstandnis.

Mit freundlichen Gru?en, Sicherheitsabteilung,


PostBank




©2005 PostBank




Was die tun, wissen sie wohl.

die von den Missetatern fur Geldwasche der gestohlenen Mittel benutzt werden.

sis
31.01.2006, 10:42
Heute ist mal wieder die Volksbank dran. Wie verzweifelt muss Leo wohl sein, wenn er permanent dieselben Leute anschreibt: "Steter Tropfen höhlt den Stein"? Mich würde die Statistik interessieren, wieviele DAUs da noch reagieren.Return-Path: <custservice_id_41 [at] volksbank.de>
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.74 ([206.11.245.249]) by .de
with smtp ID: [ID filtered]
FCC: mailbox://custservice_id_41 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Tue, 31 Jan 2006 xx:xx:xx -0400
From: Volksbanken Raiffeisenbanken <custservice_id_41 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <...>
Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING [Wed, 01 Feb 2006 xx:xx:xx +0300]
Content-Type: multipart/related;
Spam-Link: http://202.108.97.139/rpm/

Ein Telnet auf 202.108.97.139:80 bringt folgende Ausgabe (interessant ist die uns um 6 Stunden vorauslaufende chinesische Uhrzeit):

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
<title>Cannot process request!</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rev="made" href="mailto:root [at] localhost" />
<style type="text/css">
<!--
body {color: #000000; background-color: #FFFFFF; }
a:link { color: #0000CC; }
-->
</style>
</head>
<body>
<h1>Cannot process request!</h1>
<dl>
<dd>

The server does not support the action requested by the browser.

</dd></dl><dl><dd>
If you think this is a server error, please contact the <a href="mailto:root [at] localhost">webmaster</a>

</dd></dl>
<h2>Error 501</h2>
<dl>
<dd>
<address>
<a href="/">127.0.0.1</a>
<br />

<small>Tue 31 Jan 2006 xx:xx:xx PM EST</small>
<br />
<small>Apache/2.0.40 (Red Hat Linux)</small>
</address>
</dd>
</dl>
</body>
</html>

kjz1
01.02.2006, 08:32
Heute beworben:

http://211.157.100 .75:180/r1/v/ ---> Volksbank

früher:

http://218.28.165. 168:180/rock/e/ ---> eBay

http://218.28. 165.168:180/rock/d/ ---> Deutsche Bank

Man merkt, Leo geht systematisch vor: Port 180, v=Volksbank, e=eBay, d=Deutsche Bank evtl. gibt es da schon Skripte, um die Phishing-Server (bzw. Server-Proxies) automatisiert anzulegen?

-kjt

kjz1
01.02.2006, 10:44
http://202.108.97. 139/rpm/

ist immer noch aktiv. Vermieten die Chinesen jetzt auch schon offen illegale Server zum Phishen?

- kjz

SpamRam
02.02.2006, 13:09
Einmal direkt:

header:
01: Return-Path: <support_id_8 [at] volksbank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to xxxxx [at] gmx.net
04: Received: (qmail invoked by alias); 02 Feb 2006 xx:xx:xx -0000
05: Received: from adsl-71-133-234-251.dsl.scrm01.pacbell.net (HELO
06: adsl-71-133-234-251.dsl.scrm01.pacbell.net) [71.133.234.251]
07: by mx0.gmx.net (mx065) with SMTP; 02 Feb 2006 xx:xx:xx +0100
08: FCC: mailbox://support_id_8 [at] volksbank.de/Sent
09: X-Identity-Key: ID1
10: Date: Thu, 02 Feb 2006 xx:xx:xx -0700
11: From: VOLKSBANKEN RAIFFEISENBANKEN <support_id_8 [at] volksbank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: xxxxx [at] gmx.net
15: Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING [Fri, 03 Feb 2006 xx:xx:xx +0600]

... und gleich nochmal als BCC:
header:
01: Return-Path: <identdep_op6883520070520 [at] volksbank.de>
02: X-Flags: 1000
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 02 Feb 2006 xx:xx:xx -0000
05: Received: from 84-122-131-42.onocable.ono.com (HELO 84-122-131-42.onocable.ono.com)
06: [84.122.131.42]
07: by mx0.gmx.net (mx059) with SMTP; 02 Feb 2006 xx:xx:xx +0100
08: FCC: mailbox://identdep_op6883520070520 [at] volksbank.de/Sent
09: X-Identity-Key: ID1
10: Date: Thu, 02 Feb 2006 xx:xx:xx +0600
11: From: VOLKSBANKEN RAIFFEISENBANKEN <identdep_op6883520070520 [at] volksbank.de>
12: X-Accept-Language: en-us, en
13: MIME-Version: 1.0
14: To: notme [at] gmx.net
15: Subject: Volksbanken Raiffeisenbanken Online-Banking


http://211.157.100.75:180/r1/v/

Telekomunikacja
02.02.2006, 15:46
Ebenfalls:
From supprefnum0458071017 [at] volksbank.de Thu Feb 2 xx:xx:xx 2006
Return-Path: <supprefnum0458071017 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 02 Feb 2006 xx:xx:xx -0000
Received: from 212.118.20.16.ua.batelco.jo (HELO 212.118.20.16.ua.batelco.jo) [212.118.20.16]
by mx0.gmx.net (mx070) with SMTP; 02 Feb 2006 xx:xx:xx +0100
FCC: mailbox://supprefnum0458071017 [at] volksbank.de/Sent
X-Identity-Key: ID1
Date: Fri, 03 Feb 2006 xx:xx:xx +0200
From: VOLKSBANKEN RAIFFEISENBANKEN <supprefnum0458071017 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Es ist wichtig!
Content-Type: multipart/related;
boundary="------------080104090908070607070001"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=4.024; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO)
X-GMX-UID: [UID filtered]
http://211.157.100.75:180/r1/v/

Plus ein wenig Belletristik:

They may even recognize you for one of their own, Paul. what a surprise! Open Directory he wanted to ask her, and didn't.

He took three dry, then crawled back to the door and lay down against it, blocking it with the weight of his body. The fourth was their father, Adrian Krenmitz, 41. I'll be right back. It was the first day of summer. So the doctor never came. An hour later, full of dope and drifting off to sleep, the sound of the howling wind now soothing rather than frightening, he thought: I'm not going to escape. The riding mower was a small tractor-like vehicle meant for keeping larger-than-average lawns neat and clipped. It's O.K.
Is' eigentlich heute schon Freitag?

Von: VOLKSBANKEN RAIFFEISENBANKEN <supprefnum0458071017 [at] volksbank.de>
An: XXX
Betreff: Es ist wichtig!
Datum: Fri, 03 Feb 2006 xx:xx:xx +0200
:D

kjz1
20.02.2006, 13:57
Leo legt wieder los:

http://www. volksbank.de.dhlmailcorp.com/r1/v/

Domain Name : dhlmailcorp.com ---> 218.54.91.50 ---> Hanaro

Nameserver: nsa28.serverbackup64.com ---> 210.21.113.207 ---> CNCGROUP-GD

Bei der Phishing-Domain legt er sich auch noch mit DHL (Markenrechte) an. Der Nameserver steht bereits auf Registrar Hold, also auch hier wieder massives DNS-Spoofing.

- kjz

Telekomunikacja
20.02.2006, 19:33
From support_refnum_1121461798689 [at] volksbank.de Mon Feb 20 xx:xx:xx 2006
Return-Path: <support_refnum_1121461798689 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 20 Feb 2006 xx:xx:xx -0000
Received: from dsl82-163-80-25.as15444.net (HELO dsl82-163-80-25.as15444.net) [82.163.80.25]
by mx0.gmx.net (mx082) with SMTP; 20 Feb 2006 xx:xx:xx +0100
FCC: mailbox://support_refnum_1121461798689 [at] volksbank.de/Sent
X-Identity-Key: Id3823
Date: Tue, 21 Feb 2006 xx:xx:xx -0500
From: VOLKSBANKEN RAIFFEISENBANKEN AG <support_refnum_1121461798689 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Volksbanken Raiffeisenbanken Online-Banking
Content-Type: multipart/related;
boundary="------------080109030406040307010001"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=6.902; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 SUB_ONLINE VOLKSBANK_PHISHING_SUBJECT1 FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]
http://218.38.43.61:180/r1/v/

"Lyrik":

He couldn't tell. What a painful loss. Dr. Dree She rolled over, struggling to her knees.

and then suddenly changing direction and speeding up from an amble to an all-out bolt which had ended in the bathroom. "They're out to get me, all of them! He didn't want to cry out here in the hall, but he might. That was all. Complain to the management, Paul. Geoffrey had been chiming in his own memories of the adventure, wholly in the grip of his grief by then, and he cursed that grief how, because to him (and to Ian as well, he supposed), Shinny had barely been there. Then, from the front page of the June 1st Denver Post:Anne Wilkes, the thirty-nine-year-old head nurse of the maternity ward at Boulder Hospital, is being questioned today about the deaths of eight infants — deaths which have taken place over a span of some months. ?? ???

Telekomunikacja
21.02.2006, 10:25
From custservice_858694883657 [at] volksbank.de Mon Feb 20 xx:xx:xx 2006
Return-Path: <custservice_858694883657 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 20 Feb 2006 xx:xx:xx -0000
Received: from d36-182-71.home1.cgocable.net (HELO d36-182-71.home1.cgocable.net) [24.36.182.71]
by mx0.gmx.net (mx064) with SMTP; 21 Feb 2006 xx:xx:xx +0100
FCC: mailbox://custservice_858694883657 [at] volksbank.de/Sent
X-Identity-Key: ID04
Date: Tue, 21 Feb 2006 xx:xx:xx -0600
From: VOLKSBANKEN RAIFFEISENBANKEN <custservice_858694883657 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: ES IST WICHTIG!
Content-Type: multipart/related;
boundary="------------060104020803090800070004"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=3.303; DATE_IN_FUTURE_12_24 FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS)
X-GMX-UID: [UID filtered]
http://218.38.43.61:180/r1/v/

Nette Idee übrigens, das Bild alcoholism.gif zu nennen. ;)

sis
21.02.2006, 13:02
Die wichtigen Mitteilungen gehen auch bei mir wieder los. Leider hat es Leo offenbar geschafft, das Script von <phishfighting.com> abzufangen. Obwohl die Phishing-Server erreichbar sind, funktionieren eingegebene Adressen dort nicht mehr (Timeout).

Return-Path: <support_refnum_x [at] volksbank.de>
Received: from usr203091163212.usr.starcat.ne.jp ([203.91.163.212]) by .de
with smtp ID: [ID filtered]
FCC: mailbox://support_refnum_x [at] volksbank.de/Sent
X-Identity-Key: Id00000
Date: Wed, 22 Feb 2006 05:xx:29 +0200
From: Volksbanken Raiffeisenbanken <support_refnum_x [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: <..>
Subject: Die wichtige Mitteilung
218.54.91.50:180/r1/v/

schara56
01.03.2006, 05:31
Return-Path: <online-support_id_1251184466563 [at] volksbank.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 01 Mar 2006 xx:xx:xx -0000
Received: from 201-40-151-102.paemt700.dsl.brasiltelecom.net.br (HELO 201-40-151-102.paemt700.dsl.brasiltelecom.net.br) [201.40.151.102]
by mx0.gmx.net (mx091) with SMTP; 01 Mar 2006 xx:xx:xx +0100
Received: from protgp.com (naturopath.zoneedit.com [91.236.128.54])
by pinnaclesports.com with SMTP ID: [ID filtered]
for <xxx>; Tue, 28 Feb 2006 xx:xx:xx -0800
Received: from surfeador.com [81.84.20.53]
by realboys4u.com with SMTP ID: [ID filtered]
for <xxx>; Tue, 28 Feb 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <infonum-9702716 [at] volksbank.de>
To: "xxx" <xxx>
Subject: Die wichtige Mitteilung
Sender: "Volksbanken Raiffeisenbanken AG" <online-support_id_96223394622592 [at] volksbank.de>
X-Mailer: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="Y9OURK7M494KIXRSJ"
Date: Wed, 1 Mar 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=2.349; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.custsupportref1007.lohanna.com/r1/vf/

kjz1
01.03.2006, 08:43
Und wahrscheinlich auf derselben IP:

http://www.volksbank.de. custsupportref1007.mabberas.com/r1/vf/

Domain Name: MABBERAS.COM ---> 218.147.2.81 ---> KORNET, KR
Registrar: ALANTRON BLTD.
Whois Server: whois.alantron.com
Referral URL: http://www.alantron.com
Name Server: MPTR02.ALANTRON.COM ---> 85.105.185.210 ---> TurkTelekom
Name Server: NSA28.SERVERBACKUP64.COM ---> 210.21.113.207 ---> CNCGROUP-GD
Status: ACTIVE
Updated Date: 27-feb-2006
Creation Date: 27-dec-2005
Expiration Date: 27-dec-2006


The server returned the following data:

www.volksbank.de.custsupportref1007.lohanna.com A 218.147.2.81
esrreta.com A 218.147.2.81
custsupportref1007.esrreta.com A 218.147.2.81
de.custsupportref1007.esrreta.com A 218.147.2.81
volksbank.de.custsupportref1007.esrreta.com A 218.147.2.81
www.volksbank.de.custsupportref1007.esrreta.com A 218.147.2.81
marthaeke.com A 218.147.2.81
www.volksbank.de.custsupportref1007.marthaeke.com A 218.147.2.81
manicte.com A 218.147.2.81
www.manicte.com A 218.147.2.81
mabberas.com A 218.147.2.81
mgmcomps.com A 218.147.2.81
de-custsupportref1007.alysass.com A 218.147.2.81
volksbank.de-custsupportref1007.alysass.com A 218.147.2.81
www.volksbank.de-custsupportref1007.alysass.com A 218.147.2.81
finemoviess.com A 218.147.2.81
tigehat.com A 218.147.2.81


- kjz

kjz1
01.03.2006, 16:17
Jetzt hat Leo einen Rechner der Uni in Brasilia gekapert:

http://164.41.57. 42/rpm/

- kjz

kjz1
03.03.2006, 10:42
Drei neue Domains in Leos Phishing Kit:

http://www.volksbank.de. finemoviess.com/r1/vf/

http://www.volksbank.de. mgmcomps.com/r1/vf/

http://www.volksbank.de. alysass.com/r1/vf/

- kjz

kjz1
03.03.2006, 21:15
Und wieder Lohanna:

Domain Name: LOHANNA.COM ---> 218.206.148.190 ---> CMNET-jiangsu

Name Server: NSA33.SERVERBACKUP64.COM ---> 221.146.130.189 ---> Kornet

Name Server: NSA34.SERVERBACKUP64.COM ---> 211.194.75.128 ---> Kornet

Serverbackup64.com ist von Yesnic schon länger auf Registrar-Hold gesetzt, aber das kümmert Leo nicht, der hält (wie bei seinen Medz Spams) seine bespammten Domains per DNS Spoofing alive.

- kjz

kjz1
04.03.2006, 22:01
Und wieder eine neue Domain:

http://www.volksbank.de. lawases.com/r1/vf/

Domain Name: LAWASES.COM ---> 218.202.105.6 ---> China Mobile

Name Server: NSA33.SERVERBACKUP64.COM ---> 218.51.159.200 ---> Hanaro, KR
Name Server: NSA34.SERVERBACKUP64.COM ---> 211.194.75.128 ---> Kornet, KR

Kost Leo ja wahrscheinlich nichts. Wenn man mit gephishten Kreditkarten bezahlt....

- kjz

Fatal-Error
05.03.2006, 02:39
vorab...

mir wird desöfteren vorgeworfen, ich jage ungeziefer mit atombömbchen...

einstweilen war der grundgedanke folgender:
je länger eine liste zum abklappern ist, desto länger dauert das.
demnach bietet es sich an, zu bereichen (ranges) zusammenzufassen.
in meinem fall habe ich die möglichkeit root-server zu fahren, bei denen ich nach herzenslust würzen kann...
heißt im klartext: ich lasse spammer ihre versuche unternehmen und die logdateien analysieren...
dann fliegen die in eine liste, die brav sortiert wird.
am ende geht der unfug pauschal erstmal in die firewall, nachdem sichergestellt ist, daß ein serversuizID: [ID filtered]
ende der vorstellung...

man läßt die liste wachsen und kontrolliert sie nach und nach, faßt die ranges zusammen gemäß dem unten gezeigten beispiel...

das ergebnis: ich habe meine ruhe und die patienten bleiben draußen

~~~

es sind die üblichen spaßvögel mit dabei: comcast, koreanet, bisschen ttnet.tr incl. der doch sehr dubios agierenden aol-proxies *g*

have phun!



Hostanzahl Subnetzmaske
--------------------------------
/8 16777216 255.0.0.0
/9 128x65536 255.128.0.0
/10 64x65536 255.192.0.0
/11 32x65536 255.224.0.0
/12 16x65536 255.240.0.0
/13 8x65536 255.248.0.0
/14 4x65536 255.252.0.0
/15 2x65536 255.254.0.0
/16 65536 255.255.0.0
/17 128x256 255.255.128.0
/18 64x256 255.255.192.0
/19 32x256 255.255.224.0
/20 16x256 255.255.240.0
/21 8x256 255.255.248.0
/22 4x256 255.255.252.0
/23 2x256 255.255.254.0
/24 256 255.255.255.0
/25 128 255.255.255.128
/26 64 255.255.255.192
/27 32 255.255.255.224
/28 16 255.255.255.240
/29 8 255.255.255.248
/30 4 255.255.255.252



Range: 4.0.0.0/8
Range: 10.0.0.0/8
Range: 12.0.0.0/8
Range: 24.0.0.0/8
Range: 30.0.0.0/8
Range: 52.0.0.0/8
Range: 53.0.0.0/8
Range: 54.0.0.0/8
Range: 55.0.0.0/8
Range: 56.0.0.0/8
Range: 57.0.0.0/8
Range: 58.0.0.0/8
Range: 59.0.0.0/8
Range: 60.0.0.0/8
Range: 61.0.0.0/8
Range: 62.72.72.0/24
Range: 62.134.13.0/24
Range: 62.134.53.0/24
Range: 62.153.103.0/24
Range: 62.154.215.0/24
Range: 62.156.178.0/24
Range: 62.193.128.0/24
Range: 62.225.52.0/24
Range: 62.236.76.0/24
Range: 62.245.207.0/24
Range: 64.12.83.0/24
Range: 64.12.115.0/24
Range: 64.12.118.0/24
Range: 64.12.119.0/24
Range: 64.12.120.0/24
Range: 64.62.133.0/24
Range: 64.238.0.0/16
Range: 65.52.0.0/16
Range: 65.53.0.0/16
Range: 65.55.0.0/16
Range: 65.202.26.0/24
Range: 67.160.0.0/16
Range: 67.161.0.0/16
Range: 67.162.0.0/16
Range: 67.163.0.0/16
Range: 67.164.0.0/16
Range: 67.165.0.0/16
Range: 67.166.0.0/16
Range: 67.167.0.0/16
Range: 67.168.0.0/16
Range: 67.169.0.0/16
Range: 67.170.0.0/16
Range: 67.171.0.0/16
Range: 67.172.0.0/16
Range: 67.173.0.0/16
Range: 67.174.0.0/16
Range: 67.175.0.0/16
Range: 67.176.0.0/16
Range: 67.177.0.0/16
Range: 67.178.0.0/16
Range: 67.179.0.0/16
Range: 67.180.0.0/16
Range: 67.181.0.0/16
Range: 67.182.0.0/16
Range: 67.183.0.0/16
Range: 67.184.0.0/16
Range: 67.185.0.0/16
Range: 67.186.0.0/16
Range: 67.187.0.0/16
Range: 67.188.0.0/16
Range: 67.189.0.0/16
Range: 67.190.0.0/16
Range: 67.191.0.0/16
Range: 68.0.0.0/8
Range: 69.19.14.0/24
Range: 69.62.0.0/16
Range: 69.136.0.0/16
Range: 69.137.0.0/16
Range: 69.138.0.0/16
Range: 69.139.0.0/16
Range: 69.140.0.0/16
Range: 69.141.0.0/16
Range: 69.142.0.0/16
Range: 69.143.0.0/16
Range: 70.0.0.0/8
Range: 71.96.0.0/16
Range: 71.97.0.0/16
Range: 71.98.0.0/16
Range: 71.99.0.0/16
Range: 71.110.0.0/16
Range: 71.111.0.0/16
Range: 71.112.0.0/16
Range: 71.113.0.0/16
Range: 71.114.0.0/16
Range: 71.115.0.0/16
Range: 71.116.0.0/16
Range: 71.117.0.0/16
Range: 71.118.0.0/16
Range: 71.119.0.0/16
Range: 71.120.0.0/16
Range: 71.121.0.0/16
Range: 71.122.0.0/16
Range: 71.123.0.0/16
Range: 71.124.0.0/16
Range: 71.125.0.0/16
Range: 71.126.0.0/16
Range: 71.127.0.0/16
Range: 72.0.0.0/8
Range: 75.0.0.0/8
Range: 80.75.192.0/24
Range: 80.190.242.0/24
Range: 81.7.200.0/24
Range: 81.24.32.0/24
Range: 81.219.160.0/24
Range: 82.96.81.0/24
Range: 82.139.8.0/24
Range: 82.141.128.0/24
Range: 82.193.65.0/24
Range: 82.208.10.0/24
Range: 83.142.112.0/24
Range: 83.230.18.0/24
Range: 84.96.0.0/16
Range: 84.97.0.0/16
Range: 84.98.0.0/16
Range: 84.99.0.0/16
Range: 84.110.0.0/16
Range: 84.112.0.0/16
Range: 84.113.0.0/16
Range: 84.114.0.0/16
Range: 84.115.0.0/16
Range: 84.116.0.0/16
Range: 84.117.0.0/16
Range: 84.118.0.0/16
Range: 84.119.0.0/16
Range: 84.120.0.0/16
Range: 84.121.0.0/16
Range: 84.122.0.0/16
Range: 84.123.0.0/16
Range: 84.124.0.0/16
Range: 84.125.0.0/16
Range: 84.126.0.0/16
Range: 84.127.0.0/16
Range: 84.176.241.0/24
Range: 84.205.223.0/24
Range: 85.222.164.0/24
Range: 85.98.0.0/16
Range: 85.99.0.0/16
Range: 86.105.128.0/24
Range: 90.0.0.0/8
Range: 96.0.0.0/8
Range: 97.0.0.0/8
Range: 98.0.0.0/8
Range: 99.0.0.0/8
Range: 100.0.0.0/8
Range: 101.0.0.0/8
Range: 102.0.0.0/8
Range: 103.0.0.0/8
Range: 104.0.0.0/8
Range: 105.0.0.0/8
Range: 106.0.0.0/8
Range: 107.0.0.0/8
Range: 108.0.0.0/8
Range: 109.0.0.0/8
Range: 110.0.0.0/8
Range: 111.0.0.0/8
Range: 112.0.0.0/8
Range: 113.0.0.0/8
Range: 114.0.0.0/8
Range: 115.0.0.0/8
Range: 116.0.0.0/8
Range: 117.0.0.0/8
Range: 118.0.0.0/8
Range: 119.0.0.0/8
Range: 120.0.0.0/8
Range: 124.0.0.0/8
Range: 125.0.0.0/8
Range: 128.139.226.0/24
Range: 129.11.77.0/24
Range: 129.35.232.0/24
Range: 129.212.0.0/16
Range: 130.13.0.0/16
Range: 130.81.0.0/16
Range: 131.181.251.0/24
Range: 132.5.72.0/24
Range: 136.206.1.0/24
Range: 137.164.143.0/24
Range: 139.161.2.0/24
Range: 141.76.0.0/16
Range: 142.35.144.0/24
Range: 143.0.0.0/8
Range: 144.95.32.0/24
Range: 145.97.65.0/24
Range: 145.253.3.0/24
Range: 147.0.0.0/8
Range: 148.177.129.0/24
Range: 157.181.161.0/24
Range: 158.125.1.0/24
Range: 158.195.32.0/24
Range: 160.136.109.0/24
Range: 164.3.200.0/24
Range: 167.80.244.0/24
Range: 169.145.3.0/24
Range: 170.20.11.0/24
Range: 170.56.0.0/16
Range: 171.16.4.0/24
Range: 192.168.0.0/16
Range: 192.205.0.0/16
Range: 193.1.88.0/24
Range: 193.1.229.0/24
Range: 193.23.182.0/24
Range: 193.63.235.0/24
Range: 193.92.123.0/24
Range: 193.95.0.0/16
Range: 193.110.46.0/24
Range: 193.111.93.0/24
Range: 193.136.120.0/24
Range: 193.136.173.0/24
Range: 193.144.16.0/24
Range: 193.170.64.0/24
Range: 193.172.19.0/24
Range: 193.189.247.180
Range: 193.200.15.0/24
Range: 193.202.26.0/24
Range: 194.2.22.0/24
Range: 194.7.176.0/24
Range: 194.8.197.0/24
Range: 194.64.31.0/24
Range: 194.65.23.0/24
Range: 194.71.243.0/24
Range: 194.89.68.0/24
Range: 194.100.242.0/24
Range: 194.109.22.0/24
Range: 194.115.88.0/24
Range: 194.145.121.0/24
Range: 194.152.104.0/24
Range: 194.154.0.0/16
Range: 194.158.104.0/24
Range: 194.162.162.0/24
Range: 194.165.0.0/16
Range: 194.206.254.0/24
Range: 194.232.85.0/24
Range: 194.246.108.0/24
Range: 194.246.109.0/24
Range: 194.251.142.0/24
Range: 194.254.136.0/24
Range: 195.34.133.0/24
Range: 195.93.17.0/24
Range: 195.93.18.0/24
Range: 195.93.19.0/24
Range: 195.93.20.0/24
Range: 195.93.21.0/24
Range: 195.93.24.0/24
Range: 195.93.58.0/24
Range: 195.93.59.0/24
Range: 195.93.60.0/24
Range: 195.93.61.0/24
Range: 195.93.64.0/24
Range: 195.93.65.0/24
Range: 195.93.66.0/24
Range: 195.93.96.0/24
Range: 195.93.97.0/24
Range: 195.93.102.0/24
Range: 195.93.103.0/24
Range: 195.93.104.0/24
Range: 195.117.211.0/24
Range: 195.127.188.0/24
Range: 195.131.84.0/24
Range: 195.145.0.0/16
Range: 195.148.82.0/24
Range: 195.156.245.0/24
Range: 195.162.49.0/24
Range: 195.167.52.0/24
Range: 195.178.33.0/24
Range: 195.206.40.0/24
Range: 195.226.104.0/24
Range: 195.234.144.0/24
Range: 195.243.99.0/24
Range: 195.244.244.0/24
Range: 198.102.219.0/24
Range: 199.0.0.0/8
Range: 200.0.0.0/8
Range: 201.0.0.0/8
Range: 202.0.0.0/8
Range: 203.0.0.0/8
Range: 204.0.0.0/8
Range: 205.0.0.0/8
Range: 206.0.0.0/8
Range: 207.0.0.0/8
Range: 208.0.0.0/8
Range: 209.0.0.0/8
Range: 210.0.0.0/8
Range: 211.0.0.0/8
Range: 212.18.80.0/24
Range: 212.42.244.0/24
Range: 212.45.53.0/24
Range: 212.59.0.0/16
Range: 212.64.160.0/24
Range: 212.66.14.0/24
Range: 212.71.202.0/24
Range: 212.87.148.0/24
Range: 212.96.160.0/24
Range: 212.101.4.0/24
Range: 212.130.38.0/24
Range: 212.135.1.0/24
Range: 212.185.179.0/24
Range: 212.194.0.0/16
Range: 212.195.0.0/16
Range: 212.200.112.0/24
Range: 213.25.78.0/24
Range: 213.148.129.0/24
Range: 213.153.32.0/24
Range: 213.158.123.0/24
Range: 213.160.254.0/24
Range: 213.167.129.0/24
Range: 213.169.107.0/24
Range: 213.175.2.0/24
Range: 213.184.200.0/24
Range: 213.188.206.0/24
Range: 213.191.111.0/24
Range: 213.216.209.0/24
Range: 213.228.0.0/16
Range: 216.109.121.0/24
Range: 216.221.81.0/24
Range: 217.6.39.0/24
Range: 217.17.202.0/24
Range: 217.70.48.0/24
Range: 217.79.181.118
Range: 217.110.35.0/24
Range: 217.144.192.0/24
Range: 218.0.0.0/8
Range: 219.0.0.0/8
Range: 220.0.0.0/8
Range: 221.0.0.0/8
Range: 222.0.0.0/8

That´s all folks!

nice greetz from HeLL
Fatal-Error

schara56
06.03.2006, 05:09
Return-Path: <custservice-ref-36746080 [at] vr-networld.de>
X-Flags: 0000
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 05 Mar 2006 xx:xx:xx -0000
Received: from 82-77-99-57.cable-modem.hdsnet.hu (HELO 82-77-99-57.cable-modem.hdsnet.hu) [82.77.99.57]
by mx0.gmx.net (mx027) with SMTP; 05 Mar 2006 xx:xx:xx +0100
Received: from [84.63.212.209] (HELO interim.poczta.onet.pl)
by labshost.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 05 Mar 2006 xx:xx:xx -0800
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
From: "Volksbanken Raiffeisenbanken 2006" <onlinesupport_id_896194932 [at] volksbank.de>
To: "Martinstrickmann" <x>
Subject: Volksbanken Raiffeisenbanken AG Internet Banking
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="9B4CIFPQXR8W00OKKHU"
Date: Sun, 5 Mar 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]


http://www.volksbank.de.alysass.com/r1/vf/

kjz1
16.03.2006, 09:14
Leo startet wieder eine neue Welle gegen die Volksbank:

www.volksbank.de. confproc. cc/r1/vf/

Warum eigentlich in letzter Zeit bevorzugt gegen die Volksbank? Sind da die Kunden 'unbedarfter'? Auffällig auch, dass die Phishing-Seiten sehr oft in Korea gehostet sind. Die Chinesen sind schon skrupellos, scheinen aber noch von den Koreanern übertroffen zu werden.

- kjz

keiang
16.03.2006, 18:48
Hab die Mail auch bekommen *arg*. Was mich wundert das die Volksbank scheinbar nur zuschaut, auf Ihrer Seite sind nur Hinweise das die Mail gelöscht werden soll, aber nix mit melden oder so.

Ist nen billiger Apache Server der auf "http://www.volksbank.de. confproc. cc/r1/vf/" läuft...

Fatal-Error
16.03.2006, 18:51
spannender finde ich die verteilungswege...

etwas sorge bereiten mir seit einigen tagen die patienten aus rumänien

Name: 86-104-182-76.dotro.net
IP-Addrese: 86.104.182.76
Location: BUCURESTI (44.433N, 26.100E)
Netzwerk: 86-RIPE

von dem hatte ich heute etwas zum thema volksbank.

da wird es wohl dringend nötig, mal ein bisschen aktiv zu werden ;-)

schaut mal in eure ssh protokolle, was aus dem rumänischen sektor da rumfleucht *g*

so wäre mein vorschlag der, daß ein spezieller tarn-daemon mal die augen aufreißt, nach sogenannten scannern. das macht nur dann sinn, wenn viele mitmachen. so wäre es möglich, die eingehenden datenpakete zu speichern.
eine essentielle grundlage um heraus zu bekommen, wie leo sich ohne die gängigen proxy-listen zu helfen weiß. zumal ich nicht selten feststellen muß, daß die zielrechner über die der mist letztendlich abgesetzt wird, zumeist gar keine offenen relays bzw. mailserver sind !?!

kjz1
16.03.2006, 18:54
Und mgmcomps.com/r1/vf/ ist seit über einer Woche auch noch im Spiel. Entweder ist die Rechtsabteilung bei der Dachorganisation der Volksbanken (DIE Volksbank gibt es ja nicht, das ist ja eher ein Bankenverbund) unfähig und Leo nutzt das natürlich gnadenlos aus oder die Koreaner scheren sich absolut den Teufel um Recht und Gesetz, weshalb man sie eigentlich weltweit in ihrem eigenen Intranet schmoren lassen sollte.

- kjz

sis
16.03.2006, 19:38
Fatal-Error: zumal ich nicht selten feststellen muß, daß die zielrechner über die der mist letztendlich abgesetzt wird, zumeist gar keine offenen relays bzw. mailserver sind !?!Leo benutzt keine offenen Proxys für seinen Schund. Der greift auf Tausende von Rechnern in seinen Trojaner-verseuchten Botnetzen zu.

Grisu_LZ22
16.03.2006, 20:26
Ich dachte schon, ich krieg garnix mehr :D aber soeben aufgeschlagen:

Return-Path: <reference-id_47273243795 [at] vr-networld.de>
Received: from mailin20.aul.t-online.de (mailin20.aul.t-online.de [172.20.26.74])
by mhead18 with LMTP; Thu, 16 Mar 2006 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.10 ([196.201.88.53]) by mailin20.sul.t-online.de
with smtp ID: [ID filtered]
Received: from vidsweb.com (helo yimg.com.damcash.com [78.16.84.255])
by infopact.com with SMTP ID: [ID filtered]
for <mein.email [at]accouont.de>; Thu, 16 Mar 2006 xx:xx:xx -0800
Received: from ciberaula.infase.es (ciberaula.infase.es.revsharehosting.com [75.64.36.119])
by dedicatedcentral.com with SMTP ID: [ID filtered]
for <mein.email [at] account.de>; Thu, 16 Mar 2006 xx:xx:xx -0100
From: "Volksbanken Raiffeisenbanken AG Online banking" <operate-ref82455296 [at] vr-networld.de>
To: "Mein Name" <mein.email [at] account.de>
X-MSMail-Priority: 3 (Normal)
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4JKOC0RHHGMOMGBGI.1W"
X-TOI-SPAM: u;0;2006-03-16Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'operate-ref82455296 [at] vr-networld.de' (59 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] VOLKSBANKEN RAIFFEISENBANKEN INTERNET-BANKING
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


der link geht auf http://www.volksbank.de.dllinfo.cc/r1/vf/

Besonders lustig is dass es die Volksbanken Raiffeisenbanken AG schickt.

Vielleicht sollte man unsere fröhlichen Pisher mal auf nen Kurs bezüglich der Rechtsformen schicken :roflpmp:

ich glaub ich werd mal fröhlich ein paar daten einhacken, vielleicht krieg ich ja dann auch mal wieder ein angebot als money-agent

:jedi:

Sven Udo
16.03.2006, 22:57
vorab...

mir wird desöfteren vorgeworfen, ich jage ungeziefer mit atombömbchen...

[...]

man läßt die liste wachsen und kontrolliert sie nach und nach, faßt die ranges zusammen gemäß dem unten gezeigten beispiel...

das ergebnis: ich habe meine ruhe und die patienten bleiben draußen

~~~

es sind die üblichen spaßvögel mit dabei: comcast, koreanet, bisschen ttnet.tr incl. der doch sehr dubios agierenden aol-proxies *g*

have phun! That´s all folks! nice greetz from HeLL
Fatal-Error
@all ich habe nichts gegen sinnvolle Aufzählungen von Fakten, im Zusammenhang von Spam etc.

Aber was nun diese - unendliche - Aneinanderreihung von "Hostanzahl- Subnetzmaske" & "Range:" praktisch für einen Nutzen haben soll, muss mir mal einer glaubhaft erklären.

IMHO außer - langsam aber sicher - das Forum zuzumüllen vielleicht?

Fatal-Error
17.03.2006, 03:17
Erklaerbaer32.exe wurde gestartet...
Debug:

das sind die bereiche, aus denen ich seit jahren nichts als müll (nicht nur spam alleine) bekommen habe.

fein säuberlich zusammengefaßt. nicht mehr, nicht weniger.

aus dem betrachtungswinkel einer klassischen hausfrau mit windows-xp und aol ist das sicher sinnlos. aus sicht eines administrators durchaus brauchbar, sofern man halbwegs etwas von seinem handwerk versteht. nehmen wir einmal an, daß 1000 server mit populären domains das durchziehen. wer jammert dann wo ?

nicht wir mit belächelnswerten abuse mails voller bitte-bitte, weil man derer patienten mit seinen bescheidenen mitteln auf internationaler ebene nicht habhaft wird, sondern die dortigen provider werden lecker von ihren kunden vollgeweint und die drohen mit anbieterwechsel. das bedeutet image- und kapitalverlust. damit bekommst du sie, nicht aber mit traurigen schreiben in merkwürdigem englisch. falls der witz nicht angekommen sein sollte, der belastungsgrad nimmt zu und nicht ab.

für verschiedene probleme gibt es verschiedene lösungsansätze. das da ist füllmaterial als vorschlag für die lösung bestimmter teilprobleme. ein ultimatives manual gibt es offensichtlich nicht, ansonsten gäbe es dies forum und dem bedürfnis tausender leute, hier zu lesen, nicht. in anderen themenbereichen sind weitere teillösungsvorschläge gepostet. die ganz harten klopapierrollen hab ich zum download verschlimmlinkt. offenbar besteht bei einigen dann doch interesse, denn die statistik erzählt mir, wie oft welches dokument abgerufen wurde. dem einen fehlt hier, dem anderen dort noch etwas. in der kombination erst entfalten sich die neuen optionen.

wenn ich weiß, daß aus dem rumänischen und ungarischen raum ssh-exploits übelster art gefahren werden, dann macht diese liste durchaus sinn. ein server ist zwar noch immer mit dem leck am netz, jedoch greift die wall vorher und drückt die eingehenden anfragen aus dem risiko-bereich sofort in die rundablage. von den speziellen ssh-bugs sind nach derzeitigem erkenntnisstand alle unix-derivate betroffen. die werksinstallation von linux-systemen beinhaltet diesen dienst auf port 22 standardmäßig.
nach dem connect wird in weniger als 10 sekunden die kiste komplett gekapert und fährt wie ein virus, daß sich selbst repliziert, seine umliegenden ranges ab. sucht, wird fündig und schlägt zu...

ich habe hier eigens dafür eine präparierte kiste aufgestellt und daneben gesessen, um mir dieses spiel mal live anzusehen. was in den rechenzentren derzeit abgeht kann man sich kaum vorstellen. bei 1&1 sackt die infrastruktur auf weniger als 30 % ab. schlecht aufgestellt ist man dort in sachen technischer kapazitäten nicht. dazu kommen noch ein paar koreaner, die mit bots permanent versuchen für hanmail.net irgendwelchen unfug abgeben zu lassen. diese fraktion hat in spitzenzeiten (ich hab´s mal drauf ankommen lassen) sage und schreibe 4 GB traffic am tag nur mit fehlermeldungen, die aus den drei zeichen "550" bestanden, produziert.

präventionsmaßnahmen, wie sie vor einem jahr vielleicht noch brauchbar waren, sind definitiv überaltert, wenn man sich ansieht, welchen methoden man heute gegenübersteht. geh davon aus, daß ich meine kisten im griff habe. dennoch laufen diese kisten in einer art gesellschaft. unterstütze ich diese gesellschaft durch mein wissen nicht, bricht die infrastruktur in sich zusammen. dann kann ich meine kisten abschalten, weil sie nicht mehr erreichbar sind. legt jeder dieser gesellschaft sein wissen dabei, haben alle etwas davon und die nummer hat eine vernünftige zukunft...

beispiel: der allseits beliebte freund "leo"...
er zettelt unfug an. was passiert hier ? richtig, es wird fleißig header-material gesammelt und gepostet... sucht man nach taktik und aufhängern.
es gibt aus verschiedenen bereichen techniken und methoden, denen er sich bedient. nun nochmal schnell zurückgekurbelt und kalender rausgezottelt, wie lange der nun schon sein unwesen treibt. huch, neben jedem thread steht ja auch ne hit-zahl *g*... warum diese mitunter so hoch sind, kann ich mir auch nicht erklären. bis zu einem gewissen grad lassen sich manche seiner aktionen zurückverfolgen. bleibt das problem, der verteilung. aus allen headern die ip´s zusammengesammelt und in eine liste gekurbelt, stellt man mit erstaunen fest, daß dieser patient keiner der üblichen sorte ist. desweiteren benutzt er ein uns unbekanntes spielzeug, bzw. eine kombination verschiedener spielzeuge. soweit so gut. diese werden benötigt, damit man sie zerlegen kann. ist das erledigt, kann man sich ein antispielzeug basteln, um diesen irren zu busten...

so, da stehen wir... fernab vom bundesamt für sicherheit und information (-slosigkeit), fernab schwafelnder politiker (entschuldigung frau verbraucherschutzministerin), die mit anderen sorgen um ihr diplomatisches ansehen fürchten...


Schäuble: Bürger-CERT bietet Online-Sicherheit für jedermann (http://www.antispam-ev.de/forum/showthread.php?t=10293)
soviel zum thema
IMHO außer - langsam aber sicher - das Forum zuzumüllen vielleicht?

ich hoffe, daß du nun halbwegs im bilde bist...

um das forum (und die dahiner stehende datenbank) brauchst du dich nicht so sehr sorgen. da fehlen noch einige tausend beiträge, bevor hier was ins ruckeln kommt.

die masse der kleinen ist übrigens schlimmer als die einzelnen großen, weil (my)sql da mehr beim
select $piep from $muh where $bla='$suelz' abklappern muß ;-)

mumpf, ich habe meine gruppe verpaßt :eek:

exe
17.03.2006, 11:02
so wäre mein vorschlag der, daß ein spezieller tarn-daemon mal die augen aufreißt, nach sogenannten scannern. das macht nur dann sinn, wenn viele mitmachen. so wäre es möglich, die eingehenden datenpakete zu speichern.
Gibt es da was von der Stange oder muß man sich das selbst stricken? Ich hätte da zwei Maschinen auf denen man sowas laufen lassen könnte, auf denen läuft auf Port 22 kein SSH. :)

kjz1
17.03.2006, 11:48
der allseits beliebte freund "leo"

Ein entscheidender Unterschied: im Gegensatz zu vielen 'Dummspammern' hat Leo Informatik am MIT in Boston studiert. Das MIT dürfte weltweit zu den absoluten Spitzeninstitutionen im Bereich Informatik zählen. Und auch wiss. publiziert, Bsp.:

http://www.aaai.org/Library/AAAI/1997/aaai97-082.php

- kjz

Fatal-Error
17.03.2006, 17:23
seine vorgehensweise ist alles andere als "dumm".
wo er studiert hat, ist dennoch sekundärer natur.

er nutzt rechtslücken für jedes seiner teile. letztes jahr kamen die ssh attacken noch aus ungarn und bulgarien. dort hat man inzwischen von seiten des gesetzgebers reagiert. aber, rumänien sei dank, geht der unfug heiter weiter.

gutgläubigkeit und hierzulande sehr etalblierte kleinbeigeberei machen diesen unfug aber erst wirksam.

zu dem daemon für port 22...
ich gedachte da einen minimal-daemon in perl zu basteln, der nur auf port 22 lauscht und die eingaben loggt. reagieren soll er nur zum schein mit der üblichen antwort eines ssh servers.
hier gibt es zwei fraktionen...
1. die angriffe absetzer
2. die angriffe von infiltrierten servern

zu dem zweiten spielzeug auf port 25...
hier geht es darum, einen mailserver zu simulieren. funktionell soll auch er nur loggen, aber nichts machen können. kerninformationen hierbei zu sammeln ist das ziel. zum einen, ip´s der infizierten rechner, zum anderen ports von denen aus diese software agiert. im anschluß daran portscans, ob irgendwo remote-ports existieren, mit denen man etwas anfangen kann...

ziel ist es insgesamt die kette zu unterbrechen und damit eine rückverfolgbarkeit zu realisieren, damit wir was zum verhandeln haben.
ich meine damit nicht, mit leo zu verhandeln, sondern mit den staaten, deren rechtsgrundlage straffrei diese teile gewähren läßt.

im übrigen ist heute eine neue variante der phishing-mails aufgetaucht.

sis
18.03.2006, 13:11
Wurde ja bereits gemeldet: http://www.volksbank.de.confproc.cc/r1/vf/
Leider funktioniert Phishfighting bei mir nicht, also tippe ich einfach manuell jede Menge falsche Daten ein. Hat schonmal jemand gecheckt, ob gültige VoBa-BLZ angegeben werden müssen? Das Formular nimmt bei mir ungeprüft jeden Blödsinn an.

Fatal-Error
18.03.2006, 22:03
was fällt dir an der X2B0CB84.htm dort im quelltext auf ?

sis
20.03.2006, 16:48
was fällt dir an der X2B0CB84.htm dort im quelltext auf ?Da hat wohl doch endlich mal jemand reagiert, die Seite ist weg. Es müsste doch im Interesse der Volksbank (und aller anderen Banken auf der Welt) sein, den durch Imageverlust erlittenen finanziellen Schaden anstatt an die Opfer lieber zur Verbrechensbekämpfung einzusetzen.

Goofy
20.03.2006, 20:21
Da hat wohl doch endlich mal jemand reagiert...

Liegt an einem bedauerlichen Problem mit seinen DNS-Servern.

kjz1
20.03.2006, 20:50
Serverbackup64 ist ja nun schon seit einiger Zeit tot. Leo scheint zur Zeit ja nur noch über DNS-Spoofing zu arbeiten. Und wenn das nicht klappt....

- kjz

Fatal-Error
21.03.2006, 02:21
document.write("<link href='/gwm5/webdbs/xct900x.nsf/(GrafikAnhaenge)/styles_ns.css/$File/styles_ns.css' rel='stylesheet' type='text/css'>")



<script language="JavaScript" type="text/javascript">
rdm=Math.random()*10000000+10000000;
document.write('<img src="http://as1.falkag.de/sel?cmd=ban&dat=176370&opt=16&rdm='+rdm+'" width="1" height="1" border=0>');
</script>
<noscript><img src="http://as1.falkag.de/sel?cmd=ban&dat=176370&opt=16" width="1" height="1" border=0></noscript>
<!-- END:AdSolution-Tag 4.0 -->



<!--
XSL-Script Versionen
$RCSfile: Component3.xsl,v $ $Revision: 4.2 $, $Date: 2004/01/21 xx:xx:xx $
$RCSfile: homepage_templates.xsl,v $ $Revision: 4.2 $, $Date: 2003/10/28 xx:xx:xx $
$RCSfile: project_templates.xsl,v $, $Name: GWM-5-1-3-Portal-a $, $Revision: 4.7 $, $Date: 2004/02/05 xx:xx:xx $
$RCSfile: global_templates.xsl,v $ $Revision: 4.17 $, $Date: 2004/04/26 xx:xx:xx $
-->



<!--IFRAME Tag (URL Tag for Rich Media) //Tag for network: VR-Networld (ID: [ID filtered]
<AD- ME WIDTH=120 HEIGHT=90 NORESIZE SCROLLING=No FRAMEBORDER=0 MARGINHEIGHT=0 MARGINWIDTH=0 SRC="http://adserver.adtech.de/?adiframe|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;target=_blank;"><!-- pt language=javascript src="http://adserver.adtech.de/?addyn|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;target=_blank;loc=700;"></scri--><noscript><a href="http://adserver.adtech.de/?adlink|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;loc=300;" target=_blank><FONT size=1>[AD]</FONT><AD- ech.de/?adserv|2.0|10|62849|1|5|KEY=key1+key2+key3+key4;loc=300;" border=0 width=120 height=90></a></noscript><AD- AME>



<!--Anzahl Me: 0 homepage:false xml_url -->

<!-- Begin Sitestat4 code -->
<script language="JavaScript1.1">
<!--
function sitestat(ns_l) {
ns_l+="&ns__t="+(new Date()).getTime();
ns_pixelUrl=ns_l;
ns_0=document.referrer;
ns_0=(ns_0.lastIndexOf("/")==ns_0.length-1)?ns_0.substring(ns_0.lastIndexOf("/"),0):ns_0;
if(ns_0.length>0) ns_l+="&ns_referrer="+escape(ns_0);
if(document.images) {
ns_1=new Image();
ns_1.src=ns_l;
}
else document.write('<img src="/gwm5/webdbs/xct900.nsf/d4fe5d22e2372b31c1256a0a006ae242/'+ns_l+'" width=1 height=1>');
}
sitestat("http://de.sitestat.com/vr-networld/vr-networld/s?Bankensuchekomp.bas.mitspeichern");
//-->
</script>
<noscript>
<img src="http://de.sitestat.com/vr-networld/vr-networld/s?Bankensuchekomp.bas.mitspeichern" width=1 height=1>
</noscript>
<!-- End Sitestat4 code -->


da taucht noch ein anderer bekannter auf, der sich sowohl in deutschland, alsauch in der schweiz kürzlich sehr unbeliebt gemacht hat

ich kommentiere das jetzt mal nicht weiter ;)

wer die kopie dessen, was ich dort abgegriff, haben möchte, als zip-datei haben zu haben... handelsübliche pn

kjz1
24.03.2006, 16:10
Kaum ist es Wochenende, die Bank-Admins sind alle zu Hause, schon wirft Leo wieder die Phishing-Kiste an:

http://www.volksbank.de.isapdl1.com

Und wie üblich scheint das DNS auch noch kaputt zu sein. Gecrackte Kisten?

- kjz

kjz1
24.03.2006, 16:11
Gecrackte Kisten?

Na ja, zumindestens auf einem Botnet gehostet...

- kjz

Fatal-Error
24.03.2006, 17:48
dein frage läßt sich für diesen fall mit ja beantworten.

es bedarf der manipulation der http-server config, mehr nicht.

die dns-abfrage gibt nur die ip der tld zurück.
alles weitere übernimmt der http-server an dieser stelle.

um solche manipulation vorzunehmen, muß man entweder in die kiste einsteigen, oder sie dazu bringen, sich die änderungen zu holen.

bevorzugt sind apache2 server mit php unterstützung.
treffen tut es gelegentlich auch apache1 server, wobei auch hier das leck php ist.

sis
26.03.2006, 19:20
Ich denke, dass diese Domain hier noch nicht genannt wurde:http://www.volksbank.de.sysdll.ws/r1/vf/

Kam am Samstag hier an und wurde von mir schon mit vielen ungültigen Daten gefüllt.

Telekomunikacja
30.03.2006, 09:14
From support-ref221268793231 [at] vr-networld.de Thu Mar 30 xx:xx:xx 2006
Return-Path: <support-ref221268793231 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 30 Mar 2006 xx:xx:xx -0000
Received: from p2116-ipbf312fukuokachu.fukuoka.ocn.ne.jp (HELO p2116-ipbf312fukuokachu.fukuoka.ocn.ne.jp) [58.90.249.116]
by mx0.gmx.net (mx025) with SMTP; 30 Mar 2006 xx:xx:xx +0200
Received: from interptr.com (unknown [33.48.152.100])
by xairo.com with SMTP ID: [ID filtered]
for <XXX>; Thu, 30 Mar 2006 xx:xx:xx -0800
Received: from mrg.com (unknown [96.248.53.60])
by proext.com with SMTP ID: [ID filtered]
for <XXX>; Thu, 30 Mar 2006 xx:xx:xx -0600
From: "VOLKSBANKEN RAIFFEISENBANKEN AG INTERNET BANKING" <online_support_id_04307230225 [at] vr-networld.de>
To: "XXX" <XXX>
Comments: reference-id_7188847903637 [at] vr-networld.de
Subject: VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="XT14ELHVF85QUNY"
Date: Thu, 30 Mar 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=4.348; FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS SUB_ONLINE VOLKSBANK_PHISHING_SUBJECT1 FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.custsupportref1007.sysdll.ws/r1/vf/

boomerang.gif (http://img93.imageshack.us/img93/1553/boomerang1lo.gif)

Goofy
30.03.2006, 19:23
Die Domain wurde inzwischen aus dem DNS genommen - vermutlich durch die Betreiber der .ws-TLD-Nameserver, in Übergehung des Registrars. :skull:

Registriert ist die Domain (immer noch) bei webnames.ru. Kennt die jemand? Mir noch nie untergekommen.
Gehostet war der crap natürlich im Land der lächelnden Reiskörner, bei unseren Freunden von der CNCGROUP.

kjz1
30.03.2006, 22:38
Ich habe solche .ws Domains mal bei webnames.ru geLARTed und die Antwort erhalten, dass man die Domain sperren (set on Hold) werde. Da mir dies aber nicht unbedingt geheuer war, ging der LART auch an den 'Upstream' für die cc .ws. Hat anscheinend was genutzt.

- kjz

Gewoell
01.04.2006, 15:03
hallo,

es ist ja schön, wenn man solche spammer bremsen kann. aber ist das nicht unter dem strich ein kampf gegen windmühlen? wenn man einen platt tritt, stehen schon mindestens drei dahinter die noch schlimmer weiter machen. ausserdem fehlt es den banken an offenheit das phishing problem wirklich offensiv in ihren publikationen aufzuzeigen. scheinbar verdienen die da auch gut damit, wenn leuten das konto leer geräumt wird und die zinsen kassieren. oder was weiss ich warum.

jedenfalls solange es keine internationalen gesetze und echt drastische strafen gegen spammer gibt, und solange leute auf phishing mails in katastrophalem deutsch ohne zu nachzudenken wirklich ihre pin und tan eingeben, solange wird das sowieso nie etwas helfen.

solange ist der kampf gegen spam zwar notwendig, aber aussichtslos. denn das gilt im prinzip für alle spam mails. würde den müll keiner kaufen, würde ihn keiner anbieten. aber scheinbar meinen alle sie brauchen kleine blaue pillen oder sonstwas grosses.

sorry, aber so sehe ich das.

gruss
gewoell

kjz1
01.04.2006, 22:26
Ja, leider ist es ein 'whack-a-mole' Game. Und kein schönes dazu, da es keine Chancengleicheit gibt. Die Großspammer verdienen in einem Monat mehr als wohl alle hier im Forum in einem ganzen Jahr, ausserdem haben sie bei weitem mehr techn. Resourcen und vor allem: eine gewaltige kriminelle Energie zu bieten. Ohne weltweite strenge Gesetze mit drakonischen Strafen wird sich da kaum entscheidend etwas ändern, dafür sind die Gewinnspannen und Verdienste der Spammer einfach zu gut. Mittlerweile vergleiche ich das ganze mit dem weltweiten Drogenhandel: selbst drastische staatliche Massnahmen haben diesen höchstens etwas eindämmen können, am Aussterben ist er aber nicht...

- kjz

Telekomunikacja
07.04.2006, 00:35
From customersupport-20468 [at] vr-networld.de Wed Apr 5 xx:xx:xx 2006
Return-Path: <customersupport-20468 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 05 Apr 2006 xx:xx:xx -0000
Received: from 62.181.46.200.psinetpa.net (HELO 62.181.46.200.psinetpa.net) [200.46.181.62]
by mx0.gmx.net (mx077) with SMTP; 05 Apr 2006 xx:xx:xx +0200
Received: from longitudinal.gayamore.com (compulsory.kulichki.com [69.48.140.146])
by qnx.com with SMTP ID: [ID filtered]
for <XXX>; Thu, 06 Apr 2006 xx:xx:xx -0800
Received: from altern.org (unknown [94.247.67.221])
by americaneagle.com with SMTP ID: [ID filtered]
for <XXX>; Thu, 06 Apr 2006 xx:xx:xx -0300
From: "Volksbanken Raiffeisenbanken AG" <customerssupport_726068370391984 [at] vr-networld.de>
To: "XXX" <XXX>
Subject: Volksbanken Raiffeisenbanken AG Banking
X-MSMail-Priority: 3 (Normal)
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="W0R98R2A4ZKAW8LA59WGS9DA"
Date: Wed, 5 Apr 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=2.883; FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO MISSING_MIMEOLE)
X-GMX-UID: [UID filtered]
=> beardsley.gif (http://img141.imageshack.us/img141/7910/beardsley4iz.gif)

http://www.volksbank.de.custsupportref.dllconf.tv/r1/vf/

Goofy
07.04.2006, 14:41
Der Server unter www.volksbank.de.custsupportref.dllconf.tv konnte nicht gefunden werden.
./. :death:

Telekomunikacja
16.04.2006, 10:44
From reference_id_817299710 [at] vr-networld.de Sat Apr 15 xx:xx:xx 2006
Return-Path: <reference_id_817299710 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 15 Apr 2006 xx:xx:xx -0000
Received: from AMarseille-252-1-149-70.w86-216.abo.wanadoo.fr (HELO AMarseille-252-1-149-70.w86-216.abo.wanadoo.fr) [86.216.108.70]
by mx0.gmx.net (mx076) with SMTP; 15 Apr 2006 xx:xx:xx +0200
Received: from earmark.surrealismo.com (decorous.surrealismo.com [48.106.187.154])
by flyingcroc.com with SMTP ID: [ID filtered]
for <XXX>; Sun, 16 Apr 2006 xx:xx:xx -0800
In-Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <custsupport-6040134 [at] vr-networld.de>
From: "VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE BANKING" <custsupport_171672 [at] volksbank.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken AG Online-Banking
In-Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <custsupport-6040134 [at] vr-networld.de>
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4QTN7_8P2TUI09J0_JRNF72K"
Date: Sat, 15 Apr 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=2.699; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 SUB_ONLINE)
X-GMX-UID: [UID filtered]
=> courtesy.gif (http://img124.imageshack.us/img124/4235/courtesy4tm.gif)

http://www.volksbank.de.custsupportref1007.dllexe.st/r1/vf/

Gemeldet wurde ebenfalls (http://www.antispam-ev.de/forum/showthread.php?p=57800#post57800) ein Trojan-Spy.HTML.Bankfraud.ot. :mad:

Goofy
16.04.2006, 11:22
dllexe.st. A IN 43200 58.72.16.10 [bora.net, Korea]
nsa34.serverbackup64.com. 211.194.75.128
sexy3.ukstories.net. 60.196.158.130

Ganz klar mal wieder auf dem Kuvayev-Netz betrieben.

Grisu_LZ22
24.04.2006, 15:32
Hi Leute,

gerade is wieder eine Phising-Mail von Leo eingetrudelt.

der Server ist:
http://www.volksbank.de.custsupportref1007.confpr.ir/r1/v3/

Ganz die alte Masche. Neu ist nur, dass die Mail diesmal unter der Woche und nicht am Wochenende eintrudelt

:jedi:

Goofy
24.04.2006, 17:45
Searching for confpr.ir A record at nsa34.serverbackup64.com. [211.194.75.128]: Server failure! [took 247 ms].

Answer:
Server failure. There's a problem with the DNS server for confpr.ir.

Hat sich Servski viel Problemski!
Ist sich heute nix mit Russki-Phishki. :D

kjz1
24.04.2006, 18:28
Jau, da ist Leos DNS-Spoofing mal wieder kaputt....

nsa34.serverbackup64.com [211.194.75.128] [Broken DNS server: Reports a server failure] 326ms

sexy3.ukstories.net [60.196.158.130] [Error: Socket error 10054 [s=8964 tcp=0]]

- kjz

Telekomunikacja
01.05.2006, 23:34
From reference_id_6664449758408 [at] vr-networld.de Mon May 1 xx:xx:xx 2006
Return-Path: <reference_id_6664449758408 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 01 May 2006 xx:xx:xx -0000
Received: from host-24-149-180-125.patmedia.net (HELO host-24-149-180-125.patmedia.net) [24.149.180.125]
by mx0.gmx.net (mx078) with SMTP; 01 May 2006 xx:xx:xx +0200
Received: from grungecafe.com (unknown [58.152.160.182])
by ebonhost.com with SMTP ID: [ID filtered]
for <XXX>; Tue, 02 May 2006 xx:xx:xx -0800
From: "Volksbanken Raiffeisenbanken AG 2006" <operator_28125514 [at] vr-networld.de>
To: "XXX" <XXX>
Subject: VOLKSBANKEN RAIFFEISENBANKEN AG ONLINE-BANKING [Tue, 02 May 2006 xx:xx:xx +0200]
X-Originating-IP: 42.124.245.148
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="FWP75FAMAAOVRD3QJFW53O"
Date: Mon, 1 May 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=2.699; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 SUB_ONLINE)
X-GMX-UID: [UID filtered]

Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Ralffelsenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
http://www.volksbank.de/custsupportref1007.nsf/X777733351414EFC7333655111000331C
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
©2006 Volksbanken Raiffeisenbanken AG
=> contrabass.gif (http://img291.imageshack.us/img291/7402/contrabass4sd.gif)

http://www.volksbank.de.custsupportref.grci.info/r1/v3/

Gemeldet wurde erneut (http://www.antispam-ev.de/forum/showthread.php?p=58003#post58003) ein Trojan-Spy.HTML.Bankfraud.ot.

kjz1
02.05.2006, 11:53
Und tot ist sie:

Domain Name:GRCI.INFO
Created On:16-Jan-2006 xx:xx:xx UTC
Last Updated On:01-May-2006 xx:xx:xx UTC
Expiration Date:16-Jan-2007 xx:xx:xx UTC
Sponsoring Registrar:Alantron BLTD (R322-LRMS)
Status:INACTIVE

Ich empfehle hier bei Alantron:

Alantron Anti-Spam (http://www.alantron.com/eng/info/html/antispam.do)

- kjz

schara56
06.05.2006, 11:24
Return-Path: <infonum_34625 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 06 May 2006 xx:xx:xx -0000
Received: from 238.red-82-158-58.user.auna.net (HELO 238.red-82-158-58.user.auna.net) [82.158.58.238]
by mx0.gmx.net (mx083) with SMTP; 06 May 2006 xx:xx:xx +0200
Received: from spylog.com (EHLO batguano.com.vampiregals.com [104.220.69.212])
by moebelheinrich.de with SMTP ID: [ID filtered]
for <x>; Sat, 06 May 2006 xx:xx:xx -0800
Received: from corporeal.priest.com (unknown [107.136.121.0])
by flyingcroc.com with SMTP ID: [ID filtered]
for <x>; Sat, 06 May 2006 xx:xx:xx +0200
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <customerssupport_77780 [at] volksbank.de>
To: "Martinswerk-rumaenien" <x>
Date: Sat, 06 May 2006 xx:xx:xx -0700
Subject: Volksbanken Raiffeisenbanken Internet Banking -Sat, 06 May 2006 xx:xx:xx -0500
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="5KWXGZYBO51_GFJA95YFE1L"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.c10133577.rim2s.biz/r1=/vr/

Gewoell
08.05.2006, 08:04
rim2s.biz

yepp, da kamen auch wieder einige am wochende bei mir an.

Telekomunikacja
09.05.2006, 02:24
From online-support_id_759927 [at] vr-networld.de Mon May 8 xx:xx:xx 2006
Return-Path: <online-support_id_759927 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 08 May 2006 xx:xx:xx -0000
Received: from ax213-2-82-224-191-150.fbx.proxad.net (HELO ax213-2-82-224-191-150.fbx.proxad.net) [82.224.191.150]
by mx0.gmx.net (mx044) with SMTP; 08 May 2006 xx:xx:xx +0200
Received: from kinki-kids.com (kinki-kids.com.name.com [80.158.201.168])
by youdraw.com with SMTP ID: [ID filtered]
for XXX; Tue, 09 May 2006 xx:xx:xx -0800
From: "Volksbanken Raiffeisenbanken" <support_reference5557092723 [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: Achtung
Comments: onlinesupport-id-5504607 [at] volksbank.de
User-Agent: Calypso Version 3.20.01.01 (4)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="MIDHOQ_0EOTHYECCE"
Date: Mon, 8 May 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (Score=3.298; FROM_ENDS_IN_NUMS POSSIBLE_DIALUP_3 FROM_HAS_ULINE_NUMS)
X-GMX-UID: [UID filtered]

Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
http://www.volksbank.de/vrnetworld/c101335777777.nsf/XC701133.asp
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
©2006 Volksbanken Raiffeisenbanken AG
=> capricorn.gif (http://img503.imageshack.us/img503/3836/capricorn3tn.gif)

http://www.volksbank.de.vrnetworld.c10133577.dir99k2.biz/r1/vr/

Telekomunikacja
11.05.2006, 01:23
From custsupport-403931176287 [at] vr-networld.de Wed May 10 xx:xx:xx 2006
Return-Path: <custsupport-403931176287 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 10 May 2006 xx:xx:xx -0000
Received: from MT10.prz.rzeszow.pl (HELO MT10.prz.rzeszow.pl) [62.93.39.31]
by mx0.gmx.net (mx021) with SMTP; 10 May 2006 xx:xx:xx +0200
Received: from verizon.com (verizon.com.aol.com [102.198.62.150])
by swiftwill.com with SMTP ID: [ID filtered]
for <XXX>; Wed, 10 May 2006 xx:xx:xx -0800
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customercare_03374986302 [at] volksbank.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: Wichtige Information -Wed, 10 May 2006 xx:xx:xx -0800
X-Originating-IP: 39.210.150.88
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="F24R1SV4GNTYJ2V"
Date: Wed, 10 May 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vrnetworld.c10133577.dir99k2.biz/r1/vr/


Hat der GMX-Spamfilter die einfach übersehen? :rolleyes:

X-GMX-Antispam: 0 (Mail was not recognized as spam)
Oder ist da an der mail etwas "verbessert" worden, so dass der Filter keine Chance hatte? :confused:

Gewoell
11.05.2006, 07:19
Hat der GMX-Spamfilter die einfach übersehen? :rolleyes:

Oder ist da an der mail etwas "verbessert" worden, so dass der Filter keine Chance hatte? :confused:

also ich habe die auch schon mehrfach bekommen und jedemal hat gmx die mail nicht interessiert. erst spampal hat erkannt, was los ist.

gruss
gewoell

p.s.
und vielleicht sollte man nochmal für diejenigen sagen, die nicht genau wissen, was der sinn des ganzen ist, daß es sich hier um geldwäsche handelt und das ganze strafbar und mit finanziellen verlusten verbunden ist. man merkt deutlich, daß durch phishing mails offenbar so viele kontodaten geklaut wurden, daß man schon per massen-spam leute zur geldwäsche suchen muss.

jedesmal suchen die völlig verblödete egomanen, die geld über ihr konto laufen lassen. nur formulieren die das etwas eleganter.

p.p.s.
und irgendwer sollte das wohl auch mal gmx erklären, damit solche mails immer zuverlässig erkannt und gefiltert werden können. eine andere erklärung wäre, dass gmx flexibler geworden ist. es ist ja eigentlich kein spam, sondern eine anstiftung zu etwas kriminellen. also ein verbrechen. aber genau betrachtet ist das keine werbung/spam und gmx hat ja nur einen spamfilter und keinen crimefilter. vielleicht kommt so ein kriminalfilter bald gegen aufpreis.

Marissa
11.05.2006, 10:07
Hallo!

Bekomme seit ein paar Tagen die Phishing-Mails von der "Volksbank".
Hab jetzt Mozilla Thunderbird und den SpamFilter aktiviert, zusätzlich noch SpamPal. Denke also, das ich keine neuen mehr bekomme. Außerdem hab ich das Ding an gmx gemeldet, weil der Spamfilter das ja immer durchlässt.

Leider findet mein AntiVir jetzt (seit gestern) ständig PHISH/Bankfrau.BH.2, die er als Virus identifiziert...was mach ich jetzt? Habe die Datei immer direkt nach dem Fund gelöscht.
Hab ich schon nen Virus? Was kann ich jetzt machen? :confused:
Hoffe, ihr könnt mir ein bisschen weiterhelfen..

LG Marissa

Wuschel_MUC
11.05.2006, 10:08
...man merkt deutlich, daß durch phishing mails offenbar so viele kontodaten geklaut wurden, daß man schon per massen-spam leute zur geldwäsche suchen muss.
Ich wäre mir nicht sicher, ob die Daten alle von unbedarften Phishing-Opfern stammen. Das Beste, was eine Bank tun kann, ist, den Phishern möglichst viele Falschdaten von gelöschten Konten unterzujubeln - wenn sie schon die gefälschte Webseite nicht platt bekommt.

Der Phisher hat nur eine Möglichkeit, zu prüfen, ob die Kontodaten brauchbar sind, und dafür braucht er vorher ein Muli, dem er das Geld überweisen kann.

Wuschel

Telekomunikacja
11.05.2006, 10:12
Leider findet mein AntiVir jetzt (seit gestern) ständig PHISH/Bankfrau.BH.2, die er als Virus identifiziert
Wo sitzt der denn? D.h.: Wo wird er gefunden?

SpamRam
11.05.2006, 10:28
AntiVir-Guard, das residente Schutzprogramm, erkennt den "PHISH/Bankfraud.BH.2" beim Lesen der Mail und verhindert das Speichern und Aktivieren. Das ist auch kein echter Virus, sondern eher ein sog. "Keylogger" der die Eingaben der Tastatur (z.B. die PIN und TAN) registriert und irgendwann oder sofort an den "Auftraggeber" weitergeben soll.

Diese Mails werden bei mir garnicht erst abgeholt. Ich benutze Pegasus Mail, bei dem man den Inhalt der POP3-Mailbox beim Mailprovider (z.B. GMX) erstmal auflisten kann. Alles, was verdächtig oder deutlich als "Müll-Mail" erkennbar ist, wird gleich auf dem Server gelöscht.

Marissa
11.05.2006, 10:28
Erstmal Danke für die schnelle Antwort!

Hier kommen sie her:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\goog-black-url.sst.tmp
Ich glaube er hat alle dort gefunden.
Allein heute schon 4 Stück... *krise*
Hab kein Bock auf Virus, hatte schon vor 2 Mon einen... :(

LG Marissa

Marissa
11.05.2006, 10:30
"AntiVir-Guard, das residente Schutzprogramm, erkennt den "PHISH/Bankfraud.BH.2" beim Lesen der Mail und verhindert das Speichern und Aktivieren."

Ist allerdings PHISH/Bankfrau.BH.2, also ohne d....

SpamRam
11.05.2006, 10:36
Gut, mag sein, dass die das d vergessen haben in den Namen aufzunehmen. Hätte ja auch ein Tippfehler sein können. (Fraud == Betrug)

Die neueren Virenscanner haben diese betrügerischen Mails als Schädlinge in ihr Programm aufgenommen.

Marissa
11.05.2006, 10:40
Er findet es ja auch jedes Mal und ich lösche es dann.
Allerdings frage ich mich, wo es herkommt?
Wenn ich es jedesmal lösche, kann es aber auch nix anstellen oder?
Ist aber nervig, ständig das gleiche wieder und wieder zu löschen.
Kann man da nichts gegen tun?

LG Marissa

Telekomunikacja
11.05.2006, 10:47
Bei mir hatte sich der Bösewicht einmal in meinem mail-Programm eingenistet. Wie bei Dir: Kaum ist er dann gelöscht gewesen, war er wieder da. :mad: Ich habe ihn damals mit der Funktion "Ordner komprimieren" des mail-Programms wegbekommen.

Bevor ich nun mit dilettantischen Vorschlägen à la "TEMP"/ "Browser-Cache leeren" ankomme... :o
Frag' doch bitte auch im AntiVir Personal Support Forum (http://forum.antivir-pe.de/index.php) an. Dort wird Dir schnell und kompetent geholfen. :)

Marissa
11.05.2006, 10:55
Ok Danke... Ich schau mal ob ich da was finde ^^
Danke an alle für die schnellen Antworten!
LG Marissa

Telekomunikacja
11.05.2006, 10:59
=> "PHISH/Bankfrau.BH.2" (http://forum.antivir-pe.de/thread.php?threadid=7893)

Gewoell
11.05.2006, 11:46
noch eine möglichkeit gegen viren, wenn man nicht ständig mit der vorschau und pop3 etc. hantieren möchte, wäre einen viren scanner mit transparentem mail proxy zu benutzen, so dass viren beim transfer abgefangen werden, bevor die datei auf dem eigenen rechner landet man aber dennoch seine mails normal abrufen kann.

soweit ich weiss, kann das aber die freie version von antivir nicht. da wird nur geprüft was auf die platte geschrieben und gelesen wird. der mailverkehr wird direkt nicht überwacht und geschützt.

was ich damit sagen will: beim viren scanner und bei der firewall lohnt es sich etwas geld auszugeben. ist meine meinung.

auch ich hatte an den letzten mails so einen digitalen schädling dran. das ist jetzt scheinbar die nächste stufe. motto: "wenn einer nicht dumm genug ist auf den inhalt solcher mails rein zu fallen, wollen wir doch mal sehen, ob er seinen rechner geschützt hat und wir seine daten nicht mit gewalt bekommen."

joewein
18.05.2006, 03:56
man merkt deutlich, daß durch phishing mails offenbar so viele kontodaten geklaut wurden, daß man schon per massen-spam leute zur geldwäsche suchen muss.

Es geht den Vlads in erster Linie darum, Spuren zu verwischen. Dazu brauchen Sie jemand, der sie persoenlich nicht kennt. Per Spam findet man Drittpersonen am einfachsten.

Die Geldwaesche ist der Schritt, wo eigentlich die Gelder geklaut werden, denn der Kontoinhaber bekommt in der Regel das Geld von der Bank erstattet. Sie holt es sich dann beim Geldwaescher wieder. Der schwarze Peter bleibt beim Geldwaescher haengen, und das sind meist Leute denen es eh materiell nicht so gut geht.

Ueberweisungen per Onlinebanking fuehren zu einem Konto und damit Kontoinhaber. Deshalb will man das Geld per Western Union transferieren. Das geht nicht ohne Personal, das das Geld abhebt und mit WU ueberweist. Erst damit versickert es spurlos.

Mit Onlinebanking kann man in der Regel auch keine Auslandsueberweisungen nach Russland oder wo auch immer machen, ein zweiter Grund fuer die Beteiligung von Dritten.

Goofy
18.05.2006, 16:18
Auslandsüberweisungen gehen inzwischen bei den meisten Banken per Online-Banking. Allerdings dauern sie mehrere Tage, und das dürfte der Grund sein, warum die Phisher davor zurückschrecken, das Geld direkt zu überweisen.
Das Risiko wäre zu groß.
Außerdem müssten sie in Rußland täglich etliche Konten unter Falschnamen neu gründen, denn nach kürzester Zeit wären die Konten aufgeflogen.
Die WU-Überweisung ist anonym und relativ risikolos. Aber dafür wird ein Muli gebraucht.

mareike26
19.05.2006, 12:23
Ich kriege auch immer diese nervigen Spam-Mails, allerdings nur auf mein GMX-Account-komisch. Schön, daß ich schon seit Jahren kein Volksbank-Kunde mehr bin, ich melde denen das natürlich trotzdem weiter. Die sind wenigstens so freundlich und schreiben eine nette Mail zurück, wo das denn nun herkam. Das letzte Mal war es glaube ich China oder so.
Außerdem ist mein Freund Informatiker, bei uns zuhause läuft Ubuntu, da interessieren mich Viren wenig- zum Glück.

schara56
20.06.2006, 05:46
Return-Path: <support-reference51260980625 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 20 Jun 2006 xx:xx:xx +0200 (CEST)
Received: from 201-1-103-1.dsl.telesp.net.br (201-1-103-1.dsl.telesp.net.br [201.1.103.1])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 20 Jun 2006 xx:xx:xx +0200
Date: Tue, 20 Jun 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from [124.218.183.184] (HELO rocky.cnet.com)
by sun.com with SMTP ID: [ID filtered]
for <x>; Mon, 19 Jun 2006 xx:xx:xx -0600
Received: from altern.org (unknown [64.128.46.170])
by ignio.com with SMTP ID: [ID filtered]
for <x>; Mon, 19 Jun 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <support-reference19276037 [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} amtliche Nachrichten [Mon, 19 Jun 2006 xx:xx:xx -0600]
X-Spam-Level: 0
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3G_VC9ROUMA.4T1OKALATM"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=7.887, benoetigt 6,
BAYES_80 1.66, BIZ_TLD 0.10, FROM_ENDS_IN_NUMS 0.99,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: sssssss
X-MailScanner-From: support-reference51260980625 [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.914; FROM_ENDS_IN_NUMS MSGID_FROM_MTA_HEADER)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.ropag.biz/r1/xc701133.asp
-> 218.206.202.12; China Mobile Communications Corporation; Registrar TLDS INC.
Abgekippt über 201.1.103.1; TELECOMUNICACOES DE SAO PAULO S.A.


Return-Path: <infonum-51171124 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 20 Jun 2006 xx:xx:xx -0000
Received: from ip7net162.skylogicnet.it (HELO ip7net162.skylogicnet.it) [213.209.162.7]
by mx0.gmx.net (mx067) with SMTP; 20 Jun 2006 xx:xx:xx +0200
Received: from computermail.net (unknown [54.240.128.35])
by klitschko.com with SMTP ID: [ID filtered]
for <x>; Mon, 19 Jun 2006 xx:xx:xx -0800
Sender: "Volksbanken Raiffeisenbanken AG" <customerssupport_38106 [at] volksbank.de>
From: "Volksbanken Raiffeisenbanken 2006" <operate-ref650681030148308 [at] volksbank.de>
To: "xsystematic" <x>
Subject: Anleitung
Sender: "Volksbanken Raiffeisenbanken AG" <customerssupport_38106 [at] volksbank.de>
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="J845O25LTFJTP5KVAWEJUS"
Date: Tue, 20 Jun 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.racag.info/r1/xc701133.asp
-> 218.206.202.12; China Mobile Communications Corporation; Registrar MIT (R141-LRMS)
Abgekippt über 213.209.162.7; Skylogic Italia S.p.A.

http://img114.imageshack.us/img114/3755/015ev.th.jpg (http://img114.imageshack.us/my.php?image=015ev.jpg)

kjz1
20.06.2006, 12:29
Hier soeben auch von Leo eingetrudelt:

http://FINGED.BIZ ---> 81.215.229.191 ---> SBL42991 (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL42991)

mit den Nameservern:

nsd3.serverauthentification01.net ---> 211.112.68.12 ---> SBL43054 (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43054)

nsd1.serverauthentification01.net ---> 211.232.30.28 ---> SBL42990 (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL42990)

Also mal wieder das Übliche: gespooftes DNS, IPs mit altbekannter Krankenakte und das RD2006-Botnet.

- kjz

mareike26
20.06.2006, 15:57
Ich wusste garnicht, dass ich Volksbank-Kunde bin :)

Return-Path: <support-ref774403884 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 20 Jun 2006 xx:xx:xx -0000
Received: from 7.sub-70-217-142.myvzw.com (HELO 7.sub-70-217-142.myvzw.com) [70.217.142.7]
by mx0.gmx.net (mx077) with SMTP; 20 Jun 2006 xx:xx:xx +0200
Received: from asus.com [117.137.226.103]
by gamebookers.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 19 Jun 2006 xx:xx:xx -0800
Received: from grungecafe.com (embroidery.grungecafe.com [66.50.55.37])
by twinkseries.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 20 Jun 2006 xx:xx:xx -0300
From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport-2872357 [at] volksbank.de>
To: poor [at] spamvictim.tld
Subject: Volksbanken Raiffeisenbanken: obligatorisch zu lesen Mon, 19 Jun 2006 xx:xx:xx -0800
Organization: VOLKSBANKEN RAIFFEISENBANKEN 2006 onlinesupport_id-199531 [at] volksbank.de
User-Agent: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="KMF2IE1QRHG6RL1FGV365W"
Date: Tue, 20 Jun 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.adderi.info/r1/xc701133.asp


Das ganze war als Bild verschickt:

http://www.250kb.de/u/060620/g/t/6c09d151.gif (http://www.250kb.de/u/060620/g/6c09d151.gif)

Grisu_LZ22
20.06.2006, 18:19
Heute mal wieder eingeschlagen



-Symantec-TimeoutProtection: 0
Return-Path: <customersupport_63545153995 [at] volksbank.de>
Received: from mailin18.aul.t-online.de (mailin18.aul.t-online.de [172.20.26.73])
by mhead18 with LMTP; Tue, 20 Jun 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from user138-164.enet.vn ([203.190.164.138]) by mailin18.sul.t-online.de
with smtp ID: [ID filtered]
Received: from [15.91.226.106] (HELO granite.100namesmail.com)
by spylog.com with SMTP ID: [ID filtered]
for <fake-addy [at] provider.de>; Mon, 19 Jun 2006 xx:xx:xx -0800
Received: from spectrometer.ciberaula.infase.es (helo corbett.ciberaula.infase.es [90.178.89.96])
by oxeo.com with SMTP ID: [ID filtered]
for <fake-addy [at] provider.de>; Mon, 19 Jun 2006 xx:xx:xx -0600
From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <online-support_id_813098277793 [at] volksbank.de>
To: "M.seemann" <fake-addy [at] provider.de>
Sender: "Volksbanken Raiffeisenbanken 2006" <onlinesupport-id-0360901 [at] volksbank.de>
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="8DZPRXMIFVBP5WU6V"
X-TOI-SPAM: u;0;2006-06-19Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'online-support_id_813098277793 [at] volksbank.de' (65 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] amtlicher Bescheid
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}

wie immer mit Bild und gleichem Text...


bespammt wird http://www.volksbank.de/vrnetword.ropag.biz/r1/xc701133.asp

und ab damit in die Mülltonne:mad:

:jedi:

Grisu_LZ22
27.06.2006, 17:47
Leo, lass Dir mal was neues einfallen :mad:

eturn-Path: <infonum-19393289 [at] volksbank.de>
Received: from mailin25.aul.t-online.de (mailin25.aul.t-online.de [172.20.27.76])
by mhead18 with LMTP; Tue, 27 Jun 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.74 ([86.122.168.60]) by mailin25.sul.t-online.de
with smtp ID: [ID filtered]
Received: from denton.ru-traffic.com (unknown [56.205.102.36])
by myramstore.com with SMTP ID: [ID filtered]
for <falsche addy [at] provider>; Tue, 27 Jun 2006 xx:xx:xx -0600
Received: from arkansas.net [110.200.196.201]
by sailorwhores.com with SMTP ID: [ID filtered]
for <falsche addy [at] provider>; Tue, 27 Jun 2006 xx:xx:xx +0400
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <supprefnum929693045 [at] volksbank.de>
To: "xxxx" <falsche addy [at] provider>
Importance: Normal
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="LQ5F2VG_.WA3Y6VYW2NAVW9"
X-TOI-SPAM: u;0;2006-06-27Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'supprefnum929693045 [at] volksbank.de' (66 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Achtung -Tue, 27 Jun 2006 xx:xx:xx -0600
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}



Der Link geht auf:
http://www.volksbank.de.vrnetworld.repcim.ws/r1/xc701133.asp

:jedi:

Goofy
27.06.2006, 19:54
Was neues einfallen lassen - das sollte er wirklich mal.

Ausserdem hat Savvis bereits vor dem Spamrun die Domain gekillt. Der Phisherlink läuft ins leere.

Goofy
28.06.2006, 19:34
Natürlich heute der neue Aufguss mit funktionierendem Link. :sick:


Received from 194.25.134.11 ([210.75.150.91]) by mailin14.sul.t-online.de with smtp ID: [ID filtered]


Phishki-Link:
w w w . volksbank.de. vrnetworld.dowgar.biz/r1/xc701133.asp

218.201.130.181 China Mobile Communications Corporation - shandong

Goofy
28.06.2006, 22:11
Momentan landet der Phisher-Link im Seiten-Aus. ;)

Grisu_LZ22
29.06.2006, 11:54
Nanu - Server in China und trotzem geht der Link schon nicht mehr?? :confused:

Geschehen etwa noch Zeichen und Wunder? :rolleyes:

:jedi:

sis
30.06.2006, 01:15
w w w . volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

Mycroft
30.06.2006, 12:58
Selred.org - mit 4 (!) Nameservern auf einem gekaperten Rechner in Frankreich (um das Wort Botnet mal zu vermeiden), ist nach Leos Baukastenprinzip gestrickt - unter selred.org/r1/b/ z.B. liegt die Phishing Adresse für die Barclays Bank. Offenbar ist der Phisher aber hier dazu übergegangen, die Seiten nicht in gesonderte Ordner pro Bank zu legen, sondern ihnen Phantasienamen zu geben und sie auf der Grundlinie liegen zu lassen. Ein bisschen unordentlich, aber es verschleiert die Sitestruktur.
Weitere Phishing Sites nach dem gleichen Strickmuster (domain/r1/xxx) auf dem gleichen Rechnernetz:
dowgar.biz
topmal.biz
ibs-inc.biz
taldur.ws
Mulitreiber ebenda:
farsight-finance.us
Bereits registriert, aber noch nicht online ( u.U. bereits verbrannt):
original-ie-cards.net, payments-manager.net, glenhard.us, benjen.co.in, adnrewdun.in, cpss2k.com, migclub.com

kjz1
30.06.2006, 14:24
Gab's auf den Servern auch mal Online-Casinos? Da ist das Muster ja:

domain.<tld>/d1/irgendwas

sieht also nach demselben Urheber aus.

- kjz

kjz1
01.07.2006, 13:01
Was ich mich auch frage: die Phishing Attacken in meinem Postfächern laufen fast nur gegen die Volksbank, kaum gegen andere Finanzdienstleister, obwohl letztere ja oft wesentlich mehr Kunden haben. Reiner Zufall? Oder sind evtl. Volksbank-Kunden 'naiver' und die Erfolgsquote ist hier höher?

- kjz

Telekomunikacja
01.07.2006, 15:41
Received: from ip51cda234.speed.planet.nl (HELO .) [81.205.162.52]
by mx0.gmx.net (mx087) with SMTP; 30 Jun 2006 xx:xx:xx +0200
Received: from arkansas.net (unknown [48.166.236.112])
by meta-2.com with SMTP ID: [ID filtered]
for XXX; Fri, 30 Jun 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken AG" <onlinesupport-id-3006502365 [at] volksbank.de>
http://www.volksbank.de.vrnetworld.adnrewdun.in/r1/xc701133.asp

Goofy
01.07.2006, 20:54
Und wieder funzt der Phisher-Link nicht. Kein DNS-Eintrag.
Ein whois-Eintrag existiert allerdings. DNS-Server werden auch gefunden:
NS1.ADNREWDUN.IN
NS2.ADNREWDUN.IN
bei Hananet/Seoul.

Telekomunikacja
02.07.2006, 09:47
Return-Path: <operate_ref617665 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 01 Jul 2006 xx:xx:xx -0000
Received: from d02m-89-83-222-125.d4.club-internet.fr (HELO d02m-89-83-222-125.d4.club-internet.fr) [89.83.222.125]
by mx0.gmx.net (mx037) with SMTP; 02 Jul 2006 xx:xx:xx +0200
Received: from commodity.we-help-u.biz (we-help-u.biz.oberon-media.com [42.211.76.56])
by onlysexpages.com with SMTP ID: [ID filtered]
for XXX; Sat, 01 Jul 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken 2006" <supprefnum6951240656503 [at] volksbank.de>
http://www.volksbank.de.vrnetworld.taldur.ws/r1/xc701133.asp

Goofy
02.07.2006, 10:23
Irgendwie ist Savvis als Verantwortlicher für die ".ws"-tld momentan schneller als Leo.
Auch taldur.ws wurde von Savvis einkassiert, das DNS liegt auf deren Servern und nicht auf Leos rimans.net, wo es zuerst registriert war.
Auch hier: Rote Karte für den Phisher-Link! :D

Grisu_LZ22
03.07.2006, 18:32
eturn-Path: <infonum_54614 [at] volksbank.de>
Received: from mailin24.aul.t-online.de (mailin24.aul.t-online.de [172.20.26.76])
by mhead18 with LMTP; Mon, 03 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from . ([67.129.237.111]) by mailin24.sul.t-online.de
with smtp ID: [ID filtered]
Received: from automorphism.phayze.com (chirp.phayze.com [54.78.24.90])
by nod32.com with SMTP ID: [ID filtered]
for <blubberätblabberpunktde>; Mon, 03 Jul 2006 xx:xx:xx -0600
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customersupport-651924301639 [ät] volksbank.de>
To: "xxx" <blubberätblabberpunktde>
X-Originating-Server: dorothy.vervehosting.com (unknown [126.225.208.69])
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="2TOCUCDX86IQR6.D.R9"
X-TOI-SPAM: u;0;2006-07-03Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'customersupport-651924301639 [ät]volksbank.de' (66 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Online-Banking -Mon, 03 Jul 2006 xx:xx:xx -0600
X-NAS-Classification: 1


Der Link geht auf:
http://www.volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

Oh mann Leo, wenn ich Deine Mails befolgen würde, bräuchte ich jede Woche ne neue TAN-Liste *pappnase*

:jedi:

Telekomunikacja
04.07.2006, 09:09
Return-Path: <reference_id_0275558 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 04 Jul 2006 xx:xx:xx -0000
Received: from c-71-202-110-23.hsd1.ca.comcast.net (HELO c-71-202-110-23.hsd1.ca.comcast.net) [71.202.110.23]
by mx0.gmx.net (mx051) with SMTP; 04 Jul 2006 xx:xx:xx +0200
Received: from mytempdir.com [66.111.184.191]
by yournewhosting.com with SMTP ID: [ID filtered]
for XXX; Tue, 04 Jul 2006 xx:xx:xx -0600
Received: from kotnet.org (HELO kotnet.org.name-services.com [12.166.116.65])
by invisioweb.com with SMTP ID: [ID filtered]
for XXX; Tue, 04 Jul 2006 xx:xx:xx +0100
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customercare_67266910 [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: amtliche Nachrichten Tue, 04 Jul 2006 xx:xx:xx +0200
X-Message-ID: [ID filtered]
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ON_I21KGOSGNRVFSL8.ES.JY"
Date: Tue, 4 Jul 2006 xx:xx:xx +0200
http://www.volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

Goofy
04.07.2006, 17:48
Und wieder: DNS-Eintrag rausgeschmissen. Der Link geht nicht mehr.

schara56
05.07.2006, 07:06
Return-Path: <customerssupport-842024 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 04 Jul 2006 xx:xx:xx -0000
Received: from 62-14-178-95.inversas.jazztel.es (HELO 62-14-178-95.inversas.jazztel.es) [62.14.178.95]
by mx0.gmx.net (mx068) with SMTP; 05 Jul 2006 xx:xx:xx +0200
Received: from freeproblem.com (unknown [30.172.255.20])
by targetnet.com with SMTP ID: [ID filtered]
for <x>; Tue, 04 Jul 2006 xx:xx:xx -0600
X-MSMail-Priority: 3 (Normal)
From: "Volksbanken Raiffeisenbanken AG 2006" <onlinesupport_id_182023942613 [at] volksbank.de>
To: "Martinsw" <x>
Subject: Achtung [Tue, 04 Jul 2006 xx:xx:xx -0200]
X-MSMail-Priority: 3 (Normal)
User-Agent: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TDMF03CAUEF3ACFZBRAY97"
Date: Wed, 5 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.doowtol.in/r1/xc70113=
3.asp

Abgekippt über 62.14.178.95 -> JAZZNET (Spanien); gehostet natürlich in China

sis
05.07.2006, 08:59
Kam heute nacht von 71.227.61.162:
http://www.volksbank.de.vrnetworld.myvoodoo.tk/r1/xc701133.asp

kjz1
05.07.2006, 13:23
So, doowtol.in sollte auch tot sein. Man sollte sich jedoch IMHO keinen trügerischen Hoffnungen hingeben. So etwas nötigt Leo nur ein müdes Lächeln ab. Die solchen Profi-Kriminellen zur Verfügung stehenden Mittel werden wohl gemeinhin unterschätzt. Das erfordert dann nur 'Management-Entscheidungen' von der Art: welche meiner 500 gebunkerten Domains setze ich als nächstes ein, welchen meiner 100 gekaperten oder angemieteten Bullet-Proof Server setze ich fürs Hosting und DNS ein, und über welches meiner 20 Botnetze blase ich das dann raus. Ein paar Skripte gestartet, und eine Viertelstunde später ist der nächste Spamrun am Laufen...

- kjz

Grisu_LZ22
05.07.2006, 13:42
Eigentlich kann es doch garnicht soviele DAUs geben die auf die achichweißnichtwievielte Phishingmail ihre 20 Tans eintippen.

Vermutlich lohnt es sich aber doch, sonst würde ja das ganze irgendwann im Sande verlaufen, ich kann mir nur nicht vorstellen, wer oder was immer noch so dämlich ist auf die ewig gleiche Masche reinzufallen.

Halt - eine Sorte gibt es schon: Die Sinn- und Merkbefreiten Telefonterroristen in ihren CC-Bunkern. Das ist die einzige Gattung Lebewesen, denen ich soviel Dummheit zutraue :D :D


:jedi:

Wuschel_MUC
05.07.2006, 13:51
Eigentlich kann es doch gar nicht so viele DAUs geben...
Der Meinung war ich auch lange. Gerade in letzter Zeit habe ich ein paar PCs neu aufsetzen oder entwurmen dürfen. Es ist unglaublich, was die betroffenen Anwender alles nicht wussten, weil es ihnen niemand gesagt hatte: Virenscanner, Anti-Spyware, Firewall, Safe-Hex, regelmäßige Patches - "brauche ich nicht, ich passe doch auf!":skull:

1888 wurde der Führerschein für Automobile eingeführt. Langsam könnte man allen Ernstes fordern, dass auch für einen Internet-Zugang eine Prüfung eingeführt wird!

Wuschel

Mycroft
05.07.2006, 21:17
Wahrscheinlich alles Leute, die ihre Existenz dem Spruch "Ich pass schon auf" ihres Herrn Papa verdanken...
Aber Spass beiseite: Ich kann das aus meiner Sicht nur bestätigen. Ich mache seit einiger Zeit Computerwartung bei Privatnutzern, meist wegen Performance-Problemen, und da kommt bei verwurmter Kiste immer der Spruch, man habe doch immer "aufgepasst" und Software gleich welcher Art koste doch nur. Da stellen Leute ihr Virenschutzprogramm ab, "weil das immer so lange Downloads macht", (Antivir ist da in der Tat etwas verschwenderisch), und sind überrascht, was sich dann auf ihrem Rechner alles so abspielt. Fast jeder dritte überprüfte Rechner war auf die eine oder andere Weise verwurmt.
Einzige Ausnahme war eine Gruppe von Internet-Rentnern, die sich einmal die Woche zum Klönen trafen und ihre Rechner allesamt in Schuß hatten...

sis
05.07.2006, 23:41
www.volksbank.de.vrnetworld.daweder.net/r1/xc701133asp

Ja, Spammy hat diesmal tatsächlich den Punkt vor "asp" vergessen. Er hatte es wohl ein bißchen zu eilig mit dem Geld-Abzocken.
Eben angekommen über die 200.41.212.124

mareike26
07.07.2006, 10:58
Schon wieder:

X-Gmail-Received: e4383d305e3c3d91657e2fbae6f694464034694b
Delivered-To: poor [at] spamvictim.tld
Received: by 10.78.116.12 with SMTP ID: [ID filtered]
Thu, 6 Jul 2006 xx:xx:xx -0700 (PDT)
Received: by 10.67.101.8 with SMTP ID: [ID filtered]
Thu, 06 Jul 2006 xx:xx:xx -0700 (PDT)
Return-Path: <ich [at] ich.net>
Received: from xxx (srv009.dedi32.de [83.151.25.34])
by mx.gmail.com with ESMTP ID: [ID filtered]
Thu, 06 Jul 2006 xx:xx:xx -0700 (PDT)
Received-SPF: neutral (gmail.com: 83.151.25.34 is neither permitted nor denied by best guess record for domain of mareike [at] lyekka.nebulium.net)
Received: by xxx (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from localhost by lyekka
with SpamAssassin (version 3.0.3);
Fri, 07 Jul 2006 xx:xx:xx +0200
From: "Volksbanken Raiffeisenbanken" <infonum-6266408 [at] vr-networld.de>
To: "xxx" <poor [at] spamvictim.tld>
Subject: ----SPAM---- amtlicher BescheID: [ID filtered]
Date: Fri, 7 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]

http://www.250kb.de/u/060707/g/t/d106feed.gif (http://www.250kb.de/u/060707/g/d106feed.gif)

Wuschel_MUC
07.07.2006, 11:08
Verflixt, das ist ja mittlerweile fehlerfreies Deutsch! Hoffentlich pfeffert jemand die Seite mit Falschinformationen zu!

Wuschel

mareike26
07.07.2006, 14:11
Ich habe das jedenfalls als Phishing gemeldet.
Bin bei Googlemail, bei denen kann man das auch noch einmal melden.

Grisu_LZ22
07.07.2006, 19:01
... kommt wieder Post von Leo.


Return-Path: <reference-id_216524667433115 [at] vr-networld.de>
Received: from mailin17.aul.t-online.de (mailin17.aul.t-online.de [172.20.27.72])
by mhead18 with LMTP; Fri, 07 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from host-86-107-174-95.landnet.ro ([86.107.174.95]) by mailin17.sul.t-online.de
with smtp ID: [ID filtered]
Received: from amp.com (ehlo brinkmanship.redgraphic.com [22.82.60.64])
by symbol.com with SMTP ID: [ID filtered]
for <ich>; Fri, 07 Jul 2006 xx:xx:xx -0600
Received: from mail.com (ehlo koinonia.mail.com [117.105.160.183])
by getfilesfast.com with SMTP ID: [ID filtered]
for <ich>; Fri, 07 Jul 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken 2006" <custsupport-27806 [at] volksbank.de>
To: "ich" <ich>
Importance: Normal
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="1HGT4QYI2IG4ORYYOM2"
X-TOI-SPAM: u;0;2006-07-07Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'custsupport-27806 [at] volksbank.de' (67 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Wichtige Information
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}




He had no idea if they dID: [ID filtered]

There were only eight or nine pictures in the whole book and they were terrible. I'm going to use it. "I've got a little put aside, but not in the bank. come on. He had crossed the parlor. He saw her slip the hypo into the pocket of her skirt and then she sat down on the bed. Annie went on laughing and he told himself he wouldn't scream, wouldn't beg; that he was past all that. damon


Der Link geht auf
http://www.volksbank.de.vrnetword.sinled.com/r1/xc701133.asp


:jedi:

schara56
07.07.2006, 20:15
Return-Path: <support_reference9892052598923 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 07 Jul 2006 xx:xx:xx -0000
Received: from 20158045209.user.veloxzone.com.br (HELO 20158045209.user.veloxzone.com.br) [201.58.45.209]
by mx0.gmx.net (mx013) with SMTP; 07 Jul 2006 xx:xx:xx +0200
Received: from qldsugar.com (saturnine.ledzeppelin.com [129.147.128.170])
by livejournal.com with SMTP ID: [ID filtered]
for <x>; Fri, 07 Jul 2006 xx:xx:xx -0600
Received: from consistent.punkass.com (punkass.com.kotnet.org [96.65.241.69])
by invisioweb.com with SMTP ID: [ID filtered]
for <x>; Fri, 07 Jul 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken 2006" <support_ref654969 [at] vr-networld.de>
To: <x>
Sender: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <online-support_id_79716 [at] volksbank.de>
Subject: Volksbanken Raiffeisenbanken: eilige Information [Fri, 07 Jul 2006 xx:xx:xx -0200]
User-Agent: Calypso Version 3.20.01.01 (4)
X-Mailer: Calypso Version 3.20.01.01 (4)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="BVX452NXVFDJX6MITYAVNRO"
Date: Fri, 7 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

Ich frage mich gerade wieso das hier http://www.phishfighting.com/Fighting.aspx?phType=Paypal&phURL=http%3A%2F%2Fwww.volksbank.de.vrnetworld.sinled.com%2Fr1%2Fxc701133.asp%2F&Submit1=Go einen 404 bringt...

exe
07.07.2006, 20:38
Ich frage mich gerade wieso das hier http://www.phishfighting.com/Fighting.aspx?phType=Paypal&phURL=http%3A%2F%2Fwww.volksbank.de.vrnetworld.sinled.com%2Fr1%2Fxc701133.asp%2F&Submit1=Go einen 404 bringt...
Vielleicht hat Leo in einer klaren Phase zwischen seinen Kokslines mal einen Filter eingebaut. Zumindest weiß ich, dass es auch schon eBay-Phishinsites gab, die das Laden der Seite von Phishfighting.com verhindert haben.

sis
08.07.2006, 10:12
http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

ist immer noch aktiv (erreichte mich von der 70.95.74.99). Ich bitte herzlich darum, dass jeder geneigte Empfänger sich doch die Mühe macht und manuelle Fake-Einträge vornimmt. Das ist produktiv, macht Spaß, dauert keine 2 Minuten und ersetzt das bereits seit geraumer Zeit nicht mehr greifende <PhishFighting.com>.

Goofy
08.07.2006, 12:45
Habe ich gestern schon gemacht. :D
Zumal Phishki dann keine Möglichkeit hat, nach IPs zu filtern, wenn nur 1 Eintrag pro "Empfänger" erfolgt.
Wenn man sich dann aus der Internet-Session aus- und dann wieder beim Provider einloggt, kriegt man bei den meisten Providern eine neue dynamische IP zugewiesen und darf natürlich gerne nochmal.

Wuschel_MUC
08.07.2006, 13:11
http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

Ich bitte herzlich darum, dass jeder geneigte Empfänger sich doch die Mühe macht und manuelle Fake-Einträge vornimmt.
Das mag produktiv, sinnvoll und kurzweilig sein, aber ich würde das nur von einem Testrechner machen und diesen hinterher per Festplattenimage-Zurückkopieren neu aufsetzen.

Wer phisht, kennt sich auch mit Sicherheitslücken besser aus als andere.:jedi:

Goofys Vorschlag mit Aus- und Einloggen nach jedem Fake-Eintrag erscheint auch vernünftig.:clap:

Ich warte aber immer noch darauf, dass Banken Phishing-Sites programmgesteuert mit Desinformation zuschütten und das ungeniert zugeben. Motto: "Herr Kuvajev, verklagen Sie uns vor dem Landgericht Frankfurt am Main, wir freuen uns auf Ihr persönliches Erscheinen als Zeuge!":p

Wuschel

sis
08.07.2006, 13:48
Das mag produktiv, sinnvoll und kurzweilig sein, aber ich würde das nur von einem Testrechner machen und diesen hinterher per Festplattenimage-Zurückkopieren neu aufsetzen. Wer phisht, kennt sich auch mit Sicherheitslücken besser aus als andere.Mach mir keinen Kummer. Ich starte schon extra FF 1.5.0.4 (unter WinXP), weil mir das CD-Booten von Knoppix für diesen Spaß einfach zu lange dauert.

Da die "sinled.com"-Pest zur Zeit länger anhält als gewohnt, und mich heute auch schon der zweite wertvolle Volksbank-Hinweis dazu erreicht hat: Hat das schonmal jemand auf Schädlinge untersucht?

Grisu_LZ22
08.07.2006, 19:52
:mad: Hi. Leo&acute;s neueste Phishing ist um 16.32 eingetroffen


X-Symantec-TimeoutProtection: 0
Return-Path: <supprefnum3262482 [at] volksbank.de>
Received: from mailin18.aul.t-online.de (mailin18.aul.t-online.de [172.20.26.73])
by mhead18 with LMTP; Sat, 08 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from u004751.ueda.ne.jp ([210.228.22.12]) by mailin18.sul.t-online.de
with smtp ID: [ID filtered]
Received: from souffle.mrg.com (inet-daemon.com.nastydollars.com [74.116.238.86])
by bostream.com with SMTP ID: [ID filtered]
for <fake-addy>; Sat, 08 Jul 2006 xx:xx:xx -0600
Received: from butterfly.fcta.com (helo fcta.com.novgorod.com [44.220.124.152])
by ovist.com with SMTP ID: [ID filtered]
for <fake-addy>; Sat, 08 Jul 2006 xx:xx:xx +0300
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport-id-232322724749 [at] vr-networld.de>
To: "fake-addy" <fake-addy>
X-OriginalArrivalTime: Sat, 08 Jul 2006 xx:xx:xx -0600
User-Agent: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ZI0M5B9DA0QU09ZW.2OB"
X-TOI-SPAM: u;0;2006-07-08Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'onlinesupport-id-232322724749 [at] vr-networld.de' (67 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Banking Sat, 08 Jul 2006 xx:xx:xx -0600
X-NAS-Classification: 1




"He was floating, floating, floating away condemn actaeon Annie held the match delicately under the nozzle of the Bernz-0-matiC.

He made the mistake of reading the scene where Garp's younger son dies, impaled on a gearshift ]ever, shortly before bed. "Aye, so we do, sair, so we do. She had pasted it in upside down. Amused, he thought: She felt the heat. "They all knew she dID: [ID filtered]


Der Link geht auf
http://volksbank.de.vrnetworld.daweder.net/r1/xc701133.asp

:jedi:

Grisu_LZ22
09.07.2006, 12:04
Eingeschlagen um 10,36 Uhr:


eturn-Path: <support-ref3262234 [at] volksbank.de>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead18 with LMTP; Sun, 09 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.75 ([216.218.114.65]) by mailin21.sul.t-online.de
with smtp ID: [ID filtered]
Received: from all.bg (all.bg.kiev2000.com [35.11.166.146])
by ipowerdns.com with SMTP ID: [ID filtered]
for <fake-addy>; Sun, 09 Jul 2006 xx:xx:xx -0800
From: "Volksbanken Raiffeisenbanken" <online_support_id_087051 [at] vr-networld.de>
To: "fake" <fake-addy>
Date: Sun, 09 Jul 2006 xx:xx:xx +0100
User-Agent: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="XB5N5SJ3AVL62LO9CUH3K8M2"
X-TOI-SPAM: u;0;2006-07-09Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'online_support_id_087051 [at] vr-networld.de' (67 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Sehr wichtig -Sun, 09 Jul 2006 xx:xx:xx -0800
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link geht auf http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

:jedi:

schara56
11.07.2006, 18:22
Return-Path: <online_support_id_613826 [at] vr-networld.de>
X-Flags: 1000
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 11 Jul 2006 xx:xx:xx -0000
Received: from 20150251158.user.veloxzone.com.br (HELO 20150251158.user.veloxzone.com.br) [201.50.251.158]
by mx0.gmx.net (mx076) with SMTP; 11 Jul 2006 xx:xx:xx +0200
Received: from diatribe.pgawtn.com (unknown [12.40.108.37])
by dearpornstars.com with SMTP ID: [ID filtered]
for <x>; Tue, 11 Jul 2006 xx:xx:xx -0800
From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <reference_id_69999 [at] volksbank.de>
To: <x>
Delivered-To: x
Subject: Banking [Tue, 11 Jul 2006 xx:xx:xx +0500]
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="72ZBO7SJOYVBMS6M0LIMAUP"
Date: Tue, 11 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.gnilfil.us/r1/xc701133.asp

Mistspammy hat den Rotz abgekippt über 201.50.251.158 -> Telemar Norte Leste S.A.
Die Domain gnilfil.us löst leider noch auf -> Hanaro Telecom Co.

kjz1
11.07.2006, 21:14
Und noch einmal von Leo:

http://www.volksbank.de.vrnetworld.kinmar.org/r1/xc701133.asp

Wie üblich wieder eine Korea-Kiste (Hanaro).

abgekübelt über einen Zombie:

82-33-173-101.cable.ubr06.wiga.blueyonder.co.uk

- kjz

007
12.07.2006, 06:44
... und damit das ganze auch möglichst authentisch auf den ersten Blick aussieht, Postleitzahl und zugehörige BLZ der Volksbank bitte korrekt eingeben. Schliesslich wollen wir Phishi mit der gleichen Perfektion begegnen :D

http://www.bankleitzahlen.de/

007
12.07.2006, 07:17
Habe ich gestern schon gemacht. :D
Zumal Phishki dann keine Möglichkeit hat, nach IPs zu filtern, wenn nur 1 Eintrag pro "Empfänger" erfolgt.
Wenn man sich dann aus der Internet-Session aus- und dann wieder beim Provider einloggt, kriegt man bei den meisten Providern eine neue dynamische IP zugewiesen und darf natürlich gerne nochmal.

Einfach den DSL Hardwarerouter/Firewall auf "Idle Timeout = 1" min einstellen, dann geht das auch automatisch. :)

sis
13.07.2006, 00:16
HURRA!
Tränen der Freude: Der T-Online Spamfilter hat mir eben die erste Phishing-Mail gefiltert! Was machen unsere armen Phisher denn jetzt nur, wenn sich das bei den Providern rumspricht und ihr Müll direkt auf dem Server als solcher erkannt und gar nicht mehr ausgeliefert wird?


Liebe Kundin, lieber Kunde,

der T-Online Postfachvirenschutz sorgt automatisch für den Schutz Ihres
eMail-Postfachs vor Viren, Würmern und Trojanern. In der eMail mit den folgenden Daten wurde ein Virus gefunden und entfernt:

- Zeitstempel des Senders:

- Betreff bzw. Subject der ursprünglichen Nachricht:
eilige Information [Wed, 12 Jul 2006 16:xx:04 -0600]
- Erkannter Virus, Wurm oder Trojaner:
Phishing/VolksBkFraud
- Adresse des Absenders*:
customersupport_xxx [at] volksbank.de

* Bitte beachten Sie, dass die Absender-Adresse häufig gefälscht ist, es
sich i.d.R. also *nicht* um den Urheber der schadhaften eMail handelt.

Sicherheitsempfehlung:
Um Ihren PC umfassend z. B. auch vor Webseiten mit schadhaftem Code und etwaige sonstige Postfächer vor Bedrohungen zu schützen, empfehlen wir Ihnen unser SicherheitsPaket: http://www.t-online.de/sicherheitspaket

007
13.07.2006, 08:59
Fischels Flitz fischt flische Fische ...

Hiel ist noch ein flischel Fisch zum spielen :)

http://www.volksbank.de.vrnetworld.zavodn.us/r1/xc701133.asp/

schara56
14.07.2006, 06:07
Return-Path: <custservice-ref-62562515146329 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 13 Jul 2006 xx:xx:xx -0000
Received: from aakn30.neoplus.adsl.tpnet.pl (HELO aakn30.neoplus.adsl.tpnet.pl) [83.5.17.30]
by mx0.gmx.net (mx024) with SMTP; 13 Jul 2006 xx:xx:xx +0200
Received: from hotbox.com (unknown [102.253.14.140])
by factset.com with SMTP ID: [ID filtered]
for <x>; Thu, 13 Jul 2006 xx:xx:xx -0800
Received: from accede.australiamail.com (cotyledon.australiamail.com [37.232.108.148])
by ghisler.com with SMTP ID: [ID filtered]
for <x>; Thu, 13 Jul 2006 xx:xx:xx -0200
From: "Volksbanken Raiffeisenbanken AG 2006" <custsupport-10018518 [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Achtung -Fri, 14 Jul 2006 xx:xx:xx +0400
X-OriginalArrivalTime: Thu, 13 Jul 2006 xx:xx:xx -0800
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="VKYUDU4Y.7M.164PX.77"
Date: Thu, 13 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team address blacklist)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.datafor.net/r1/xc701133.asp

Abgekippt über 83.5.17.30 -> Neostrada Plus
Gehostet ist das Phishchen bei 59.24.103.144 -> KORNET :sick:

schara56
16.07.2006, 15:26
Return-Path: <customerssupport_13176902801067 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 16 Jul 2006 xx:xx:xx -0000
Received: from chello085216146203.chello.sk (HELO chello085216146203.chello.sk) [85.216.146.203]
by mx0.gmx.net (mx023) with SMTP; 16 Jul 2006 xx:xx:xx +0200
Received: from [33.224.252.208] (HELO infopact.com)
by milf-cruise.com with SMTP ID: [ID filtered]
for <x>; Sun, 16 Jul 2006 xx:xx:xx -0800
Received: from mrg.com [54.88.82.204]
by acsohio.com with SMTP ID: [ID filtered]
for <x>; Sun, 16 Jul 2006 xx:xx:xx +0300
From: "Volksbanken Raiffeisenbanken AG" <customercare-007988398607653 [at] vr-networld.de>
To: "x" <x>
Subject: Information -Sun, 16 Jul 2006 xx:xx:xx -0800
X-OriginalArrivalTime: Sun, 16 Jul 2006 xx:xx:xx -0800
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TXHR9VLNQ422V5KTHOV"
Date: Sun, 16 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (,FROM_ENDS_IN_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTM L_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.burkaed.biz/r1/xc701133.asp

Telekomunikacja
18.07.2006, 10:34
Return-Path: <operate_ref733189446270813 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 17 Jul 2006 xx:xx:xx -0000
Received: from dyanmic-acs-24-239-41-192.zoominternet.net (HELO dyanmic-acs-24-239-41-192.zoominternet.net) [24.239.41.192]
by mx0.gmx.net (mx091) with SMTP; 18 Jul 2006 xx:xx:xx +0200
Received: from [128.150.11.230] (HELO exuberant.hostworks.com)
by azebar.com with SMTP ID: [ID filtered]
for XXX; Mon, 17 Jul 2006 xx:xx:xx -0600
Received: from celestial.gmx.net (unknown [48.4.204.85])
by bdsmtales.com with SMTP ID: [ID filtered]
for XXX; Mon, 17 Jul 2006 xx:xx:xx -0600
X-Accept-Language: en-us, en
From: "VOLKSBANKEN RAIFFEISENBANKEN" <online-support_id_1137709633386 [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken Banking Mon, 17 Jul 2006 xx:xx:xx -0600
X-Accept-Language: en-us, en
User-Agent: Mutt/1.5.1i
X-Mailer: Mutt/1.5.1i
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3D.NI0B7SJJ7NG01Z7ZF"
Date: Tue, 18 Jul 2006 xx:xx:xx +0200
X-GMX-Antispam: 5 (,FROM_ENDS_IN_NUMS,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HT ML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,POSSIBLE_DIAL UP_3,POSSIBLE_DIALUP_4,VOLKSBANK_PHISHING_SUBJECT1)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vrnetworld.burkaed.biz/r1/xc701133.asp

schara56
18.07.2006, 11:48
Return-Path: <sicherheit [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from host-84-9-81-109.bulldogdsl.com (host-84-9-81-109.bulldogdsl.com [84.9.81.109])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx +0200
Received: from sczywnyrqy by host-84-9-81-109.bulldogdsl.com with local (Exim 4.42 (FreeBSD))
ID: [ID filtered]
for x; Tue, 18 Jul 2006 xx:xx:xx +0100
To: <x>
Subject: Für alle Volksbanken-Raiffeisenbanken Kunden
From: <sicherheit [at] volksbank.de>
Content-Type: text/html;charset=windows-1252
Content-Transfer-Encoding: 7BIT
Message-ID: [ID filtered]
Sender: User sczywnyrqy <sczywnyrqy [at] host-84-9-81-109.bulldogdsl.com>
Date: Tue, 18 Jul 2006 xx:xx:xx +0100
X-MailScanner: Found to be clean
X-MailScanner-From: sicherheit [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -1 (Rule filter: cannot connect to skuld service)
X-GMX-UID: [UID filtered]

http://209.235.182.5:3128/index.html

kjz1
18.07.2006, 12:26
Anscheinend hat Leo ein Vögelchen gezwitschert, dass burkaed.biz bald tot sein wird (oder in zu vielen Blocklisten). Deshalb Phishing verlagert auf:

http://www.volksbank.de.vrnetworld.korinc.org/r1/xc701133.asp

- kjz

schara56
19.07.2006, 09:26
Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 19 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from cpc2-linc6-0-0-cust409.nott.cable.ntl.com (cpc2-linc6-0-0-cust409.nott.cable.ntl.com [86.6.53.154])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 19 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from [28.126.32.216] (HELO djmag.com)
by ftu-rank.com with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx -0800
Received: from grungecafe.com (grungecafe.com.jupiterhosting.com [62.190.34.97])
by walmart.com with SMTP ID: [ID filtered]
for <x>; Wed, 19 Jul 2006 xx:xx:xx -0400
X-Sender: online-support_id_47823259 [at] vr-networld.de
From: "Volksbanken Raiffeisenbanken AG 2006" <reference-id_773271125 [at] vr-networld.de>
To: "x" <x>
Subject: Achtung -Tue, 18 Jul 2006 xx:xx:xx -0800
X-Sender: online-support_id_47823259 [at] vr-networld.de
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="CI.87JB66MDPP1YPNW2W"
Message-ID: [ID filtered]
Date: Wed, 19 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: **
X-Spam-Status: No, hits=2.0 required=5.0 tests=FROM_ENDS_IN_NUMS,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: online-support_id_67249797468 [at] volksbank.de
X-OriginalArrivalTime: 19 Jul 2006 xx:xx:xx.0532 (UTC) FILETIME=[CB9156C0:01C6AAFF]

Gespammt über 86.6.53.154 -> NTL Internet - United Kingdom

Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Tue, 18 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from . (unknown [81.215.234.180])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from walla.com (helo walla.com.geocities.com [104.32.70.42])
by nai.com with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx -0600
X-Authenticated: #54745927
From: "VOLKSBANKEN RAIFFEISENBANKEN" <online_support_id_25658835 [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken Online-Banking [Tue, 18 Jul 2006 xx:xx:xx -0700]
X-Authenticated: #54745927
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="X5DDK8NNAUMNY6"
Message-ID: [ID filtered]
Date: Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: ***
X-Spam-Status: No, hits=3.2 required=5.0 tests=FROM_ENDS_IN_NUMS,
FROM_HAS_ULINE_NUMS,HTML_30_40,HTML_FONTCOLOR_UNSAFE,
HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: online_support_id_77098075 [at] volksbank.de
X-OriginalArrivalTime: 18 Jul 2006 xx:xx:xx.0523 (UTC) FILETIME=[E024AEB0:01C6AA6F]

Gespammt über 81.215.234.180 -> Turk Telekom - Turkey

http://www.volksbank.de.vrnetworld.newcow.us/r1/xc701133.asp

Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Tue, 18 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 200-168-144-190.dsl.telesp.net.br (200-168-144-190.dsl.telesp.net.br [200.168.144.190])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from bmla.com (helo befogging.bmla.com [105.160.64.254])
by neolocation.com with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx -0800
Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <operate_ref9641254338 [at] vr-networld.de>
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <support-ref39474726419137 [at] vr-networld.de>
To: "x" <x>
Subject: amtliche Nachrichten [Tue, 18 Jul 2006 xx:xx:xx -0800]
Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <operate_ref9641254338 [at] vr-networld.de>
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4HQI2WHT16GL.Q1U6O1"
X-Antivirus: avast! (VPS 0629-0, 18/07/2006), Outbound message
X-Antivirus-Status: Clean
Message-ID: [ID filtered]
Date: Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: **
X-Spam-Status: No, hits=2.6 required=5.0 tests=FROM_ENDS_IN_NUMS,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY,
REPLY_TO_ULINE_NUMS autolearn=no version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: custservice_ref_43642523 [at] volksbank.de
X-OriginalArrivalTime: 18 Jul 2006 xx:xx:xx.0047 (UTC) FILETIME=[0ADE54F0:01C6AAA0]

Gespammt über 200.168.144.190 -> TELECOMUNICACÕES DE SAO PAULO S/A - TELESP - Brazil

http://www.volksbank.de.vrnetworld.korinc.org/r1/xc701133.asp


Beide Seiten sind platt.

kjz1
19.07.2006, 09:42
Profis wie Leo ziehen natürlich direkt den nächsten Pfeil aus dem Köcher:

http://www.volksbank.de.vrnetworld.bukinc.com/r1/xc701133asp

abgekübelt über den Zombie: ris91-2-82-237-51-167.fbx.proxad.net

- kjz

Goofy
19.07.2006, 18:13
Der Link geht auch schon nicht mehr.
Sieht so aus, als wär die Domain wieder mal vom Registrar (OnlineNIC) geknickt.

kjz1
19.07.2006, 18:57
Der Link geht auch schon nicht mehr.
Sieht so aus, als wär die Domain wieder mal vom Registrar (OnlineNIC) geknickt.

Leo hat selbstverständlich schon nachgeladen:

http://www.volksbank.de.vrnetworld.cowrow.org/r1/xc701133.asp

abgekippt über: 219.64.178.131.del.dialup.vsnl.net.in

und eine neue Runde im 'Whack-a-Mole-Game' ist eröffnet...

- kjz

P.S.: Das 'Spielchen' kann man sicher lange fortführen, aber man sollte sich keinen falschen Hoffnungen hingeben, dass Leo die Domains oder IPs ausgehen. Der dürfte davon einiges in Reserve haben...

Goofy
19.07.2006, 19:38
Auch der tut aber nich (http://www.dnsstuff.com/tools/lookup.ch?name=http%3A%2F%2Fwww.volksbank.de.vrnetworld.cowrow.org&type=A). :D

Gibt heute nix Monetski! :wicked: :nono:

kjz1
19.07.2006, 21:48
BTW: die Volksbank mag anscheinend keine LARTs. Jedenfalls hat man sich dort bei meinem Mailprovider über mich beschwert, weil ich treu und brav alle Phishing-Mails an die Abuse-Adresse von VR-Networld gemeldet habe. Man habe schliesslich selbst Spamtraps und brauche meine LARTs nicht. Notfalls werde man mich auf eine Blacklist setzen. Alle anderen Banken waren bisher eher freundlich, zumindestens nicht so 'pampig'. Hmmmm, die Volksbank ist bevorzugtes Phishing-Ziel; LARTs will man nicht, weil man selbst ja alles besser kann und weiss. Was soll ich davon nur wieder halten...

- kjz

Goofy
19.07.2006, 22:05
BWas soll ich davon nur wieder halten...


Keine besonders verständliche Reaktion. Auch, wenn sie selbst Spamtraps haben, könnten unterschiedliche LART-Quellen derselben Mail evtl. den entscheidenden Hinweis für das Tracen geben. Zumindest gegen ein Archivieren der Mails wäre nichts zu sagen.
Wenn die Volksbank bevorzugtes Phishing-Ziel ist, stellt sich die Frage, ob sie es den Phishern nicht zu einfach machen. Zufall kann das nicht sein. Die Sparkasse hat weit mehr Kunden, trotzdem läuft da weit weniger Phishing ab.
Hypothese: vielleicht ist die Volksbank weniger gut beim Blocken russischer/chinesischer/koreanischer Proxies?

kjz1
19.07.2006, 23:27
Hypothese: vielleicht ist die Volksbank weniger gut beim Blocken russischer/chinesischer/koreanischer Proxies?

Ich frage mich auch, warum ich fast nur Volksbank Phishs sehe, kaum aber Postbank, Deutsche Bank, etc. Meine Hypothese: Entweder sind die Volksbank-Kunden leichtgläubiger (schlechter informiert?), oder die Volksbank bekommt die Phish-Sites einfach nicht so zeitnah abgeklemmt wie andere Banken. Beides erhöht natürlich die Phishing-Ausbeute (Leo ist ja nicht doof...) und gereicht der Bank nicht unbedingt zum Vorteil. Großbanken haben ja heutzutage weltweit Niederlassungen (mit Rechtsabteilungen); wenn da einer von der örtlichen Rechtsabteilung der Bank beim ISP anruft und mit Schadenersatzforderungen im mehrstelligen Bereich droht, könnte ich mir auch vorstellen, dass ansonsten sture Provider etwas 'weiche Knie' bekommen.

- kjz

kjz1
20.07.2006, 08:51
Leo hat wieder nachgelegt:

http://www.volksbank.de.vrnetworld.newcow.us/r1/xc701133.asp

registriert jetzt über Melbourne IT (auch so ein Schwarzhut...), OnlineNIC war Leo wohl zu fix.

abgekübelt über: 59.107.16.35 ---> Guangzhou UnionNET

- kjz

schara56
22.07.2006, 16:56
Return-Path: <reference-id_57816084936922cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sat, 22 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 82.149.228.140 ([87.231.182.125])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from almagest.zoneedit.com (unknown [21.48.54.86])
by search.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0800
Received: from [72.254.118.208] (HELO cantor.atlanta.com)
by oldcatdns.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx +0600
From: "Volksbanken Raiffeisenbanken 2006" <online-support_id_9989254791440cts [at] volksbank.de>
To: "Martin" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Anleitung -Sat, 22 Jul 2006 xx:xx:xx -0400
Date: Sat, 22 Jul 2006 xx:xx:xx +0500
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3KLQ9_UL19615O8R_AZ_LE"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=7.581, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssss
X-MailScanner-From: reference-id_57816084936922cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID: [ID filtered]
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

schon platt

schara56
23.07.2006, 09:40
Return-Path: <onlinesupport-id-290520384488396cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 232-55.dothan.cable.graceba.net (232-55.dothan.cable.graceba.net [66.203.232.55])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from [114.30.36.60] (HELO anodic.domaincityservers.com)
by rotmax.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0500
Received: from australiamail.com (HELO australiamail.com.fotki.com [18.166.212.72])
by phone-card-pin.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken AG 2006" <infonum_047304577655cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
X-Authentication-Warning: JC17-census09.AY86ahze.wallace.rusmedserv.com (unknown [73.233.24.128]): eaa77wax set sender to custservice-ref-929117696cts [at] volksbank.de using -u
User-Agent: Pegasus Mail for Win32 (v2.53/R1)
X-Mailer: Pegasus Mail for Win32 (v2.53/R1)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="V88S7AA259XCQLZJ_C0"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.52, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50)
X-MailScanner-SpamScore: ssssssssss
X-MailScanner-From: onlinesupport-id-290520384488396cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_HCC,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MT A_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi


Return-Path: <customerssupport_71645cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from AToulon-256-1-64-248.w86-219.abo.wanadoo.fr (AToulon-256-1-64-248.w86-219.abo.wanadoo.fr [86.219.227.248])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from fcta.com (unknown [25.10.224.97])
by domaincityservers.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken AG 2006" <supprefnum065052077849867cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Anleitung -Sat, 22 Jul 2006 xx:xx:xx -0500
Importance: Normal
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="F1.XUTENU1GVXH"
X-Antivirus: avast! (VPS 0629-2, 21/07/2006), Outbound message
X-Antivirus-Status: Clean
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=8.064, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: ssssssss
X-MailScanner-From: customerssupport_71645cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FR OM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi

Return-Path: <reference_id_44622896440cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 23 Jul 2006 xx:xx:xx -0000
Received: from 20129122022.user.veloxzone.com.br (HELO 122022.user.veloxzone.com.br) [201.29.122.22]
by mx0.gmx.net (mx021) with SMTP; 23 Jul 2006 xx:xx:xx +0200
Received: from swigging.netwisp.com (unknown [120.241.120.160])
by dreamhost.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0500
Received: from [24.30.69.74] (HELO grungecafe.com)
by bphosting.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0100
From: "Volksbanken Raiffeisenbanken AG 2006" <operator_979271674792cts [at] volksbank.de>
To: "x" <x>
Subject: amtliche Nachrichten [Sun, 23 Jul 2006 xx:xx:xx +0200]
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ALFYCLN8WJYC3DGPEXCKMVI"
X-Antivirus: avast! (VPS 0629-2, 21/07/2006), Outbound message
X-Antivirus-Status: Clean
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]


http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi


Return-Path: <reference_id_18745931cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 22 Jul 2006 xx:xx:xx -0000
Received: from cpc4-nthc4-0-0-cust360.nrth.cable.ntl.com (HELO cpc4-nthc4-0-0-cust360.nrth.cable.ntl.com) [86.21.57.105]
by mx0.gmx.net (mx070) with SMTP; 22 Jul 2006 xx:xx:xx +0200
Received: from dugout.tenchiclub.com (cyst.tenchiclub.com [66.230.0.109])
by mybet.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken AG 2006" <customerssupport-500292063600429cts [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken Online-Banking
Message-ID: [ID filtered]
User-Agent: Internet Mail Service (5.5.2650.21)
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="90DENGU33ILDJJ2SCV6FN"
Date: Sat, 22 Jul 2006 xx:xx:xx +0200
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team address blacklist)
X-GMX-UID: [UID filtered]


http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

schara56
23.07.2006, 18:31
Return-Path: <online_support_id_49465559cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from yxyxyx.de [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from bl6-9-214.dsl.telepac.pt (bl6-9-214.dsl.telepac.pt [82.155.9.214])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from advertising.com [134.140.46.89]
by ubi.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0800
Received: from adsorption.triode.net.au (triode.net.au.aol.com [90.84.25.160])
by pay-host.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
From: "Volksbanken Raiffeisenbanken AG 2006" <infonum_592244634266cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Achtung
X-Authenticated: #56505455
User-Agent: Mutt/1.5.1i
X-Mailer: Mutt/1.5.1i
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="LL7MOOBZ0XKDPMTGOOYA2PM"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=11.648, benoetigt 6,
autolearn=spam, BAYES_80 1.66, FROM_HAS_ULINE_NUMS 0.96,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_NJABL 0.10,
RCVD_IN_NJABL_PROXY 0.50, RCVD_IN_SORBS 0.10,
RCVD_IN_SORBS_HTTP 1.10, RCVD_IN_SORBS_SOCKS 1.20)
X-MailScanner-SpamScore: sssssssssss
X-MailScanner-From: online_support_id_49465559cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_HCC,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MT A_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi

schara56
24.07.2006, 08:57
Return-Path: <operate-ref86308119847513cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Mon, 24 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 150078.user.veloxzone.com.br (20129150078.user.veloxzone.com.br [201.29.150.78] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0200
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from intellicast.com (HELO beam.vinavia.com [72.0.13.110])
by cubic.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
Received: from sheaf.triode.net.au (triode.net.au.dedicatedserver.com [26.106.130.144])
by extremepaychecks.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0100
XAuthentication-Warning: OX55-dodecahedron68.NF3mbg.azebar.com [60.188.128.36]: tai55e.g set sender to customercare-01612888202086cts [at] volksbank.de using -i
From: "VOLKSBANKEN RAIFFEISENBANKEN" <operate-ref29484295336098cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
XAuthentication-Warning: OX55-dodecahedron68.NF3mbg.azebar.com [60.188.128.36]: tai55e.g set sender to customercare-01612888202086cts [at] volksbank.de using -i
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="2OBQ_MET4JS5OTQV"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.564, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70,
RCVD_IN_BL_SPAMCOP_NET 1.50)
X-MailScanner-SpamScore: sssssssss
X-MailScanner-From: operate-ref86308119847513cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]


Return-Path: <customersupport_8365567186640cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Mon, 24 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from h46090c9e.area4.spcsdns.net (h46090c9e.area4.spcsdns.net [70.9.12.158])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0200
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from disciple.kichimail.com (helo kichimail.com.cihost.com [93.243.114.192])
by moebelheinrich.de with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken 2006" <customersupport-1788298cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
Organization: Volksbanken Raiffeisenbanken 2006 operator_44169581602597cts [at] volksbank.de
X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="OEDMSJDC05I797GF0"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=7.596, benoetigt 6,
BAYES_99 5.40, FORGED_MUA_MOZILLA 0.97, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssss
X-MailScanner-From: customersupport_8365567186640cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (MUA_MOZILLA,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_L INK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

Return-Path: <infonum_781037534114956cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from c-24-61-10-140.hsd1.nh.comcast.net (c-24-61-10-140.hsd1.nh.comcast.net [24.61.10.140])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from declaration.mojohost.com (unknown [109.50.40.0])
by mavpa.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0500
Received: from ceylon.moebelheinrich.de (unknown [71.33.206.74])
by netwisp.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken AG" <customerssupport-2618548580675cts [at] vr-networld.de>
To: "x" <x>
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Subject: {Spam?} obligatorisch zu lesen
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="GGT0TL509PK_RFW"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.263, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70,
RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DYNABLOCK 2.60,
RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: infonum_781037534114956cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FR OM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi

007
24.07.2006, 09:35
Was machst'n Du da immer, Schara ? Die sind ja schon wieder alle terminiert :lil:

schara56
24.07.2006, 10:03
Was machst'n Du da immer, Schara ? Die sind ja schon wieder alle terminiertMitnichten!
http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi/ läuft wieder

Name: www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.newcow.us
Address: 200.75.3.62

200.75.3.62 -> AC NIELSEN (CL)

Telekomunikacja
24.07.2006, 10:07
Return-Path: <customercare-7191465005cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 22 Jul 2006 xx:xx:xx -0000
Received: from 20179243009.user.veloxzone.com.br (HELO 20179243009.user.veloxzone.com.br) [201.79.243.9]
by mx0.gmx.net (mx021) with SMTP; 22 Jul 2006 xx:xx:xx +0200
Received: from logging.zfree.co.nz (EHLO karachi.zfree.co.nz [42.34.96.249])
by vinavia.com with SMTP ID: [ID filtered]
for XXX; Sat, 22 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <online-support_id_456012cts [at] volksbank.de>
To: XXX
Subject: Online-Banking [Sat, 22 Jul 2006 xx:xx:xx -0500]
Sender: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customersupport-2232835cts [at] volksbank.de>
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="H7XBEKLU9830A7SZSK409KY"
Date: Sat, 22 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_ LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi
Return-Path: <reference_id_527459266538416cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 23 Jul 2006 xx:xx:xx -0000
Received: from 201.Red-88-5-91.staticIP.rima-tde.net (HELO 201.Red-88-5-91.staticIP.rima-tde.net) [88.5.91.201]
by mx0.gmx.net (mx056) with SMTP; 23 Jul 2006 xx:xx:xx +0200
Received: from [102.12.69.193] (HELO convert-me.com)
by sexyrussianmodels.com with SMTP ID: [ID filtered]
for XXX; Sun, 23 Jul 2006 xx:xx:xx -0500
Received: from atlanta.com (ehlo dearth.atlanta.com [70.1.62.178])
by sitepattern.com with SMTP ID: [ID filtered]
for XXX; Sun, 23 Jul 2006 xx:xx:xx -0700
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
From: "Volksbanken Raiffeisenbanken 2006" <online-support_id_0861935cts [at] vr-networld.de>
To: XXX
Subject: Sehr wichtig -Sun, 23 Jul 2006 xx:xx:xx -0500
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ASKR1SUJ_6JATTWFWYF_N_KD"
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_ LINK_IMG_2,MIME_HTML_ONLY,POSSIBLE_DIALUP_4)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

007
24.07.2006, 10:34
Mitnichten!
http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi/ läuft wieder

Name: www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.newcow.us
Address: 200.75.3.62

200.75.3.62 -> AC NIELSEN (CL)


Du hast recht. Ich krieg Sie nur über meinen Hauptprovider nicht mehr her. Wahrscheinlich blockt der sie schon im Proxy. Über Freenet z. B. geht's bei mir auch noch. :lil:

schara56
25.07.2006, 09:35
Return-Path: <operate-ref950752cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 24 Jul 2006 xx:xx:xx -0000
Received: from 125-226-2-160.dynamic.hinet.net (HELO 125-226-2-160.dynamic.hinet.net) [125.226.2.160]
by mx0.gmx.net (mx080) with SMTP; 24 Jul 2006 xx:xx:xx +0200
Received: from fastautosales.com [99.54.51.249]
by hostdepot.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
Received: from louisiana.kotnet.org (perjury.kotnet.org [100.54.213.208])
by riscom.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <infonum_571522892851146cts [at] vr-networld.de>
To: "x" <x>
Reply-To: "Volksbanken Raiffeisenbanken AG 2006" <reference_id_5363212721cts [at] volksbank.de>
Subject: Volksbanken Raiffeisenbanken Online-Banking -Mon, 24 Jul 2006 xx:xx:xx -0500
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="S81J00SDFWI46BK"
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,POSSIBLE_DIALUP_3,POSSIBLE_DIALUP_4,VOL KSBANK_PHISHING_SUBJECT1)
X-GMX-UID: [UID filtered]

Return-Path: <custservice_ref_570358cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Mon, 24 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 20178002016.user.veloxzone.com.br (20178002016.user.veloxzone.com.br [201.78.2.16] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0200
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from pechati.com [87.237.125.28]
by candidhosting.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
Received: from poczta.onet.pl (helo poczta.onet.pl.rr.com [114.102.192.128])
by bravodns.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx +0400
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport_id_28270845005cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken Online-Banking -Mon, 24 Jul 2006 xx:xx:xx -0500
Importance: Normal
User-Agent: Internet Mail Service (5.5.2650.21)
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="6OAGFIMKUWUUIYBFH"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=13.823, benoetigt 6,
BAYES_99 5.40, FORGED_IMS_HTML 4.10, FORGED_MUA_IMS 1.54,
FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_FONT_INVISIBLE 0.60, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssssssssss
X-MailScanner-From: custservice_ref_570358cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (IMS_HTML,FORGED_MUA_IMS,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRA ST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FR OM_MTA_HEADER,MSGID_FROM_MTA_ID,ROUND_THE_WORLD)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

deekay
25.07.2006, 10:03
From: - Tue Jul 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Envelope-From: <custservice_ref_3982064405090cts [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1153808186
Received: from pc60.broad.dynamic.xm.fj.cn.cndata.com (pc60.broad.dynamic.xm.fj.cn.cndata.com [59.57.179.60] (may be forged)) by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
Date: Tue, 25 Jul 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from myramstore.com (myramstore.com.sulzer.com [78.128.162.245]) by valuehost.com with SMTP ID: [ID filtered]
From: VOLKSBANKEN RAIFFEISENBANKEN 2006 <support_ref1603505313727cts [at] vr-networld.de>
To: Daniel <poor [at] spamvictim.tld>
Subject: Volksbanken Raiffeisenbanken: die eilige Nachricht [Tue, 25 Jul 2006 xx:xx:xx -0300]
Organization: Volksbanken Raiffeisenbanken 2006 operator-940180037cts [at] volksbank.de
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related; boundary="K8ZXX5_EZJ_ZL7JVHBUYLC"


From: - Tue Jul 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Envelope-From: <operator_32171560514542cts [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1153802384
Received: from 192.67.198.37 ([221.203.186.113]) by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
Date: Tue, 25 Jul 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from baptiste.pornushka.com (unknown [56.179.144.144]) by dnsfort.com with SMTP ID: [ID filtered]
Received: from [116.179.144.95] (HELO wholesale.qldsugar.com) by convert-me.com with SMTP ID: [ID filtered]
From: Volksbanken Raiffeisenbanken AG 2006 <customerssupport_15176146396cts [at] volksbank.de>
To: Info <poor [at] spamvictim.tld>
Subject: Volksbanken Raiffeisenbanken: Sehr wichtig [Mon, 24 Jul 2006 xx:xx:xx -0700]
References: <custservice-ref-730914923750882cts [at] volksbank.de>
User-Agent: Mutt/1.5.1i
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related; boundary="M8DYXUGLUG437Q5H"

From: - Tue Jul 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Envelope-From: <customercare-961782460822cts [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1153789370
Received: from 201-68-200-217.dsl.telesp.net.br (201-68-200-217.dsl.telesp.net.br [201.68.200.217]) by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
Date: Tue, 25 Jul 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from [12.172.194.103] (HELO speedingbits.com) by intellitxt.com with SMTP ID: [ID filtered]
Received: from welles.we-help-u.biz (ehlo we-help-u.biz.osdn.com [110.164.80.86]) by odinplus.com with SMTP ID: [ID filtered]
From: Volksbanken Raiffeisenbanken AG <customercare_89624184375cts [at] vr-networld.de>
To: xxxxxxxxxxx <poor [at] spamvictim.tld>
Subject: die eilige Nachricht Mon, 24 Jul 2006 xx:xx:xx -0500
X-USER_IP: 99.132.172.16
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related; boundary="5JH3G4Y1C0MBHC0"

http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi

schara56
25.07.2006, 10:14
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info...ist leider schon aus dem DNS geflogen...

schara56
26.07.2006, 05:22
Return-Path: <onlinesupport_id-779794cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from c-68-83-38-97.hsd1.pa.comcast.net (c-68-83-38-97.hsd1.pa.comcast.net [68.83.38.97])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200
Date: Wed, 26 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from freeproblem.com [94.108.24.78]
by rnktech.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customerssupport-70513905482103cts [at] volksbank.de>
To: "x" <x>
X-Sender: custsupport_56228105450cts [at] vr-networld.de
Subject: Softwareupdate -Tue, 25 Jul 2006 xx:xx:xx -0600
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="BMZT1GANV5LBTFBPB"
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: sssss
X-MailScanner-From: onlinesupport_id-779794cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID: [ID filtered]
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.resems.net/r1/anmelden.cgi

Erbrochen über Spamcast (68.83.38.97) und gehostet in Korea :sick:
...mir ist aufgefallen das die Admin-C-Daten in den letzten Phishzügen ausschließlich russischer Natur sind (zumindest mit den Phishingsite unter /r1/anmelden.cgi)...

Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 26 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from ip-125-252-66-25.asianetcom.net (unknown [125.252.66.25])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from sanction.rusmedserv.com (unknown [60.2.130.122])
by sleekhost.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx -0500
Received: from computermail.net (whir.computermail.net [95.106.112.171])
by ladoshki.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customersupport-086882162cts [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Internet-Banking
X-Message-ID: [ID filtered]
User-Agent: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ID5QF9ZZFYGCOT785"
Message-ID: [ID filtered]
Date: Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: ***
X-Spam-Status: No, hits=3.4 required=5.0 tests=BAYES_56,BIZ_TLD,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY,
PRIORITY_NO_NAME autolearn=no version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: supprefnum3076394465cts [at] vr-networld.de
X-OriginalArrivalTime: 26 Jul 2006 xx:xx:xx.0921 (UTC) FILETIME=[BE617B90:01C6B05B]

http://www.volksbank.de.vr-web.networld.onlinebanking.moler.biz/r1/anmelden.cgi

Abgekippt über Horizon Technologies (125.252.66.25) und gehostet in Korea (58.141.63.251) - gleicher Webserver wie oben.
Man vergleiche mal die Admin-C-Einträge der Phishingsites...

schara56
26.07.2006, 07:12
Return-Path: <supprefnum5898131970cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 68-191-85-152.dhcp.opls.la.charter.com (68-191-85-152.dhcp.opls.la.charter.com [68.191.85.152])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200
Date: Wed, 26 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from atlanta.com (unknown [21.174.56.100])
by omni-host.com with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <support_ref5965463cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: amtliche Nachrichten [Wed, 26 Jul 2006 xx:xx:xx -0500]
X-Originating-Server: affect.sexpopka.com (unknown [60.72.174.142])
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="7G.J2MP7YNFN3AZ"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.931, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: supprefnum5898131970cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR2,HTML_FONT_LOW_CONTRAST,HTML_ IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_H EADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.resems.net/r1/anmelden.cgi

...diesesmal über Charter (68.191.85.152) gekübelt...aber leider löst der FQDN zu der IP 58.141.63.251 mehr auf; ziemlich kurzlebig das Ganze. :grin:

schara56
26.07.2006, 09:09
etwas offtopic aber passend:
http://www.heise.de/newsticker/meldung/70061
http://en.wikipedia.org/wiki/Rock_Phish_Kit

schara56
26.07.2006, 09:52
Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 26 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from pool-68-238-102-223.dfw.dsl-w.verizon.net (pool-68-238-102-223.dfw.dsl-w.verizon.net [68.238.102.223])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from guinea.lyricsdownload.com (unknown [100.232.208.189])
by norika-fujiwara.com with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx -0500
Received: from [96.166.16.236] (HELO hotbox.com)
by lilly.com with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0100
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <customersupport_30759679909551cts [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Information Wed, 26 Jul 2006 xx:xx:xx -0500
Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport_id-9324491770066cts [at] volksbank.de>
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="HQ8K.G5MRF.WEBZ5C"
Message-ID: [ID filtered]
Date: Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: ***
X-Spam-Status: No, hits=4.0 required=5.0 tests=BAYES_50,BIZ_TLD,
FROM_HAS_ULINE_NUMS,HTML_30_40,HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,
MIME_HTML_ONLY,OFFERS_ETC,PRIORITY_NO_NAME autolearn=no version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: customercare-50478cts [at] vr-networld.de
X-OriginalArrivalTime: 26 Jul 2006 xx:xx:xx.0272 (UTC) FILETIME=[83F49880:01C6B082]

http://www.volksbank.de.vr-web.networld.onlinebanking.moler.biz/r1/anmelden.cgi

Das DNS hatte wohl nur vorübergehend Schluckauf - Abgekippt über verizon (68.238.102.223) und leider löst nun
auch wieder der FQDN zur IP 58.141.63.251 auf.

Searching for moler.biz NS record at C.GTLD.biz. [209.173.60.65]: Got referral to NSD1.SERVERBACKUP64.COM. [took 89 ms]
Searching for moler.biz NS record at NSD1.SERVERBACKUP64.COM. [211.213.6.2]: Timed out. Trying again.
Searching for moler.biz NS record at NSD1.SERVERBACKUP64.COM. [211.213.6.2]: Timed out. Trying again.
Searching for moler.biz NS record at NSD1.SERVERBACKUP64.COM. [211.213.6.2]: Timed out. Trying again.
Searching for moler.biz NS record at NSD4.SERVERBACKUP64.COM. [211.221.74.12]: Reports that no NS records exist. [took 727 ms]

Irgendwie sitzt da noch der DNS-Frosch im Resolver...oder so ähnlich.

Grisu_LZ22
26.07.2006, 11:32
OT:
Mir fällt auf dass seit einigen Tagen täglich mehrere Mails von Leo kommen. Immer mit Volksbanken-Raiffeisenbanken. Bis vor kurzem sind bei mir nur 1-2 Mails in der Woche eingetroffen. Jetzt sinds teilweise mehrere pro Tag. :sick: Ich frage mich ob Leo langsam durchdreht oder ob er wirklich glaubt dass jemand so dämlich ist, dass, wenn er permanent die "Aufforderung der technischen Abteilung" zur Bestätigung seiner Daten erhält, man täglich Pin und Tans verbraucht. Wenn ja dann wärs der Über-Ober-Super-DAU.
/OT

:jedi:

JohnnyBGoode
26.07.2006, 12:16
Dieser Mist häuft sich wirklich extrem in letzter Zeit.....

Naja, schicken wir dem lieben Leo halt ein paar Pins und Tans:D

kjz1
26.07.2006, 12:32
Ich frage mich ob Leo langsam durchdreht oder ob er wirklich glaubt dass jemand so dämlich ist, dass, wenn er permanent die "Aufforderung der technischen Abteilung" zur Bestätigung seiner Daten erhält, man täglich Pin und Tans verbraucht. Wenn ja dann wärs der Über-Ober-Super-DAU.

Übliche Spammer-Logik: viel hilft viel, egal wie....
Und natürlich die Hoffnung auf P.T. Barnum in Reinkultur.

- kjz

007
26.07.2006, 13:41
....oder: als der DAU Jones fiel :eek:

In der psychologischen Fachliteratur findet man zwar zahlreiche Versuche zur Typlogisierungen des Menschen (vgl. Kretschmer), doch interessanterweise wird nirgends der Typus des DAU erwähnt. Interessant ist dies vor allem deshalb, da der DAU mit Sicherheit der am häufigsten vorkommende Typus ist.

Um dieses Defizit der Forschung zu schliessen, soll an dieser Stelle der Versuch der Typlogisierung (bzw. DAUpologisierung) vorgenommen werden.

Der DAU scheint an keine Gesellschaftsschicht, Einkommensschicht, Religionszugehörigkeit, Region oder Hautfarbe gebunden zu sein. Man kann von einer gewissen Gleichverteilung innerhalb der gesamten Weltbevölkerung ausgehen.
Vorsichtige Schätzungen (an dieser Stelle ist das Fehlen genauerer Zählungen zu beklagen) gehen von einem ungefähren Anteil von 10 - 20% an der Gesamtbevölkerung aus.

Übereinstimmend werden von DAU-Forschern folgende Charakterzüge als prägend beschrieben:
Absolute technische Unbegabung, gepaart mit dem Drang die neuesten, komplizierten Geräte besitzen zu wollen.
Extreme Schwankungen zwischen cholerischischen Ausbrüchen ("So eine Scheisse, das geht einfach nicht!!!!") einerseits und Melancholie ("Drei Stunden versuch ich es jetzt schon") andererseits.
Zwanghafte Ängste, nicht als Experte auf bestimmten Fachgebieten erkannt zu werden. Geht im Normalfall Hand in Hand mit einer absoluten Ahnungslosigkeit in ebendiesen Fachgebieten.
Besondere Begabung im Fremdsprachen-Bereich. Vermischt sämtliche Sprachen zu einer Art Einheitssprache und -Ausprache, die von keinem Sprachkundigen mehr verstanden werden kann. Diese Kunstsprache weist auffällige Ähnlichkeiten mit einem mittlerweile ausgestorbenen Dialekt der Tlapa-Indianer in Süd-Mexiko auf.
Ausgeprägtes Neugierde-Verhalten in Zusammenhang mit rebellischer Grundhaltung gegen autoritäre Ansätze. Aussagen wie "Diese Einstellungen sollten nur von erfahrenen Benutzern verändert werden" wirken durch diesen Hintergrund als unwiderstehliche Aufforderung.
Besonders kritische Grundhaltung gegenüber Bildungseinrichtungen ("Das muss ich nicht studiert haben, um das zu können").
Neigung zu telefonischen Terrorakten. Bevorzugt zu fortgeschrittener, nächtlicher Stunde werden Menschen, die nur zu dieser Uhrzeit als Experten anerkannt werden, mit Sätzen wie ´Das Ding macht plötzlich nichts mehr. MACH WAS!´ kontaktiert.

Körperliche Auffälligkeiten:
Defekt der audiovisuellen Übertragung. Erklärungen scheinen zwar die Sinnesorgane zu erreichen, die Verarbeitung im Gehirn findet jedoch augenscheinlich nicht statt.
Besonders aktives, dezibel-intensives Sprechwerkzeug
Leseschwierigkeiten (sogenannter Bedienungsanleitungs-Analphabetismus). Werden häufig durch Schreibanfälle (Beschwerden, Leserbriefe, ...) kompensiert.
Vehementer Einsatz einer (selbstständig erweiterten) Version der Ebbinghausschen sinnlosen Silben ('RAM','VPS,'MCI','CPU', ....). Interssanterweise (anders als bei Formen der Schizophrenie, die ein ähnliches Krankheitsbild aufweisen) ergeben diese Silben für den DAU selbst keinerlei Sinn.
Massiv gestörte Verarbeitungsgeschwindigkeit des Kurzzeitgedächtnisses (KZG). Während im Normalfall 7 Informationseinheiten (+/- 2) vom KZG aufgenommen werden können, erfasst der DAU im besten Fall eine einzige. Möglicherweise in Zusammenhang mit Störeinflüssen des Langzeitgedächtnisses zu sehen ("Aber damals hab ich das ganz anders gemacht").
Chirurgen Syndrom: technische Geräte müssen nach dem Kauf sofort geöffnet werden, um unnötige Komponenten aus dem Innenleben zu identifizieren und zu entfernen....

:D

Grisu_LZ22
26.07.2006, 15:03
X-Symantec-TimeoutProtection: 0
X-Symantec-TimeoutProtection: 1
X-Symantec-TimeoutProtection: 2
Return-Path: <onlinesupport-id-15403cts [at] vr-networld.de>
Received: from mailin23.aul.t-online.de (mailin23.aul.t-online.de [172.20.27.75])
by mhead18 with LMTP; Wed, 26 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from COMPUTER ([212.119.171.168]) by mailin23.sul.t-online.de
with smtp ID: [ID filtered]
Received: from [108.64.40.129] (HELO treetop.gayamore.com)
by 3dfreestats.com with SMTP ID: [ID filtered]
for <xxx>; Wed, 26 Jul 2006 xx:xx:xx -0500
Received: from all.bg (cautious.all.bg [48.228.135.220])
by labshost.com with SMTP ID: [ID filtered]
for <mxxx>; Wed, 26 Jul 2006 xx:xx:xx +0500
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <customercare_38729810cts [at] volksbank.de>
To: "xxx" <xxx>
X-USER_IP: 126.12.225.24
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="OT1SL_AAQIN0P83UAPT"
X-TOI-SPAM: u;0;2006-07-26Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'customercare_38729810cts [at] volksbank.de' (70 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4


http://www.volksbank.de.vr-networld.onlinebanking.moler.biz/r1/anmelden.cgi

OT: Wunderschöne DAU-Erklärung *seufz* /OT


Hmmm... Phishfighting klappt nicht - seltsam. Aber was noch viel schlimmer ist: Meine Kaffeemilch ist sauer ;-)
:jedi:

schara56
26.07.2006, 17:29
So wie ich das interpretiere lebt die Site http://www.volksbank.de.vr-web.networld.onlinebanking.moler.biz/r1/anmelden.cgi
nur noch aus dem Cache - dabei ist die Cachezeit bei 28 Minuten und ein paar sekunden; gar nicht mal so lange:


> server 194.25.2.129
Standardserver: dns03.btx.dtag.de
Address: 194.25.2.129

> set q=ns
> moler.biz
Server: dns03.btx.dtag.de
Address: 194.25.2.129

moler.biz nameserver = NSD1.SERVERBACKUP64.COM
moler.biz nameserver = NSD4.SERVERBACKUP64.COM

Standardserver: NSD1.SERVERBACKUP64.COM
Address: 211.213.6.2

> www.volksbank.de.vr-web.networld.onlinebanking.moler.biz
Server: NSD1.SERVERBACKUP64.COM
Address: 211.213.6.2

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an NSD1.SERVERBACKUP64.COM

> server NSD4.SERVERBACKUP64.COM
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Adresse für Server NSD4.SERVERBACKUP64.COM kann nicht gefunden werden: Timed out

Kann das jemand bestätigen? Ich habe nur einen Telekom-DNS versucht...
Knuffig finde ich die schlechte Verbindung zum zweiten DNS-Server.

schara56
28.07.2006, 11:46
Return-Path: <online_support_id_09485cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 28 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 87.68.24.214.cable.012.net.il (87.68.24.214.cable.012.net.il [87.68.24.214])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x; Fri, 28 Jul 2006 xx:xx:xx +0200
Date: Fri, 28 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from linksynergy.com (EHLO farpost.com.valuead.com [111.160.115.100])
by yimg.com with SMTP ID: [ID filtered]
for <x; Fri, 28 Jul 2006 xx:xx:xx -0500
Received: from mail15.com (unknown [75.158.64.188])
by purescore.com with SMTP ID: [ID filtered]
for <x; Fri, 28 Jul 2006 xx:xx:xx +0300
X-USER_IP: 66.32.181.132
From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport_411307311939cts [at] volksbank.de>
To: "x" <x
Subject: {Spam?} Internet-Banking -Fri, 28 Jul 2006 xx:xx:xx -0500
X-USER_IP: 66.32.181.132
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="VGULLXPGTFWKO3VT1KB"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.02, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssssss
X-MailScanner-From: online_support_id_09485cts [at] vr-networld.de
X-Collected-By: GMX/x [at] x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR2,HELO_DYNAMIC_ SPLIT_IP,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_NUMER IC_HELO,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.sabma.info/r1/anmelden.cgi (59.24.103.144 / Kornet :sick:) - leider hat die Seite derzeit etwas Verbindungsprobleme :grin: ...

Ausgespuckt wurde der Phish über 87.68.24.214 -> Golden Lines international Communication Ltd.
> sabma.info
sabma.info nameserver = ns2.sabma.info
sabma.info nameserver = ns1.sabma.info

> ns1.sabma.info
Name: ns1.sabma.info
Address: 59.24.103.144 -> Kornet

> ns2.sabma.info
Name: ns2.sabma.info
Address: 210.18.125.68 -> Satyam Infoway (P) Ltd.

Igendwie schwächeln die alle jetzt etwas - ich habe diese Woche erst 8 Stück der VoBa-Phishe erhalten...:clown:

schara56
28.07.2006, 15:49
Return-Path: <supprefnum4447398484cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 28 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from host1-201.pool8716.interbusiness.it (host1-201.pool8716.interbusiness.it [87.16.201.1])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx +0200
Date: Fri, 28 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from haniastuff.com (megabit.haniastuff.com [63.112.232.20])
by idsoftware.com with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx -0500
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customersupport-53023268299401cts [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ORDM0H7D8IHZVZB8U"
X-Antivirus: avast! (VPS 0630-2, 26/07/2006), Outbound message
X-Antivirus-Status: Clean
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: s
X-MailScanner-From: supprefnum4447398484cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

Orchinol-Link: http://www.volksbank.de.vr-web.networld.onlinebanking.kolossyinfo/r1/anmelden.cgi
http://www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info/r1/anmelden.cgi

Menno - Leo wird immer schlampiger der Link in der Email stimmt nicht - was doch so ein kleines Pünktchen ausmacht :grin:

kolossy.info
primary name server = kolossy.info
responsible mail addr = poor [at] spamvictim.tld
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)

kolossy.info nameserver = ns2.kolossy.info
kolossy.info nameserver = ns1.kolossy.info
ns1.kolossy.info internet address = 211.213.6.2 -> Hanaro (Korea)
ns2.kolossy.info internet address = 210.18.125.68 -> Satyam Infoway (P) Ltd.

...wird langsam echt langweilig - gähhnn...

Grisu_LZ22
28.07.2006, 16:30
Orchinol-Link:[/color] http://www.volksbank.de.vr-web.networld.onlinebanking.kolossyinfo/r1/anmelden.cgi
http://www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info/r1/anmelden.cgi

[color=blue]Menno - Leo wird immer schlampiger der Link in der Email stimmt nicht - was doch so ein kleines Pünktchen ausmacht :grin:

/color]

... oder Leo war wieder mal bis über die Ohren zugedröhnt :p

:jedi:

schara56
28.07.2006, 23:05
Return-Path: <custsupport-453593805772cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 28 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from chello217023254177.chello.sk (chello217023254177.chello.sk [217.23.254.177])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx +0200
Date: Fri, 28 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from basepoint.walla.com (unknown [48.220.58.4])
by xo.com with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <online-support_id_40009732828073cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} obligatorisch zu lesen Fri, 28 Jul 2006 xx:xx:xx -0500
Reply-To: "Volksbanken Raiffeisenbanken" <custsupport-010869960cts [at] volksbank.de>
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="PUWC9V8UO678Z9VM"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=16.261, benoetigt 6,
BAYES_99 5.40, FORGED_IMS_HTML 4.10, FORGED_MUA_IMS 1.54,
FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssssssss
X-MailScanner-From: custsupport-453593805772cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (IMS_HTML,FORGED_MUA_IMS,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRA ST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY ,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,REPTO_QUOTE_IMS)
X-GMX-UID: [UID filtered]

So, Leos Dröhnung hat wohl nachgelassen - dieses mal stimmte auch der Link (wie oben) bis auf den Punkt.

Grisu_LZ22
29.07.2006, 13:13
eturn-Path: <support_reference4893282330479cts [ät] volksbank.de>
Received: from mailin22.aul.t-online.de (mailin22.aul.t-online.de [172.20.26.75])
by mhead18 with LMTP; Sat, 29 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from SDDfa-03p3-61.ppp11.odn.ad.jp ([211.121.71.61]) by mailin22.sul.t-online.de
with smtp ID: [ID filtered]
Received: from newsru.com (afghan.clickcashmoney.com [84.234.54.81])
by jchyun.com with SMTP ID: [ID filtered]
for <fake-addy>; Fri, 28 Jul 2006 xx:xx:xx -0500
Received: from priest.com (beecham.priest.com [36.104.214.0])
by slave-ns.com with SMTP ID: [ID filtered]
for <fake-addy>; Fri, 28 Jul 2006 xx:xx:xx -0700
Delivered-To: fake-addy
From: "Volksbanken Raiffeisenbanken AG 2006" <support-reference494039812915cts [at] vr-networld.de>
To: "fake-addy" <fake-addy>
Delivered-To: fake-addy
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="P1QWR8AH92EDUP2PWK8"
X-TOI-SPAM: u;0;2006-07-28Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine addy>
X-NAS-BWL: No match found for 'support-reference494039812915cts [ät] vr-networld.de' (70 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: eilige Information [Fri, 28 Jul 2006 xx:xx:xx -0500]
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link geht zu http://www.volksbank.de.vr-web.networld.onlinebanking.lolossy.info/r1/anmelden.cgi

und


Return-Path: <support-ref103734724313597cts [ät] volksbank.de>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead18 with LMTP; Sat, 29 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.75 ([124.197.142.21]) by mailin21.sul.t-online.de
with smtp ID: [ID filtered]
Received: from dmedia-ua.com (katsprom.com.sexcounter.com [46.24.78.158])
by allsaintsfan.com with SMTP ID: [ID filtered]
for <mfake-addy>; Sat, 29 Jul 2006 xx:xx:xx -0500
Received: from apothegm.pgawtn.com (unknown [25.253.24.192])
by sun.com with SMTP ID: [ID filtered]
for <fake-addy>; Sat, 29 Jul 2006 xx:xx:xx +0600
From: "Volksbanken Raiffeisenbanken 2006" <customersupport_40556320157328cts [at] volksbank.de>
To:"fake-addy" <fake-addy>
X-remove: 61420
User-Agent: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4DGIB8747IWKHJTG1SVYD"
X-TOI-SPAM: u;0;2006-07-29Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine addy>
X-NAS-BWL: No match found for 'customersupport_40556320157328cts [ät]volksbank.de' (70 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: amtlicher Bescheid
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link geht zu http://www.volksbank.de.vr-web.networld.onlinebanking.samba.info/r1/anmelden.cgi


:jedi:

Goofy
29.07.2006, 13:31
Samba.info steht bei:



inetnum: 213.131.228.64 - 213.131.228.79
netname: DE-KAMBACH-NET
descr: kambach.net - webhosting and server
address: D-49716 Meppen / Esterfeld


Zuständige abuse: --> hostmaster[at]inetbone.net

Vielleicht ist es ja wieder mal ein gekaperter Webserver.

kjz1
29.07.2006, 15:03
Vielleicht ist es ja wieder mal ein gekaperter Webserver.

Wahrscheinlich, wobei Leo hier heftiges Server-Hopping betreibt. Bei mir löste die IP nach Nicaragua http://165.98.180.134 auf.

- kjz

Goofy
29.07.2006, 15:13
Komisch... bei mir gehen alle DNS-Abfragen noch/wieder auf kambach.net.

Welche ns-Einträge kriegst Du?

Ich habe:
ns.ns-service.de IN A 213.203.193.181 5174s (1h 26m 14s)
ns2.ns-service.de IN A 213.203.228.195 991s (16m 31s)

exe
29.07.2006, 17:10
Samba.info steht bei:
http://www.antispam-ev.de/forum/showthread.php?t=11178

Da scheint es mal unseren Freund erwischt zu haben. Na da hat einer wohl die Zeit mit spammen verbracht anstatt seine Kiste dicht zu machen. :D :D :D

schara56
29.07.2006, 17:20
Return-Path: <support-ref54792541381cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sat, 29 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from cp361412-a.roose1.nb.home.nl (cp361412-a.roose1.nb.home.nl [84.26.53.206])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sat, 29 Jul 2006 xx:xx:xx +0200
Date: Sat, 29 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from arsenate.flashmobmaker.com (dilatory.apc.com [48.54.51.122])
by pechati.com with SMTP ID: [ID filtered]
for <x>; Sat, 29 Jul 2006 xx:xx:xx -0800
Received: from ideolect.kotnet.org (EHLO hirsch.kotnet.org [96.99.48.242])
by russiangirlwant.com with SMTP ID: [ID filtered]
for <x>; Sat, 29 Jul 2006 xx:xx:xx -0400
From: "VOLKSBANKEN RAIFFEISENBANKEN" <online-support_id_450336752cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
X-Authentication-Warning: QDM22-convertible1.SYV59f.intellitxt.com (unknown [74.1.16.179]): gr05hearten set sender to custservice_ref_75528059828885cts [at] volksbank.de using -f
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TKCM4B1YZZ8QLJO0"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=8.182, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_FONT_INVISIBLE 0.60, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: ssssssss
X-MailScanner-From: support-ref54792541381cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HELO_DYNAMIC_HOME_NL,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTM L_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MS GID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info/r1/anmelden.cgi

Soweit ich das sehe ist der http-post doch bei den ganzen Konservensites immer der Gleiche:

0000 00 a0 c5 d6 e8 f3 00 0c 76 ac db 32 08 00 45 00 ........v..2..E.
0010 01 61 0b f1 40 00 80 06 7f a8 0a 0a 0a 0b a5 62 .a.. [at] ..........b
0020 b4 86 04 33 00 50 be 1d f4 b8 07 4f a8 04 50 18 ...3.P.....O..P.
0030 ff 3c 6f 51 00 00 43 6f 6e 74 65 6e 74 2d 54 79 .<oQ..Content-Ty
0040 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f pe: application/
0050 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e x-www-form-urlen
0060 63 6f 64 65 64 0d 0a 43 6f 6e 74 65 6e 74 2d 4c coded..Content-L
0070 65 6e 67 74 68 3a 20 32 34 31 0d 0a 0d 0a 66 72 ength: 241....fr
0080 68 72 3d 48 65 72 72 26 76 72 6e 6d 3d 47 65 72 hr=Herr&vrnm=Ger
0090 68 61 72 64 26 66 6d 6e 6d 3d 53 63 68 72 25 46 hard&fmnm=Schr%F
00a0 36 64 65 72 26 74 6e 73 3d 30 32 35 38 36 39 25 6der&tns=025869%
00b0 30 44 25 30 41 32 34 35 32 33 36 25 30 44 25 30 0D%0A245236%0D%0
00c0 41 31 34 32 35 33 36 25 30 44 25 30 41 37 34 38 A142536%0D%0A748
00d0 35 39 36 25 30 44 25 30 41 37 38 34 35 31 32 25 596%0D%0A784512%
00e0 30 44 25 30 41 38 39 35 36 32 33 25 30 44 25 30 0D%0A895623%0D%0
00f0 41 33 37 39 31 36 34 26 6b 6e 74 6e 3d 31 32 33 A379164&kntn=123
0100 34 35 36 37 38 39 26 6b 6e 64 6e 3d 37 37 37 37 456789&kndn=7777
0110 37 37 26 76 6e 3d 38 38 38 38 38 38 26 61 6c 3d 77&vn=888888&al=
0120 4b 61 72 6f 74 74 65 26 70 6e 3d 39 39 39 39 39 Karotte&pn=99999
0130 26 62 6b 6c 3d 37 34 31 38 35 32 36 36 26 70 74 &bkl=74185266&pt
0140 6c 3d 38 30 32 35 36 26 65 6d 6c 3d 67 65 72 68 l=80256&eml=gerh
0150 61 72 64 2e 73 63 68 72 6f 65 64 65 72 25 34 30 ard.schroeder%40
0160 77 65 62 2e 64 65 26 78 3d 33 33 26 79 3d 36 web.de&x=33&y=6

frhr = Anrede; vrnm = Vorname; fmnm = Nachname; tns = 'eingetastete' TANs; ... ; eml = Emailadresse

Leider bin ich des VB-Skriptens nachweislich unkundig aber es sollte doch nicht schwer sein ein kleines VBSkript 'einzutasten' um reichhaltige Inhalte den Phishern zu liefern.

Seinen indischen Nameservern bleibt Phishy bisher wohl treu und beide Nameserver kennen auch die Zone:
> set q=ns
> kolossy.info

DNS request timed out.
timeout was 2 seconds.
Nicht autorisierte Antwort: die Antwort kam von meinem DNS - daher nicht autorisiert
kolossy.info nameserver = ns3.kolossy.info
kolossy.info nameserver = ns2.kolossy.info

ns2.kolossy.info internet address = 210.18.125.68
ns3.kolossy.info internet address = 210.18.125.69
> set q=a
> 210.18.125.68

Name: 210.18.125.68.sify.net
Address: 210.18.125.68

> 210.18.125.69

Name: 210.18.125.69.sify.net
Address: 210.18.125.69

> server 210.18.125.69
Standardserver: 210.18.125.69.sify.net
Address: 210.18.125.69

> www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Server: 210.18.125.69.sify.net
Address: 210.18.125.69

DNS request timed out.
timeout was 2 seconds.
Name: www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Address: 80.69.52.50

> server 210.18.125.68
Standardserver: [210.18.125.68]
Address: 210.18.125.68

> www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Server: [210.18.125.68]
Address: 210.18.125.68

DNS request timed out.
timeout was 2 seconds.
Name: www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Address: 80.69.52.50

Goofy
29.07.2006, 20:07
http://www.antispam-ev.de/forum/showthread.php?t=11178

Da scheint es mal unseren Freund erwischt zu haben. Na da hat einer wohl die Zeit mit spammen verbracht anstatt seine Kiste dicht zu machen. :D :D :D

Könnte es nicht doch ein shared hosting sein, Phishing-Host unter Falschnamen angemeldet?
Mir gibt zu denken, dass der Nameserver identisch ist mit der bei M.D. verwendeten Domain.
Leo müsste dann schon nicht nur den Webserver, sondern auch den DNS-Server geknackt haben. Denn sonst würde die Domain nicht über den Kambach-gehosteten DNS-Server auflösen.
Andererseits... möglich ist alles...

kjz1
29.07.2006, 21:04
Komisch... bei mir gehen alle DNS-Abfragen noch/wieder auf kambach.net.

Welche ns-Einträge kriegst Du?

Hier ist es aktuell (21:00):

ns2.kolossy.info [210.18.125.68] 80.69.52.50
ns3.kolossy.info [210.18.125.69] 80.69.52.50

also indische Nameserver und (geknackte?) Kiste in Aserbaidschan.

Um 14:00 Uhr war es:

ns3.kolossy.info [210.18.125.69] 165.98.180.134
ns2.kolossy.info [210.18.125.68] 165.98.180.134

Indische Nameserver, aber Hosting in Nicaragua und eine TTL von 43200.
Vermutlich hat Leo ein ganzes Zombie-Netzwerk von geknackten Kisten zum Hosten und manipuliert die Nameserver zu einer ständigen Rotation. Gegen die Hoster vorzugehen, bringt da gar nichts, die Vermehren sich wie die Kanickel und Leo switcht aufs heftigste. Einzig und allein die Nameserver bieten da wohl einen Angriffspunkt.

- kjz

schara56
30.07.2006, 10:51
Kolossy.info sieht wieder mal dunkel aus:
Searching for kolossy.info NS record at ns3.kolossy.info. [210.18.125.69]: Reports that no NS records exist. [took 327 ms]


Einzig und allein die Nameserver bieten da wohl einen Angriffspunkt
Ich denke die Nameserver werden nur so lange verwendet wie die A-Einträge in die jeweiligen Caches der anderen Nameserver geladen werden, dann wird es dunkel.
Das erinnert ein bischen an http://www.antispam-ev.de/forum/showthread.php?t=9882
Die Achillesverse ist das cachen der Zoneneinträge bei den anderen Nameservern:
> server 194.25.2.129
Standardserver: dns03.btx.dtag.de
Address: 194.25.2.129

> kolossy.info
Server: dns03.btx.dtag.de
Address: 194.25.2.129

Nicht autorisierte Antwort:
kolossy.info nameserver = ns2.kolossy.info
kolossy.info nameserver = ns3.kolossy.info
...alles aus den Cache

Fragt man kolossy.info selbst wird die oben genannte Vermutung bestätigt:
> set q=soa
> kolossy.info
Server: ns3.kolossy.info
Address: 210.18.125.69

kolossy.info
primary name server = kolossy.info
responsible mail addr = poor [at] spamvictim.tld
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)
...selbst wenn der erste DNS aus der kurve fliegt und das Lindblatt nicht entdeckt wurde gibt der NS mit der sekundären
Zone fleissig die infos über die A-Einträge heraus; über ein Jahr lang.


Das Lindblatt dürfte die Delegierung von .info auf kolossy.info sein. Die TTL der Einträge mit 10 Stunden ist schön
kurz, so dass die Einträge maximal diese 10 Stunden in den verschiedenen Caches rumspucken.
Solange Melburn IT (http://www.nic.info/cgi-bin/whois.cgi?yes_popup_flag=0&whois_query_field=registrar+id+R141-LRMS) da mitspielt und die Delegierung aufrecht hält wird weiter gephisht.


Heute war dran:
http://www.volksbank.de.vr-web.networld.onlinebanking.sabma.info/r1/anmelden.cgi

> www.volksbank.de.vr-web.networld.onlinebanking.sabma.info

Name: www.volksbank.de.vr-web.networld.onlinebanking.sabma.info
Address: 211.244.211.71

> set q=ns
> sabma.info

*** sabma.info wurde von UnKnown nicht gefunden: Non-existent domain

Was sagt dnsstuff.com dazu:

Searching for sabma.info NS record at ns3.sabma.info. [210.18.125.69]: Reports that no NS records exist. [took 317 ms]
210.18.125.69 -> 210.18.125.69.sify.net. -> Satyam Infoway (P) Ltd.

Goofy
30.07.2006, 12:21
Während ansonsten Spammerdomains oft mit sehr kurzen TTL-Zeiten im DNS stehen, sind Leo und Alex dazu übergegangen, bei Phishing-Domains längere Cache-Zeiten vorzugeben. Wird eine Domain mal gekillt, steht zumindest noch für einige weitere Stunden der Eintrag in den Caches der Provider.
Zeit, die reicht, damit ein paar weitere Super-DAUs da ihre PINs/TANs einfingern.

Für die sabma.info-Nameserver gibt es ein Spamhaus-Listing:

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44898

Da stehen auch noch andere (bereits tote...) Phishing-Domains.

kjz1
31.07.2006, 15:32
Und weiter geht's: http://www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz/r1/anmelden.cgi

- kjz

Goofy
31.07.2006, 18:59
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL45033

Auch hier stehen wieder mal einige andere Banken ebenfalls auf dem Phisherserver.

Grisu_LZ22
31.07.2006, 19:30
http://www.volksbank.de.vr-web.networld.onlinebanking.dergun.info/r1/anmelden.cgi

:jedi:

kjz1
01.08.2006, 08:23
Und wieder eine neu Runde:

http://www.volksbank.de.vr-web.networld.onlinebanking.annaconda.us/r1/anmelden.cgi

abgekippt über die Zombies:

212.106.245.243.adsl.jazztel.es

rrcs-24-123-250-40.central.biz.rr.com

- kjz

schara56
01.08.2006, 10:16
Return-Path: <infonum_24710497cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from spc1-roch2-0-0-cust261.bagu.broadband.ntl.com (spc1-roch2-0-0-cust261.bagu.broadband.ntl.com [86.1.153.6])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from abet.purinmail.com (purinmail.com.ledzeppelin.com [126.74.224.252])
by timeanddate.com with SMTP ID: [ID filtered]
for <x>; Mon, 31 Jul 2006 xx:xx:xx -0800
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customersupport-8317845495cts [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken Online-Banking [Mon, 31 Jul 2006 xx:xx:xx -0800]
In-Reply-To: "Volksbanken Raiffeisenbanken AG" <onlinesupport_id_969710368163cts [at] volksbank.de>
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TUI9ABVLFGOQW2I30DZ"
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: sssss
X-MailScanner-From: infonum_24710497cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_NTL,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE ,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,VO LKSBANK_PHISHING_SUBJECT1)
X-GMX-UID: [UID filtered]

Was'n Dödel - schon wieder den Punkt vergessen...

Orchinol-Link: http://www.volksbank.de.vr-web.networld.onlinebanking.podeskobiz/r1/anmelden.cgi

http://www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz/r1/anmelden.cgi

> set q=ns
> podesko.biz

podesko.biz nameserver = nsd8.help-our-son.com
podesko.biz nameserver = nsd7.help-our-son.com

nsd7.help-our-son.com internet address = 58.102.73.2
> set q=a
> nsd8.help-our-son.com
Nicht autorisierte Antwort:
Name: nsd8.help-our-son.com
Address: 83.14.246.114 -> IP von Polish Telecom

> www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Name: www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Address: 211.244.211.71

kjz1
01.08.2006, 11:30
Was'n Dödel - schon wieder den Punkt vergessen...

Nicht nur das, die http://HELP-OUR-SON.COM Nameserver (No A records exist for help-our-son.com.) sind auch schon tot, also rien ne vas plus... Aber Leo wird mit absoluter Sicherheit in Kürze eine weitere von seinen hunderten auf Vorrat registrierten Domains aus dem Hut zaubern....

- kjz

schara56
01.08.2006, 12:05
(No A records exist for help-our-son.com.)
Bedeutet ja nur, dass anscheinend kein A-Eintrag für diesen FQDN gibt; bei DNS-Domänen aber nicht ungewöhnlich (vgl. elop.de oder cdi.de)
> elop.de
Name: elop.de

> www.elop.de
Nicht autorisierte Antwort:
Name: www.umleitungen.rmc.de
Address: 213.155.82.198
Aliases: www.elop.de


Für den Phish läuft die Namensauflösung aber bisher ohne Probleme:
> server nsd8.help-our-son.com
Standardserver: nsd8.help-our-son.com
Address: 83.14.246.114

> www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Server: nsd8.help-our-son.com
Address: 83.14.246.114

Name: www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Address: 58.72.196.130

Die Namensauflösung funktioniert soweit; auch wenn es keine Informationen über
- SOA,
- NS oder
- MX
in der Zone gibt. Die A-Eintrage werden aber fein aufgelöst.

Die indischen Jungs von Satyam Infoway (P) Ltd. scheinen aber brav dabei zu sein:
> NSD4.HELP-OUR-SON.COM

Nicht autorisierte Antwort:
Name: NSD4.HELP-OUR-SON.COM
Address: 210.18.125.68 -> Satyam Infoway (P) Ltd.

> NSD5.HELP-OUR-SON.COM

Nicht autorisierte Antwort:
Name: NSD5.HELP-OUR-SON.COM
Address: 210.18.125.69 -> Satyam Infoway (P) Ltd.

Zumindest einer der NS ist schon bei Spamhaus.org gelistet http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44898

kjz1
01.08.2006, 12:46
Dann greift Leo in bewährter Weise wohl auf DNS-Spoofing zurück, denn:

Domain Name : help-our-son.com
Status REGISTRAR-HOLD

- kjz

schara56
01.08.2006, 12:48
Punkt vergessen...

So, jetzt mit '.'; abgekippt über 218.254.230.7 -> HK Cable TV Ltd

Return-Path: <online_support_id_7314026017928cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from cm218-254-230-7.hkcable.com.hk (cm218-254-230-7.hkcable.com.hk [218.254.230.7])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from pick.perfectgonzo.com (unknown [78.208.107.129])
by capalon.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from poczta.onet.pl (ehlo poczta.onet.pl.monolithosting.com [122.169.133.238])
by lmig.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken 2006" <reference-id_4900844145617cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Achtung [Tue, 01 Aug 2006 xx:xx:xx -0500]
In-Reply-To: "Volksbanken Raiffeisenbanken AG" <operate-ref9247874096041cts [at] volksbank.de>
X-Mailer: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="1BQM108TEZW3L85"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.287, benoetigt 6,
BAYES_90 2.10, BIZ_TLD 0.10, FROM_HAS_ULINE_NUMS 0.96,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: sssssssss
X-MailScanner-From: online_support_id_7314026017928cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_DHCP,HELO_DYNAMIC_IPADDR,HTML_ FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTM L_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]


26: X-Mailer: SmartMailer Version 1.56 -German Privat License-Kommt das von GMX oder von Spammy?

Goofy
01.08.2006, 17:12
Die "help-our-son.com"-Nameserver werden nicht mehr aufgelöst. Damit sind die Phishki-Domains "dergun.info" und "podesko.biz" platt.
Ebenfalls schon ohne DNS-Auflösung: annaconda.us

Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.

schara56
01.08.2006, 20:16
Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.Nein, soviel Zeit ist nicht...

Return-Path: <reference-id_71874cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from 82.149.228.140 ([218.247.236.53])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from sky.com (fund.gayrated.com [12.222.110.84])
by nod32.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from knurl.norika-fujiwara.com (HELO norika-fujiwara.com.choopa.com [66.136.168.166])
by hotmail.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
From: "Volksbanken Raiffeisenbanken AG 2006" <online_support_id_796971cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Softwareupdate Tue, 01 Aug 2006 xx:xx:xx -0600
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ZC_ZNOOY2IY8.NLAVT"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.883, benoetigt 6,
BAYES_80 1.66, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_FONT_INVISIBLE 0.60, HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10,
MIME_HTML_ONLY 0.32, MISSING_OUTLOOK_NAME 0.10,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssss
X-MailScanner-From: reference-id_71874cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_ LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_HELO_IP_M ISMATCH,RCVD_NUMERIC_HELO)
X-GMX-UID: [UID filtered]

Erbrochen wurde die Spam via China Internet Network Information Center (:sick:) und gephisht wird nun in Venezuela:
http://www.volksbank.de.vr-web.networld.onlinebanking.nakias.net/anmelden.cgi

Die Nameserver liegen nun in Brasilien und Korea (http://200.20.113.102 / http://58.77.73.142):
nakias.net nameserver = ns2.nakias.net
nakias.net nameserver = ns1.nakias.net

Spamhaus.org-Eintrag dazu:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44657

kjz1
01.08.2006, 22:06
Auf selbiger IP hat Leo (noch) ein anderes Pferdchen laufen:

http://www.53.com.wps.portal.secure.utrizen.info/context/

- kjz

schara56
01.08.2006, 22:09
Pferdchen laufen:Ja, aber leider hustet und würgt das DNS mit dieser Domain.

Man sieht: mühsam phisht der Schmierfink!

kjz1
01.08.2006, 22:53
Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.

Aber nich mit Leo. Der wird von seinen Hintermännern oder der eigenen Gier zum Spam-Akkord getrieben und lässt stundstündlich eine neue Domain ins Rennen:

http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Domain-Registrieren kost ja (fast) nix, und die ICANN tut nix....

- kjz

schara56
02.08.2006, 00:04
Return-Path: <custsupport-482818cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from 201-255-208-41.mrse.com.ar (201-255-208-41.mrse.com.ar [201.255.208.41] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from internet1x2.com (unknown [81.10.197.41])
by atlanta.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from singapore.net (eddy.singapore.net [88.5.148.46])
by telia.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
From: "Volksbanken Raiffeisenbanken 2006" <operator_5597039892157cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken Banking Tue, 01 Aug 2006 xx:xx:xx -0100
X-Authentication-Warning: P80-chicago51.SI381xvjb.tandastudios.com (helo pirate.livejournal.com [120.213.24.216]): mq144whoosh set sender to custservice_ref_67525032834cts [at] vr-networld.de using -z
User-Agent: Pegasus Mail for Win32 (v2.53/R1)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="59T3PT0EYYHBAPNW"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.538, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DSBL 0.71, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: custsupport-482818cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_IPADDR2,HTML_FONT_LOW_CONTRAST,HTML_IM AGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FRO M_MTA_HEADER,MSGID_FROM_MTA_ID,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Gespammt hat das Sparschweinchen über http://201.255.208.41 und gehostet wird der Rotz in Venezuela

duoxao.info nameserver = nsw1.duoxao.info
duoxao.info nameserver = nsw3.duoxao.info

nsw1.duoxao.info internet address = http://58.102.73.2
nsw3.duoxao.info internet address = http://58.72.196.130

Created On:31-Jul-2006 xx:xx:xx UTC
Sponsoring Registrar:MIT (R141-LRMS) (Melbourne IT Limited dba Internet Names WorldWide)

Update:
Ich hatte mal bei Melbourne IT angefragt, warum ausgerecht die immer (oder häufig) als Registrar für spätere Phishingdomains auftauchen und siehe da die Antwort:

A Melbourne IT Reseller manages the domains specified in your message.

Please contact this reseller using the details below for any assistance you require. If the person you contact refers you back to us, ask them if they would please contact us on your behalf.

Reseller details:

Legato Ltd
Web address: http://www.WebNames.Ru
Email address: info [at] regtime.net

]...[

Kind Regards,
Melbourne IT Customer Support

kjz1
02.08.2006, 08:50
Das liebe ich insbesondere so an den schwarzbehüteten Registraren: schieben alle Verantwortung auf den pöhsen Reseller ab. Warum braucht es überhaupt Reseller? Bekommen die Registrare den Vertrieb nicht mehr alleine geregelt? Oder reine Geldgeilheit? Und: die ICANN vergibt doch Lizenzen an jede Hinterhofhütte...

- kjz

Telekomunikacja
02.08.2006, 09:26
Return-Path: <customersupport_00679544101cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 01 Aug 2006 xx:xx:xx -0000
Received: from mcn-gd17152.miyazaki-catv.ne.jp (HELO mcn-gd17152.miyazaki-catv.ne.jp) [203.140.217.152]
by mx0.gmx.net (mx066) with SMTP; 01 Aug 2006 xx:xx:xx +0200
Received: from uatop.com (unknown [33.77.238.97])
by shyteenies.com with SMTP ID: [ID filtered]
for XXX; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from allsaintsfan.com (HELO allsaintsfan.com.top100webshops.com [34.48.184.164])
by fastautosales.com with SMTP ID: [ID filtered]
for XXX; Tue, 01 Aug 2006 xx:xx:xx -0100
From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport-513338cts [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
X-Authentication-Warning: TRE61-gourmet0.MWJ2ycv.rupornosex.com (worm.amazon.com [87.176.128.194]): hm482cartography set sender to customercare-54366323936566cts [at] vr-networld.de using -c
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="L9HP21WPBS59J4"
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vr-web.networld.onlinebanking.nakias.net/anmelden.cgi

schara56
02.08.2006, 19:59
Gespammt über comcast (http://65.34.180.74)
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi
Registrar: Melbourne IT

Gespammt über rima-tde.net (http://88.7.99.49)
http://www.volksbank.de.vr-web.networld.onlinebanking.oluser.info/anmelden.cgi
Registrar: Melbourne IT

Gespammt über Telepac - Comunicacoes Interactivas, SA (http://81.193.181.71)
http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi
Registrar Direct Information Pvt. Ltd. dba PublicDomainRegistry.com (R5-AFIN)

So wie Leo gerade spammt hat der die Russenmafia am Arsch - hoffentlich...

kjz1
03.08.2006, 08:56
Leo schlägt wieder zu, nur hat er in aller Hast wieder die TLD vergessen:

www.volksbank.de.vr-web.networld.onlinebanking.kesadugin/anmelden.cgi

schara56
03.08.2006, 09:05
aller Hast wieder die TLD vergessenIch glaube mittlerweile, dass Leo Borax schnupft so wie der phisht...

Gespammt über Bezeq International (Israel) (http://84.108.157.218)
http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi

schara56
03.08.2006, 13:04
Gespammt hat die Arschnase über einen dänischen Provider (http://87.51.247.53)

http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

> duoxao.info

duoxao.info nameserver = nsw1.duoxao.info
duoxao.info nameserver = nsw4.duoxao.info
http://nsw1.duoxao.info -> brasilianischer Zugang (http://200.138.236.132)
http://nsw4.duoxao.info -> polnischer DSL-Zugang (http://83.14.246.114)

Ja, jetzt geht das Spielchen wieder los, dass die NS-Einträge wieder auf Bots landen!
Juhu! Und Melbourne IT delegiert fleissig die .info-Domain! :sick:

schara56
04.08.2006, 08:03
Gespammt über Brasilien (http://201.12.17.2) und gehostet in Argentinien
http://www.volksbank.de.vr-web.networld.onlinebanking.irgozy.info/anmelden.cgi
Registrar: Melbourne IT

> irgozy.info

irgozy.info nameserver = ns2.irgozy.info
irgozy.info nameserver = ns1.irgozy.info

ns1.irgozy.info internet address = http://58.102.73.2
ns2.irgozy.info internet address = http://83.14.246.114

DNSStuff sagt was anderes: http://www.dnsstuff.com/tools/lookup.ch?name=irgozy.info&type=NS
ns2.irgozy.info http://211.244.211.71

Grisu_LZ22
04.08.2006, 14:42
gestern 20.45 Uhr:
http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi

Heute 14.30 Uhr
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

langsam könnte ich Leo :knife:



:jedi:

schara56
05.08.2006, 09:23
Gespammt über USA (http://24.210.124.243) und gehostet in Chile
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Lustich: DNS-Stuff sagt was vollkommen anderes als die Telekom:
Telekom:
> duoxao.info

duoxao.info nameserver = nsw1.duoxao.info
duoxao.info nameserver = nsw4.duoxao.info

nsw1.duoxao.info internet address = http://200.86.130.63
nsw4.duoxao.info internet address = http://200.86.130.63

DNS-Stuff:
Domain Type Class TTL Answer
duoxao.info. NS IN 76931 nsw4.duoxao.info.
duoxao.info. NS IN 76931 nsw1.duoxao.info.
nsw4.duoxao.info. A IN 76931 http://83.14.246.114
nsw1.duoxao.info. A IN 76931 http://58.102.73.2

schara56
06.08.2006, 11:57
Gespamt über Spanien (http://88.4.199.121) und gehostet unverändert in Chile
http://www.volksbank.de.vr-web.networld.onlinebanking.irgozy.info/anmelden.cgi

Gespamt über USA (http://68.200.107.227) und gehostet wie oben in Chile
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Es ist schon erstaunlich, wie lange sich die DNS-Einträge diesesmal halten und die
vollkommmen ignorant der chilenische ISP die Ohren dabei zuhält.

kjz1
06.08.2006, 12:42
Was mich nur wundert, hier schlagen die Mails im Stundentakt für Volksbank und Sparkassen Phishs ein und dahinter steht ein 'einsamer', per DSL angebundener PC in Chile. Der müsste doch bei so einem Andrang längst in die Knie gehen. Und der Nutzer soll davon angeblich nichts bemerken? Irgendwie habe ich den Verdacht, dass der PC-Besitzer (und evtl. der ISP) da gemeinsame Sache machen...

- kjz

kjz1
06.08.2006, 14:39
Anscheinend sind die Chilenen aufgewacht, aber so ein ausgebuffter Grossspammer wie Leo hat natürlich sofort auf die noch merkbefreiteren Koreaner geswitcht:

http://58.102.179.71

- kjz

Maverick
06.08.2006, 15:04
Der Volksbank-Phish geht ja nun schon ziemlich lange, und ich werde auch immer wieder ( mittlerweile täglich ) beglückt.

Ein kurzer Besuch bei "Brüdern im Geiste", den Jungs von "Kill Spammers" http://thecarpcstore.com/phpbb2/index.php zeigte einen anderen Ansatz im Kampf gegen phishing: Automatisierte scripts um die webformulare der bespamten-/bephisten domains mit bogus-Daten zu füllen.

Wäre das nicht auch gegen den VB-phish und artverwandte ein effektiver Ansatz? Tausende von Kontonummern & PIN´s die den Muli´s nichts als Frust bringen :cool:

Mein Hintergedanke ist der:
Leo & Co. haben mit sicherheit noch -zigtausende Domainnamen auf der Pfanne, dagegen anzugehen gleicht m.E. dem Kampf gegen Windmühlen...
Hingegen wird er schätzungsweise nur eine Datenbank mit den erphishten Kontodaten haben... Und wenn man ihm diese Quelle vergiftet...:clown:

Maverick