PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Volksbank-Phishing



Seiten : [1] 2 3

homer
04.08.2005, 08:33
Return-Path: <custservice_id_75015115762 [at] volksbank.de>
Received: from 12-208-89-117.client.insightbb.com (12.208.89.117) by 0 with
SMTP; 4 Aug 2005 xx:xx:xx -0000
FCC: mailbox://custservice_id_75015115762 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Thu, 04 Aug 2005 xx:xx:xx +0400
From: Volksbanken Raiffeisenbanken <custservice_id_75015115762 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: x [at] x.x
Subject: DIE WICHTIGE MITTEILUNG [Thu, 04 Aug 2005 xx:xx:xx +xxxx]
Bescammt wird http://219.149.236.116/rpm/, das hinter einem Bildlein als Map liegt. Der Text im Bild ist das übliche Scammer-Deutsch.

spinne
05.08.2005, 11:02
ganz frisch eingetroffen ;)


Return-Path: <custservice_470 [at] volksbank.de>
Authentication-Results: mta169.mail.mud.yahoo.com from=volksbank.de; domainkeys=neutral (no sig)
Received: from 83.133.49.117 (EHLO dd6816.kasserver.com) (83.133.49.117) by mta169.mail.mud.yahoo.com with SMTP; Thu, 04 Aug 2005 xx:xx:xx -0700
Received: by dd6816.kasserver.com (Postfix, from userID: [ID filtered]
Received: from 61-229-70-225.dynamic.hinet.net (61-229-70-225.dynamic.hinet.net [61.229.70.225]) by dd6816.kasserver.com (Postfix) with SMTP ID: [ID filtered]
FCC: mailbox://custservice_470 [at] volksbank.de/Sent
X-Identity-Key: id1
Datum: Fri, 05 Aug 2005 xx:xx:xx +0300
Von: "Volksbanken Raiffeisenbanken AG" <custservice_470 [at] volksbank.de> Zum Adressbuch hinzufügen
X-Accept-Language: en-us, en
MIME-Version: 1.0
An: meineadresse
Betreff: DIE WICHTIGE INFORMATION
Content-Type: multipart/related; boundary="------------040904010503050302060007"
Message-Id: <20050805064128.6C75DB9FD9 [at] dd6816.kasserver.com>


text kann ich nicht reinkopieren, da es (mal wieder) nur n bild ist ;)

link: http://219.150.180.138/rpm/

*mal ausfüllen geh*

uuups, ich seh grad, das thema gabs schon gestern... sry für neueröffnung

Fidul
05.08.2005, 15:45
Threads zusammengeführt. ;)

Catcher
05.08.2005, 17:12
Anzuklickendes Bild:
http://www.picsup.net/img.php/8a1defb375ff60e91ce0432b312dfbf8.jpg


Quelltext der Webseite:

<html><p><font face="Arial"><A HREF="http://www.volksbank.de/__C1256B56003097E2.nsf/X851A68E4F14128EFC1256C670055579C"><map name="C7sRrJ"><area coords="0, 0, 788, 331" shape="rect" href="http://219.153.131.73/rpm/"></map><img SRC="cid:part1.01030209.06020603 [at] supprefnum5897272@volksbank.de" border="0" usemap="#C7sRrJ"></A></a></font></p><p><font color="#FFFFFC">Go ahead. no doubt 3 million in race case Barbie Scholarships </font></p></html>

Investi
06.08.2005, 18:34
Neuer Versuch, das Weekend lädt zum Homebanking ein. Beworben: http://210.0.186.83/rpm.

Return-Path: <support_id_5822063302379 [at] volksbank.de>
Delivery-Date: Sat, 06 Aug 2005 xx:xx:xx +0200
Received: from [217.16.126.201] (helo=217.16.126.201.jm-data.at)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
FCC: mailbox://support_id_5822063302379 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 06 Aug 2005 xx:xx:xx +0200
From: Volksbanken Raiffeisenbanken AG <support_id_5822063302379 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: leon [at] ....de
Subject: [SPAM?]: Volksbanken Raiffeisenbanken Internet-Banking
Content-Type: multipart/related;
boundary="------------080501020606010702050008"
Message-ID: [ID filtered]
Envelope-To: info [at] ....de
X-SpamScore: 3.219
tests= FROM_ENDS_IN_NUMS RCVD_NUMERIC_HELO FROM_HAS_ULINE_NUMS






http://www.bilder-hochladen.net/files/2xr-6.gif

whatauchimmer
07.08.2005, 02:27
Vielleicht kann das ja sachdienliche Hinweise geben :)
Gerade eingetroffen. Server ist ja immer noch online.

Lustich iss ja das Feld TAN:

Tasten Sie in das gegebene Feld 10 ungenutzte TAN ein (falls es sie weniger ubrigblieb, so setzen Sie die bleibenden ein):

X-Envelope-From: custservice_5535933 [at] volksbank.de
Return-Path: <custservice_5535933 [at] volksbank.de>
Received: from ip201-c2.gl.digi.pl (ip201-c2.gl.digi.pl [213.227.73.201])
by mail.wtal.de (8.11.1/8.11.0) with SMTP ID: [ID filtered]
Sat, 6 Aug 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
FCC: mailbox://custservice_5535933 [at] volksbank.de/Sent
X-Identity-Key: id1
Date: Sat, 06 Aug 2005 xx:xx:xx -0700
From: Volksbanken Raiffeisenbanken <custservice_5535933 [at] volksbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: VOLKSBANKEN RAIFFEISENBANKEN INTERNET-BANKING
Content-Type: multipart/related;
boundary="------------070109070101030105060001"
Status: U
X-UIDL: [UID filtered]

<html><p><font face="Arial"><A HREF="http://www.volksbank.de/__C1256B56003097E2.nsf/X851A68E4F14128EFC1256C670055579C"><map name="NE86"><area coords="0, 0, 788, 331" shape="rect" href="http://219.149.236.116/rpm/"></map><img SRC="cid:part1.05020704.06080409 [at] support_refnum_76868042903@volksbank.de" border="0" usemap="#NE86"></A></a></font></p><p><font color="#FFFFFE">Pull yourself together! smash barricades Netscape skateboard DVD </font></p></html>
Content-Type: image/gif;
name="pint.GIF"

Content-ID: [ID filtered]
Content-Disposition: inline;
filename="pint.GIF"

Attachment Converted: C:\EUDORA\pint.GIF

schara56
20.06.2006, 05:46
Return-Path: <support-reference51260980625 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 20 Jun 2006 xx:xx:xx +0200 (CEST)
Received: from 201-1-103-1.dsl.telesp.net.br (201-1-103-1.dsl.telesp.net.br [201.1.103.1])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 20 Jun 2006 xx:xx:xx +0200
Date: Tue, 20 Jun 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from [124.218.183.184] (HELO rocky.cnet.com)
by sun.com with SMTP ID: [ID filtered]
for <x>; Mon, 19 Jun 2006 xx:xx:xx -0600
Received: from altern.org (unknown [64.128.46.170])
by ignio.com with SMTP ID: [ID filtered]
for <x>; Mon, 19 Jun 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <support-reference19276037 [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} amtliche Nachrichten [Mon, 19 Jun 2006 xx:xx:xx -0600]
X-Spam-Level: 0
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3G_VC9ROUMA.4T1OKALATM"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=7.887, benoetigt 6,
BAYES_80 1.66, BIZ_TLD 0.10, FROM_ENDS_IN_NUMS 0.99,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: sssssss
X-MailScanner-From: support-reference51260980625 [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.914; FROM_ENDS_IN_NUMS MSGID_FROM_MTA_HEADER)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.ropag.biz/r1/xc701133.asp
-> 218.206.202.12; China Mobile Communications Corporation; Registrar TLDS INC.
Abgekippt über 201.1.103.1; TELECOMUNICACOES DE SAO PAULO S.A.


Return-Path: <infonum-51171124 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 20 Jun 2006 xx:xx:xx -0000
Received: from ip7net162.skylogicnet.it (HELO ip7net162.skylogicnet.it) [213.209.162.7]
by mx0.gmx.net (mx067) with SMTP; 20 Jun 2006 xx:xx:xx +0200
Received: from computermail.net (unknown [54.240.128.35])
by klitschko.com with SMTP ID: [ID filtered]
for <x>; Mon, 19 Jun 2006 xx:xx:xx -0800
Sender: "Volksbanken Raiffeisenbanken AG" <customerssupport_38106 [at] volksbank.de>
From: "Volksbanken Raiffeisenbanken 2006" <operate-ref650681030148308 [at] volksbank.de>
To: "xsystematic" <x>
Subject: Anleitung
Sender: "Volksbanken Raiffeisenbanken AG" <customerssupport_38106 [at] volksbank.de>
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="J845O25LTFJTP5KVAWEJUS"
Date: Tue, 20 Jun 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.racag.info/r1/xc701133.asp
-> 218.206.202.12; China Mobile Communications Corporation; Registrar MIT (R141-LRMS)
Abgekippt über 213.209.162.7; Skylogic Italia S.p.A.

http://img114.imageshack.us/img114/3755/015ev.th.jpg (http://img114.imageshack.us/my.php?image=015ev.jpg)

kjz1
20.06.2006, 12:29
Hier soeben auch von Leo eingetrudelt:

http://FINGED.BIZ ---> 81.215.229.191 ---> SBL42991 (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL42991)

mit den Nameservern:

nsd3.serverauthentification01.net ---> 211.112.68.12 ---> SBL43054 (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43054)

nsd1.serverauthentification01.net ---> 211.232.30.28 ---> SBL42990 (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL42990)

Also mal wieder das Übliche: gespooftes DNS, IPs mit altbekannter Krankenakte und das RD2006-Botnet.

- kjz

mareike26
20.06.2006, 15:57
Ich wusste garnicht, dass ich Volksbank-Kunde bin :)

Return-Path: <support-ref774403884 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 20 Jun 2006 xx:xx:xx -0000
Received: from 7.sub-70-217-142.myvzw.com (HELO 7.sub-70-217-142.myvzw.com) [70.217.142.7]
by mx0.gmx.net (mx077) with SMTP; 20 Jun 2006 xx:xx:xx +0200
Received: from asus.com [117.137.226.103]
by gamebookers.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 19 Jun 2006 xx:xx:xx -0800
Received: from grungecafe.com (embroidery.grungecafe.com [66.50.55.37])
by twinkseries.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 20 Jun 2006 xx:xx:xx -0300
From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport-2872357 [at] volksbank.de>
To: poor [at] spamvictim.tld
Subject: Volksbanken Raiffeisenbanken: obligatorisch zu lesen Mon, 19 Jun 2006 xx:xx:xx -0800
Organization: VOLKSBANKEN RAIFFEISENBANKEN 2006 onlinesupport_id-199531 [at] volksbank.de
User-Agent: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="KMF2IE1QRHG6RL1FGV365W"
Date: Tue, 20 Jun 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.adderi.info/r1/xc701133.asp


Das ganze war als Bild verschickt:

http://www.250kb.de/u/060620/g/t/6c09d151.gif (http://www.250kb.de/u/060620/g/6c09d151.gif)

Grisu_LZ22
20.06.2006, 18:19
Heute mal wieder eingeschlagen



-Symantec-TimeoutProtection: 0
Return-Path: <customersupport_63545153995 [at] volksbank.de>
Received: from mailin18.aul.t-online.de (mailin18.aul.t-online.de [172.20.26.73])
by mhead18 with LMTP; Tue, 20 Jun 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from user138-164.enet.vn ([203.190.164.138]) by mailin18.sul.t-online.de
with smtp ID: [ID filtered]
Received: from [15.91.226.106] (HELO granite.100namesmail.com)
by spylog.com with SMTP ID: [ID filtered]
for <fake-addy [at] provider.de>; Mon, 19 Jun 2006 xx:xx:xx -0800
Received: from spectrometer.ciberaula.infase.es (helo corbett.ciberaula.infase.es [90.178.89.96])
by oxeo.com with SMTP ID: [ID filtered]
for <fake-addy [at] provider.de>; Mon, 19 Jun 2006 xx:xx:xx -0600
From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <online-support_id_813098277793 [at] volksbank.de>
To: "M.seemann" <fake-addy [at] provider.de>
Sender: "Volksbanken Raiffeisenbanken 2006" <onlinesupport-id-0360901 [at] volksbank.de>
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="8DZPRXMIFVBP5WU6V"
X-TOI-SPAM: u;0;2006-06-19Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'online-support_id_813098277793 [at] volksbank.de' (65 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] amtlicher Bescheid
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}

wie immer mit Bild und gleichem Text...


bespammt wird http://www.volksbank.de/vrnetword.ropag.biz/r1/xc701133.asp

und ab damit in die Mülltonne:mad:

:jedi:

Grisu_LZ22
27.06.2006, 17:47
Leo, lass Dir mal was neues einfallen :mad:

eturn-Path: <infonum-19393289 [at] volksbank.de>
Received: from mailin25.aul.t-online.de (mailin25.aul.t-online.de [172.20.27.76])
by mhead18 with LMTP; Tue, 27 Jun 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.74 ([86.122.168.60]) by mailin25.sul.t-online.de
with smtp ID: [ID filtered]
Received: from denton.ru-traffic.com (unknown [56.205.102.36])
by myramstore.com with SMTP ID: [ID filtered]
for <falsche addy [at] provider>; Tue, 27 Jun 2006 xx:xx:xx -0600
Received: from arkansas.net [110.200.196.201]
by sailorwhores.com with SMTP ID: [ID filtered]
for <falsche addy [at] provider>; Tue, 27 Jun 2006 xx:xx:xx +0400
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <supprefnum929693045 [at] volksbank.de>
To: "xxxx" <falsche addy [at] provider>
Importance: Normal
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="LQ5F2VG_.WA3Y6VYW2NAVW9"
X-TOI-SPAM: u;0;2006-06-27Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'supprefnum929693045 [at] volksbank.de' (66 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Achtung -Tue, 27 Jun 2006 xx:xx:xx -0600
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}



Der Link geht auf:
http://www.volksbank.de.vrnetworld.repcim.ws/r1/xc701133.asp

:jedi:

Goofy
27.06.2006, 19:54
Was neues einfallen lassen - das sollte er wirklich mal.

Ausserdem hat Savvis bereits vor dem Spamrun die Domain gekillt. Der Phisherlink läuft ins leere.

Goofy
28.06.2006, 19:34
Natürlich heute der neue Aufguss mit funktionierendem Link. :sick:


Received from 194.25.134.11 ([210.75.150.91]) by mailin14.sul.t-online.de with smtp ID: [ID filtered]


Phishki-Link:
w w w . volksbank.de. vrnetworld.dowgar.biz/r1/xc701133.asp

218.201.130.181 China Mobile Communications Corporation - shandong

Goofy
28.06.2006, 22:11
Momentan landet der Phisher-Link im Seiten-Aus. ;)

Grisu_LZ22
29.06.2006, 11:54
Nanu - Server in China und trotzem geht der Link schon nicht mehr?? :confused:

Geschehen etwa noch Zeichen und Wunder? :rolleyes:

:jedi:

sis
30.06.2006, 01:15
w w w . volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

Mycroft
30.06.2006, 12:58
Selred.org - mit 4 (!) Nameservern auf einem gekaperten Rechner in Frankreich (um das Wort Botnet mal zu vermeiden), ist nach Leos Baukastenprinzip gestrickt - unter selred.org/r1/b/ z.B. liegt die Phishing Adresse für die Barclays Bank. Offenbar ist der Phisher aber hier dazu übergegangen, die Seiten nicht in gesonderte Ordner pro Bank zu legen, sondern ihnen Phantasienamen zu geben und sie auf der Grundlinie liegen zu lassen. Ein bisschen unordentlich, aber es verschleiert die Sitestruktur.
Weitere Phishing Sites nach dem gleichen Strickmuster (domain/r1/xxx) auf dem gleichen Rechnernetz:
dowgar.biz
topmal.biz
ibs-inc.biz
taldur.ws
Mulitreiber ebenda:
farsight-finance.us
Bereits registriert, aber noch nicht online ( u.U. bereits verbrannt):
original-ie-cards.net, payments-manager.net, glenhard.us, benjen.co.in, adnrewdun.in, cpss2k.com, migclub.com

kjz1
30.06.2006, 14:24
Gab's auf den Servern auch mal Online-Casinos? Da ist das Muster ja:

domain.<tld>/d1/irgendwas

sieht also nach demselben Urheber aus.

- kjz

kjz1
01.07.2006, 13:01
Was ich mich auch frage: die Phishing Attacken in meinem Postfächern laufen fast nur gegen die Volksbank, kaum gegen andere Finanzdienstleister, obwohl letztere ja oft wesentlich mehr Kunden haben. Reiner Zufall? Oder sind evtl. Volksbank-Kunden 'naiver' und die Erfolgsquote ist hier höher?

- kjz

Telekomunikacja
01.07.2006, 15:41
Received: from ip51cda234.speed.planet.nl (HELO .) [81.205.162.52]
by mx0.gmx.net (mx087) with SMTP; 30 Jun 2006 xx:xx:xx +0200
Received: from arkansas.net (unknown [48.166.236.112])
by meta-2.com with SMTP ID: [ID filtered]
for XXX; Fri, 30 Jun 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken AG" <onlinesupport-id-3006502365 [at] volksbank.de>
http://www.volksbank.de.vrnetworld.adnrewdun.in/r1/xc701133.asp

Goofy
01.07.2006, 20:54
Und wieder funzt der Phisher-Link nicht. Kein DNS-Eintrag.
Ein whois-Eintrag existiert allerdings. DNS-Server werden auch gefunden:
NS1.ADNREWDUN.IN
NS2.ADNREWDUN.IN
bei Hananet/Seoul.

Telekomunikacja
02.07.2006, 09:47
Return-Path: <operate_ref617665 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 01 Jul 2006 xx:xx:xx -0000
Received: from d02m-89-83-222-125.d4.club-internet.fr (HELO d02m-89-83-222-125.d4.club-internet.fr) [89.83.222.125]
by mx0.gmx.net (mx037) with SMTP; 02 Jul 2006 xx:xx:xx +0200
Received: from commodity.we-help-u.biz (we-help-u.biz.oberon-media.com [42.211.76.56])
by onlysexpages.com with SMTP ID: [ID filtered]
for XXX; Sat, 01 Jul 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken 2006" <supprefnum6951240656503 [at] volksbank.de>
http://www.volksbank.de.vrnetworld.taldur.ws/r1/xc701133.asp

Goofy
02.07.2006, 10:23
Irgendwie ist Savvis als Verantwortlicher für die ".ws"-tld momentan schneller als Leo.
Auch taldur.ws wurde von Savvis einkassiert, das DNS liegt auf deren Servern und nicht auf Leos rimans.net, wo es zuerst registriert war.
Auch hier: Rote Karte für den Phisher-Link! :D

Grisu_LZ22
03.07.2006, 18:32
eturn-Path: <infonum_54614 [at] volksbank.de>
Received: from mailin24.aul.t-online.de (mailin24.aul.t-online.de [172.20.26.76])
by mhead18 with LMTP; Mon, 03 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from . ([67.129.237.111]) by mailin24.sul.t-online.de
with smtp ID: [ID filtered]
Received: from automorphism.phayze.com (chirp.phayze.com [54.78.24.90])
by nod32.com with SMTP ID: [ID filtered]
for <blubberätblabberpunktde>; Mon, 03 Jul 2006 xx:xx:xx -0600
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customersupport-651924301639 [ät] volksbank.de>
To: "xxx" <blubberätblabberpunktde>
X-Originating-Server: dorothy.vervehosting.com (unknown [126.225.208.69])
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="2TOCUCDX86IQR6.D.R9"
X-TOI-SPAM: u;0;2006-07-03Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'customersupport-651924301639 [ät]volksbank.de' (66 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Online-Banking -Mon, 03 Jul 2006 xx:xx:xx -0600
X-NAS-Classification: 1


Der Link geht auf:
http://www.volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

Oh mann Leo, wenn ich Deine Mails befolgen würde, bräuchte ich jede Woche ne neue TAN-Liste *pappnase*

:jedi:

Telekomunikacja
04.07.2006, 09:09
Return-Path: <reference_id_0275558 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 04 Jul 2006 xx:xx:xx -0000
Received: from c-71-202-110-23.hsd1.ca.comcast.net (HELO c-71-202-110-23.hsd1.ca.comcast.net) [71.202.110.23]
by mx0.gmx.net (mx051) with SMTP; 04 Jul 2006 xx:xx:xx +0200
Received: from mytempdir.com [66.111.184.191]
by yournewhosting.com with SMTP ID: [ID filtered]
for XXX; Tue, 04 Jul 2006 xx:xx:xx -0600
Received: from kotnet.org (HELO kotnet.org.name-services.com [12.166.116.65])
by invisioweb.com with SMTP ID: [ID filtered]
for XXX; Tue, 04 Jul 2006 xx:xx:xx +0100
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customercare_67266910 [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: amtliche Nachrichten Tue, 04 Jul 2006 xx:xx:xx +0200
X-Message-ID: [ID filtered]
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ON_I21KGOSGNRVFSL8.ES.JY"
Date: Tue, 4 Jul 2006 xx:xx:xx +0200
http://www.volksbank.de.vrnetworld.selred.org/r1/xc701133.asp

Goofy
04.07.2006, 17:48
Und wieder: DNS-Eintrag rausgeschmissen. Der Link geht nicht mehr.

schara56
05.07.2006, 07:06
Return-Path: <customerssupport-842024 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 04 Jul 2006 xx:xx:xx -0000
Received: from 62-14-178-95.inversas.jazztel.es (HELO 62-14-178-95.inversas.jazztel.es) [62.14.178.95]
by mx0.gmx.net (mx068) with SMTP; 05 Jul 2006 xx:xx:xx +0200
Received: from freeproblem.com (unknown [30.172.255.20])
by targetnet.com with SMTP ID: [ID filtered]
for <x>; Tue, 04 Jul 2006 xx:xx:xx -0600
X-MSMail-Priority: 3 (Normal)
From: "Volksbanken Raiffeisenbanken AG 2006" <onlinesupport_id_182023942613 [at] volksbank.de>
To: "Martinsw" <x>
Subject: Achtung [Tue, 04 Jul 2006 xx:xx:xx -0200]
X-MSMail-Priority: 3 (Normal)
User-Agent: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TDMF03CAUEF3ACFZBRAY97"
Date: Wed, 5 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.doowtol.in/r1/xc70113=
3.asp

Abgekippt über 62.14.178.95 -> JAZZNET (Spanien); gehostet natürlich in China

sis
05.07.2006, 08:59
Kam heute nacht von 71.227.61.162:
http://www.volksbank.de.vrnetworld.myvoodoo.tk/r1/xc701133.asp

kjz1
05.07.2006, 13:23
So, doowtol.in sollte auch tot sein. Man sollte sich jedoch IMHO keinen trügerischen Hoffnungen hingeben. So etwas nötigt Leo nur ein müdes Lächeln ab. Die solchen Profi-Kriminellen zur Verfügung stehenden Mittel werden wohl gemeinhin unterschätzt. Das erfordert dann nur 'Management-Entscheidungen' von der Art: welche meiner 500 gebunkerten Domains setze ich als nächstes ein, welchen meiner 100 gekaperten oder angemieteten Bullet-Proof Server setze ich fürs Hosting und DNS ein, und über welches meiner 20 Botnetze blase ich das dann raus. Ein paar Skripte gestartet, und eine Viertelstunde später ist der nächste Spamrun am Laufen...

- kjz

Grisu_LZ22
05.07.2006, 13:42
Eigentlich kann es doch garnicht soviele DAUs geben die auf die achichweißnichtwievielte Phishingmail ihre 20 Tans eintippen.

Vermutlich lohnt es sich aber doch, sonst würde ja das ganze irgendwann im Sande verlaufen, ich kann mir nur nicht vorstellen, wer oder was immer noch so dämlich ist auf die ewig gleiche Masche reinzufallen.

Halt - eine Sorte gibt es schon: Die Sinn- und Merkbefreiten Telefonterroristen in ihren CC-Bunkern. Das ist die einzige Gattung Lebewesen, denen ich soviel Dummheit zutraue :D :D


:jedi:

Wuschel_MUC
05.07.2006, 13:51
Eigentlich kann es doch gar nicht so viele DAUs geben...
Der Meinung war ich auch lange. Gerade in letzter Zeit habe ich ein paar PCs neu aufsetzen oder entwurmen dürfen. Es ist unglaublich, was die betroffenen Anwender alles nicht wussten, weil es ihnen niemand gesagt hatte: Virenscanner, Anti-Spyware, Firewall, Safe-Hex, regelmäßige Patches - "brauche ich nicht, ich passe doch auf!":skull:

1888 wurde der Führerschein für Automobile eingeführt. Langsam könnte man allen Ernstes fordern, dass auch für einen Internet-Zugang eine Prüfung eingeführt wird!

Wuschel

Mycroft
05.07.2006, 21:17
Wahrscheinlich alles Leute, die ihre Existenz dem Spruch "Ich pass schon auf" ihres Herrn Papa verdanken...
Aber Spass beiseite: Ich kann das aus meiner Sicht nur bestätigen. Ich mache seit einiger Zeit Computerwartung bei Privatnutzern, meist wegen Performance-Problemen, und da kommt bei verwurmter Kiste immer der Spruch, man habe doch immer "aufgepasst" und Software gleich welcher Art koste doch nur. Da stellen Leute ihr Virenschutzprogramm ab, "weil das immer so lange Downloads macht", (Antivir ist da in der Tat etwas verschwenderisch), und sind überrascht, was sich dann auf ihrem Rechner alles so abspielt. Fast jeder dritte überprüfte Rechner war auf die eine oder andere Weise verwurmt.
Einzige Ausnahme war eine Gruppe von Internet-Rentnern, die sich einmal die Woche zum Klönen trafen und ihre Rechner allesamt in Schuß hatten...

sis
05.07.2006, 23:41
www.volksbank.de.vrnetworld.daweder.net/r1/xc701133asp

Ja, Spammy hat diesmal tatsächlich den Punkt vor "asp" vergessen. Er hatte es wohl ein bißchen zu eilig mit dem Geld-Abzocken.
Eben angekommen über die 200.41.212.124

mareike26
07.07.2006, 10:58
Schon wieder:

X-Gmail-Received: e4383d305e3c3d91657e2fbae6f694464034694b
Delivered-To: poor [at] spamvictim.tld
Received: by 10.78.116.12 with SMTP ID: [ID filtered]
Thu, 6 Jul 2006 xx:xx:xx -0700 (PDT)
Received: by 10.67.101.8 with SMTP ID: [ID filtered]
Thu, 06 Jul 2006 xx:xx:xx -0700 (PDT)
Return-Path: <ich [at] ich.net>
Received: from xxx (srv009.dedi32.de [83.151.25.34])
by mx.gmail.com with ESMTP ID: [ID filtered]
Thu, 06 Jul 2006 xx:xx:xx -0700 (PDT)
Received-SPF: neutral (gmail.com: 83.151.25.34 is neither permitted nor denied by best guess record for domain of mareike [at] lyekka.nebulium.net)
Received: by xxx (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from localhost by lyekka
with SpamAssassin (version 3.0.3);
Fri, 07 Jul 2006 xx:xx:xx +0200
From: "Volksbanken Raiffeisenbanken" <infonum-6266408 [at] vr-networld.de>
To: "xxx" <poor [at] spamvictim.tld>
Subject: ----SPAM---- amtlicher BescheID: [ID filtered]
Date: Fri, 7 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]

http://www.250kb.de/u/060707/g/t/d106feed.gif (http://www.250kb.de/u/060707/g/d106feed.gif)

Wuschel_MUC
07.07.2006, 11:08
Verflixt, das ist ja mittlerweile fehlerfreies Deutsch! Hoffentlich pfeffert jemand die Seite mit Falschinformationen zu!

Wuschel

mareike26
07.07.2006, 14:11
Ich habe das jedenfalls als Phishing gemeldet.
Bin bei Googlemail, bei denen kann man das auch noch einmal melden.

Grisu_LZ22
07.07.2006, 19:01
... kommt wieder Post von Leo.


Return-Path: <reference-id_216524667433115 [at] vr-networld.de>
Received: from mailin17.aul.t-online.de (mailin17.aul.t-online.de [172.20.27.72])
by mhead18 with LMTP; Fri, 07 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from host-86-107-174-95.landnet.ro ([86.107.174.95]) by mailin17.sul.t-online.de
with smtp ID: [ID filtered]
Received: from amp.com (ehlo brinkmanship.redgraphic.com [22.82.60.64])
by symbol.com with SMTP ID: [ID filtered]
for <ich>; Fri, 07 Jul 2006 xx:xx:xx -0600
Received: from mail.com (ehlo koinonia.mail.com [117.105.160.183])
by getfilesfast.com with SMTP ID: [ID filtered]
for <ich>; Fri, 07 Jul 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken 2006" <custsupport-27806 [at] volksbank.de>
To: "ich" <ich>
Importance: Normal
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="1HGT4QYI2IG4ORYYOM2"
X-TOI-SPAM: u;0;2006-07-07Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'custsupport-27806 [at] volksbank.de' (67 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: Wichtige Information
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}




He had no idea if they dID: [ID filtered]

There were only eight or nine pictures in the whole book and they were terrible. I'm going to use it. "I've got a little put aside, but not in the bank. come on. He had crossed the parlor. He saw her slip the hypo into the pocket of her skirt and then she sat down on the bed. Annie went on laughing and he told himself he wouldn't scream, wouldn't beg; that he was past all that. damon


Der Link geht auf
http://www.volksbank.de.vrnetword.sinled.com/r1/xc701133.asp


:jedi:

schara56
07.07.2006, 20:15
Return-Path: <support_reference9892052598923 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 07 Jul 2006 xx:xx:xx -0000
Received: from 20158045209.user.veloxzone.com.br (HELO 20158045209.user.veloxzone.com.br) [201.58.45.209]
by mx0.gmx.net (mx013) with SMTP; 07 Jul 2006 xx:xx:xx +0200
Received: from qldsugar.com (saturnine.ledzeppelin.com [129.147.128.170])
by livejournal.com with SMTP ID: [ID filtered]
for <x>; Fri, 07 Jul 2006 xx:xx:xx -0600
Received: from consistent.punkass.com (punkass.com.kotnet.org [96.65.241.69])
by invisioweb.com with SMTP ID: [ID filtered]
for <x>; Fri, 07 Jul 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken 2006" <support_ref654969 [at] vr-networld.de>
To: <x>
Sender: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <online-support_id_79716 [at] volksbank.de>
Subject: Volksbanken Raiffeisenbanken: eilige Information [Fri, 07 Jul 2006 xx:xx:xx -0200]
User-Agent: Calypso Version 3.20.01.01 (4)
X-Mailer: Calypso Version 3.20.01.01 (4)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="BVX452NXVFDJX6MITYAVNRO"
Date: Fri, 7 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

Ich frage mich gerade wieso das hier http://www.phishfighting.com/Fighting.aspx?phType=Paypal&phURL=http%3A%2F%2Fwww.volksbank.de.vrnetworld.sinled.com%2Fr1%2Fxc701133.asp%2F&Submit1=Go einen 404 bringt...

exe
07.07.2006, 20:38
Ich frage mich gerade wieso das hier http://www.phishfighting.com/Fighting.aspx?phType=Paypal&phURL=http%3A%2F%2Fwww.volksbank.de.vrnetworld.sinled.com%2Fr1%2Fxc701133.asp%2F&Submit1=Go einen 404 bringt...
Vielleicht hat Leo in einer klaren Phase zwischen seinen Kokslines mal einen Filter eingebaut. Zumindest weiß ich, dass es auch schon eBay-Phishinsites gab, die das Laden der Seite von Phishfighting.com verhindert haben.

sis
08.07.2006, 10:12
http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

ist immer noch aktiv (erreichte mich von der 70.95.74.99). Ich bitte herzlich darum, dass jeder geneigte Empfänger sich doch die Mühe macht und manuelle Fake-Einträge vornimmt. Das ist produktiv, macht Spaß, dauert keine 2 Minuten und ersetzt das bereits seit geraumer Zeit nicht mehr greifende <PhishFighting.com>.

Goofy
08.07.2006, 12:45
Habe ich gestern schon gemacht. :D
Zumal Phishki dann keine Möglichkeit hat, nach IPs zu filtern, wenn nur 1 Eintrag pro "Empfänger" erfolgt.
Wenn man sich dann aus der Internet-Session aus- und dann wieder beim Provider einloggt, kriegt man bei den meisten Providern eine neue dynamische IP zugewiesen und darf natürlich gerne nochmal.

Wuschel_MUC
08.07.2006, 13:11
http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

Ich bitte herzlich darum, dass jeder geneigte Empfänger sich doch die Mühe macht und manuelle Fake-Einträge vornimmt.
Das mag produktiv, sinnvoll und kurzweilig sein, aber ich würde das nur von einem Testrechner machen und diesen hinterher per Festplattenimage-Zurückkopieren neu aufsetzen.

Wer phisht, kennt sich auch mit Sicherheitslücken besser aus als andere.:jedi:

Goofys Vorschlag mit Aus- und Einloggen nach jedem Fake-Eintrag erscheint auch vernünftig.:clap:

Ich warte aber immer noch darauf, dass Banken Phishing-Sites programmgesteuert mit Desinformation zuschütten und das ungeniert zugeben. Motto: "Herr Kuvajev, verklagen Sie uns vor dem Landgericht Frankfurt am Main, wir freuen uns auf Ihr persönliches Erscheinen als Zeuge!":p

Wuschel

sis
08.07.2006, 13:48
Das mag produktiv, sinnvoll und kurzweilig sein, aber ich würde das nur von einem Testrechner machen und diesen hinterher per Festplattenimage-Zurückkopieren neu aufsetzen. Wer phisht, kennt sich auch mit Sicherheitslücken besser aus als andere.Mach mir keinen Kummer. Ich starte schon extra FF 1.5.0.4 (unter WinXP), weil mir das CD-Booten von Knoppix für diesen Spaß einfach zu lange dauert.

Da die "sinled.com"-Pest zur Zeit länger anhält als gewohnt, und mich heute auch schon der zweite wertvolle Volksbank-Hinweis dazu erreicht hat: Hat das schonmal jemand auf Schädlinge untersucht?

Grisu_LZ22
08.07.2006, 19:52
:mad: Hi. Leo&acute;s neueste Phishing ist um 16.32 eingetroffen


X-Symantec-TimeoutProtection: 0
Return-Path: <supprefnum3262482 [at] volksbank.de>
Received: from mailin18.aul.t-online.de (mailin18.aul.t-online.de [172.20.26.73])
by mhead18 with LMTP; Sat, 08 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from u004751.ueda.ne.jp ([210.228.22.12]) by mailin18.sul.t-online.de
with smtp ID: [ID filtered]
Received: from souffle.mrg.com (inet-daemon.com.nastydollars.com [74.116.238.86])
by bostream.com with SMTP ID: [ID filtered]
for <fake-addy>; Sat, 08 Jul 2006 xx:xx:xx -0600
Received: from butterfly.fcta.com (helo fcta.com.novgorod.com [44.220.124.152])
by ovist.com with SMTP ID: [ID filtered]
for <fake-addy>; Sat, 08 Jul 2006 xx:xx:xx +0300
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport-id-232322724749 [at] vr-networld.de>
To: "fake-addy" <fake-addy>
X-OriginalArrivalTime: Sat, 08 Jul 2006 xx:xx:xx -0600
User-Agent: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ZI0M5B9DA0QU09ZW.2OB"
X-TOI-SPAM: u;0;2006-07-08Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'onlinesupport-id-232322724749 [at] vr-networld.de' (67 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Banking Sat, 08 Jul 2006 xx:xx:xx -0600
X-NAS-Classification: 1




"He was floating, floating, floating away condemn actaeon Annie held the match delicately under the nozzle of the Bernz-0-matiC.

He made the mistake of reading the scene where Garp's younger son dies, impaled on a gearshift ]ever, shortly before bed. "Aye, so we do, sair, so we do. She had pasted it in upside down. Amused, he thought: She felt the heat. "They all knew she dID: [ID filtered]


Der Link geht auf
http://volksbank.de.vrnetworld.daweder.net/r1/xc701133.asp

:jedi:

Grisu_LZ22
09.07.2006, 12:04
Eingeschlagen um 10,36 Uhr:


eturn-Path: <support-ref3262234 [at] volksbank.de>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead18 with LMTP; Sun, 09 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.75 ([216.218.114.65]) by mailin21.sul.t-online.de
with smtp ID: [ID filtered]
Received: from all.bg (all.bg.kiev2000.com [35.11.166.146])
by ipowerdns.com with SMTP ID: [ID filtered]
for <fake-addy>; Sun, 09 Jul 2006 xx:xx:xx -0800
From: "Volksbanken Raiffeisenbanken" <online_support_id_087051 [at] vr-networld.de>
To: "fake" <fake-addy>
Date: Sun, 09 Jul 2006 xx:xx:xx +0100
User-Agent: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="XB5N5SJ3AVL62LO9CUH3K8M2"
X-TOI-SPAM: u;0;2006-07-09Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'online_support_id_087051 [at] vr-networld.de' (67 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Sehr wichtig -Sun, 09 Jul 2006 xx:xx:xx -0800
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link geht auf http://www.volksbank.de.vrnetworld.sinled.com/r1/xc701133.asp

:jedi:

schara56
11.07.2006, 18:22
Return-Path: <online_support_id_613826 [at] vr-networld.de>
X-Flags: 1000
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 11 Jul 2006 xx:xx:xx -0000
Received: from 20150251158.user.veloxzone.com.br (HELO 20150251158.user.veloxzone.com.br) [201.50.251.158]
by mx0.gmx.net (mx076) with SMTP; 11 Jul 2006 xx:xx:xx +0200
Received: from diatribe.pgawtn.com (unknown [12.40.108.37])
by dearpornstars.com with SMTP ID: [ID filtered]
for <x>; Tue, 11 Jul 2006 xx:xx:xx -0800
From: "VOLKSBANKEN RAIFFEISENBANKEN AG" <reference_id_69999 [at] volksbank.de>
To: <x>
Delivered-To: x
Subject: Banking [Tue, 11 Jul 2006 xx:xx:xx +0500]
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="72ZBO7SJOYVBMS6M0LIMAUP"
Date: Tue, 11 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.gnilfil.us/r1/xc701133.asp

Mistspammy hat den Rotz abgekippt über 201.50.251.158 -> Telemar Norte Leste S.A.
Die Domain gnilfil.us löst leider noch auf -> Hanaro Telecom Co.

kjz1
11.07.2006, 21:14
Und noch einmal von Leo:

http://www.volksbank.de.vrnetworld.kinmar.org/r1/xc701133.asp

Wie üblich wieder eine Korea-Kiste (Hanaro).

abgekübelt über einen Zombie:

82-33-173-101.cable.ubr06.wiga.blueyonder.co.uk

- kjz

007
12.07.2006, 06:44
... und damit das ganze auch möglichst authentisch auf den ersten Blick aussieht, Postleitzahl und zugehörige BLZ der Volksbank bitte korrekt eingeben. Schliesslich wollen wir Phishi mit der gleichen Perfektion begegnen :D

http://www.bankleitzahlen.de/

007
12.07.2006, 07:17
Habe ich gestern schon gemacht. :D
Zumal Phishki dann keine Möglichkeit hat, nach IPs zu filtern, wenn nur 1 Eintrag pro "Empfänger" erfolgt.
Wenn man sich dann aus der Internet-Session aus- und dann wieder beim Provider einloggt, kriegt man bei den meisten Providern eine neue dynamische IP zugewiesen und darf natürlich gerne nochmal.

Einfach den DSL Hardwarerouter/Firewall auf "Idle Timeout = 1" min einstellen, dann geht das auch automatisch. :)

sis
13.07.2006, 00:16
HURRA!
Tränen der Freude: Der T-Online Spamfilter hat mir eben die erste Phishing-Mail gefiltert! Was machen unsere armen Phisher denn jetzt nur, wenn sich das bei den Providern rumspricht und ihr Müll direkt auf dem Server als solcher erkannt und gar nicht mehr ausgeliefert wird?


Liebe Kundin, lieber Kunde,

der T-Online Postfachvirenschutz sorgt automatisch für den Schutz Ihres
eMail-Postfachs vor Viren, Würmern und Trojanern. In der eMail mit den folgenden Daten wurde ein Virus gefunden und entfernt:

- Zeitstempel des Senders:

- Betreff bzw. Subject der ursprünglichen Nachricht:
eilige Information [Wed, 12 Jul 2006 16:xx:04 -0600]
- Erkannter Virus, Wurm oder Trojaner:
Phishing/VolksBkFraud
- Adresse des Absenders*:
customersupport_xxx [at] volksbank.de

* Bitte beachten Sie, dass die Absender-Adresse häufig gefälscht ist, es
sich i.d.R. also *nicht* um den Urheber der schadhaften eMail handelt.

Sicherheitsempfehlung:
Um Ihren PC umfassend z. B. auch vor Webseiten mit schadhaftem Code und etwaige sonstige Postfächer vor Bedrohungen zu schützen, empfehlen wir Ihnen unser SicherheitsPaket: http://www.t-online.de/sicherheitspaket

007
13.07.2006, 08:59
Fischels Flitz fischt flische Fische ...

Hiel ist noch ein flischel Fisch zum spielen :)

http://www.volksbank.de.vrnetworld.zavodn.us/r1/xc701133.asp/

schara56
14.07.2006, 06:07
Return-Path: <custservice-ref-62562515146329 [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 13 Jul 2006 xx:xx:xx -0000
Received: from aakn30.neoplus.adsl.tpnet.pl (HELO aakn30.neoplus.adsl.tpnet.pl) [83.5.17.30]
by mx0.gmx.net (mx024) with SMTP; 13 Jul 2006 xx:xx:xx +0200
Received: from hotbox.com (unknown [102.253.14.140])
by factset.com with SMTP ID: [ID filtered]
for <x>; Thu, 13 Jul 2006 xx:xx:xx -0800
Received: from accede.australiamail.com (cotyledon.australiamail.com [37.232.108.148])
by ghisler.com with SMTP ID: [ID filtered]
for <x>; Thu, 13 Jul 2006 xx:xx:xx -0200
From: "Volksbanken Raiffeisenbanken AG 2006" <custsupport-10018518 [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Achtung -Fri, 14 Jul 2006 xx:xx:xx +0400
X-OriginalArrivalTime: Thu, 13 Jul 2006 xx:xx:xx -0800
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="VKYUDU4Y.7M.164PX.77"
Date: Thu, 13 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team address blacklist)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.datafor.net/r1/xc701133.asp

Abgekippt über 83.5.17.30 -> Neostrada Plus
Gehostet ist das Phishchen bei 59.24.103.144 -> KORNET :sick:

schara56
16.07.2006, 15:26
Return-Path: <customerssupport_13176902801067 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 16 Jul 2006 xx:xx:xx -0000
Received: from chello085216146203.chello.sk (HELO chello085216146203.chello.sk) [85.216.146.203]
by mx0.gmx.net (mx023) with SMTP; 16 Jul 2006 xx:xx:xx +0200
Received: from [33.224.252.208] (HELO infopact.com)
by milf-cruise.com with SMTP ID: [ID filtered]
for <x>; Sun, 16 Jul 2006 xx:xx:xx -0800
Received: from mrg.com [54.88.82.204]
by acsohio.com with SMTP ID: [ID filtered]
for <x>; Sun, 16 Jul 2006 xx:xx:xx +0300
From: "Volksbanken Raiffeisenbanken AG" <customercare-007988398607653 [at] vr-networld.de>
To: "x" <x>
Subject: Information -Sun, 16 Jul 2006 xx:xx:xx -0800
X-OriginalArrivalTime: Sun, 16 Jul 2006 xx:xx:xx -0800
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TXHR9VLNQ422V5KTHOV"
Date: Sun, 16 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (,FROM_ENDS_IN_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTM L_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vrnetworld.burkaed.biz/r1/xc701133.asp

Telekomunikacja
18.07.2006, 10:34
Return-Path: <operate_ref733189446270813 [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 17 Jul 2006 xx:xx:xx -0000
Received: from dyanmic-acs-24-239-41-192.zoominternet.net (HELO dyanmic-acs-24-239-41-192.zoominternet.net) [24.239.41.192]
by mx0.gmx.net (mx091) with SMTP; 18 Jul 2006 xx:xx:xx +0200
Received: from [128.150.11.230] (HELO exuberant.hostworks.com)
by azebar.com with SMTP ID: [ID filtered]
for XXX; Mon, 17 Jul 2006 xx:xx:xx -0600
Received: from celestial.gmx.net (unknown [48.4.204.85])
by bdsmtales.com with SMTP ID: [ID filtered]
for XXX; Mon, 17 Jul 2006 xx:xx:xx -0600
X-Accept-Language: en-us, en
From: "VOLKSBANKEN RAIFFEISENBANKEN" <online-support_id_1137709633386 [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken Banking Mon, 17 Jul 2006 xx:xx:xx -0600
X-Accept-Language: en-us, en
User-Agent: Mutt/1.5.1i
X-Mailer: Mutt/1.5.1i
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3D.NI0B7SJJ7NG01Z7ZF"
Date: Tue, 18 Jul 2006 xx:xx:xx +0200
X-GMX-Antispam: 5 (,FROM_ENDS_IN_NUMS,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HT ML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,POSSIBLE_DIAL UP_3,POSSIBLE_DIALUP_4,VOLKSBANK_PHISHING_SUBJECT1)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vrnetworld.burkaed.biz/r1/xc701133.asp

schara56
18.07.2006, 11:48
Return-Path: <sicherheit [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from host-84-9-81-109.bulldogdsl.com (host-84-9-81-109.bulldogdsl.com [84.9.81.109])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx +0200
Received: from sczywnyrqy by host-84-9-81-109.bulldogdsl.com with local (Exim 4.42 (FreeBSD))
ID: [ID filtered]
for x; Tue, 18 Jul 2006 xx:xx:xx +0100
To: <x>
Subject: Für alle Volksbanken-Raiffeisenbanken Kunden
From: <sicherheit [at] volksbank.de>
Content-Type: text/html;charset=windows-1252
Content-Transfer-Encoding: 7BIT
Message-ID: [ID filtered]
Sender: User sczywnyrqy <sczywnyrqy [at] host-84-9-81-109.bulldogdsl.com>
Date: Tue, 18 Jul 2006 xx:xx:xx +0100
X-MailScanner: Found to be clean
X-MailScanner-From: sicherheit [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -1 (Rule filter: cannot connect to skuld service)
X-GMX-UID: [UID filtered]

http://209.235.182.5:3128/index.html

kjz1
18.07.2006, 12:26
Anscheinend hat Leo ein Vögelchen gezwitschert, dass burkaed.biz bald tot sein wird (oder in zu vielen Blocklisten). Deshalb Phishing verlagert auf:

http://www.volksbank.de.vrnetworld.korinc.org/r1/xc701133.asp

- kjz

schara56
19.07.2006, 09:26
Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 19 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from cpc2-linc6-0-0-cust409.nott.cable.ntl.com (cpc2-linc6-0-0-cust409.nott.cable.ntl.com [86.6.53.154])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 19 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from [28.126.32.216] (HELO djmag.com)
by ftu-rank.com with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx -0800
Received: from grungecafe.com (grungecafe.com.jupiterhosting.com [62.190.34.97])
by walmart.com with SMTP ID: [ID filtered]
for <x>; Wed, 19 Jul 2006 xx:xx:xx -0400
X-Sender: online-support_id_47823259 [at] vr-networld.de
From: "Volksbanken Raiffeisenbanken AG 2006" <reference-id_773271125 [at] vr-networld.de>
To: "x" <x>
Subject: Achtung -Tue, 18 Jul 2006 xx:xx:xx -0800
X-Sender: online-support_id_47823259 [at] vr-networld.de
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="CI.87JB66MDPP1YPNW2W"
Message-ID: [ID filtered]
Date: Wed, 19 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: **
X-Spam-Status: No, hits=2.0 required=5.0 tests=FROM_ENDS_IN_NUMS,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: online-support_id_67249797468 [at] volksbank.de
X-OriginalArrivalTime: 19 Jul 2006 xx:xx:xx.0532 (UTC) FILETIME=[CB9156C0:01C6AAFF]

Gespammt über 86.6.53.154 -> NTL Internet - United Kingdom

Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Tue, 18 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from . (unknown [81.215.234.180])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from walla.com (helo walla.com.geocities.com [104.32.70.42])
by nai.com with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx -0600
X-Authenticated: #54745927
From: "VOLKSBANKEN RAIFFEISENBANKEN" <online_support_id_25658835 [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken Online-Banking [Tue, 18 Jul 2006 xx:xx:xx -0700]
X-Authenticated: #54745927
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="X5DDK8NNAUMNY6"
Message-ID: [ID filtered]
Date: Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: ***
X-Spam-Status: No, hits=3.2 required=5.0 tests=FROM_ENDS_IN_NUMS,
FROM_HAS_ULINE_NUMS,HTML_30_40,HTML_FONTCOLOR_UNSAFE,
HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: online_support_id_77098075 [at] volksbank.de
X-OriginalArrivalTime: 18 Jul 2006 xx:xx:xx.0523 (UTC) FILETIME=[E024AEB0:01C6AA6F]

Gespammt über 81.215.234.180 -> Turk Telekom - Turkey

http://www.volksbank.de.vrnetworld.newcow.us/r1/xc701133.asp

Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Tue, 18 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 200-168-144-190.dsl.telesp.net.br (200-168-144-190.dsl.telesp.net.br [200.168.144.190])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from bmla.com (helo befogging.bmla.com [105.160.64.254])
by neolocation.com with SMTP ID: [ID filtered]
for <x>; Tue, 18 Jul 2006 xx:xx:xx -0800
Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <operate_ref9641254338 [at] vr-networld.de>
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <support-ref39474726419137 [at] vr-networld.de>
To: "x" <x>
Subject: amtliche Nachrichten [Tue, 18 Jul 2006 xx:xx:xx -0800]
Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG" <operate_ref9641254338 [at] vr-networld.de>
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4HQI2WHT16GL.Q1U6O1"
X-Antivirus: avast! (VPS 0629-0, 18/07/2006), Outbound message
X-Antivirus-Status: Clean
Message-ID: [ID filtered]
Date: Tue, 18 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: **
X-Spam-Status: No, hits=2.6 required=5.0 tests=FROM_ENDS_IN_NUMS,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY,
REPLY_TO_ULINE_NUMS autolearn=no version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: custservice_ref_43642523 [at] volksbank.de
X-OriginalArrivalTime: 18 Jul 2006 xx:xx:xx.0047 (UTC) FILETIME=[0ADE54F0:01C6AAA0]

Gespammt über 200.168.144.190 -> TELECOMUNICACÕES DE SAO PAULO S/A - TELESP - Brazil

http://www.volksbank.de.vrnetworld.korinc.org/r1/xc701133.asp


Beide Seiten sind platt.

kjz1
19.07.2006, 09:42
Profis wie Leo ziehen natürlich direkt den nächsten Pfeil aus dem Köcher:

http://www.volksbank.de.vrnetworld.bukinc.com/r1/xc701133asp

abgekübelt über den Zombie: ris91-2-82-237-51-167.fbx.proxad.net

- kjz

Goofy
19.07.2006, 18:13
Der Link geht auch schon nicht mehr.
Sieht so aus, als wär die Domain wieder mal vom Registrar (OnlineNIC) geknickt.

kjz1
19.07.2006, 18:57
Der Link geht auch schon nicht mehr.
Sieht so aus, als wär die Domain wieder mal vom Registrar (OnlineNIC) geknickt.

Leo hat selbstverständlich schon nachgeladen:

http://www.volksbank.de.vrnetworld.cowrow.org/r1/xc701133.asp

abgekippt über: 219.64.178.131.del.dialup.vsnl.net.in

und eine neue Runde im 'Whack-a-Mole-Game' ist eröffnet...

- kjz

P.S.: Das 'Spielchen' kann man sicher lange fortführen, aber man sollte sich keinen falschen Hoffnungen hingeben, dass Leo die Domains oder IPs ausgehen. Der dürfte davon einiges in Reserve haben...

Goofy
19.07.2006, 19:38
Auch der tut aber nich (http://www.dnsstuff.com/tools/lookup.ch?name=http%3A%2F%2Fwww.volksbank.de.vrnetworld.cowrow.org&type=A). :D

Gibt heute nix Monetski! :wicked: :nono:

kjz1
19.07.2006, 21:48
BTW: die Volksbank mag anscheinend keine LARTs. Jedenfalls hat man sich dort bei meinem Mailprovider über mich beschwert, weil ich treu und brav alle Phishing-Mails an die Abuse-Adresse von VR-Networld gemeldet habe. Man habe schliesslich selbst Spamtraps und brauche meine LARTs nicht. Notfalls werde man mich auf eine Blacklist setzen. Alle anderen Banken waren bisher eher freundlich, zumindestens nicht so 'pampig'. Hmmmm, die Volksbank ist bevorzugtes Phishing-Ziel; LARTs will man nicht, weil man selbst ja alles besser kann und weiss. Was soll ich davon nur wieder halten...

- kjz

Goofy
19.07.2006, 22:05
BWas soll ich davon nur wieder halten...


Keine besonders verständliche Reaktion. Auch, wenn sie selbst Spamtraps haben, könnten unterschiedliche LART-Quellen derselben Mail evtl. den entscheidenden Hinweis für das Tracen geben. Zumindest gegen ein Archivieren der Mails wäre nichts zu sagen.
Wenn die Volksbank bevorzugtes Phishing-Ziel ist, stellt sich die Frage, ob sie es den Phishern nicht zu einfach machen. Zufall kann das nicht sein. Die Sparkasse hat weit mehr Kunden, trotzdem läuft da weit weniger Phishing ab.
Hypothese: vielleicht ist die Volksbank weniger gut beim Blocken russischer/chinesischer/koreanischer Proxies?

kjz1
19.07.2006, 23:27
Hypothese: vielleicht ist die Volksbank weniger gut beim Blocken russischer/chinesischer/koreanischer Proxies?

Ich frage mich auch, warum ich fast nur Volksbank Phishs sehe, kaum aber Postbank, Deutsche Bank, etc. Meine Hypothese: Entweder sind die Volksbank-Kunden leichtgläubiger (schlechter informiert?), oder die Volksbank bekommt die Phish-Sites einfach nicht so zeitnah abgeklemmt wie andere Banken. Beides erhöht natürlich die Phishing-Ausbeute (Leo ist ja nicht doof...) und gereicht der Bank nicht unbedingt zum Vorteil. Großbanken haben ja heutzutage weltweit Niederlassungen (mit Rechtsabteilungen); wenn da einer von der örtlichen Rechtsabteilung der Bank beim ISP anruft und mit Schadenersatzforderungen im mehrstelligen Bereich droht, könnte ich mir auch vorstellen, dass ansonsten sture Provider etwas 'weiche Knie' bekommen.

- kjz

kjz1
20.07.2006, 08:51
Leo hat wieder nachgelegt:

http://www.volksbank.de.vrnetworld.newcow.us/r1/xc701133.asp

registriert jetzt über Melbourne IT (auch so ein Schwarzhut...), OnlineNIC war Leo wohl zu fix.

abgekübelt über: 59.107.16.35 ---> Guangzhou UnionNET

- kjz

schara56
22.07.2006, 16:56
Return-Path: <reference-id_57816084936922cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sat, 22 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 82.149.228.140 ([87.231.182.125])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from almagest.zoneedit.com (unknown [21.48.54.86])
by search.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0800
Received: from [72.254.118.208] (HELO cantor.atlanta.com)
by oldcatdns.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx +0600
From: "Volksbanken Raiffeisenbanken 2006" <online-support_id_9989254791440cts [at] volksbank.de>
To: "Martin" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Anleitung -Sat, 22 Jul 2006 xx:xx:xx -0400
Date: Sat, 22 Jul 2006 xx:xx:xx +0500
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3KLQ9_UL19615O8R_AZ_LE"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=7.581, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssss
X-MailScanner-From: reference-id_57816084936922cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID: [ID filtered]
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

schon platt

schara56
23.07.2006, 09:40
Return-Path: <onlinesupport-id-290520384488396cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 232-55.dothan.cable.graceba.net (232-55.dothan.cable.graceba.net [66.203.232.55])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from [114.30.36.60] (HELO anodic.domaincityservers.com)
by rotmax.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0500
Received: from australiamail.com (HELO australiamail.com.fotki.com [18.166.212.72])
by phone-card-pin.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken AG 2006" <infonum_047304577655cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
X-Authentication-Warning: JC17-census09.AY86ahze.wallace.rusmedserv.com (unknown [73.233.24.128]): eaa77wax set sender to custservice-ref-929117696cts [at] volksbank.de using -u
User-Agent: Pegasus Mail for Win32 (v2.53/R1)
X-Mailer: Pegasus Mail for Win32 (v2.53/R1)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="V88S7AA259XCQLZJ_C0"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.52, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50)
X-MailScanner-SpamScore: ssssssssss
X-MailScanner-From: onlinesupport-id-290520384488396cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_HCC,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MT A_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi


Return-Path: <customerssupport_71645cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from AToulon-256-1-64-248.w86-219.abo.wanadoo.fr (AToulon-256-1-64-248.w86-219.abo.wanadoo.fr [86.219.227.248])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from fcta.com (unknown [25.10.224.97])
by domaincityservers.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken AG 2006" <supprefnum065052077849867cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Anleitung -Sat, 22 Jul 2006 xx:xx:xx -0500
Importance: Normal
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="F1.XUTENU1GVXH"
X-Antivirus: avast! (VPS 0629-2, 21/07/2006), Outbound message
X-Antivirus-Status: Clean
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=8.064, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: ssssssss
X-MailScanner-From: customerssupport_71645cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FR OM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi

Return-Path: <reference_id_44622896440cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 23 Jul 2006 xx:xx:xx -0000
Received: from 20129122022.user.veloxzone.com.br (HELO 122022.user.veloxzone.com.br) [201.29.122.22]
by mx0.gmx.net (mx021) with SMTP; 23 Jul 2006 xx:xx:xx +0200
Received: from swigging.netwisp.com (unknown [120.241.120.160])
by dreamhost.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0500
Received: from [24.30.69.74] (HELO grungecafe.com)
by bphosting.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0100
From: "Volksbanken Raiffeisenbanken AG 2006" <operator_979271674792cts [at] volksbank.de>
To: "x" <x>
Subject: amtliche Nachrichten [Sun, 23 Jul 2006 xx:xx:xx +0200]
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ALFYCLN8WJYC3DGPEXCKMVI"
X-Antivirus: avast! (VPS 0629-2, 21/07/2006), Outbound message
X-Antivirus-Status: Clean
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]


http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi


Return-Path: <reference_id_18745931cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 22 Jul 2006 xx:xx:xx -0000
Received: from cpc4-nthc4-0-0-cust360.nrth.cable.ntl.com (HELO cpc4-nthc4-0-0-cust360.nrth.cable.ntl.com) [86.21.57.105]
by mx0.gmx.net (mx070) with SMTP; 22 Jul 2006 xx:xx:xx +0200
Received: from dugout.tenchiclub.com (cyst.tenchiclub.com [66.230.0.109])
by mybet.com with SMTP ID: [ID filtered]
for <x>; Sat, 22 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken AG 2006" <customerssupport-500292063600429cts [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken Online-Banking
Message-ID: [ID filtered]
User-Agent: Internet Mail Service (5.5.2650.21)
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="90DENGU33ILDJJ2SCV6FN"
Date: Sat, 22 Jul 2006 xx:xx:xx +0200
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team address blacklist)
X-GMX-UID: [UID filtered]


http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

schara56
23.07.2006, 18:31
Return-Path: <online_support_id_49465559cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from yxyxyx.de [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from bl6-9-214.dsl.telepac.pt (bl6-9-214.dsl.telepac.pt [82.155.9.214])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from advertising.com [134.140.46.89]
by ubi.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0800
Received: from adsorption.triode.net.au (triode.net.au.aol.com [90.84.25.160])
by pay-host.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
From: "Volksbanken Raiffeisenbanken AG 2006" <infonum_592244634266cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Achtung
X-Authenticated: #56505455
User-Agent: Mutt/1.5.1i
X-Mailer: Mutt/1.5.1i
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="LL7MOOBZ0XKDPMTGOOYA2PM"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=11.648, benoetigt 6,
autolearn=spam, BAYES_80 1.66, FROM_HAS_ULINE_NUMS 0.96,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_NJABL 0.10,
RCVD_IN_NJABL_PROXY 0.50, RCVD_IN_SORBS 0.10,
RCVD_IN_SORBS_HTTP 1.10, RCVD_IN_SORBS_SOCKS 1.20)
X-MailScanner-SpamScore: sssssssssss
X-MailScanner-From: online_support_id_49465559cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_HCC,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MT A_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi

schara56
24.07.2006, 08:57
Return-Path: <operate-ref86308119847513cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Mon, 24 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 150078.user.veloxzone.com.br (20129150078.user.veloxzone.com.br [201.29.150.78] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0200
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from intellicast.com (HELO beam.vinavia.com [72.0.13.110])
by cubic.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
Received: from sheaf.triode.net.au (triode.net.au.dedicatedserver.com [26.106.130.144])
by extremepaychecks.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0100
XAuthentication-Warning: OX55-dodecahedron68.NF3mbg.azebar.com [60.188.128.36]: tai55e.g set sender to customercare-01612888202086cts [at] volksbank.de using -i
From: "VOLKSBANKEN RAIFFEISENBANKEN" <operate-ref29484295336098cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
XAuthentication-Warning: OX55-dodecahedron68.NF3mbg.azebar.com [60.188.128.36]: tai55e.g set sender to customercare-01612888202086cts [at] volksbank.de using -i
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="2OBQ_MET4JS5OTQV"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.564, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70,
RCVD_IN_BL_SPAMCOP_NET 1.50)
X-MailScanner-SpamScore: sssssssss
X-MailScanner-From: operate-ref86308119847513cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]


Return-Path: <customersupport_8365567186640cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Mon, 24 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from h46090c9e.area4.spcsdns.net (h46090c9e.area4.spcsdns.net [70.9.12.158])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0200
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from disciple.kichimail.com (helo kichimail.com.cihost.com [93.243.114.192])
by moebelheinrich.de with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken 2006" <customersupport-1788298cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
Organization: Volksbanken Raiffeisenbanken 2006 operator_44169581602597cts [at] volksbank.de
X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="OEDMSJDC05I797GF0"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=7.596, benoetigt 6,
BAYES_99 5.40, FORGED_MUA_MOZILLA 0.97, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssss
X-MailScanner-From: customersupport_8365567186640cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (MUA_MOZILLA,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_L INK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

Return-Path: <infonum_781037534114956cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 23 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from c-24-61-10-140.hsd1.nh.comcast.net (c-24-61-10-140.hsd1.nh.comcast.net [24.61.10.140])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx +0200
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from declaration.mojohost.com (unknown [109.50.40.0])
by mavpa.com with SMTP ID: [ID filtered]
for <x>; Sun, 23 Jul 2006 xx:xx:xx -0500
Received: from ceylon.moebelheinrich.de (unknown [71.33.206.74])
by netwisp.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken AG" <customerssupport-2618548580675cts [at] vr-networld.de>
To: "x" <x>
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Subject: {Spam?} obligatorisch zu lesen
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="GGT0TL509PK_RFW"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.263, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_IMAGE_ONLY_06 1.44,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70,
RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DYNABLOCK 2.60,
RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: infonum_781037534114956cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FR OM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi

007
24.07.2006, 09:35
Was machst'n Du da immer, Schara ? Die sind ja schon wieder alle terminiert :lil:

schara56
24.07.2006, 10:03
Was machst'n Du da immer, Schara ? Die sind ja schon wieder alle terminiertMitnichten!
http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi/ läuft wieder

Name: www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.newcow.us
Address: 200.75.3.62

200.75.3.62 -> AC NIELSEN (CL)

Telekomunikacja
24.07.2006, 10:07
Return-Path: <customercare-7191465005cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 22 Jul 2006 xx:xx:xx -0000
Received: from 20179243009.user.veloxzone.com.br (HELO 20179243009.user.veloxzone.com.br) [201.79.243.9]
by mx0.gmx.net (mx021) with SMTP; 22 Jul 2006 xx:xx:xx +0200
Received: from logging.zfree.co.nz (EHLO karachi.zfree.co.nz [42.34.96.249])
by vinavia.com with SMTP ID: [ID filtered]
for XXX; Sat, 22 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <online-support_id_456012cts [at] volksbank.de>
To: XXX
Subject: Online-Banking [Sat, 22 Jul 2006 xx:xx:xx -0500]
Sender: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customersupport-2232835cts [at] volksbank.de>
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="H7XBEKLU9830A7SZSK409KY"
Date: Sat, 22 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_ LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi
Return-Path: <reference_id_527459266538416cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 23 Jul 2006 xx:xx:xx -0000
Received: from 201.Red-88-5-91.staticIP.rima-tde.net (HELO 201.Red-88-5-91.staticIP.rima-tde.net) [88.5.91.201]
by mx0.gmx.net (mx056) with SMTP; 23 Jul 2006 xx:xx:xx +0200
Received: from [102.12.69.193] (HELO convert-me.com)
by sexyrussianmodels.com with SMTP ID: [ID filtered]
for XXX; Sun, 23 Jul 2006 xx:xx:xx -0500
Received: from atlanta.com (ehlo dearth.atlanta.com [70.1.62.178])
by sitepattern.com with SMTP ID: [ID filtered]
for XXX; Sun, 23 Jul 2006 xx:xx:xx -0700
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
From: "Volksbanken Raiffeisenbanken 2006" <online-support_id_0861935cts [at] vr-networld.de>
To: XXX
Subject: Sehr wichtig -Sun, 23 Jul 2006 xx:xx:xx -0500
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ASKR1SUJ_6JATTWFWYF_N_KD"
Date: Sun, 23 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_ LINK_IMG_2,MIME_HTML_ONLY,POSSIBLE_DIALUP_4)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

007
24.07.2006, 10:34
Mitnichten!
http://www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi/ läuft noch
http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi/ läuft wieder

Name: www.volksbank.de.vr-web.networld.onlinebanking.whitebel.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info
Address: 200.75.3.62
Name: www.volksbank.de.vr-web.networld.onlinebanking.newcow.us
Address: 200.75.3.62

200.75.3.62 -> AC NIELSEN (CL)


Du hast recht. Ich krieg Sie nur über meinen Hauptprovider nicht mehr her. Wahrscheinlich blockt der sie schon im Proxy. Über Freenet z. B. geht's bei mir auch noch. :lil:

schara56
25.07.2006, 09:35
Return-Path: <operate-ref950752cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 24 Jul 2006 xx:xx:xx -0000
Received: from 125-226-2-160.dynamic.hinet.net (HELO 125-226-2-160.dynamic.hinet.net) [125.226.2.160]
by mx0.gmx.net (mx080) with SMTP; 24 Jul 2006 xx:xx:xx +0200
Received: from fastautosales.com [99.54.51.249]
by hostdepot.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
Received: from louisiana.kotnet.org (perjury.kotnet.org [100.54.213.208])
by riscom.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <infonum_571522892851146cts [at] vr-networld.de>
To: "x" <x>
Reply-To: "Volksbanken Raiffeisenbanken AG 2006" <reference_id_5363212721cts [at] volksbank.de>
Subject: Volksbanken Raiffeisenbanken Online-Banking -Mon, 24 Jul 2006 xx:xx:xx -0500
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="S81J00SDFWI46BK"
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,POSSIBLE_DIALUP_3,POSSIBLE_DIALUP_4,VOL KSBANK_PHISHING_SUBJECT1)
X-GMX-UID: [UID filtered]

Return-Path: <custservice_ref_570358cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Mon, 24 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 20178002016.user.veloxzone.com.br (20178002016.user.veloxzone.com.br [201.78.2.16] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx +0200
Date: Mon, 24 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from pechati.com [87.237.125.28]
by candidhosting.com with SMTP ID: [ID filtered]
for <x>; Mon, 24 Jul 2006 xx:xx:xx -0500
Received: from poczta.onet.pl (helo poczta.onet.pl.rr.com [114.102.192.128])
by bravodns.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx +0400
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport_id_28270845005cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken Online-Banking -Mon, 24 Jul 2006 xx:xx:xx -0500
Importance: Normal
User-Agent: Internet Mail Service (5.5.2650.21)
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="6OAGFIMKUWUUIYBFH"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=13.823, benoetigt 6,
BAYES_99 5.40, FORGED_IMS_HTML 4.10, FORGED_MUA_IMS 1.54,
FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_FONT_INVISIBLE 0.60, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssssssssss
X-MailScanner-From: custservice_ref_570358cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (IMS_HTML,FORGED_MUA_IMS,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRA ST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FR OM_MTA_HEADER,MSGID_FROM_MTA_ID,ROUND_THE_WORLD)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.newcow.us/r1/anmelden.cgi

deekay
25.07.2006, 10:03
From: - Tue Jul 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Envelope-From: <custservice_ref_3982064405090cts [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1153808186
Received: from pc60.broad.dynamic.xm.fj.cn.cndata.com (pc60.broad.dynamic.xm.fj.cn.cndata.com [59.57.179.60] (may be forged)) by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
Date: Tue, 25 Jul 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from myramstore.com (myramstore.com.sulzer.com [78.128.162.245]) by valuehost.com with SMTP ID: [ID filtered]
From: VOLKSBANKEN RAIFFEISENBANKEN 2006 <support_ref1603505313727cts [at] vr-networld.de>
To: Daniel <poor [at] spamvictim.tld>
Subject: Volksbanken Raiffeisenbanken: die eilige Nachricht [Tue, 25 Jul 2006 xx:xx:xx -0300]
Organization: Volksbanken Raiffeisenbanken 2006 operator-940180037cts [at] volksbank.de
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related; boundary="K8ZXX5_EZJ_ZL7JVHBUYLC"


From: - Tue Jul 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Envelope-From: <operator_32171560514542cts [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1153802384
Received: from 192.67.198.37 ([221.203.186.113]) by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
Date: Tue, 25 Jul 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from baptiste.pornushka.com (unknown [56.179.144.144]) by dnsfort.com with SMTP ID: [ID filtered]
Received: from [116.179.144.95] (HELO wholesale.qldsugar.com) by convert-me.com with SMTP ID: [ID filtered]
From: Volksbanken Raiffeisenbanken AG 2006 <customerssupport_15176146396cts [at] volksbank.de>
To: Info <poor [at] spamvictim.tld>
Subject: Volksbanken Raiffeisenbanken: Sehr wichtig [Mon, 24 Jul 2006 xx:xx:xx -0700]
References: <custservice-ref-730914923750882cts [at] volksbank.de>
User-Agent: Mutt/1.5.1i
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related; boundary="M8DYXUGLUG437Q5H"

From: - Tue Jul 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Envelope-From: <customercare-961782460822cts [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1153789370
Received: from 201-68-200-217.dsl.telesp.net.br (201-68-200-217.dsl.telesp.net.br [201.68.200.217]) by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
Date: Tue, 25 Jul 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from [12.172.194.103] (HELO speedingbits.com) by intellitxt.com with SMTP ID: [ID filtered]
Received: from welles.we-help-u.biz (ehlo we-help-u.biz.osdn.com [110.164.80.86]) by odinplus.com with SMTP ID: [ID filtered]
From: Volksbanken Raiffeisenbanken AG <customercare_89624184375cts [at] vr-networld.de>
To: xxxxxxxxxxx <poor [at] spamvictim.tld>
Subject: die eilige Nachricht Mon, 24 Jul 2006 xx:xx:xx -0500
X-USER_IP: 99.132.172.16
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related; boundary="5JH3G4Y1C0MBHC0"

http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info/r1/anmelden.cgi

schara56
25.07.2006, 10:14
http://www.volksbank.de.vr-web.networld.onlinebanking.belyhw.info...ist leider schon aus dem DNS geflogen...

schara56
26.07.2006, 05:22
Return-Path: <onlinesupport_id-779794cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from c-68-83-38-97.hsd1.pa.comcast.net (c-68-83-38-97.hsd1.pa.comcast.net [68.83.38.97])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200
Date: Wed, 26 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from freeproblem.com [94.108.24.78]
by rnktech.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customerssupport-70513905482103cts [at] volksbank.de>
To: "x" <x>
X-Sender: custsupport_56228105450cts [at] vr-networld.de
Subject: Softwareupdate -Tue, 25 Jul 2006 xx:xx:xx -0600
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="BMZT1GANV5LBTFBPB"
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: sssss
X-MailScanner-From: onlinesupport_id-779794cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_IPADDR,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID: [ID filtered]
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.resems.net/r1/anmelden.cgi

Erbrochen über Spamcast (68.83.38.97) und gehostet in Korea :sick:
...mir ist aufgefallen das die Admin-C-Daten in den letzten Phishzügen ausschließlich russischer Natur sind (zumindest mit den Phishingsite unter /r1/anmelden.cgi)...

Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 26 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from ip-125-252-66-25.asianetcom.net (unknown [125.252.66.25])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from sanction.rusmedserv.com (unknown [60.2.130.122])
by sleekhost.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx -0500
Received: from computermail.net (whir.computermail.net [95.106.112.171])
by ladoshki.com with SMTP ID: [ID filtered]
for <x>; Tue, 25 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customersupport-086882162cts [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Internet-Banking
X-Message-ID: [ID filtered]
User-Agent: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ID5QF9ZZFYGCOT785"
Message-ID: [ID filtered]
Date: Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: ***
X-Spam-Status: No, hits=3.4 required=5.0 tests=BAYES_56,BIZ_TLD,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY,
PRIORITY_NO_NAME autolearn=no version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: supprefnum3076394465cts [at] vr-networld.de
X-OriginalArrivalTime: 26 Jul 2006 xx:xx:xx.0921 (UTC) FILETIME=[BE617B90:01C6B05B]

http://www.volksbank.de.vr-web.networld.onlinebanking.moler.biz/r1/anmelden.cgi

Abgekippt über Horizon Technologies (125.252.66.25) und gehostet in Korea (58.141.63.251) - gleicher Webserver wie oben.
Man vergleiche mal die Admin-C-Einträge der Phishingsites...

schara56
26.07.2006, 07:12
Return-Path: <supprefnum5898131970cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 68-191-85-152.dhcp.opls.la.charter.com (68-191-85-152.dhcp.opls.la.charter.com [68.191.85.152])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200
Date: Wed, 26 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from atlanta.com (unknown [21.174.56.100])
by omni-host.com with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <support_ref5965463cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: amtliche Nachrichten [Wed, 26 Jul 2006 xx:xx:xx -0500]
X-Originating-Server: affect.sexpopka.com (unknown [60.72.174.142])
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="7G.J2MP7YNFN3AZ"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.931, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: supprefnum5898131970cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR2,HTML_FONT_LOW_CONTRAST,HTML_ IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_H EADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.resems.net/r1/anmelden.cgi

...diesesmal über Charter (68.191.85.152) gekübelt...aber leider löst der FQDN zu der IP 58.141.63.251 mehr auf; ziemlich kurzlebig das Ganze. :grin:

schara56
26.07.2006, 09:09
etwas offtopic aber passend:
http://www.heise.de/newsticker/meldung/70061
http://en.wikipedia.org/wiki/Rock_Phish_Kit

schara56
26.07.2006, 09:52
Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 26 Jul 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from pool-68-238-102-223.dfw.dsl-w.verizon.net (pool-68-238-102-223.dfw.dsl-w.verizon.net [68.238.102.223])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from guinea.lyricsdownload.com (unknown [100.232.208.189])
by norika-fujiwara.com with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx -0500
Received: from [96.166.16.236] (HELO hotbox.com)
by lilly.com with SMTP ID: [ID filtered]
for <x>; Wed, 26 Jul 2006 xx:xx:xx +0100
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <customersupport_30759679909551cts [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Information Wed, 26 Jul 2006 xx:xx:xx -0500
Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <onlinesupport_id-9324491770066cts [at] volksbank.de>
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="HQ8K.G5MRF.WEBZ5C"
Message-ID: [ID filtered]
Date: Wed, 26 Jul 2006 xx:xx:xx +0200 (CEST)
X-Spam-Level: ***
X-Spam-Status: No, hits=4.0 required=5.0 tests=BAYES_50,BIZ_TLD,
FROM_HAS_ULINE_NUMS,HTML_30_40,HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,
MIME_HTML_ONLY,OFFERS_ETC,PRIORITY_NO_NAME autolearn=no version=2.64
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: customercare-50478cts [at] vr-networld.de
X-OriginalArrivalTime: 26 Jul 2006 xx:xx:xx.0272 (UTC) FILETIME=[83F49880:01C6B082]

http://www.volksbank.de.vr-web.networld.onlinebanking.moler.biz/r1/anmelden.cgi

Das DNS hatte wohl nur vorübergehend Schluckauf - Abgekippt über verizon (68.238.102.223) und leider löst nun
auch wieder der FQDN zur IP 58.141.63.251 auf.

Searching for moler.biz NS record at C.GTLD.biz. [209.173.60.65]: Got referral to NSD1.SERVERBACKUP64.COM. [took 89 ms]
Searching for moler.biz NS record at NSD1.SERVERBACKUP64.COM. [211.213.6.2]: Timed out. Trying again.
Searching for moler.biz NS record at NSD1.SERVERBACKUP64.COM. [211.213.6.2]: Timed out. Trying again.
Searching for moler.biz NS record at NSD1.SERVERBACKUP64.COM. [211.213.6.2]: Timed out. Trying again.
Searching for moler.biz NS record at NSD4.SERVERBACKUP64.COM. [211.221.74.12]: Reports that no NS records exist. [took 727 ms]

Irgendwie sitzt da noch der DNS-Frosch im Resolver...oder so ähnlich.

Grisu_LZ22
26.07.2006, 11:32
OT:
Mir fällt auf dass seit einigen Tagen täglich mehrere Mails von Leo kommen. Immer mit Volksbanken-Raiffeisenbanken. Bis vor kurzem sind bei mir nur 1-2 Mails in der Woche eingetroffen. Jetzt sinds teilweise mehrere pro Tag. :sick: Ich frage mich ob Leo langsam durchdreht oder ob er wirklich glaubt dass jemand so dämlich ist, dass, wenn er permanent die "Aufforderung der technischen Abteilung" zur Bestätigung seiner Daten erhält, man täglich Pin und Tans verbraucht. Wenn ja dann wärs der Über-Ober-Super-DAU.
/OT

:jedi:

JohnnyBGoode
26.07.2006, 12:16
Dieser Mist häuft sich wirklich extrem in letzter Zeit.....

Naja, schicken wir dem lieben Leo halt ein paar Pins und Tans:D

kjz1
26.07.2006, 12:32
Ich frage mich ob Leo langsam durchdreht oder ob er wirklich glaubt dass jemand so dämlich ist, dass, wenn er permanent die "Aufforderung der technischen Abteilung" zur Bestätigung seiner Daten erhält, man täglich Pin und Tans verbraucht. Wenn ja dann wärs der Über-Ober-Super-DAU.

Übliche Spammer-Logik: viel hilft viel, egal wie....
Und natürlich die Hoffnung auf P.T. Barnum in Reinkultur.

- kjz

007
26.07.2006, 13:41
....oder: als der DAU Jones fiel :eek:

In der psychologischen Fachliteratur findet man zwar zahlreiche Versuche zur Typlogisierungen des Menschen (vgl. Kretschmer), doch interessanterweise wird nirgends der Typus des DAU erwähnt. Interessant ist dies vor allem deshalb, da der DAU mit Sicherheit der am häufigsten vorkommende Typus ist.

Um dieses Defizit der Forschung zu schliessen, soll an dieser Stelle der Versuch der Typlogisierung (bzw. DAUpologisierung) vorgenommen werden.

Der DAU scheint an keine Gesellschaftsschicht, Einkommensschicht, Religionszugehörigkeit, Region oder Hautfarbe gebunden zu sein. Man kann von einer gewissen Gleichverteilung innerhalb der gesamten Weltbevölkerung ausgehen.
Vorsichtige Schätzungen (an dieser Stelle ist das Fehlen genauerer Zählungen zu beklagen) gehen von einem ungefähren Anteil von 10 - 20% an der Gesamtbevölkerung aus.

Übereinstimmend werden von DAU-Forschern folgende Charakterzüge als prägend beschrieben:
Absolute technische Unbegabung, gepaart mit dem Drang die neuesten, komplizierten Geräte besitzen zu wollen.
Extreme Schwankungen zwischen cholerischischen Ausbrüchen ("So eine Scheisse, das geht einfach nicht!!!!") einerseits und Melancholie ("Drei Stunden versuch ich es jetzt schon") andererseits.
Zwanghafte Ängste, nicht als Experte auf bestimmten Fachgebieten erkannt zu werden. Geht im Normalfall Hand in Hand mit einer absoluten Ahnungslosigkeit in ebendiesen Fachgebieten.
Besondere Begabung im Fremdsprachen-Bereich. Vermischt sämtliche Sprachen zu einer Art Einheitssprache und -Ausprache, die von keinem Sprachkundigen mehr verstanden werden kann. Diese Kunstsprache weist auffällige Ähnlichkeiten mit einem mittlerweile ausgestorbenen Dialekt der Tlapa-Indianer in Süd-Mexiko auf.
Ausgeprägtes Neugierde-Verhalten in Zusammenhang mit rebellischer Grundhaltung gegen autoritäre Ansätze. Aussagen wie "Diese Einstellungen sollten nur von erfahrenen Benutzern verändert werden" wirken durch diesen Hintergrund als unwiderstehliche Aufforderung.
Besonders kritische Grundhaltung gegenüber Bildungseinrichtungen ("Das muss ich nicht studiert haben, um das zu können").
Neigung zu telefonischen Terrorakten. Bevorzugt zu fortgeschrittener, nächtlicher Stunde werden Menschen, die nur zu dieser Uhrzeit als Experten anerkannt werden, mit Sätzen wie ´Das Ding macht plötzlich nichts mehr. MACH WAS!´ kontaktiert.

Körperliche Auffälligkeiten:
Defekt der audiovisuellen Übertragung. Erklärungen scheinen zwar die Sinnesorgane zu erreichen, die Verarbeitung im Gehirn findet jedoch augenscheinlich nicht statt.
Besonders aktives, dezibel-intensives Sprechwerkzeug
Leseschwierigkeiten (sogenannter Bedienungsanleitungs-Analphabetismus). Werden häufig durch Schreibanfälle (Beschwerden, Leserbriefe, ...) kompensiert.
Vehementer Einsatz einer (selbstständig erweiterten) Version der Ebbinghausschen sinnlosen Silben ('RAM','VPS,'MCI','CPU', ....). Interssanterweise (anders als bei Formen der Schizophrenie, die ein ähnliches Krankheitsbild aufweisen) ergeben diese Silben für den DAU selbst keinerlei Sinn.
Massiv gestörte Verarbeitungsgeschwindigkeit des Kurzzeitgedächtnisses (KZG). Während im Normalfall 7 Informationseinheiten (+/- 2) vom KZG aufgenommen werden können, erfasst der DAU im besten Fall eine einzige. Möglicherweise in Zusammenhang mit Störeinflüssen des Langzeitgedächtnisses zu sehen ("Aber damals hab ich das ganz anders gemacht").
Chirurgen Syndrom: technische Geräte müssen nach dem Kauf sofort geöffnet werden, um unnötige Komponenten aus dem Innenleben zu identifizieren und zu entfernen....

:D

Grisu_LZ22
26.07.2006, 15:03
X-Symantec-TimeoutProtection: 0
X-Symantec-TimeoutProtection: 1
X-Symantec-TimeoutProtection: 2
Return-Path: <onlinesupport-id-15403cts [at] vr-networld.de>
Received: from mailin23.aul.t-online.de (mailin23.aul.t-online.de [172.20.27.75])
by mhead18 with LMTP; Wed, 26 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from COMPUTER ([212.119.171.168]) by mailin23.sul.t-online.de
with smtp ID: [ID filtered]
Received: from [108.64.40.129] (HELO treetop.gayamore.com)
by 3dfreestats.com with SMTP ID: [ID filtered]
for <xxx>; Wed, 26 Jul 2006 xx:xx:xx -0500
Received: from all.bg (cautious.all.bg [48.228.135.220])
by labshost.com with SMTP ID: [ID filtered]
for <mxxx>; Wed, 26 Jul 2006 xx:xx:xx +0500
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <customercare_38729810cts [at] volksbank.de>
To: "xxx" <xxx>
X-USER_IP: 126.12.225.24
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="OT1SL_AAQIN0P83UAPT"
X-TOI-SPAM: u;0;2006-07-26Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-NAS-BWL: No match found for 'customercare_38729810cts [at] volksbank.de' (70 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4


http://www.volksbank.de.vr-networld.onlinebanking.moler.biz/r1/anmelden.cgi

OT: Wunderschöne DAU-Erklärung *seufz* /OT


Hmmm... Phishfighting klappt nicht - seltsam. Aber was noch viel schlimmer ist: Meine Kaffeemilch ist sauer ;-)
:jedi:

schara56
26.07.2006, 17:29
So wie ich das interpretiere lebt die Site http://www.volksbank.de.vr-web.networld.onlinebanking.moler.biz/r1/anmelden.cgi
nur noch aus dem Cache - dabei ist die Cachezeit bei 28 Minuten und ein paar sekunden; gar nicht mal so lange:


> server 194.25.2.129
Standardserver: dns03.btx.dtag.de
Address: 194.25.2.129

> set q=ns
> moler.biz
Server: dns03.btx.dtag.de
Address: 194.25.2.129

moler.biz nameserver = NSD1.SERVERBACKUP64.COM
moler.biz nameserver = NSD4.SERVERBACKUP64.COM

Standardserver: NSD1.SERVERBACKUP64.COM
Address: 211.213.6.2

> www.volksbank.de.vr-web.networld.onlinebanking.moler.biz
Server: NSD1.SERVERBACKUP64.COM
Address: 211.213.6.2

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an NSD1.SERVERBACKUP64.COM

> server NSD4.SERVERBACKUP64.COM
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Adresse für Server NSD4.SERVERBACKUP64.COM kann nicht gefunden werden: Timed out

Kann das jemand bestätigen? Ich habe nur einen Telekom-DNS versucht...
Knuffig finde ich die schlechte Verbindung zum zweiten DNS-Server.

schara56
28.07.2006, 11:46
Return-Path: <online_support_id_09485cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 28 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from 87.68.24.214.cable.012.net.il (87.68.24.214.cable.012.net.il [87.68.24.214])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x; Fri, 28 Jul 2006 xx:xx:xx +0200
Date: Fri, 28 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from linksynergy.com (EHLO farpost.com.valuead.com [111.160.115.100])
by yimg.com with SMTP ID: [ID filtered]
for <x; Fri, 28 Jul 2006 xx:xx:xx -0500
Received: from mail15.com (unknown [75.158.64.188])
by purescore.com with SMTP ID: [ID filtered]
for <x; Fri, 28 Jul 2006 xx:xx:xx +0300
X-USER_IP: 66.32.181.132
From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport_411307311939cts [at] volksbank.de>
To: "x" <x
Subject: {Spam?} Internet-Banking -Fri, 28 Jul 2006 xx:xx:xx -0500
X-USER_IP: 66.32.181.132
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="VGULLXPGTFWKO3VT1KB"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.02, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: sssssssss
X-MailScanner-From: online_support_id_09485cts [at] vr-networld.de
X-Collected-By: GMX/x [at] x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR2,HELO_DYNAMIC_ SPLIT_IP,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_NUMER IC_HELO,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.sabma.info/r1/anmelden.cgi (59.24.103.144 / Kornet :sick:) - leider hat die Seite derzeit etwas Verbindungsprobleme :grin: ...

Ausgespuckt wurde der Phish über 87.68.24.214 -> Golden Lines international Communication Ltd.
> sabma.info
sabma.info nameserver = ns2.sabma.info
sabma.info nameserver = ns1.sabma.info

> ns1.sabma.info
Name: ns1.sabma.info
Address: 59.24.103.144 -> Kornet

> ns2.sabma.info
Name: ns2.sabma.info
Address: 210.18.125.68 -> Satyam Infoway (P) Ltd.

Igendwie schwächeln die alle jetzt etwas - ich habe diese Woche erst 8 Stück der VoBa-Phishe erhalten...:clown:

schara56
28.07.2006, 15:49
Return-Path: <supprefnum4447398484cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 28 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from host1-201.pool8716.interbusiness.it (host1-201.pool8716.interbusiness.it [87.16.201.1])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx +0200
Date: Fri, 28 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from haniastuff.com (megabit.haniastuff.com [63.112.232.20])
by idsoftware.com with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx -0500
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
From: "VOLKSBANKEN RAIFFEISENBANKEN" <customersupport-53023268299401cts [at] volksbank.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ORDM0H7D8IHZVZB8U"
X-Antivirus: avast! (VPS 0630-2, 26/07/2006), Outbound message
X-Antivirus-Status: Clean
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: s
X-MailScanner-From: supprefnum4447398484cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

Orchinol-Link: http://www.volksbank.de.vr-web.networld.onlinebanking.kolossyinfo/r1/anmelden.cgi
http://www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info/r1/anmelden.cgi

Menno - Leo wird immer schlampiger der Link in der Email stimmt nicht - was doch so ein kleines Pünktchen ausmacht :grin:

kolossy.info
primary name server = kolossy.info
responsible mail addr = poor [at] spamvictim.tld
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)

kolossy.info nameserver = ns2.kolossy.info
kolossy.info nameserver = ns1.kolossy.info
ns1.kolossy.info internet address = 211.213.6.2 -> Hanaro (Korea)
ns2.kolossy.info internet address = 210.18.125.68 -> Satyam Infoway (P) Ltd.

...wird langsam echt langweilig - gähhnn...

Grisu_LZ22
28.07.2006, 16:30
Orchinol-Link:[/color] http://www.volksbank.de.vr-web.networld.onlinebanking.kolossyinfo/r1/anmelden.cgi
http://www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info/r1/anmelden.cgi

[color=blue]Menno - Leo wird immer schlampiger der Link in der Email stimmt nicht - was doch so ein kleines Pünktchen ausmacht :grin:

/color]

... oder Leo war wieder mal bis über die Ohren zugedröhnt :p

:jedi:

schara56
28.07.2006, 23:05
Return-Path: <custsupport-453593805772cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 28 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from chello217023254177.chello.sk (chello217023254177.chello.sk [217.23.254.177])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx +0200
Date: Fri, 28 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from basepoint.walla.com (unknown [48.220.58.4])
by xo.com with SMTP ID: [ID filtered]
for <x>; Fri, 28 Jul 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <online-support_id_40009732828073cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} obligatorisch zu lesen Fri, 28 Jul 2006 xx:xx:xx -0500
Reply-To: "Volksbanken Raiffeisenbanken" <custsupport-010869960cts [at] volksbank.de>
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="PUWC9V8UO678Z9VM"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=16.261, benoetigt 6,
BAYES_99 5.40, FORGED_IMS_HTML 4.10, FORGED_MUA_IMS 1.54,
FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssssssss
X-MailScanner-From: custsupport-453593805772cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (IMS_HTML,FORGED_MUA_IMS,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRA ST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY ,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,REPTO_QUOTE_IMS)
X-GMX-UID: [UID filtered]

So, Leos Dröhnung hat wohl nachgelassen - dieses mal stimmte auch der Link (wie oben) bis auf den Punkt.

Grisu_LZ22
29.07.2006, 13:13
eturn-Path: <support_reference4893282330479cts [ät] volksbank.de>
Received: from mailin22.aul.t-online.de (mailin22.aul.t-online.de [172.20.26.75])
by mhead18 with LMTP; Sat, 29 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from SDDfa-03p3-61.ppp11.odn.ad.jp ([211.121.71.61]) by mailin22.sul.t-online.de
with smtp ID: [ID filtered]
Received: from newsru.com (afghan.clickcashmoney.com [84.234.54.81])
by jchyun.com with SMTP ID: [ID filtered]
for <fake-addy>; Fri, 28 Jul 2006 xx:xx:xx -0500
Received: from priest.com (beecham.priest.com [36.104.214.0])
by slave-ns.com with SMTP ID: [ID filtered]
for <fake-addy>; Fri, 28 Jul 2006 xx:xx:xx -0700
Delivered-To: fake-addy
From: "Volksbanken Raiffeisenbanken AG 2006" <support-reference494039812915cts [at] vr-networld.de>
To: "fake-addy" <fake-addy>
Delivered-To: fake-addy
User-Agent: MailGate v3.0
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="P1QWR8AH92EDUP2PWK8"
X-TOI-SPAM: u;0;2006-07-28Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine addy>
X-NAS-BWL: No match found for 'support-reference494039812915cts [ät] vr-networld.de' (70 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: eilige Information [Fri, 28 Jul 2006 xx:xx:xx -0500]
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link geht zu http://www.volksbank.de.vr-web.networld.onlinebanking.lolossy.info/r1/anmelden.cgi

und


Return-Path: <support-ref103734724313597cts [ät] volksbank.de>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead18 with LMTP; Sat, 29 Jul 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.75 ([124.197.142.21]) by mailin21.sul.t-online.de
with smtp ID: [ID filtered]
Received: from dmedia-ua.com (katsprom.com.sexcounter.com [46.24.78.158])
by allsaintsfan.com with SMTP ID: [ID filtered]
for <mfake-addy>; Sat, 29 Jul 2006 xx:xx:xx -0500
Received: from apothegm.pgawtn.com (unknown [25.253.24.192])
by sun.com with SMTP ID: [ID filtered]
for <fake-addy>; Sat, 29 Jul 2006 xx:xx:xx +0600
From: "Volksbanken Raiffeisenbanken 2006" <customersupport_40556320157328cts [at] volksbank.de>
To:"fake-addy" <fake-addy>
X-remove: 61420
User-Agent: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="4DGIB8747IWKHJTG1SVYD"
X-TOI-SPAM: u;0;2006-07-29Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine addy>
X-NAS-BWL: No match found for 'customersupport_40556320157328cts [ät]volksbank.de' (70 addresses, 0 domains)
X-NAS-Language: Unknown
X-NAS-AutoBlock-Code: 4
X-NAS-AutoBlock-Description: E-Mails immer blockieren, die unsichtbaren oder nahezu unsichtbaren Text enthalten
Subject: [Norton AntiSpam] Volksbanken Raiffeisenbanken: amtlicher Bescheid
X-NAS-Classification: 1
X-NAS-MessageID: [ID filtered]
X-NAS-Validation: {0068DA99-8A07-42D3-8BFE-8DC2745F9022}


Der Link geht zu http://www.volksbank.de.vr-web.networld.onlinebanking.samba.info/r1/anmelden.cgi


:jedi:

Goofy
29.07.2006, 13:31
Samba.info steht bei:



inetnum: 213.131.228.64 - 213.131.228.79
netname: DE-KAMBACH-NET
descr: kambach.net - webhosting and server
address: D-49716 Meppen / Esterfeld


Zuständige abuse: --> hostmaster[at]inetbone.net

Vielleicht ist es ja wieder mal ein gekaperter Webserver.

kjz1
29.07.2006, 15:03
Vielleicht ist es ja wieder mal ein gekaperter Webserver.

Wahrscheinlich, wobei Leo hier heftiges Server-Hopping betreibt. Bei mir löste die IP nach Nicaragua http://165.98.180.134 auf.

- kjz

Goofy
29.07.2006, 15:13
Komisch... bei mir gehen alle DNS-Abfragen noch/wieder auf kambach.net.

Welche ns-Einträge kriegst Du?

Ich habe:
ns.ns-service.de IN A 213.203.193.181 5174s (1h 26m 14s)
ns2.ns-service.de IN A 213.203.228.195 991s (16m 31s)

exe
29.07.2006, 17:10
Samba.info steht bei:
http://www.antispam-ev.de/forum/showthread.php?t=11178

Da scheint es mal unseren Freund erwischt zu haben. Na da hat einer wohl die Zeit mit spammen verbracht anstatt seine Kiste dicht zu machen. :D :D :D

schara56
29.07.2006, 17:20
Return-Path: <support-ref54792541381cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sat, 29 Jul 2006 xx:xx:xx +0200 (CEST)
Received: from cp361412-a.roose1.nb.home.nl (cp361412-a.roose1.nb.home.nl [84.26.53.206])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sat, 29 Jul 2006 xx:xx:xx +0200
Date: Sat, 29 Jul 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from arsenate.flashmobmaker.com (dilatory.apc.com [48.54.51.122])
by pechati.com with SMTP ID: [ID filtered]
for <x>; Sat, 29 Jul 2006 xx:xx:xx -0800
Received: from ideolect.kotnet.org (EHLO hirsch.kotnet.org [96.99.48.242])
by russiangirlwant.com with SMTP ID: [ID filtered]
for <x>; Sat, 29 Jul 2006 xx:xx:xx -0400
From: "VOLKSBANKEN RAIFFEISENBANKEN" <online-support_id_450336752cts [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
X-Authentication-Warning: QDM22-convertible1.SYV59f.intellitxt.com (unknown [74.1.16.179]): gr05hearten set sender to custservice_ref_75528059828885cts [at] volksbank.de using -f
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TKCM4B1YZZ8QLJO0"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=8.182, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_FONT_INVISIBLE 0.60, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70)
X-MailScanner-SpamScore: ssssssss
X-MailScanner-From: support-ref54792541381cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HELO_DYNAMIC_HOME_NL,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTM L_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MS GID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info/r1/anmelden.cgi

Soweit ich das sehe ist der http-post doch bei den ganzen Konservensites immer der Gleiche:

0000 00 a0 c5 d6 e8 f3 00 0c 76 ac db 32 08 00 45 00 ........v..2..E.
0010 01 61 0b f1 40 00 80 06 7f a8 0a 0a 0a 0b a5 62 .a.. [at] ..........b
0020 b4 86 04 33 00 50 be 1d f4 b8 07 4f a8 04 50 18 ...3.P.....O..P.
0030 ff 3c 6f 51 00 00 43 6f 6e 74 65 6e 74 2d 54 79 .<oQ..Content-Ty
0040 70 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f pe: application/
0050 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 6c 65 6e x-www-form-urlen
0060 63 6f 64 65 64 0d 0a 43 6f 6e 74 65 6e 74 2d 4c coded..Content-L
0070 65 6e 67 74 68 3a 20 32 34 31 0d 0a 0d 0a 66 72 ength: 241....fr
0080 68 72 3d 48 65 72 72 26 76 72 6e 6d 3d 47 65 72 hr=Herr&vrnm=Ger
0090 68 61 72 64 26 66 6d 6e 6d 3d 53 63 68 72 25 46 hard&fmnm=Schr%F
00a0 36 64 65 72 26 74 6e 73 3d 30 32 35 38 36 39 25 6der&tns=025869%
00b0 30 44 25 30 41 32 34 35 32 33 36 25 30 44 25 30 0D%0A245236%0D%0
00c0 41 31 34 32 35 33 36 25 30 44 25 30 41 37 34 38 A142536%0D%0A748
00d0 35 39 36 25 30 44 25 30 41 37 38 34 35 31 32 25 596%0D%0A784512%
00e0 30 44 25 30 41 38 39 35 36 32 33 25 30 44 25 30 0D%0A895623%0D%0
00f0 41 33 37 39 31 36 34 26 6b 6e 74 6e 3d 31 32 33 A379164&kntn=123
0100 34 35 36 37 38 39 26 6b 6e 64 6e 3d 37 37 37 37 456789&kndn=7777
0110 37 37 26 76 6e 3d 38 38 38 38 38 38 26 61 6c 3d 77&vn=888888&al=
0120 4b 61 72 6f 74 74 65 26 70 6e 3d 39 39 39 39 39 Karotte&pn=99999
0130 26 62 6b 6c 3d 37 34 31 38 35 32 36 36 26 70 74 &bkl=74185266&pt
0140 6c 3d 38 30 32 35 36 26 65 6d 6c 3d 67 65 72 68 l=80256&eml=gerh
0150 61 72 64 2e 73 63 68 72 6f 65 64 65 72 25 34 30 ard.schroeder%40
0160 77 65 62 2e 64 65 26 78 3d 33 33 26 79 3d 36 web.de&x=33&y=6

frhr = Anrede; vrnm = Vorname; fmnm = Nachname; tns = 'eingetastete' TANs; ... ; eml = Emailadresse

Leider bin ich des VB-Skriptens nachweislich unkundig aber es sollte doch nicht schwer sein ein kleines VBSkript 'einzutasten' um reichhaltige Inhalte den Phishern zu liefern.

Seinen indischen Nameservern bleibt Phishy bisher wohl treu und beide Nameserver kennen auch die Zone:
> set q=ns
> kolossy.info

DNS request timed out.
timeout was 2 seconds.
Nicht autorisierte Antwort: die Antwort kam von meinem DNS - daher nicht autorisiert
kolossy.info nameserver = ns3.kolossy.info
kolossy.info nameserver = ns2.kolossy.info

ns2.kolossy.info internet address = 210.18.125.68
ns3.kolossy.info internet address = 210.18.125.69
> set q=a
> 210.18.125.68

Name: 210.18.125.68.sify.net
Address: 210.18.125.68

> 210.18.125.69

Name: 210.18.125.69.sify.net
Address: 210.18.125.69

> server 210.18.125.69
Standardserver: 210.18.125.69.sify.net
Address: 210.18.125.69

> www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Server: 210.18.125.69.sify.net
Address: 210.18.125.69

DNS request timed out.
timeout was 2 seconds.
Name: www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Address: 80.69.52.50

> server 210.18.125.68
Standardserver: [210.18.125.68]
Address: 210.18.125.68

> www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Server: [210.18.125.68]
Address: 210.18.125.68

DNS request timed out.
timeout was 2 seconds.
Name: www.volksbank.de.vr-web.networld.onlinebanking.kolossy.info
Address: 80.69.52.50

Goofy
29.07.2006, 20:07
http://www.antispam-ev.de/forum/showthread.php?t=11178

Da scheint es mal unseren Freund erwischt zu haben. Na da hat einer wohl die Zeit mit spammen verbracht anstatt seine Kiste dicht zu machen. :D :D :D

Könnte es nicht doch ein shared hosting sein, Phishing-Host unter Falschnamen angemeldet?
Mir gibt zu denken, dass der Nameserver identisch ist mit der bei M.D. verwendeten Domain.
Leo müsste dann schon nicht nur den Webserver, sondern auch den DNS-Server geknackt haben. Denn sonst würde die Domain nicht über den Kambach-gehosteten DNS-Server auflösen.
Andererseits... möglich ist alles...

kjz1
29.07.2006, 21:04
Komisch... bei mir gehen alle DNS-Abfragen noch/wieder auf kambach.net.

Welche ns-Einträge kriegst Du?

Hier ist es aktuell (21:00):

ns2.kolossy.info [210.18.125.68] 80.69.52.50
ns3.kolossy.info [210.18.125.69] 80.69.52.50

also indische Nameserver und (geknackte?) Kiste in Aserbaidschan.

Um 14:00 Uhr war es:

ns3.kolossy.info [210.18.125.69] 165.98.180.134
ns2.kolossy.info [210.18.125.68] 165.98.180.134

Indische Nameserver, aber Hosting in Nicaragua und eine TTL von 43200.
Vermutlich hat Leo ein ganzes Zombie-Netzwerk von geknackten Kisten zum Hosten und manipuliert die Nameserver zu einer ständigen Rotation. Gegen die Hoster vorzugehen, bringt da gar nichts, die Vermehren sich wie die Kanickel und Leo switcht aufs heftigste. Einzig und allein die Nameserver bieten da wohl einen Angriffspunkt.

- kjz

schara56
30.07.2006, 10:51
Kolossy.info sieht wieder mal dunkel aus:
Searching for kolossy.info NS record at ns3.kolossy.info. [210.18.125.69]: Reports that no NS records exist. [took 327 ms]


Einzig und allein die Nameserver bieten da wohl einen Angriffspunkt
Ich denke die Nameserver werden nur so lange verwendet wie die A-Einträge in die jeweiligen Caches der anderen Nameserver geladen werden, dann wird es dunkel.
Das erinnert ein bischen an http://www.antispam-ev.de/forum/showthread.php?t=9882
Die Achillesverse ist das cachen der Zoneneinträge bei den anderen Nameservern:
> server 194.25.2.129
Standardserver: dns03.btx.dtag.de
Address: 194.25.2.129

> kolossy.info
Server: dns03.btx.dtag.de
Address: 194.25.2.129

Nicht autorisierte Antwort:
kolossy.info nameserver = ns2.kolossy.info
kolossy.info nameserver = ns3.kolossy.info
...alles aus den Cache

Fragt man kolossy.info selbst wird die oben genannte Vermutung bestätigt:
> set q=soa
> kolossy.info
Server: ns3.kolossy.info
Address: 210.18.125.69

kolossy.info
primary name server = kolossy.info
responsible mail addr = poor [at] spamvictim.tld
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)
...selbst wenn der erste DNS aus der kurve fliegt und das Lindblatt nicht entdeckt wurde gibt der NS mit der sekundären
Zone fleissig die infos über die A-Einträge heraus; über ein Jahr lang.


Das Lindblatt dürfte die Delegierung von .info auf kolossy.info sein. Die TTL der Einträge mit 10 Stunden ist schön
kurz, so dass die Einträge maximal diese 10 Stunden in den verschiedenen Caches rumspucken.
Solange Melburn IT (http://www.nic.info/cgi-bin/whois.cgi?yes_popup_flag=0&whois_query_field=registrar+id+R141-LRMS) da mitspielt und die Delegierung aufrecht hält wird weiter gephisht.


Heute war dran:
http://www.volksbank.de.vr-web.networld.onlinebanking.sabma.info/r1/anmelden.cgi

> www.volksbank.de.vr-web.networld.onlinebanking.sabma.info

Name: www.volksbank.de.vr-web.networld.onlinebanking.sabma.info
Address: 211.244.211.71

> set q=ns
> sabma.info

*** sabma.info wurde von UnKnown nicht gefunden: Non-existent domain

Was sagt dnsstuff.com dazu:

Searching for sabma.info NS record at ns3.sabma.info. [210.18.125.69]: Reports that no NS records exist. [took 317 ms]
210.18.125.69 -> 210.18.125.69.sify.net. -> Satyam Infoway (P) Ltd.

Goofy
30.07.2006, 12:21
Während ansonsten Spammerdomains oft mit sehr kurzen TTL-Zeiten im DNS stehen, sind Leo und Alex dazu übergegangen, bei Phishing-Domains längere Cache-Zeiten vorzugeben. Wird eine Domain mal gekillt, steht zumindest noch für einige weitere Stunden der Eintrag in den Caches der Provider.
Zeit, die reicht, damit ein paar weitere Super-DAUs da ihre PINs/TANs einfingern.

Für die sabma.info-Nameserver gibt es ein Spamhaus-Listing:

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44898

Da stehen auch noch andere (bereits tote...) Phishing-Domains.

kjz1
31.07.2006, 15:32
Und weiter geht's: http://www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz/r1/anmelden.cgi

- kjz

Goofy
31.07.2006, 18:59
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL45033

Auch hier stehen wieder mal einige andere Banken ebenfalls auf dem Phisherserver.

Grisu_LZ22
31.07.2006, 19:30
http://www.volksbank.de.vr-web.networld.onlinebanking.dergun.info/r1/anmelden.cgi

:jedi:

kjz1
01.08.2006, 08:23
Und wieder eine neu Runde:

http://www.volksbank.de.vr-web.networld.onlinebanking.annaconda.us/r1/anmelden.cgi

abgekippt über die Zombies:

212.106.245.243.adsl.jazztel.es

rrcs-24-123-250-40.central.biz.rr.com

- kjz

schara56
01.08.2006, 10:16
Return-Path: <infonum_24710497cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from spc1-roch2-0-0-cust261.bagu.broadband.ntl.com (spc1-roch2-0-0-cust261.bagu.broadband.ntl.com [86.1.153.6])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from abet.purinmail.com (purinmail.com.ledzeppelin.com [126.74.224.252])
by timeanddate.com with SMTP ID: [ID filtered]
for <x>; Mon, 31 Jul 2006 xx:xx:xx -0800
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customersupport-8317845495cts [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken Online-Banking [Mon, 31 Jul 2006 xx:xx:xx -0800]
In-Reply-To: "Volksbanken Raiffeisenbanken AG" <onlinesupport_id_969710368163cts [at] volksbank.de>
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TUI9ABVLFGOQW2I30DZ"
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: sssss
X-MailScanner-From: infonum_24710497cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HELO_DYNAMIC_NTL,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE ,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,VO LKSBANK_PHISHING_SUBJECT1)
X-GMX-UID: [UID filtered]

Was'n Dödel - schon wieder den Punkt vergessen...

Orchinol-Link: http://www.volksbank.de.vr-web.networld.onlinebanking.podeskobiz/r1/anmelden.cgi

http://www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz/r1/anmelden.cgi

> set q=ns
> podesko.biz

podesko.biz nameserver = nsd8.help-our-son.com
podesko.biz nameserver = nsd7.help-our-son.com

nsd7.help-our-son.com internet address = 58.102.73.2
> set q=a
> nsd8.help-our-son.com
Nicht autorisierte Antwort:
Name: nsd8.help-our-son.com
Address: 83.14.246.114 -> IP von Polish Telecom

> www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Name: www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Address: 211.244.211.71

kjz1
01.08.2006, 11:30
Was'n Dödel - schon wieder den Punkt vergessen...

Nicht nur das, die http://HELP-OUR-SON.COM Nameserver (No A records exist for help-our-son.com.) sind auch schon tot, also rien ne vas plus... Aber Leo wird mit absoluter Sicherheit in Kürze eine weitere von seinen hunderten auf Vorrat registrierten Domains aus dem Hut zaubern....

- kjz

schara56
01.08.2006, 12:05
(No A records exist for help-our-son.com.)
Bedeutet ja nur, dass anscheinend kein A-Eintrag für diesen FQDN gibt; bei DNS-Domänen aber nicht ungewöhnlich (vgl. elop.de oder cdi.de)
> elop.de
Name: elop.de

> www.elop.de
Nicht autorisierte Antwort:
Name: www.umleitungen.rmc.de
Address: 213.155.82.198
Aliases: www.elop.de


Für den Phish läuft die Namensauflösung aber bisher ohne Probleme:
> server nsd8.help-our-son.com
Standardserver: nsd8.help-our-son.com
Address: 83.14.246.114

> www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Server: nsd8.help-our-son.com
Address: 83.14.246.114

Name: www.volksbank.de.vr-web.networld.onlinebanking.podesko.biz
Address: 58.72.196.130

Die Namensauflösung funktioniert soweit; auch wenn es keine Informationen über
- SOA,
- NS oder
- MX
in der Zone gibt. Die A-Eintrage werden aber fein aufgelöst.

Die indischen Jungs von Satyam Infoway (P) Ltd. scheinen aber brav dabei zu sein:
> NSD4.HELP-OUR-SON.COM

Nicht autorisierte Antwort:
Name: NSD4.HELP-OUR-SON.COM
Address: 210.18.125.68 -> Satyam Infoway (P) Ltd.

> NSD5.HELP-OUR-SON.COM

Nicht autorisierte Antwort:
Name: NSD5.HELP-OUR-SON.COM
Address: 210.18.125.69 -> Satyam Infoway (P) Ltd.

Zumindest einer der NS ist schon bei Spamhaus.org gelistet http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44898

kjz1
01.08.2006, 12:46
Dann greift Leo in bewährter Weise wohl auf DNS-Spoofing zurück, denn:

Domain Name : help-our-son.com
Status REGISTRAR-HOLD

- kjz

schara56
01.08.2006, 12:48
Punkt vergessen...

So, jetzt mit '.'; abgekippt über 218.254.230.7 -> HK Cable TV Ltd

Return-Path: <online_support_id_7314026017928cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from cm218-254-230-7.hkcable.com.hk (cm218-254-230-7.hkcable.com.hk [218.254.230.7])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from pick.perfectgonzo.com (unknown [78.208.107.129])
by capalon.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from poczta.onet.pl (ehlo poczta.onet.pl.monolithosting.com [122.169.133.238])
by lmig.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken 2006" <reference-id_4900844145617cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Achtung [Tue, 01 Aug 2006 xx:xx:xx -0500]
In-Reply-To: "Volksbanken Raiffeisenbanken AG" <operate-ref9247874096041cts [at] volksbank.de>
X-Mailer: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="1BQM108TEZW3L85"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=9.287, benoetigt 6,
BAYES_90 2.10, BIZ_TLD 0.10, FROM_HAS_ULINE_NUMS 0.96,
HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: sssssssss
X-MailScanner-From: online_support_id_7314026017928cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_DHCP,HELO_DYNAMIC_IPADDR,HTML_ FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTM L_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]


26: X-Mailer: SmartMailer Version 1.56 -German Privat License-Kommt das von GMX oder von Spammy?

Goofy
01.08.2006, 17:12
Die "help-our-son.com"-Nameserver werden nicht mehr aufgelöst. Damit sind die Phishki-Domains "dergun.info" und "podesko.biz" platt.
Ebenfalls schon ohne DNS-Auflösung: annaconda.us

Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.

schara56
01.08.2006, 20:16
Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.Nein, soviel Zeit ist nicht...

Return-Path: <reference-id_71874cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from 82.149.228.140 ([218.247.236.53])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from sky.com (fund.gayrated.com [12.222.110.84])
by nod32.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from knurl.norika-fujiwara.com (HELO norika-fujiwara.com.choopa.com [66.136.168.166])
by hotmail.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
From: "Volksbanken Raiffeisenbanken AG 2006" <online_support_id_796971cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Softwareupdate Tue, 01 Aug 2006 xx:xx:xx -0600
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ZC_ZNOOY2IY8.NLAVT"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.883, benoetigt 6,
BAYES_80 1.66, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_FONT_INVISIBLE 0.60, HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10,
MIME_HTML_ONLY 0.32, MISSING_OUTLOOK_NAME 0.10,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_DSBL 0.71, RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssss
X-MailScanner-From: reference-id_71874cts [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_ LINK_IMG_2,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_HELO_IP_M ISMATCH,RCVD_NUMERIC_HELO)
X-GMX-UID: [UID filtered]

Erbrochen wurde die Spam via China Internet Network Information Center (:sick:) und gephisht wird nun in Venezuela:
http://www.volksbank.de.vr-web.networld.onlinebanking.nakias.net/anmelden.cgi

Die Nameserver liegen nun in Brasilien und Korea (http://200.20.113.102 / http://58.77.73.142):
nakias.net nameserver = ns2.nakias.net
nakias.net nameserver = ns1.nakias.net

Spamhaus.org-Eintrag dazu:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL44657

kjz1
01.08.2006, 22:06
Auf selbiger IP hat Leo (noch) ein anderes Pferdchen laufen:

http://www.53.com.wps.portal.secure.utrizen.info/context/

- kjz

schara56
01.08.2006, 22:09
Pferdchen laufen:Ja, aber leider hustet und würgt das DNS mit dieser Domain.

Man sieht: mühsam phisht der Schmierfink!

kjz1
01.08.2006, 22:53
Nächste Runde kommt bestimmt morgen, mit neuen Nameservern.

Aber nich mit Leo. Der wird von seinen Hintermännern oder der eigenen Gier zum Spam-Akkord getrieben und lässt stundstündlich eine neue Domain ins Rennen:

http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Domain-Registrieren kost ja (fast) nix, und die ICANN tut nix....

- kjz

schara56
02.08.2006, 00:04
Return-Path: <custsupport-482818cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Tue, 01 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from 201-255-208-41.mrse.com.ar (201-255-208-41.mrse.com.ar [201.255.208.41] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2006 xx:xx:xx +0200
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from internet1x2.com (unknown [81.10.197.41])
by atlanta.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from singapore.net (eddy.singapore.net [88.5.148.46])
by telia.com with SMTP ID: [ID filtered]
for <x>; Tue, 01 Aug 2006 xx:xx:xx -0300
From: "Volksbanken Raiffeisenbanken 2006" <operator_5597039892157cts [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken Banking Tue, 01 Aug 2006 xx:xx:xx -0100
X-Authentication-Warning: P80-chicago51.SI381xvjb.tandastudios.com (helo pirate.livejournal.com [120.213.24.216]): mq144whoosh set sender to custservice_ref_67525032834cts [at] vr-networld.de using -z
User-Agent: Pegasus Mail for Win32 (v2.53/R1)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="59T3PT0EYYHBAPNW"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.538, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, PRIORITY_NO_NAME 1.21,
RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DSBL 0.71, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: custsupport-482818cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HELO_DYNAMIC_IPADDR2,HTML_FONT_LOW_CONTRAST,HTML_IM AGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FRO M_MTA_HEADER,MSGID_FROM_MTA_ID,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Gespammt hat das Sparschweinchen über http://201.255.208.41 und gehostet wird der Rotz in Venezuela

duoxao.info nameserver = nsw1.duoxao.info
duoxao.info nameserver = nsw3.duoxao.info

nsw1.duoxao.info internet address = http://58.102.73.2
nsw3.duoxao.info internet address = http://58.72.196.130

Created On:31-Jul-2006 xx:xx:xx UTC
Sponsoring Registrar:MIT (R141-LRMS) (Melbourne IT Limited dba Internet Names WorldWide)

Update:
Ich hatte mal bei Melbourne IT angefragt, warum ausgerecht die immer (oder häufig) als Registrar für spätere Phishingdomains auftauchen und siehe da die Antwort:

A Melbourne IT Reseller manages the domains specified in your message.

Please contact this reseller using the details below for any assistance you require. If the person you contact refers you back to us, ask them if they would please contact us on your behalf.

Reseller details:

Legato Ltd
Web address: http://www.WebNames.Ru
Email address: info [at] regtime.net

]...[

Kind Regards,
Melbourne IT Customer Support

kjz1
02.08.2006, 08:50
Das liebe ich insbesondere so an den schwarzbehüteten Registraren: schieben alle Verantwortung auf den pöhsen Reseller ab. Warum braucht es überhaupt Reseller? Bekommen die Registrare den Vertrieb nicht mehr alleine geregelt? Oder reine Geldgeilheit? Und: die ICANN vergibt doch Lizenzen an jede Hinterhofhütte...

- kjz

Telekomunikacja
02.08.2006, 09:26
Return-Path: <customersupport_00679544101cts [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 01 Aug 2006 xx:xx:xx -0000
Received: from mcn-gd17152.miyazaki-catv.ne.jp (HELO mcn-gd17152.miyazaki-catv.ne.jp) [203.140.217.152]
by mx0.gmx.net (mx066) with SMTP; 01 Aug 2006 xx:xx:xx +0200
Received: from uatop.com (unknown [33.77.238.97])
by shyteenies.com with SMTP ID: [ID filtered]
for XXX; Tue, 01 Aug 2006 xx:xx:xx -0500
Received: from allsaintsfan.com (HELO allsaintsfan.com.top100webshops.com [34.48.184.164])
by fastautosales.com with SMTP ID: [ID filtered]
for XXX; Tue, 01 Aug 2006 xx:xx:xx -0100
From: "VOLKSBANKEN RAIFFEISENBANKEN" <custsupport-513338cts [at] vr-networld.de>
To: XXX
Subject: Volksbanken Raiffeisenbanken: amtlicher BescheID: [ID filtered]
X-Authentication-Warning: TRE61-gourmet0.MWJ2ycv.rupornosex.com (worm.amazon.com [87.176.128.194]): hm482cartography set sender to customercare-54366323936566cts [at] vr-networld.de using -c
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="L9HP21WPBS59J4"
Date: Tue, 1 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
http://www.volksbank.de.vr-web.networld.onlinebanking.nakias.net/anmelden.cgi

schara56
02.08.2006, 19:59
Gespammt über comcast (http://65.34.180.74)
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi
Registrar: Melbourne IT

Gespammt über rima-tde.net (http://88.7.99.49)
http://www.volksbank.de.vr-web.networld.onlinebanking.oluser.info/anmelden.cgi
Registrar: Melbourne IT

Gespammt über Telepac - Comunicacoes Interactivas, SA (http://81.193.181.71)
http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi
Registrar Direct Information Pvt. Ltd. dba PublicDomainRegistry.com (R5-AFIN)

So wie Leo gerade spammt hat der die Russenmafia am Arsch - hoffentlich...

kjz1
03.08.2006, 08:56
Leo schlägt wieder zu, nur hat er in aller Hast wieder die TLD vergessen:

www.volksbank.de.vr-web.networld.onlinebanking.kesadugin/anmelden.cgi

schara56
03.08.2006, 09:05
aller Hast wieder die TLD vergessenIch glaube mittlerweile, dass Leo Borax schnupft so wie der phisht...

Gespammt über Bezeq International (Israel) (http://84.108.157.218)
http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi

schara56
03.08.2006, 13:04
Gespammt hat die Arschnase über einen dänischen Provider (http://87.51.247.53)

http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

> duoxao.info

duoxao.info nameserver = nsw1.duoxao.info
duoxao.info nameserver = nsw4.duoxao.info
http://nsw1.duoxao.info -> brasilianischer Zugang (http://200.138.236.132)
http://nsw4.duoxao.info -> polnischer DSL-Zugang (http://83.14.246.114)

Ja, jetzt geht das Spielchen wieder los, dass die NS-Einträge wieder auf Bots landen!
Juhu! Und Melbourne IT delegiert fleissig die .info-Domain! :sick:

schara56
04.08.2006, 08:03
Gespammt über Brasilien (http://201.12.17.2) und gehostet in Argentinien
http://www.volksbank.de.vr-web.networld.onlinebanking.irgozy.info/anmelden.cgi
Registrar: Melbourne IT

> irgozy.info

irgozy.info nameserver = ns2.irgozy.info
irgozy.info nameserver = ns1.irgozy.info

ns1.irgozy.info internet address = http://58.102.73.2
ns2.irgozy.info internet address = http://83.14.246.114

DNSStuff sagt was anderes: http://www.dnsstuff.com/tools/lookup.ch?name=irgozy.info&type=NS
ns2.irgozy.info http://211.244.211.71

Grisu_LZ22
04.08.2006, 14:42
gestern 20.45 Uhr:
http://www.volksbank.de.vr-web.networld.onlinebanking.kesadug.in/anmelden.cgi

Heute 14.30 Uhr
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

langsam könnte ich Leo :knife:



:jedi:

schara56
05.08.2006, 09:23
Gespammt über USA (http://24.210.124.243) und gehostet in Chile
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Lustich: DNS-Stuff sagt was vollkommen anderes als die Telekom:
Telekom:
> duoxao.info

duoxao.info nameserver = nsw1.duoxao.info
duoxao.info nameserver = nsw4.duoxao.info

nsw1.duoxao.info internet address = http://200.86.130.63
nsw4.duoxao.info internet address = http://200.86.130.63

DNS-Stuff:
Domain Type Class TTL Answer
duoxao.info. NS IN 76931 nsw4.duoxao.info.
duoxao.info. NS IN 76931 nsw1.duoxao.info.
nsw4.duoxao.info. A IN 76931 http://83.14.246.114
nsw1.duoxao.info. A IN 76931 http://58.102.73.2

schara56
06.08.2006, 11:57
Gespamt über Spanien (http://88.4.199.121) und gehostet unverändert in Chile
http://www.volksbank.de.vr-web.networld.onlinebanking.irgozy.info/anmelden.cgi

Gespamt über USA (http://68.200.107.227) und gehostet wie oben in Chile
http://www.volksbank.de.vr-web.networld.onlinebanking.duoxao.info/anmelden.cgi

Es ist schon erstaunlich, wie lange sich die DNS-Einträge diesesmal halten und die
vollkommmen ignorant der chilenische ISP die Ohren dabei zuhält.

kjz1
06.08.2006, 12:42
Was mich nur wundert, hier schlagen die Mails im Stundentakt für Volksbank und Sparkassen Phishs ein und dahinter steht ein 'einsamer', per DSL angebundener PC in Chile. Der müsste doch bei so einem Andrang längst in die Knie gehen. Und der Nutzer soll davon angeblich nichts bemerken? Irgendwie habe ich den Verdacht, dass der PC-Besitzer (und evtl. der ISP) da gemeinsame Sache machen...

- kjz

kjz1
06.08.2006, 14:39
Anscheinend sind die Chilenen aufgewacht, aber so ein ausgebuffter Grossspammer wie Leo hat natürlich sofort auf die noch merkbefreiteren Koreaner geswitcht:

http://58.102.179.71

- kjz

Maverick
06.08.2006, 15:04
Der Volksbank-Phish geht ja nun schon ziemlich lange, und ich werde auch immer wieder ( mittlerweile täglich ) beglückt.

Ein kurzer Besuch bei "Brüdern im Geiste", den Jungs von "Kill Spammers" http://thecarpcstore.com/phpbb2/index.php zeigte einen anderen Ansatz im Kampf gegen phishing: Automatisierte scripts um die webformulare der bespamten-/bephisten domains mit bogus-Daten zu füllen.

Wäre das nicht auch gegen den VB-phish und artverwandte ein effektiver Ansatz? Tausende von Kontonummern & PIN´s die den Muli´s nichts als Frust bringen :cool:

Mein Hintergedanke ist der:
Leo & Co. haben mit sicherheit noch -zigtausende Domainnamen auf der Pfanne, dagegen anzugehen gleicht m.E. dem Kampf gegen Windmühlen...
Hingegen wird er schätzungsweise nur eine Datenbank mit den erphishten Kontodaten haben... Und wenn man ihm diese Quelle vergiftet...:clown:

Maverick

kjz1
06.08.2006, 16:18
Automatisierte scripts um die webformulare der bespamten-/bephisten domains mit bogus-Daten zu füllen.

Ich sag da nur: http://www.phishfighting.com. Ist jedoch im Moment down. (wegen zu großer Nachfrage....?) Jedoch auch hiergegen versucht Leo natürlich Abwehrmassnahmen zu entwickeln. Grossspammer wie er sind schliesslich professionelle Kriminelle und keine Chickenboners...

BTW: Leo hat wieder geswitcht, diesmal nach Brasilien:

http://200.138.236.132

schara56
07.08.2006, 17:26
Gespammt über Korea (http://61.84.6.14)
http://www.volksbank.de.vr-web.networld.onlinebanking.irgozy.info/anmelden.cgi -> 'leider' derzeit keine IP für den A-Eintrag
Registrar natürlich Melbourne IT - wer sonst.

> NS1.NAMESELF.COM
Name: NS1.NAMESELF.COM
Address: http://195.161.113.218 -> Russland

> NS2.NAMESELF.COM
Name: NS2.NAMESELF.COM
Address: http://217.16.27.43 -> Russland

kjz1
08.08.2006, 09:29
Und weiter geht's:

http://www.volksbank.de.vr-web.networld.onlinebanking.asuhit.ws/anmelden.cgi

oder etwa doch nicht...

Current Nameservers:

ns1.terminated-domains.ws 216.52.234.119
ns2.terminated-domains.ws 216.52.234.115

- kjz

Goofy
08.08.2006, 17:23
Auch asuhit.ws ist wohl schon geknickt. Da sieht Phishki kein Land mehr.

4freedom
09.08.2006, 10:10
die letzte Meldung kommt von duoxao.info, gem. whois registriert von einem Herrn Igor Tokin in RU.

Domain ID:D14223231-LRMS
Domain Name:DUOXAO.INFO
Created On:31-Jul-2006 xx:xx:xx UTC
Last Updated On:08-Aug-2006 xx:xx:xx UTC
Expiration Date:31-Jul-2007 xx:xx:xx UTC
Sponsoring Registrar:MIT (R141-LRMS)

Tech Organization:Private person
Tech Street1:Lugovaya st. 57-104
Tech City:Babaevo
Tech State/Province:Volodskaya oblast
Tech Postal Code:162481
Tech Country:RU
Tech Phone:+7.8174384463
Tech Email:tokinigor [at] front.ru
Name Server:NSW4.DUOXAO.INFO
Name Server:NSW5.DUOXAO.INFO

Goofy
09.08.2006, 16:21
D9.INFO.AFILIAS-NST.ORG kennt die Domain nicht mehr: :D



Answer:
No A records exist for duoxao.info, and duoxao.info does not exist. [Neg TTL=7200 seconds]


Nix Phishki-Monetski. :skull:

Grisu_LZ22
09.08.2006, 17:09
Ich nehme mal an das es so lauten soll:
http://www.volksbank.de.vr-web.networld.onlinebanking.lurcirsus/anmelden.cgi

der original link geht auf ... lurcisus/anmelden.cgi

wohl wieder a bisse verkoks, Leo??:D

:jedi:

Goofy
09.08.2006, 17:43
Irgendwie scheinen die mit ihrem Spamprogramm ein Problem zu haben. Es werden auffällig oft die Punkte vor den letzten beiden Zonenbuchstaben in den Domains vergessen, dadurch sind die Links dann kaputt und nicht aufrufbar.

Hier ergibt jedoch keine Kombination einen Sinn: lurcirs.us/lurcis.us gibbet nich im DNS.

Also, Leo: nochmal bitte, mit gültiger Domain! :noteeth: :wicked:
Ich warte heute abend noch drauf!!!
Und leg mal den Strohhalm weg beim Spammen, dann geht das besser! :D

exe
11.08.2006, 07:57
Pholksbankphishing jetzt auch mit Bild.

Return-Path: <*@volksbank.de>
Received: from c911660b.rjo.virtua.com.br (c911660b.rjo.virtua.com.br [201.17.102.11])
by mail.*.de (*) with SMTP ID: [ID filtered]
for <develop@*.de>; Thu, 10 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from oceanebi.com [109.36.132.245]
by rutgp.com with SMTP ID: [ID filtered]
for <develop@*.de>; Thu, 10 Aug 2006 xx:xx:xx -0800
Received: from ciberaula.infase.es (ciberaula.infase.es.kinghost.com [12.213.176.88])
by danga.com with SMTP ID: [ID filtered]
for <develop@*.de>; Thu, 10 Aug 2006 xx:xx:xx +0300
From: "VOLKSBANKEN RAIFFEISENBANKEN 2006" <*@volksbank.de>
To: "Develop" <develop@*.de>
Subject: ***SPAM*** Volksbanken Raiffeisenbanken: eiliger BescheID: [ID filtered]
X-USER_IP: 94.192.192.162
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TOUMU3Y9OBHBX5IBDW26FF"
Message-ID: [ID filtered]
Date: Thu, 10 Aug 2006 xx:xx:xx +0200 (CEST)

http://img82.imageshack.us/img82/8800/breakoffhf6.gif

Ziel:
http://www.volksbank.de.vr-web.networld.onlinebanking.dtf44.st/anmelden.cgi

Wirklich genützt hat es aber nichts, der Trick mit dem Bild:

X-Spam-Status: Yes, score=11.0 required=5.0

Goofy
11.08.2006, 14:58
Wirklich genützt hat es aber nichts, der Trick mit dem Bild:

Ausserdem ist die Domain mal wieder geknickt worden:



This domain name, "dtf44.st", may still be available for registration!

:D

Ein neuer Versuch, heute reingekommen:



h-t-t-p://w-w-w.volksbank.de.vr-web.networld.onlinebanking.sdruga.biz/anmelden.cgi

sdruga.biz wurde aber bereits von Estdomains geknickt.

Und einen hat Leo noch:



h-t-t-p://w-w-w.volksbank.de.vr-web.networld.onlinebanking.kjihsus/anmelden.cgi

Wieder mal kaputter Link, Punkt fehlt, Domain existiert nicht.

Heute wieder mal: Phishki nix gut! :D

Leo, Leo! Wenn das so weitergeht, wird der Patron ungemütlich...
:guns:

kjz1
11.08.2006, 16:36
Ja, Estdomains ist mal ein positives Beispiel für einen Registrar:

Domain Name: KJIHS.US
Sponsoring Registrar: ESTDOMAINS, INC.
Domain Status: clientHold
Domain Registration Date: Thu Aug 10 xx:xx:xx GMT 2006
Domain Last Updated Date: Fri Aug 11 xx:xx:xx GMT 2006

Kaum registriert, schon geknickt....

- kjz

schara56
11.08.2006, 18:58
Gespamt über die tschechische Republik (http://84.21.98.170)
http://www.volksbank.de.vr-web.networld.onlinebanking.kjihs.us/anmelden.cgi

Goofy
11.08.2006, 22:14
Ja, Estdomains ist mal ein positives Beispiel für einen Registrar...


Jodokus-Sigi (rechts des Rheins) hätte sich da in guten Zeiten schwerer getan.
Obwohl von da momentan auffällig wenig Phisher-Domains kommen.

007
12.08.2006, 06:46
und noch'n Phish http://www.cosgan.de/images/smilie/verschiedene/f047.gif

http://www.volksbank.de.vr-web.networld.onlinebanking.fer33.info/anmelden.cgi/

Goofy
12.08.2006, 13:45
Auch diese Domain gibbet nich mehr, vom Registrar gekillt.

Wusl
13.08.2006, 04:44
http://www.volksbank.de.vr-web.networld.onlinebanking.dimitro.info/anmelden.cgi

Registrar wie gehabt der notorische Steigbügelhalter der Phisher-Mafia:
Melbourne IT.
Hinweis an die australische Polizei ist wie üblich raus, gehostet wie üblich in China.

Wie üblich konnte ich auch in diesem Falle eines meiner kleinen VB-Scripte einsetzen, mit dem man über den Browser den Wissensdurst von Phishers Phritze dadurch stillen konnte, daß haufenweise TANs generiert und übermittelt wurden.
Wir wollen doch nicht, daß der Iwan keine Arbeit hat und womöglich seine Matka verjackt...:D

007
13.08.2006, 06:32
Phishfighter-Stalinorgel....

man öffne mindestens 10 Fenster von www.phishfighting.com und orgle los. Das Dauerfeuer freut bestimmt jeden Fisher :D :eek:

4freedom
13.08.2006, 09:56
Nach bekanntem Muster:

klinkher.info und redew.info, beide zeigen auf 211.97.195.196, whois.net (melbourneit.com) weist dieses Mal US Bürger als Kontakte auf. Internic kennt beide Domains nicht.

phishfighting.com liefert gerade die angefragten Informationen an den Phisher.

Werden hier Deppen rekrutiert, die die Domains registrieren und die Phishing Mails absenden oder sind die Eigentümer auch Fakes? Ich werde einmal anrufen.

schara56
13.08.2006, 10:07
Return-Path: <onlinesupport_id-22538cts [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 13 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from p1232-ipbf13aobadori.miyagi.ocn.ne.jp (p1232-ipbf13aobadori.miyagi.ocn.ne.jp [60.39.162.232])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 13 Aug 2006 xx:xx:xx +0200
Date: Sun, 13 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from sneer.all.bg (fill.all.bg [21.116.168.175])
by gator.com with SMTP ID: [ID filtered]
for <x>; Sat, 12 Aug 2006 xx:xx:xx -0500
From: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <support-reference979849909cts [at] volksbank.de>
To: "x" <x>
In-Reply-To: "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <custsupport_008765264957cts [at] volksbank.de>
Subject: Volksbanken Raiffeisenbanken: die eilige Nachricht [Sun, 13 Aug 2006 xx:xx:xx +0400]
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="WXAKFB1APK1CICWOL"
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: sssss
X-MailScanner-From: onlinesupport_id-22538cts [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID)
X-GMX-UID: [UID filtered]

Geschbemmt über Japan (http://60.39.162.232) und gehostet in China (:sick:)
http://www.volksbank.de.vr-web.networld.onlinebanking.klinher.info/anmelden.cgi

Passend dazu Websense: http://www.websense.com/securitylabs/alerts/alert.php?AlertID=570

Maverick
13.08.2006, 14:15
man öffne mindestens 10 Fenster von www.phishfighting.com und orgle los. Das Dauerfeuer freut bestimmt jeden Fisher :D :eek:

Dumme Frage am Rande:

Ist phishfighting.com eigentlich in der Lage, in die gephishte VR-Seite was einzutragen?

Ich mein... Die sieht von den Eingabefeldern bestimmt etwas anders aus ( von der Sprache ganz zu schweigen ) als die paypal- und eBay- phish´s auf die diese Seite ja eigentlich abzielt.

Übrigens ist der "Anmelden"-Button ganz lustig: Der übermittelt im referrer wo im *.gif geclickt wurde, ich denke mal das ist ein Mechanismus um automatisierte Skripte zu enttarnen.

Maverick

kjz1
13.08.2006, 15:03
Werden hier Deppen rekrutiert, die die Domains registrieren und die Phishing Mails absenden oder sind die Eigentümer auch Fakes? Ich werde einmal anrufen.

Ich würde mal vermuten, dass allerhöchstens die Freemailer-Adresse (und ggf. die Telefonnr.) Spammy gehört. Die Adressdaten sind entweder frei erfunden oder die eines unbeteiligten Opfers. Phisky hat ja aus seinen Spam-Formularen (medz, watchez, softwarez) genug fremde Daten, wo er sich bedienen kann.

Deshalb fordere ich ja schon seit Jahren, dass neu registrierte Domains nicht sofort freigeschaltet werden. Erst mal ein Brief(!) mit Freischaltcode an den (angeblichen) Registranten. Das liesse sich automatisieren und Air Mail Porto für den Brief würde die Registrierung ja nur marginal (ca. 2 $) verteuern. Ausserdem hätten die Registrare mehr Sicherheit, dass die Kreditkartendaten zur Bezahlung nicht auch getürkt sind. Spammer-Domains werden heutzutage ja spätestens 1 Woche nach der Registrierung 'verbraten'. Der Registrar wird aber frühestens nach 4 Wochen merken, wenn eine Kreditkartenabbuchung platzt. Dann ist für Spammy das Geschäft aber schon gelaufen. Briefkasten-Firmen dauernd zu wechseln dürfte für Spammy wesentlich aufwendiger sein, als andauernd neue Freemailer-Adressen anzulegen.

Auch wenn ich mich unbeliebt mache, aber das Geschäft der Domain-Registrierung könnte heutzutage ruhig etwas verlangsamt und mehr 'verbürokratisiert' werden. Die heute übliche Methode (Registrieren und innerhalb weniger Stunden ist die Domain online) wird mir zu oft missbraucht und so fix brauchen es nur Spammer. Ernsthaft Interessierte können länger warten und planen.

- kjz

Wusl
14.08.2006, 03:20
Ausserdem hätten die Registrare mehr Sicherheit, dass die Kreditkartendaten zur Bezahlung nicht auch getürkt sind.

Die Kreditkarten sind mit ziemlicher Sicherheit nicht getürkt.
Die Registrare, die immer wieder auffallen, haben Stammkunden. Das merkt man an der Art des Spam und wo gehostet wird. Insofern sind die Registrare, die sowas immer wieder machen, aktive Helfershelfer der SPAM-Mafia.
Deswegen wäre die Schneckenpost nur ein Erschwernis für die sauberen Kunden, nicht für die Russen- und Chinesenmafia bzw. die deutschsprachigen Nachwuchsgangster, die uns allen momentan so viel Freude bereiten mit ihrer Finanzberatung.

kjz1
14.08.2006, 14:00
Die Kreditkarten sind mit ziemlicher Sicherheit nicht getürkt. Aber evtl. gephisht? Denn damit kennt sich Spammy schliesslich aus... Was passiert eigentlich, wenn der rechtmässige Besitzer nach 4 Wochen die Abrechnung erhält und die Buchung storniert?

BTW:

Domain Name:KLINHER.INFO
Status:CLIENT HOLD

Domain Name: SHEPH.NAME
Domain Status: clientHold

- kjz

kjz1
14.08.2006, 15:00
Aufgrund der Tatsache, dass einige Registrare aufgewacht zu sein scheinen, benutzt Leo jetzt eine so 'taufrische' Domain http://grayder.net, dass noch gar keine Whois-Einträge auffindbar sind. Leo muss gewaltigen Druck haben, dass er zu solchen extremen Mitteln zurückgreift. Phishen auf Teufel komm raus um jeden Preis...

- kjz

Maverick
14.08.2006, 17:43
Heute hier aufgeschlagen:

http://www.volksbank.de.vr-web.networld.onlinebanking.lengter.biz/anmelden.cgi

Domain wurde heute morgen angemeldet und schon 3-4 Stunden später ist der phish da...

Registrar ist ESTDOMAINS INC...

Frage vom Neuling: Wen meckert man da am effektivsten an? Estdomains oder Neulevel Inc. ( die - so wie ich das verstehe - die *.biz-domains unter sich haben)?

Nebenfrage: Kommen die Dinger bei euch momentan auch ohne Datumseintrag im Header an? Manche mailclients ( Evolution, Popcorn... ) setzen das Datum dann nämlich auf den 31.12.1999 oder auf "n/a" :rolleyes:

Maverick

Goofy
14.08.2006, 17:44
Inzwischen im DNS:

nser2.grayder.net. [218.94.136.28]: Reports grayder.net. [took 264 ms]

grayder.net. 211.137.13.131

Ein whois-match ist aber nicht zu finden. --->DNS-Spoofing wiedermal.

LENGTER.BIZ ist nicht (mehr) im DNS.

Bei mir heute reingekommen:


from modem-199.miass.chel.su ([85.116.123.199]) by mailin20.sul.t-online.de with smtp ID: [ID filtered]


[volksbank...blabla...].sheph.name/anmelden.cgi>

Auch diese Domain ist nicht (mehr) im DNS.

kjz1
14.08.2006, 21:37
Registrar ist ESTDOMAINS INC...

Frage vom Neuling: Wen meckert man da am effektivsten an? Estdomains oder Neulevel Inc. ( die - so wie ich das verstehe - die *.biz-domains unter sich haben)?

Meine Erfahrung ist, dass Estdomains eine erfreuliche Ausnahme ist und auf Whois Complaints recht zeitnah reagiert. Deswegen gibt es dort auch ein eigenes Formular:

http://estdomains.com/abuse/report_abuse.php

- kjz

Maverick
15.08.2006, 00:27
Ebenfalls heut bei mir aufgeschlagen:

http://www.volksbank.de.vr-web.networld.onlinebanking.dimitro.info

Registrar: MIT (R141-LRMS), Melbourne.IT :sick:

Possierlich auch die nameserver:

NS1.NAMESELF.COM
NS2.NAMESELF.COM

Diese wiederum bei Melbourne.IT :sick:

Maverick

kjz1
15.08.2006, 11:12
Heute wieder:

http://eachdom.info

schon platt:
Status:CLIENT HOLD

und http://grayder.net

auch platt:
Status:SUSPENDED

- kjz

kjz1
15.08.2006, 15:13
Und weiter geht's:

http://zakser.info/

auf derselben IP phisht Leo wie gewöhnlich mehrfach:

sheph.name A 211.137.13.131
nss1.sheph.name A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.sheph.name[/url] A 211.137.13.131
www.53.com.wps.portal.secure.sheph.name[/url] A 211.137.13.131
tyhsa.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.tyhsa.info[/url] A 211.137.13.131
zverje.info A 211.137.13.131
bankofscotland.co.uk.systemupgrade.ismyi.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.ismyi.info[/url] A 211.137.13.131
www.chase.com.ccpmapp.secureprocedure_start.ismyi.info[/url] A 211.137.13.131
secure.laninform.info A 211.137.13.131
www.53.com.wps.portal.secure.laninform.info[/url] A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.dimitro.info[/url] A 211.137.13.131
www.53.com.wps.portal.secure.klinher.info[/url] A 211.137.13.131
floher.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.floher.info[/url] A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.floher.info[/url] A 211.137.13.131
redew.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.redew.info[/url] A 211.137.13.131
startsession.redew.info A 211.137.13.131
com.startsession.redew.info A 211.137.13.131
key.com.startsession.redew.info A 211.137.13.131
accounts.key.com.startsession.redew.info A 211.137.13.131
deckart.us A 211.137.13.131
nsd1.deckart.us A 211.137.13.131
nsd2.deckart.us A 211.137.13.131
www.53.com.wps.portal.secure.deckart.us[/url] A 211.137.13.131
accounts.key.com.startsession.deckart.us A 211.137.13.131
nser1.grayder.net A 211.137.13.131
nser2.grayder.net A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.grayder.net[/url] A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.grayder.net[/url] A 211.137.13.131
nsl1.lengter.biz A 211.137.13.131
nsl2.lengter.biz A 211.137.13.131
www.53.com.wps.portal.secure.lengter.biz[/url] A 211.137.13.131
nirtox.biz A 211.137.13.131
www.53.com.wps.portal.secure.nirtox.biz[/url] A 211.137.13.131

- kjz

Wusl
15.08.2006, 18:15
Ebenfalls heut bei mir aufgeschlagen:

http://www.volksbank.de.vr-web.networld.onlinebanking.dimitro.info

Registrar: MIT (R141-LRMS), Melbourne.IT :sick:

Possierlich auch die nameserver:

NS1.NAMESELF.COM
NS2.NAMESELF.COM

Diese wiederum bei Melbourne.IT :sick:

Maverick

Diese Herrschaften interessieren sich für Unterstützer krimineller Aktivitäten in Australien:
SAPOL.Enquiries [at] police.sa.gov.au

Grisu_LZ22
15.08.2006, 20:30
Leo sucht wieder dumme unter:

http://www.volksbank.de.vr-web.networld.onlinebanking.heartw.info/anmelden.cgi


Mann Leo, is das langweilig was Du machst.

:jedi:

kjz1
15.08.2006, 20:51
Gleicher Spammer, nächste Runde:

http://maxinder.info

Jetzt auf selbiger IP:

sheph.name A 211.137.13.131
nss1.sheph.name A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.sheph.name A 211.137.13.131
www.53.com.wps.portal.secure.sheph.name A 211.137.13.131
131.13.137.211.zz.countries.nerd.dk A 127.0.0.156
tyhsa.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.tyhsa.info A 211.137.13.131
zverje.info A 211.137.13.131
bankofscotland.co.uk.systemupgrade.ismyi.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.ismyi.info A 211.137.13.131
www.chase.com.ccpmapp.secureprocedure_start.ismyi.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.eachdom.info A 211.137.13.131
secure.laninform.info A 211.137.13.131
www.53.com.wps.portal.secure.laninform.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.dimitro.info A 211.137.13.131
maxinder.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.maxinder.info A 211.137.13.131
53.com.wps.portal.secure.maxinder.info A 211.137.13.131
www.53.com.wps.portal.secure.maxinder.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.maxinder.info A 211.137.13.131
www.53.com.wps.portal.secure.klinher.info A 211.137.13.131
floher.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.floher.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.floher.info A 211.137.13.131
zakser.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.zakser.info A 211.137.13.131
redew.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.redew.info A 211.137.13.131
startsession.redew.info A 211.137.13.131
com.startsession.redew.info A 211.137.13.131
key.com.startsession.redew.info A 211.137.13.131
accounts.key.com.startsession.redew.info A 211.137.13.131
heartw.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.heartw.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.heartw.info A 211.137.13.131
deckart.us A 211.137.13.131
nsd1.deckart.us A 211.137.13.131
nsd2.deckart.us A 211.137.13.131
www.53.com.wps.portal.secure.deckart.us A 211.137.13.131
accounts.key.com.startsession.deckart.us A 211.137.13.131
nser1.grayder.net A 211.137.13.131
nser2.grayder.net A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.grayder.net A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.grayder.net A 211.137.13.131
nsl1.lengter.biz A 211.137.13.131
nsl2.lengter.biz A 211.137.13.131
www.53.com.wps.portal.secure.lengter.biz A 211.137.13.131
nirtox.biz A 211.137.13.131
www.53.com.wps.portal.secure.nirtox.biz A 211.137.13.131

- kjz

kjz1
16.08.2006, 08:44
neuer Anlauf:

http://heartw.info Anscheinend hat Leo jetzt gelernt, dass nur auf die Schwarzhüte bei MIT Verlass ist :(

diesmal auf dem Chinakracher im Angebot:

sheph.name A 211.137.13.131
nss1.sheph.name A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.sheph.name A 211.137.13.131
www.53.com.wps.portal.secure.sheph.name A 211.137.13.131
131.13.137.211.zz.countries.nerd.dk A 127.0.0.156
www.53.com.wps.portal.secure.deva1.cn A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.deva1.cn A 211.137.13.131
tyhsa.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.tyhsa.info A 211.137.13.131
zverje.info A 211.137.13.131
bankofscotland.co.uk.systemupgrade.ismyi.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.ismyi.info A 211.137.13.131
www.chase.com.ccpmapp.secureprocedure_start.ismyi.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.eachdom.info A 211.137.13.131
secure.laninform.info A 211.137.13.131
www.53.com.wps.portal.secure.laninform.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.dimitro.info A 211.137.13.131
maxinder.info A 211.137.13.131
bankofscotland.co.uk.systemupgrade.maxinder.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.maxinder.info A 211.137.13.131
53.com.wps.portal.secure.maxinder.info A 211.137.13.131
www.53.com.wps.portal.secure.maxinder.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.maxinder.info A 211.137.13.131
www.53.com.wps.portal.secure.klinher.info A 211.137.13.131
floher.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.floher.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.floher.info A 211.137.13.131
zakser.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.zakser.info A 211.137.13.131
banking.postbank.de.startapplication.zakser.info A 211.137.13.131
redew.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.redew.info A 211.137.13.131
startsession.redew.info A 211.137.13.131
com.startsession.redew.info A 211.137.13.131
key.com.startsession.redew.info A 211.137.13.131
accounts.key.com.startsession.redew.info A 211.137.13.131
heartw.info A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.heartw.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.heartw.info A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.sefa4.us A 211.137.13.131
deckart.us A 211.137.13.131
nsd1.deckart.us A 211.137.13.131
nsd2.deckart.us A 211.137.13.131
www.53.com.wps.portal.secure.deckart.us A 211.137.13.131
accounts.key.com.startsession.deckart.us A 211.137.13.131
nser1.grayder.net A 211.137.13.131
nser2.grayder.net A 211.137.13.131
www.bankofscotland.co.uk.systemupgrade.grayder.net A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.grayder.net A 211.137.13.131
www.volksbank.de.vr-web.networld.onlinebanking.sera6.biz A 211.137.13.131
nsl1.lengter.biz A 211.137.13.131
nsl2.lengter.biz A 211.137.13.131
www.53.com.wps.portal.secure.lengter.biz A 211.137.13.131
nirtox.biz A 211.137.13.131
www.53.com.wps.portal.secure.nirtox.biz A 211.137.13.131

- kjz

kjz1
16.08.2006, 12:31
Und Leo Phisky legt wieder nach:

http://sefa4.us

Jetzt registriert bei Jodokus Siggi.

- kjz

Maverick
16.08.2006, 12:46
Und Leo Phisky legt wieder nach:

http://sefa4.us

Jetzt regsitriert bei Jodokus Siggi.

- kjz

Administrative Contact Organization: Brbitura Com

Daß Leo Barbiturate nimmt war mir eigentlich schon immer klar... :D

Maverick

walteroffenbach
16.08.2006, 14:00
Guten Tag!
Ist "Leo" verantwortlich"? Wer genau ist Leo bitte? Gibt es Zustellanschrift (auch Ausland)?
MFG

Wuschel_MUC
16.08.2006, 14:39
Leo Kuvayev ist ein besonders übler Großspammer in Russland.

Schau hier nach:
http://www.antispam-ev.de/forum/showpost.php?p=62917&postcount=5
oder gleich bei den Experten:
http://www.spamhaus.org/rokso/listing.lasso?-op=cn&spammer=Leo%20Kuvayev%20/%20BadCow

Ladungsfähige Anschrift nützt leider nichts, er müsste schon unter den Fluch einer konkurrierenden Mafiabande fallen.

Wuschel

P.S. Wer schreibt einen Beitrag über Kuvayev in den Wiki?

schara56
16.08.2006, 19:14
Microsoft Mail Internet Headers Version 2.0
Received: from x ([213.133.97.182]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Wed, 16 Aug 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from adsl196-62-56-217-196.adsl196-10.iam.net.ma (adsl196-62-56-217-196.adsl196-10.iam.net.ma [196.217.56.62])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Wed, 16 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from atheism.foxik.com (EHLO tier.pornomir.com [16.150.26.233])
by mamma.com with SMTP ID: [ID filtered]
for <x>; Tue, 15 Aug 2006 xx:xx:xx -0800
Received: from computermail.net (unknown [102.155.130.135])
by sponsoroutpost.com with SMTP ID: [ID filtered]
for <x>; Wed, 16 Aug 2006 xx:xx:xx +0600
From: "Volksbanken Raiffeisenbanken AG" <custservice-ref-92075878999vr [at] vr-networld.de>
To: "x" <x>
Subject: Wichtige Information
XMessage-ID: [ID filtered]
User-Agent: Calypso Version 3.20.01.01 (4)
X-Mailer: Calypso Version 3.20.01.01 (4)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="8H0TEBSVFR.I2PVZ5RJ64"
Message-ID: [ID filtered]
Date: Wed, 16 Aug 2006 xx:xx:xx +0200 (CEST)
X-Spam-Status: No, hits=1.9 required=5.0 tests=HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY
autolearn=no version=2.64
X-Spam-Level: *
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: onlinesupport-id-5215235575037vr [at] volksbank.de
X-OriginalArrivalTime: 16 Aug 2006 xx:xx:xx.0552 (UTC) FILETIME=[3336D280:01C6C0F1]

http://www.volksbank.de.vr-web.networld.onlinebanking.sefa4.us/anmelden.cgi

Geschbemmt über Malaysia (http://196.217.56.62) und gehostet in China; dieses mal ist der Registrar Joker.

sefa4.us nameserver = nsd10.serverbackup64.com
sefa4.us nameserver = nsd9.serverbackup64.com

nsd9.serverbackup64.com internet address = http://58.102.73.2
nsd10.serverbackup64.com internet address = http://83.14.246.114
Alles bekannt Strukturen...

rmbedi
17.08.2006, 14:22
Selten so gelacht, nach Ausschalten des eMail-Filters hatte ich auch Wichtige Post von Volksbank, Stadt-Sparkasse Düsseldorf.

Wenn jemand auf solche eMails / verlinkte Site (wo man zur Eingabe von PIN und 10 TANS aufgefordert wird) hereinfällt ist selber schuld.:p

Wollte spasseshalber irgendwelche Daten eingeben, leider war der Seitenaufbau (via DSL) seeeehr lang. Liegt dies vielleicht an meiner Firewall + Co ?

Wuschel_MUC
17.08.2006, 17:14
Wollte spasseshalber irgendwelche Daten eingeben, leider war der Seitenaufbau (via DSL) seeeehr lang.
Vielleicht war die Seite schon platt oder die echte Bank hat gerade einen DoS-Angriff laufen lassen.

Ich würde solche Seiten nur von einem Testrechner aus anschauen, der hinterher komplett auf den Ausgangszustand zurückgesichert wird. Weiß der Kuckuck, was für Exploits auf so einer Seite zu finden sind.

Wuschel

kjz1
18.08.2006, 11:42
Heute neu:

http://pool34.st

Einen gewissen Impact scheint das WDPRS doch zu besitzen, Leo weicht jetzt häufiger auf Domains (.st, .mn) aus, die vom WDPRS nicht erfasst werden.

- kjz

Grisu_LZ22
18.08.2006, 12:40
Sagt mal Leute, warum klappt bei den Seiten von Leo das Phishfighting nicht? :nurse:

Wenn ich mit meinem Testrechner die Seite aufruf, gehts aber.

Habt Ihr ne Idee woran es liegen kann? Ich möchte doch unserem "Freund" vieeeeele unnütze Daten liefern.:skull:


:jedi:

Wuschel_MUC
18.08.2006, 13:41
Meine Vermutung: Leo Kuvayev kennt mittlerweile die IP-Nummern von phishfighting.org und sperrt sie.

Dich kennt er nicht, also kommst du drauf.

Vorsichtsmaßnahmen:

hinterher gesamte Festplatte zurücksichern wg. Malware / Exploits (s.o)
nach jeder Eingabe kurz offline und wieder online gehen, damit man eine neue IP-Nummer bekommt. Sonst merkt er gleich, dass er mit Falschdaten gefüttert wird!
Keine Phantasie-Kontonummer eingeben. Es wird bestimmt auf die Prüfziffer getestet. Am besten wären gelöschte Konten, z.B. von einer bereits abgewickelten Pleitefirma.Lieber drei glaubhafte unbrauchbare Kontonummern eingeben als 30 unglaubhafte!

Viel Spaß!
Wuschel

kjz1
18.08.2006, 14:25
Sagt mal Leute, warum klappt bei den Seiten von Leo das Phishfighting nicht?

Nun, in DANAM gibt es gerade eine Diskussion über den Quellcode einer Mortgage-Spammer-Seite. Die werden auch mit falschen Daten geflutet. Da konnte man sehen, dass Spammy ganz gezielt bestimmte IPs blockt. Leo ist ja schliesslich nicht unbedingt blöd, so etwas wie Phishfighting bekommt der auch mit.

- kjz

Goofy
18.08.2006, 15:20
Bei Phishfighting ist es aber so, dass der Phisher nicht die IP der Phishfighting-Seite, sondern die IP desjenigen sieht, der das Skript laufen lässt.
Insofern wird es Leo nicht viel nutzen, IPs zu blocken; die meisten Netzteilnehmer dürften dynamische IPs haben.
Eher schon wird er nach wiederholten Einträgen derselben IP filtern.

Maverick
19.08.2006, 11:59
Sagt mal Leute, warum klappt bei den Seiten von Leo das Phishfighting nicht?

Wenn ich mit meinem Testrechner die Seite aufruf, gehts aber.

Habt Ihr ne Idee woran es liegen kann? Ich möchte doch unserem "Freund" vieeeeele unnütze Daten liefern.




Nochmal meine Vermutung:

Wenn man mal mit der Maus über den "Anmelden"-Button fährt, sieht man das sich der übermittelte referrer je nach x/y-Koordinate des Mauszeigers innerhalb des Buttons ändert.

Wenn also ein skript 30x auf die selbe Stelle im Button clickt, weiß das auswertende skript Leo-seitig, daß da was faul ist. Ich denke die Daten werden nur angenommen wenn sich die x/y-Koordinate beim klicken in den button ändert.

Maverick

Goofy
19.08.2006, 12:31
Klingt sehr plausibel.
Lass doch dem Macher von phishfighting.com (nicht: phishfighting.org) die Info mal zukommen!

http://www.phishfighting.com/Contact.aspx?Anti_phishing=true

007
19.08.2006, 13:30
Angeln entspannt Angeln tut gut ... und weiter geht's

http://www.volksbank.de.vr-web.networld.onlinebanking.myxler.info/anmelden.cgi

Falsch: http://www.cosgan.de/images/smilie/verschiedene/f038.gif

Richtig: http://www.cosgan.de/images/smilie/verschiedene/f047.gif

:D

schara56
20.08.2006, 14:28
Return-Path: <onlinesupport-id-55692090015vr [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Sun, 20 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from 82.149.228.140 ([219.240.37.29])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Sun, 20 Aug 2006 xx:xx:xx +0200
Date: Sun, 20 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from [117.30.226.120] (HELO damask.free.fr)
by omnis.com with SMTP ID: [ID filtered]
for <x>; Sat, 19 Aug 2006 xx:xx:xx -0500
Received: from basin.regiomontano.com (EHLO kate.regiomontano.com [67.208.130.128])
by 100namesmail.com with SMTP ID: [ID filtered]
for <x>; Sun, 20 Aug 2006 xx:xx:xx +0300
From: "Volksbanken Raiffeisenbanken" <infonum_8332102774724vr [at] volksbank.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Information [Sun, 20 Aug 2006 xx:xx:xx -0200]
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: %Pxy)
User-Agent: Calypso Version 3.30.00.00
X-Mailer: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="GJ6NCFNCQEPVTSI"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.72, benoetigt 6,
BAYES_99 5.40, FROM_HAS_ULINE_NUMS 0.96, HTML_FONTCOLOR_UNSAFE 0.10,
HTML_IMAGE_ONLY_06 1.44, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_HEADER 0.70, RCVD_IN_BL_SPAMCOP_NET 1.50,
RCVD_IN_NJABL 0.10, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssss
X-MailScanner-From: onlinesupport-id-55692090015vr [at] vr-networld.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,INFO_TLD,MIME_HTML_ONLY,MSGID_FROM_MTA_HEADER,MSGID_FR OM_MTA_ID,RCVD_HELO_IP_MISMATCH,RCVD_NUMERIC_HELO)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.heartw.info/anmelden.cgi

kjz1
20.08.2006, 17:01
Jetzt für Leo neu am Start:

http://glas11.st

- kjz

kjz1
21.08.2006, 10:46
Wieder mit neuer Domain am Start:

http://txzfg.info

- kjz

walteroffenbach
21.08.2006, 13:02
Auch wenn jeder denkt, keiner fällt mehr auf so ein Phishing-Müll rein gibt es ein Restrisiko. Es nutzen auch unerfahrere User Online-Banking. Leider. Die Banken haben rationalisiert und alles läuft elektronisch. Ein GAU ist vorprogrammiert. Ich warne vor Online-Banking.

1995 haben die Programmierer noch nicht mal daran gedacht, was 2000 passiert und dann hatten sie alle nasse Füße und selbst Angst vor einem GAU. Wer sagt denn, dass 2010 alles glatt läuft?

Mittlerweile gibt es Telefonphishing. Auch von Leo?

Wuschel_MUC
21.08.2006, 13:08
Deine Bedenken bezüglich Online-Banking in allen Ehren, aber ein Jahr-2010-Problem wird es nicht geben, es hat auch kein Jahr-1990-Problem gegeben.

Auch auf die Gefahr, dass es die anderen längst wissen: das Jahr-2000-Problem kam davon, dass in älteren Datenbanken nur sechs Datums-Stellen gespeichert waren: 21.08.06 könnte also 21.08.2006 oder 21.08.1906 sein (1806, 1706... nicht auszuschließen).

Mit der Speicherung "21.08.2006" - also 8 gültigen Ziffern wird das nächste Problem am 1.1.10000 auftreten, und darüber braucht sich niemand Sorgen zu machen.

So ziemlich alle Programmpakete wurden rechtzeitig Jahr-2000-fähig gemacht. Das von vielen vorausgesagte Computerchaos am 1.1.2000 ist ausgeblieben. Warum wohl?

Bitte nicht aus dem Bauch heraus posten, sondern erst mal schlau machen!

Nichts für ungut
Wuschel

Maverick
21.08.2006, 15:20
myxler.info, glas11.st, txzfg.info...

Da sind ja wieder alle unsere Lieben vereint... Melbourne IT & Joker :sick:

Maverick

kjz1
22.08.2006, 09:02
Heute für Leo wieder frisch am Start:

http://y4xdgt.cn

- kjz

Grisu_LZ22
23.08.2006, 13:22
Heute mit:

http://www.volksbank.de.vr-web.networld.onlinebanking.orange13.st/anmelden.cgi

:jedi:

kjz1
23.08.2006, 22:15
Hatten wir schon folgende Domains:

http://paypal-1st.com

http://sleg.info

http://imporg.info

http://istration.info

http://helkert.info

http://kjhxrjs.tv

http://sleg.info

Oder hat Leo die erst für die nächsten Runs 'gebunkert'?

- kjz

Goofy
24.08.2006, 18:35
Bis auf die Paypal-Domain sind das alles noch relativ neue Domains (3. Augustwoche registriert). Sieht aus wie auf Vorrat angelegt, ns- u. A-Records existieren noch nicht. Die schaltet Leo erst kurz vor dem Phishzug über ein update zu.

schara56
25.08.2006, 14:56
Return-Path: <support_ref436114562036vr [at] volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 25 Aug 2006 xx:xx:xx +0200 (CEST)
Received: from 82.149.228.140 ([201.250.29.197])
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Fri, 25 Aug 2006 xx:xx:xx +0200
Date: Fri, 25 Aug 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
Received: from earwig.geocities.com (danzig.amp.com [43.6.72.138])
by charter.com with SMTP ID: [ID filtered]
for <x>; Fri, 25 Aug 2006 xx:xx:xx -0500
Received: from spunk.portsevendomain.biz (abuse.portsevendomain.biz [78.131.128.224])
by realboys4u.com with SMTP ID: [ID filtered]
for <x>; Fri, 25 Aug 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken 2006" <operate-ref60195395vr [at] vr-networld.de>
To: "x" <x>
Subject: {Spam?} Volksbanken Raiffeisenbanken: Anleitung
Reply-To: "Volksbanken Raiffeisenbanken" <reference_id_746071vr [at] vr-networld.de>
User-Agent: MIME-tools 5.503 (Entity 5.501)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="USZMMJJDMYQ864UX_H5QQQV"
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=12.036, benoetigt 6,
BAYES_99 5.40, HTML_FONTCOLOR_UNSAFE 0.10, HTML_MESSAGE 0.10,
MIME_HTML_ONLY 0.32, MSGID_FROM_MTA_HEADER 0.70,
PRIORITY_NO_NAME 1.21, RCVD_IN_BL_SPAMCOP_NET 1.50,
REPLY_TO_ULINE_NUMS 2.70)
X-MailScanner-SpamScore: ssssssssssss
X-MailScanner-From: support_ref436114562036vr [at] volksbank.de
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (NT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML _ONLY,MSGID_FROM_MTA_HEADER,MSGID_FROM_MTA_ID,RCVD_HELO_IP_MISMATCH,RCVD_NUMERIC _HELO)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.holter.cn/anmelden.cgi

Registriert über Joker und noch keine SoA- oder NS-Einträge vorhanden.

Goofy
25.08.2006, 21:37
holter.cn ist [immer noch/schon] inaktiv.
Registriert vorgestern bei Jodokus rechtsrhreinisch.
Centralops.net findet aber dankenswerterweise die Nameservereinträge:
Name Server:ns2.lordns.com 58.20.47.7
Name Server:ns1.lordns.com 200.114.185.147

Die erfreuen sich noch bester Gesundheit und sind [noch] nicht in Erscheinung getreten. IPs noch nicht bei Spamhaus blackgelistet.

Der nameserver-digger bei InterNic findet auf diesen IPs noch andere NS:

58.20.47.7
----------
NSD6.BANKOFFSCOTLAND-INTERNATIONAL.COM
NSD8.SERVERBACKUP64.COM
NSD6.PAYPAL-1ST.COM
NSD7.SUNNUPORNO.COM
NSD6.HELP-OUR-SON.COM
NS5.BOORDNS.NET
NS5.AKIDNS.COM

200.114.185.147
----------------
NS6.BOORDNS.NET
NS6.AKIDNS.COM

Teilweise bereits benutzt und platt, teilweise neu. :D

Kontiki
26.08.2006, 18:44
Seit kurzem gebe ich diese Volksbankadressen, notfalls ent-codiert in Pishfighting.com ein und hoffe, der füttert sie anständig mit vielen TANs. Nach der Lektüre der früheren Beiträge dazu sollte man aber vlt. nach 3-4 Einträgen wieder aufhören. Die letzte (holter) ist aktuell immer noch inaktiv.

LazyDog
31.08.2006, 18:06
Ich werde regelrecht zugeschüttet mit den wichtigen Mitteilungen der Volksbank. So sieht der letzte Header aus:

X-Envelope-From: <custservice_ref_2790761551105vr [at] vr-networld.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1157019263
Received: from 81.169.145.100 ([210.105.42.64])
by mailin.webmailer.de (8.13.6/8.13.6) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 31 Aug 2006 xx:xx:xx +0200 (MEST)
Date: Thu, 31 Aug 2006 xx:xx:xx +0200 (MEST)
Message-ID: [ID filtered]
Received: from datinglist.com (revsharehosting.com.vinavia.com [82.136.93.200])
by geocities.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 31 Aug 2006 xx:xx:xx -0500
Received: from mamma.com (helo mamma.com.kharkov.com [39.221.176.220])
by batguano.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 31 Aug 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken AG 2006" <infonum-05653838491297vr [at] volksbank.de>
To: "Niemz" <poor [at] spamvictim.tld>
X-MSMail-Priority: 3 (Normal)
Subject: amtlicher BescheID: [ID filtered]
User-Agent: SmartMailer Version 1.56 -German Privat License-
X-Mailer: SmartMailer Version 1.56 -German Privat License-
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="7C6MM253S2OSYF"
X-PMFLAGS: 570966144 0 1 PBSFU85Y.CNM


--7C6MM253S2OSYF
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit

<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META content="MSHTML 6.00.2800.1522" name=GENERATOR></HEAD>
<BODY bgcolor="#FFFFF9" text="#61EB3C">
<a href=http://www.volksbank.de.vr-web.networld.onlinebanking.nsrisadr.net/anmelden.cgi>
<img src="cid:66DE35CI79" border=0></a>
</p><p><font color="#FFFFF4">Poor things. deprecate certain "Not that you ever let that stop you, right, Annie?</font></p><p><font color="#FFFFF3">And even supposing he could make it out to the road, what were his chances of flagging down a car? No one ever put those two freak falls together? "over and over again? He could smell her*— cooked flesh, sweat, hate, madness. Pre-op shot? He remembered the dream he'd had during one of his gray-outs: Annie cocking the shotgun's twin triggers and saying If you want your freedom so badly, Paul, I'll be happy to grant it to you. His hand left the big pile of paper and stole to the single Marlboro she had put on the windowsill for him. biology</font></p>
</BODY>
</HTML>

stieglitz
31.08.2006, 20:27
Ich werde regelrecht zugeschüttet mit den wichtigen Mitteilungen der Volksbank.
Stimmt, das hört nicht auf. Ich glaube langsam das ist aus dem Ruder gelaufen. So viele Mulis haben die doch garnicht.
Zudem geht doch jedem Deppen nach dem 20. Mail ein Licht auf, dass da was nicht stimmen kann.
Das geht so doch schon seit 3-4 Wochen.

007
01.09.2006, 06:30
Stimmt, das hört nicht auf. Ich glaube langsam das ist aus dem Ruder gelaufen. So viele Mulis haben die doch garnicht.
Zudem geht doch jedem Deppen nach dem 20. Mail ein Licht auf, dass da was nicht stimmen kann.
Das geht so doch schon seit 3-4 Wochen.

3-4 Wochen ? Da biste ja noch gut bedient. Bei mir geht das schon seit gut 3-4 Monaten so. Die ansteigende Phishing-Flut kann natürlich auch bedeuten, das die Erfolgsquote bei den Betrügern immer miserabler wird. Aber durch noch mehr Mails fliegt die Betrugsabsicht nur noch fixer auf. Ich würde auch mal sagen: Der Bogen ist schon längst überspannt und diese "Geschäftsidee" hat langsam ausgedient.

schara56
01.09.2006, 06:36
Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Fri, 1 Sep 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from adsl-59840ad3.monradsl.monornet.hu (adsl-59840ad3.monradsl.monornet.hu [89.132.10.211])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Fri, 1 Sep 2006 xx:xx:xx +0200 (CEST)
Received: from downey.gmx.net (bowline.gmx.net [108.240.44.20])
by altsgalleries.com with SMTP ID: [ID filtered]
for <x>; Thu, 31 Aug 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken" <onlinesupport-id-089691409617vr [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Sehr wichtig
User-Agent: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="TSBPJJR2AOKAQRG8"
Message-ID: [ID filtered]
Date: Fri, 1 Sep 2006 xx:xx:xx +0200 (CEST)
X-Spam-Status: No, hits=2.6 required=5.0 tests=BAYES_50,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_IMAGE_ONLY_06,HTML_MESSAGE,MIME_HTML_ONLY,
PRIORITY_NO_NAME autolearn=no version=2.64
X-Spam-Level: **
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: onlinesupport-id-35956664805050vr [at] volksbank.de
X-OriginalArrivalTime: 01 Sep 2006 xx:xx:xx.0291 (UTC) FILETIME=[E3276DB0:01C6CD69]

http://www.volksbank.de.vr-web.networld.onlinebanking.nsrisadr.net/anmelden.cgi

nsrisadr.net
primary name server = nsrisadr.net
responsible mail addr = poor [at] spamvictim.tld
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)

nsrisadr.net nameserver = nsa1.nsrisadr.net
nsrisadr.net nameserver = nsa2.nsrisadr.net
nsa1.nsrisadr.net internet address = 58.20.47.7
nsa2.nsrisadr.net internet address = 58.102.73.2

schara56
03.09.2006, 09:25
Return-Path: <reference-id_29827650707vr [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 02 Sep 2006 xx:xx:xx -0000
Received: from 1-2-4-5a.gka.gbg.bostream.se (HELO 1-2-4-5a.gka.gbg.bostream.se) [82.182.109.217]
by mx0.gmx.net (mx083) with SMTP; 02 Sep 2006 xx:xx:xx +0200
Received: from gmx.net (ehlo nymph.gmx.net [26.61.49.180])
by katsprom.com with SMTP ID: [ID filtered]
for <x>; Sat, 02 Sep 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken AG 2006" <supprefnum211155800644vr [at] vr-networld.de>
To: "x" <x>
Subject: Volksbanken Raiffeisenbanken: Information Sat, 02 Sep 2006 xx:xx:xx -0500
Status: 2 (Normal)
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="BDYQMO05LIFJBOZW3YLBI6"
Date: Sat, 2 Sep 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (CAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,HTML_MESSAGE,HTML_SHORT_LINK_ IMG_2,MIME_HTML_ONLY,POSSIBLE_DIALUP_3,VOLKSBANK_PHISHING_SUBJECT4)
X-GMX-UID: [UID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.nsrisadr.net/anmelden.cgi

Lachsy
03.09.2006, 11:31
heute morgen eingetroffen

Received: from [72.128.8.59] (helo=CPE-72-128-8-59.kc.res.rr.com)
by XXXX.XXXX with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from kichimail.com (urania.netneo.com [98.164.200.28])
by citicorp.com with SMTP ID: [ID filtered]
for <XXXXX [at] XXXX>; Sat, 02 Sep 2006 xx:xx:xx -0500
Received: from grungecafe.com (capacitor.grungecafe.com [12.100.135.92])
by sexpopka.com with SMTP ID: [ID filtered]
for <XXXXX [at] XXXX>; Sun, 03 Sep 2006 xx:xx:xx +0100
From: "Volksbanken Raiffeisenbanken AG" <operator-56796900vr [at] volksbank.de>
To: "C.strobach" <XXXXX [at] XXXX>
X-Message-ID: [ID filtered]
Subject: Sehr wichtig -Sat, 02 Sep 2006 xx:xx:xx -0500
User-Agent: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Mailer: Mozilla 4.61 [en]C-CCK-MCD C-UDP; (Win98; I)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ZZWUXKOVREH21EO"
Message-ID: [ID filtered]
Date: Sun, 03 Sep 2006 xx:xx:xx +0200
Sender: customerssupport-746837621vr [at] vr-networld.de

http://www.volksbank.de.vr-web.networld.onlinebanking.kluztor.us/anmelden.cgi

schara56
03.09.2006, 17:25
Das ist ja lustisch:

Die verantwortlichen Nameserver für kluztor.us sind in der Zone KIRDENS.COM.
Kluztor.us wurde am 24.08. über (werhätteesgedacht) Melbourne IT registriert.
Kirdens.com wurde am 29.08. über estdomains.com registriert.

Was rauchen die von Melbourne IT eigentlich den ganzen Tag für Zeugs?
Bei denen kann man NS-Einträge einer nicht registrierten Domain angeben. :sick:

homer
03.09.2006, 20:00
Was rauchen die von Melbourne IT eigentlich den ganzen Tag für Zeugs?
Bei denen kann man NS-Einträge einer nicht registrierten Domain angeben. :sick:

AFAIK kann man für CNO-Domains als DNS angeben was man will, es wird nicht geprüft. Von wegen "ist doch ein Problem, ob von der Domain irgendwas erreichbar ist, Hauptsache das Ding ist registriert und wir sehen die Kohle dafür".

stieglitz
04.09.2006, 11:37
3-4 Wochen ? Da biste ja noch gut bedient.
Ich meinte damit dieses spezielle Volksbank Phishing. Phishing an sich gibt natürlich bereits viel länger.
Momentan scheinen sie mal wieder von der Volksbank auf die Sparkasse umzusteigen.
Im übrigen denke ich auch, dass sich diese "Geschäftsidee" langsam totläuft.

007
04.09.2006, 13:10
Ich meinte damit dieses spezielle Volksbank Phishing. Phishing an sich gibt natürlich bereits viel länger.
Momentan scheinen sie mal wieder von der Volksbank auf die Sparkasse umzusteigen.
Im übrigen denke ich auch, dass sich diese "Geschäftsidee" langsam totläuft.

Dann scheint's bei Dir anders zu sein. Speziell Volksbank ging bei mir schon im März los. Das war der Horrormonat (ca. 5-10 Stck. / Tag). Danach flaute es stetig ab bis auf ein - zwei Volksbank / Tag. Seit August sind's so ca. 1-2 / Woche ;)

007
04.09.2006, 17:14
Hier mal ein kleiner Überblick von meinem stolzen Archiv seit Anfang März 2006 bis heute. :D Wäre aber wahrscheinlich nochmal um 50% mehr, wenn ich das Archiv vor März und des Jahres 2005 nicht verbummelt hätte.

1. Konto Phishing

Volksbank --> 465

Sparkasse --> 89

Postbank --> 56

Deutsche Bank --> 23

Hypo Vereinsbank --> 23

Dresdner Bank --> 14

Commerzbank --> 12

Citibank --> 7

Apobank --> 3

Ausländische Banken --> 4

2. Sex, Viagra, Penis Enlargement und sonst. Schmuddelkram --> 246

3. Kreditangebote --> 37

4. Ebay und Paypal Account Phishing --> 29

5. Stockspam --> 56

6. Telekom Rechnungen --> 3

7. Mugus --> 156

8. Lotterie --> 47

9. Finanzagent Anwerbungen --> 56

10. OEM Software --> 78

12. Anhänge mit Viren / Trojanern --> 34

13. Nicht identifizierbares oder leere Mails --> 23

14. Spamanrufe --> keine (Geheimnummer)

Wie schaut Eure Sammlung aus ?

stieglitz
04.09.2006, 21:27
@007
Mensch Junge (?), das wär doch ein Job für dich. Bei mir in der Firma gehen am Tag ungefähr 20-30 Tsd. Spam Mail ein (wirklich). 99 % davon werden vorab ausgefiltert, da die Empfänger-Adressen nicht stimmen. Das bringt den Exchange Server manchmal bis zur weissglut. Mehrere Tausend gehen dann noch an Adressen wie info [at] firma.com oder mail [at] firma.com durch oder an Adressen, die in der Steinzeit des Internets noch ahnungslos veröffentlicht wurden.
Bisher ist leider noch kein Politiker darauf gekommen, Harz IV Empfänger zur Zählung von Spamm abzukommandieren. ;.)

Ach ja, die haben keine Zeit, die müssen ja Bahnen und Busse kontrollieren. :sick:
Net so ernst nehmen!

007
05.09.2006, 08:16
Kaum spricht man vom feigen Teufel... und da kommt auch schon die nächste eilige Information aus der Versenkung

Return-Path: <support-reference67986786789vr [at] vr-networld.de>
X-Flags: 0000
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 05 Sep 2006 xx:xx:xx -0000
Received: from udp008461uds.hawaiiantel.net (HELO udp008461uds.hawaiiantel.net) [72.234.165.58]
by mx0.gmx.net (mx079) with SMTP; 05 Sep 2006 xx:xx:xx +0200
Received: from ex.djmag.com (epistolatory.freeserials.com [54.48.248.200])
by ntlworld.com with SMTP ID: [ID filtered]
for <x>; Mon, 04 Sep 2006 xx:xx:xx -0500
Received: from [16.16.152.36] (HELO acquiescent.fiiqmx.net)
by ftu-rank.com with SMTP ID: [ID filtered]
for <x>; Mon, 04 Sep 2006 xx:xx:xx -0400
Organization: Volksbanken Raiffeisenbanken AG 2006 custservice-ref-07645648587941vr [at] volksbank.de
From: "Volksbanken Raiffeisenbanken AG 2006" <support-ref64646418vr [at] vr-networld.de>
To: <x>
Subject: eilige Information Mon, 04 Sep 2006 xx:xx:xx -0300
Organization: Volksbanken Raiffeisenbanken AG 2006 custservice-ref-87586867867941vr [at] volksbank.de
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
Date: Tue, 5 Sep 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]
X-Antivirus: AVG for E-mail 7.1.405 [268.11.7/436]
Mime-Version: 1.0

http://www.volksbank.de.vr-web.networld.onlinebanking.noddef.info/anmelden.cgi

mareike26
05.09.2006, 15:28
Return-Path: <customercare_239903176417758vr [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 02 Sep 2006 xx:xx:xx -0000
Received: from mon75-11-82-242-95-67.fbx.proxad.net (HELO mon75-11-82-242-95-67.fbx.proxad.net) [82.242.95.67]
by mx0.gmx.net (mx081) with SMTP; 02 Sep 2006 xx:xx:xx +0200
Received: from [108.112.84.116] (HELO carrion.brainpod.com)
by thumbserver.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sat, 02 Sep 2006 xx:xx:xx -0800
From: "Volksbanken Raiffeisenbanken AG 2006" <online_support_id_799391961vr [at] volksbank.de>
To: "xyc" <poor [at] spamvictim.tld>
Subject: Volksbanken Raiffeisenbanken: Sehr wichtig -Sat, 02 Sep 2006 xx:xx:xx -0700
X-AntiVirus: OK! AntiVir MailGate Version 2.0.1; AVE: 6.15.0.0; VDF: 6.15.0.6
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="112I8KHM.DJME.COS_7SRQ"
Date: Sat, 2 Sep 2006 xx:xx:xx +0200
Message-ID: [ID filtered]

http://www.volksbank.de.vr-web.networld.onlinebanking.kluztor.us/anmelden.cgi

Lachsy
07.09.2006, 15:06
Received: from [141.154.233.87] (helo=pool-141-154-233-87.bos.east.verizon.net)
by mx23.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from all.bg (unknown [129.64.144.196])
by vampiregals.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 07 Sep 2006 xx:xx:xx -0500
From: "Volksbanken Raiffeisenbanken 2006" <onlinesupport_id-73457476692vr [at] vr-networld.de>
To: "XXXX" <XXXXXX>
Subject: Wichtige Information -Thu, 07 Sep 2006 xx:xx:xx +0600
X-MSMail-Priority: 3 (Normal)
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="XNGM8E4B18JIM.NJHZ"
Message-ID: [ID filtered]
Date: Thu, 07 Sep 2006 xx:xx:xx +0200
Sender: operate_ref348786734692vr [at] vr-networld.de

http://www.volksbank.de.vr-web.networld.onlinebanking.ioda.biz/anmelden.cgi

xfred
08.09.2006, 01:34
hallo zusammen, wo kommt der shit her, glaube langsam dass vieles gar nicht an mich gesendet wird.
teilweise sind auch nur die Empfänger-Adressen mit den ersten fünf Zeichen ähnlich.


Return-Path: <customercare-444745431vr [at] vr-networld.de>
Received: from mailin12.aul.t-online.de (mailin12.aul.t-online.de [172.20.26.70])
by mhead19 with LMTP; Thu, 07 Sep 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.9 ([59.86.229.92]) by mailin12.sul.t-online.de
with smtp ID: [ID filtered]
Received: from kaspersky-labs.com (hideakifan.com.imaginebx.com [88.0.82.208])
by hoodratchicks.com with SMTP ID: [ID filtered]
for <*@t-online.de>; Thu, 07 Sep 2006 xx:xx:xx -0500
Received: from ciberaula.infase.es (EHLO advice.ciberaula.infase.es [66.207.176.20])
by myramstore.com with SMTP ID: [ID filtered]
for <*@t-online.de>; Thu, 07 Sep 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken AG" <supprefnum1716999996vr [at] vr-networld.de>
To: "*" <*@t-online.de>
X-OriginalArrivalTime: Thu, 07 Sep 2006 xx:xx:xx -0500
Subject: *SPAM* Wichtige Information -Thu, 07 Sep 2006 xx:xx:xx -0300
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
X-TOI-SPAM: y;1;2006-09-07Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: Spam, Normal
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <poor [at] spamvictim.tld>
X-Antivirus: AVG for E-mail 7.1.405 [357.18.1/460]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="=======AVGMAIL-4500A3B06A33======="

--------------------------------------------------------------------------
--------------------------------------------------------------------------
oder mal als Quelltext,
--------------------------------------------------------------------------

Return-Path: <customercare-444745431vr [at] vr-networld.de>
Received: from mailin12.aul.t-online.de (mailin12.aul.t-online.de [172.20.26.70])
by mhead19 with LMTP; Thu, 07 Sep 2006 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from 194.25.134.9 ([59.86.229.92]) by mailin12.sul.t-online.de
with smtp ID: [ID filtered]
Received: from kaspersky-labs.com (hideakifan.com.imaginebx.com [88.0.82.208])
by hoodratchicks.com with SMTP ID: [ID filtered]
for <*@t-online.de>; Thu, 07 Sep 2006 xx:xx:xx -0500
Received: from ciberaula.infase.es (EHLO advice.ciberaula.infase.es [66.207.176.20])
by myramstore.com with SMTP ID: [ID filtered]
for <*@t-online.de>; Thu, 07 Sep 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken AG" <supprefnum1716999996vr [at] vr-networld.de>
To: "*" <*@t-online.de>
X-OriginalArrivalTime: Thu, 07 Sep 2006 xx:xx:xx -0500
Subject: *SPAM* Wichtige Information -Thu, 07 Sep 2006 xx:xx:xx -0300
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
X-TOI-SPAM: y;1;2006-09-07Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: Spam, Normal
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <poor [at] spamvictim.tld>
X-Antivirus: AVG for E-mail 7.1.405 [299.18.3/770]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="=======AVGMAIL-4500A3B06A33======="

--=======AVGMAIL-4500A3B06A33=======
Content-Type: multipart/related; boundary=JKETIAKP9DF087GWFH

--JKETIAKP9DF087GWFH
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit


<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META content="MSHTML 6.00.2800.1522" name=GENERATOR></HEAD>
<BODY bgcolor="#FFFFFA" text="#562F7D">
<a hREf=http://www.volksbank.de.vr-web.networld.onlinebanking.ioda.biz/anmelden.cgi>
<img src="cid:IAOQWI5O2Y" border=0></a>
</p><p><font color="#FFFFF9">Well, there was the fever*— he had-spent a week in bed with that. bamberger choke "she asked softly.</font></p><p><font color="#FFFFF2">When he was done, he would roll the wheelchair slowly (he could have gone much faster, but it was just as well that Annie should not know that) over to the bed. It's not you that needs the Novril; you're feeding it to the monkey. "He found a handful of hot, charry paper. No. If she looked more dead, old chap. "she screamed, her mouth yawning wide, and he was suddenly looking into the dank red-lined pit of the goddess. With a lot of water in the cellar and the mistress of the manor gone, he had heard them in the walls. alluvium</font></p>
</BODY>
</HTML>

--JKETIAKP9DF087GWFH
Content-ID: [ID filtered]
Content-Type: image/gif; name=alumni.gif
Content-Transfer-Encoding: base64

- Base64 encodedes GIF entfernt -

--JKETIAKP9DF087GWFH--
--=======AVGMAIL-4500A3B06A33=======
Content-Type: text/plain; x-avg=cert; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Content-Description: "AVG certification"

No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.405 / Virus Database: 268.12.1/440 - Release Date: 06.09.2006

--=======AVGMAIL-4500A3B06A33=======--


Ab in den ÖKO-EIMER

xfred
08.09.2006, 01:39
Kurz zur Info,


wat * in Essen
bin ich vieleicht im trinken

aber ansonsten sagt mir diese Adresse nix

hoffe der * ist mir nicht böse

sis
08.09.2006, 02:19
wat * in Essen
bin ich vieleicht im trinken
aber ansonsten sagt mir diese Adresse nix
hoffe der schmiess ist mir nicht böseDie T-Online eMail-Adresse gehört einem völlig Unschuldigen und sollte so schnell wie möglich aus Deinem Quote entfernt werden. Du hast den Spam nur bekommen, weil Du im BCC-Feld des Spams eingetragen warst.

Genauso hast Du sicherlich schon anderen Spam erhalten, der tatsächlich Deine eMail-Adresse im Header hat. Diesen Spam wiederum haben dann auch andere als BCC (Blindkopie) erhalten. Du würdest Dich sicherlich nicht freuen, wenn Deine Adresse dann offen gepostet würde. Mit dem Veröffentlichen von eMail-Adressen ist immer eine schlagartige Erhöhung des Spamaufkommens verbunden, da diese hier natürlich wie überall im Internet pausenlos "abgeerntet" (geharvestet) werden.

xfred
08.09.2006, 03:07
hallo sis,

war unbeabsichtigt (zu kurz gedacht), wollte keinen Unschuldigen kompromitieren,
Nun mein Problem, versuche angestrengt, meinen letzten Beitrag zu bearbeiten, komme aber nicht dran. Kann mir da mal jemand Hilfestellung geben.
Wollte den BBCode "Header" anwenden, hat aber nicht geklappt.

kann einer der Mods vielleicht mein verunglücktes Posting entschärfen? Danke

exe
08.09.2006, 07:48
kann einer der Mods vielleicht mein verunglücktes Posting entschärfen?
[x] done

Beträgen können nur kurze Zeit vom Ersteller editiert werden. Ich hab mir auch erlaubt dein Posting etwas mit unseren Tags umzuformatieren und das base64 encodete GIF zu entfernen.

Willkommen im Forum. :)

Telekomunikacja
13.09.2006, 10:03
Return-Path: <infonum-746061vr [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 12 Sep 2006 xx:xx:xx -0000
Received: from BRTEL195066.res-com.brtel.com.br (HELO brtel195066.res-com.brtel.com.br) [200.159.195.66]
by mx0.gmx.net (mx088) with SMTP; 12 Sep 2006 xx:xx:xx +0200
Received: from hedonistica.com (helo dslextreme.com.webpromhost.com [86.240.28.0])
by brainpod.com with SMTP ID: [ID filtered]
for XXX; Tue, 12 Sep 2006 xx:xx:xx -0800
Received: from eighteen.surrealismo.com (unknown [26.119.7.48])
by yatroo.com with SMTP ID: [ID filtered]
for XXX; Wed, 13 Sep 2006 xx:xx:xx +0300
From: "Volksbanken Raiffeisenbanken" <support_reference484106425422701vr [at] vr-networld.de>
To: XXX
Subject: obligatorisch zu lesen Tue, 12 Sep 2006 xx:xx:xx -0800
X-Authenticated: #21823854
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="T2RK_2AH43DBP4CAVG8G"
Date: Tue, 12 Sep 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (S_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESS AGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY)
X-GMX-UID: [UID filtered]


http://www.volksbank.de.vr-web.networld.onlinebanking.iousfo.ph/anmelden.cgi

kjz1
28.09.2006, 14:59
Jetzt ist bei Leo Hong Kong dran:

http://www.volksbank.de.vr-web.networld.onlinebanking.ganfimo.hk/anmelden.cgi

http://www.volksbank.de.vr-web.networld.onlinebanking.sisane.hk/anmelden.cgi

- kjz

exe
29.09.2006, 08:11
Ich ergänze:
http://www.volksbank.de.vr-web.networld.onlinebanking.hreni.biz/anmelden.cgi

Betrachte ich die letzten zehn Tage, kommt fast jeden Tag alleine auf einer einzelnen T-Offnline-Adresse ca. täglich ein VR-Phishing an. Mich wundert dass dieses Phishing mit E-Mails noch so aktiv betrieben wird. Aus der Praxis entsteht der Eindruck, dass mit Tojanern zur Zeit deutlich mehr PINs/TANs gephised wird als mit diesen nervenden E-Mails. Außerdem ist erstaunlich, dass sich Leo so auf die VR-Banken eingeschossen hat, was auch an dem simplen PIN/TAN-Verfahren liegen könnte.

kjz1
29.09.2006, 08:33
Außerdem ist erstaunlich, dass sich Leo so auf die VR-Banken eingeschossen hat, was auch an dem simplen PIN/TAN-Verfahren liegen könnte.

Sagen wir mal so: ich hatte Kontakt mit den Abuse-Abteilungen versch. Banken. Andere Banken machten mir da einen kompetenteren Eindruck, die hatten die entsprechenden Phishing-Seiten auch viel schneller 'aus dem Netz geschossen'. Alles evtl. eine Frage der Erfolgsquote? Leo ist ja nicht unbedingt doof....

- kjz

sis
29.09.2006, 12:54
Leo ist ja nicht unbedingt doof....Ich denke, dass die in jedem Kleindorf etablierten Volksbanken in Deutschland (neben Postbank und den Sparkassen) die meisten Privatkunden haben. Diese werden sehr effektiv schon im Grundschulalter geködert - die meisten bleiben ein Leben lang dabei - und haben nach vielen Jahren oft ein fast grenzenloses Vertrauen in ihre Bank.

Also ideale Phishing-Opfer :sick: mit großer Spam-Anklickrate.

mink
30.09.2006, 12:37
Kann einer dem leo mal ein ordentliches CRM (oder zur Strafe für die bösen Taten ein Siebel) verkaufen?
Auf einen "Volksbank: die wichtige Mitteilung" fall ich als Volksbank-Kunde vielleich noch rein (Kundenprofil siehe oben) aber ab dem 5. werde ich schon misstrauisch. Ich bin zur Zeit bei knapp 30.
Kann einer den Volksbank-Administratoren das Geheimnis der Referrer erklären (die Phishing Seiten sind mittels Pattern klar zu erkennen) und dann, mit ein bisschen CGI den VR-Server aufzumotzen ?
Nach dem Motto, kommst Du von einer Phishing-Seite, dann bekommst Du nicht unsere nette Homepage, sondern eine deutliche Warnung.

007
30.09.2006, 12:47
hallo zusammen, wo kommt der shit her, glaube langsam dass vieles gar nicht an mich gesendet wird.
teilweise sind auch nur die Empfänger-Adressen mit den ersten fünf Zeichen ähnlich.

Meist wird unter E-mail Gruppennamen versendet. Wenn man einmal darauf achtet, wird man feststellen, dass auch Viagra & Co und anderer Unfug unter diesen Gruppennamen versendet wird. Stammt also alles aus einer Hand, die recht breit und flächendeckend über den gesamten Klobus gefächert ist :cool:

exe
02.10.2006, 09:54
Kann einer den Volksbank-Administratoren das Geheimnis der Referrer erklären (die Phishing Seiten sind mittels Pattern klar zu erkennen) und dann, mit ein bisschen CGI den VR-Server aufzumotzen ?
Nach dem Motto, kommst Du von einer Phishing-Seite, dann bekommst Du nicht unsere nette Homepage, sondern eine deutliche Warnung.
Auf Mails mit solchen Inhalten kommen bei fast allen Banken nur dämliche Textbausteine. Manchmal habe ich das Gefühl den Banken ist es piepegal, was da abgeht. :sick:

Achja: Andere verkaufen einen solchen simplen Filter als Heitech:
http://www.heise.de/security/news/meldung/77570

Wir sollten eine Sicherheitsfirma gründen und die Idee als Sicherheitspaket für Banken vermarkten. *pling pling*

mink
02.10.2006, 13:13
ich mach mit....:welcome:

kjz1
07.10.2006, 18:15
Leo ist jetzt auch in Japan unterwegs:

http://www.internetbanking.gad.de.mavr3.jp/i/v/index.html

Was aber auch nur wieder umleitet auf:

One or more CNAMEs were encountered. mavr3.jp is really eaturingap.hk.

http://eaturingap.hk

und wieder:

http://www.volksbank.de.vr-web.networld.onlinebanking.eormych.hk/anmelden.cgi

- kjz

007
07.10.2006, 19:58
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=11143837&forum_id=104132 :lol:

kjz1
07.10.2006, 21:41
Auf ein neues, Leo ist ja auch ein Meister im Domain verbrennen:

http://www.volksbank.de.vr-web.networld.onlinebanking.inthese.hk/anmelden.cgi

Der Registrar aus Hong Kong antwortet sogar (Ignorebot?), ob man die Mail an die örtliche Polizei weiterleiten dürfe. Aber sicher doch... Hilfreicher wäre es aber, die Domain sobald als möglich auf Registrar Hold zu setzen, da bräuchte man keine Behörden für.

- kjz

sis
08.10.2006, 20:52
http://www.vr-networld.de/designs/vrnetworld/background_schmal.jpg

Sehr geehrter Nutzer der Volksbanken Raiffeisenbanken Online-Bankings,
wir freuen uns Ihnen neue Informationen über die Sicherheit im Internet erteilen zu dürfen.
Bitte lesen sie es aufmerksam!

Weltweit gilt das Online-Banking durch TAN Verfahren als eines der sichersten Legitimations-Verfahren für Online-Bankgeschafte. Dennoch gab es in letzter Zeit immer wieder Versuche, auf betrugerische Art und Weise das Geld von Volksbanken Raiffeisenbanken Kunden ins Ausland zu überweisen.

Leider ist uns momentan das Verfahren, dass die Betrüger benutzen, nicht bekannt.

Um unsere Kunden von Betrüger zu schützen, hat unser Sicherheitsteam für neue Schutzmassnahmen entschieden. Beachten sie bitte, dass die Einsetzung dieser Schutzmassnahmen erforderlich für alle Volksbanken Raiffeisenbanken Kunden ist!

Um diese Massnahmen einführen zu können, müssen sie 3 TANs aus ihrer aktuellen Tan-Liste eingeben.

Folgen sie bitte diesen Link, um Ihr Konto bei der Volksbanken Raiffeisenbanken zu authentifizieren — https://www.volksbank.vr-networld.de/frames/verify.php
[http://www.internetbanking.gad.de.diatorgrillef.tv/i/v/index.html]

Achtung! Wir bitten unsere Kunden um Verständnis fur diese Überprufung. Alle Volksbanken- Raiffeisenbankenkonten die nicht innerhalb eines Tages authentifiziert werden, werden gesperrt!
© 2006 Volksbanken RaiffeisenbankenIst da ein Trittbrettfahrer unterwegs? Kein GIF im Anhang, und dann auch noch ganz offen aus Russland versandt: 195.131.125.228 (ip228.125.adsl.wplus.ru).
Dafür spricht auch der Alias des eMail-Adressaten im "To:"-Feld, der bei Leo's Phishing-Spam seit März'06 einheitlich auf ["Xyz" <xyz [at] domain.tld>] umgewandelt wird. Obiger Spammer hat dagegen keinen Alias angegeben.

Hier noch der anonymisierte und auf das Wichtigste gekürzte Header:Received: from ip228.125.adsl.wplus.ru ([195.131.125.228]) by xyz.de
From: "Volksbanken-Raiffeisenbanken Security Team" <...>
Subject: Neue Schutzmassnahmen der Volksbanken-Raiffeisenbanken!
Date: Sat, 7 Oct 2006 18:xx:00 +0400
X-Mailer: Microsoft Outlook Express 6.00.2900.2527

kjz1
08.10.2006, 21:16
Nun, wenn man das Unterverzeichnis /i/v/ der Website sieht, spricht da einiges wieder für den vorgefertigten Phishing-Kit, den Leo aber auch schon im Angebot hatte. Und im Whois als Kontakt eine @Safe-mail.net Adresse. Das war auch schon bei Leos .hk Phishs der Fall. Ich würde eher darauf tippen, dass Leo seine Ratware gewechselt hat oder in seinem Spam-Konzern jetzt eine andere 'Unterabteilung' für die Volksbank zuständig ist...

- kjz

kjz1
09.10.2006, 13:39
Heute wieder frisch:

http://www.volksbank.de.vr-web.networld.onlinebanking.isapdl.hk/anmelden.cgi

- kjz

kjz1
09.10.2006, 20:43
Jetzt auch mit .us:

http://www.volksbank.de.vr-web.networld.onlinebanking.kajs76.us/anmelden.cgi

- kjz

kjz1
10.10.2006, 08:44
.cc läßt Leo natürlich auch nicht aus:

http://www.volksbank.de.vr-web.networld.onlinebanking.zero1t.cc/anmelden.cgi

und

http://www.volksbank.de.vr-web.networld.onlinebanking.glo3q.biz/anmelden.cgi

- kjz

schara56
10.10.2006, 13:02
Microsoft Mail Internet Headers Version 2.0
Received: from x ([x]) by x with Microsoft SMTPSVC(6.0.3790.1830);
Tue, 10 Oct 2006 xx:xx:xx +0200
Received: by x (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from c951ee33.virtua.com.br (c951ee33.virtua.com.br [201.81.238.51])
by x (Postfix) with SMTP ID: [ID filtered]
for <x>; Tue, 10 Oct 2006 xx:xx:xx +0200 (CEST)
Received: from episode.hostsila.com (unknown [14.136.194.132])
by interptr.com with SMTP ID: [ID filtered]
for <x>; Tue, 10 Oct 2006 xx:xx:xx -0800
Received: from regiomontano.com (unknown [96.28.228.79])
by jackasscritics.com with SMTP ID: [ID filtered]
for <x>; Tue, 10 Oct 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken AG 2006" <supprefnum17084036051430vr [at] volksbank.de>
To: "x" <x>
Delivered-To: x
Subject: Volksbanken Raiffeisenbanken Internet Banking -Tue, 10 Oct 2006 xx:xx:xx +0300
User-Agent: Pegasus Mail for Win32 (v2.53/R1)
X-Mailer: Pegasus Mail for Win32 (v2.53/R1)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="WTK03DBRZLDD7BI"
Message-ID: [ID filtered]
Date: Tue, 10 Oct 2006 xx:xx:xx +0200 (CEST)
X-Spam-Status: No, hits=2.1 required=5.0 tests=BIZ_TLD,HTML_30_40,
HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,MIME_HTML_ONLY autolearn=no
version=2.64
X-Spam-Level: **
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on x
Return-Path: support_ref685968782vr [at] volksbank.de
X-OriginalArrivalTime: 10 Oct 2006 xx:xx:xx.0875 (UTC) FILETIME=[51637FB0:01C6EC4D]

http://www.volksbank.de.vr-web.networld.onlinebanking.glo3q.biz/anmelden.cgi

Momo
17.10.2006, 01:09
Ist ja schön, dass Ihr alle Eure spam mails hier reinkopiert, die kommen mir ja alle sehr bekannt vor. Aber wie wird man die los???

Absender blockieren nützt nichts, einschlägige Wörter in die Nachrichtenregeln aufnehmen auch nicht, mein Antivirenprogramm schlägt bei jeder mail aus, aber trotzdem finde ich die "Volksbank" immer wieder in meinem Posteingang..

Wer ist die Dinger erfolgreich losgeworden????

Skeeve
17.10.2006, 08:15
Die wirst Du nur los, wenn Du Deine Mailadresse änderst. Das ist ja das Problem...

Lachsy
19.10.2006, 12:24
Received: from [82.160.97.40] (helo=charon.airnet.opole.pl)
by mx19.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from catatonia.aquahelix.com (unknown [110.0.88.53])
by jtnets.com with SMTP ID: [ID filtered]
for <xxxxxxxxx; Thu, 19 Oct 2006 xx:xx:xx -0800
Received: from [84.31.75.174] (HELO pgawtn.com)
by pay-host.com with SMTP ID: [ID filtered]
for <xxxxxxxxxx>; Thu, 19 Oct 2006 xx:xx:xx -0400
From: "Volksbanken Raiffeisenbanken" <customerssupport_51641331641vr-id [at] vr-networld.de>
To: "xxxxxx" <xxxxxx>
Subject: Banking -Thu, 19 Oct 2006 xx:xx:xx -0800
X-Sender: custservice_ref_344423695206639vr-id [at] volksbank.de
User-Agent: Calypso Version 3.30.00.00
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="7WMKPDKMTF9LARCTS"
Message-ID: [ID filtered]
Date: Thu, 19 Oct 2006 xx:xx:xx +0200
Sender: customerssupport_6782989434vr-id [at] vr-networld.de

http://www.volksbank.de.vr-web.networld.werti5.biz/anmelden.asp

Lachsy
20.10.2006, 22:56
Received: from [82.226.148.12] (helo=jus25-1-82-226-148-12.fbx.proxad.net)
by mx25.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from jawbreak.i-cable.com (helo prove.milftape.com [22.206.158.211])
by samokat.com with SMTP ID: [ID filtered]
for <xxxxxx>; Fri, 20 Oct 2006 xx:xx:xx -0800
Received: from [18.6.96.96] (HELO stoichiometry.qldsugar.com)
by motor-parts.com with SMTP ID: [ID filtered]
for <xxxxxx>; Fri, 20 Oct 2006 xx:xx:xx -0100
From: "Volksbanken Raiffeisenbanken" <customerssupport-872976317344vr-id [at] vr-networld.de>
To: "xxxxl" <xxxxxx>
Subject: Volksbanken Raiffeisenbanken: Sehr wichtig [Fri, 20 Oct 2006 xx:xx:xx -0100]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-Mailer: Pegasus Mail for Win32 (v2.53/R1)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="HDF3QC._Z.5YK0JR51D.DQ"
Message-ID: [ID filtered]
Date: Fri, 20 Oct 2006 xx:xx:xx +0200
Sender: infonum_1761223275vr-id [at] vr-networld.de


http://www.volksbank.de.vr-web.networld.eislandstoset.bt/anmelden.asp

Received: from [24.168.69.175] (helo=cpe-24-168-69-175.si.res.rr.com)
by mx23.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from search.com (ferrous.interptr.com [24.101.180.246])
by rosmebel.com with SMTP ID: [ID filtered]
for <xxxxxxx>; Fri, 20 Oct 2006 xx:xx:xx -0800
Received: from kellychen.com (EHLO quitting.kellychen.com [87.251.219.19])
by clubphaselis.com with SMTP ID: [ID filtered]
for <xxxxxxxx>; Fri, 20 Oct 2006 xx:xx:xx +0400
From: "Volksbanken Raiffeisenbanken" <custservice-ref-481614vr-id [at] volksbank.de>
To: "xxxxx" <xxxxxx>
Subject: Volksbanken Raiffeisenbanken: amtliche Nachrichten -Fri, 20 Oct 2006 xx:xx:xx -0800
Importance: Normal
User-Agent: MIME-tools 4.104 (Entity 4.116)
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="KDT_QOWBX8VF38MCQ4W"
Message-ID: [ID filtered]
Date: Fri, 20 Oct 2006 xx:xx:xx +0200
Sender: online-support_id_69068194vr-id [at] vr-networld.de
http://www.volksbank.de.vr-web.networld.shcamet.hk/anmelden.asp

kjz1
22.10.2006, 20:19
Heute für Leo am Start:

Return-Path: <supprefnum3618476510438vr-id [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 22 Oct 2006 xx:xx:xx -0000
Received: from ALyon-152-1-62-72.w86-193.abo.wanadoo.fr (HELO ALyon-152-1-62-72.w86-193.abo.wanadoo.fr) [86.193.197.72]
by mx0.gmx.net (mx002) with SMTP; 22 Oct 2006 xx:xx:xx +0200
Received: from no-ip.com (helo uaportal.com.symbol.com [120.237.96.218])
by idealbandwidth.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 23 Oct 2006 xx:xx:xx -0800
Received: from thou.amqa.com (HELO amqa.com.supersuka.com [81.178.220.96])
by host-offshore.com with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 23 Oct 2006 xx:xx:xx -0100
X-Sender: infonum_35677997568764vr-id [at] volksbank.de
From: "Volksbanken Raiffeisenbanken" <customerssupport-46731vr-id [at] vr-networld.de>
To: "Kjz-kreuznach" <poor [at] spamvictim.tld>
Subject: Internet-Banking Mon, 23 Oct 2006 xx:xx:xx +0400
X-Sender: infonum_35677997568764vr-id [at] volksbank.de
User-Agent: PObox II beta1.0
X-Mailer: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="16NZNA7C4VWQZ6N"
Date: Sun, 22 Oct 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 5 (NT_LOW_CONTRAST,HTML_IMAGE_ONLY_12,HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML _ONLY,POSSIBLE_DIALUP_3,POSSIBLE_DIALUP_4)
X-GMX-UID: [UID filtered]



http://www.volksbank.de.vr-web.networld.tionthhe.com.bz/anmelden.asp

- kjz

Lachsy
24.10.2006, 11:59
Received: from [82.234.137.120] (helo=bau06-3-82-234-137-120.fbx.proxad.net)
by mx29.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from been.cashandclicks.com (msn.com.protgp.com [62.88.237.240])
by gostats.com with SMTP ID: [ID filtered]
for xxxxx; Tue, 24 Oct 2006 xx:xx:xx -0800
Received: from altern.org (altern.org.topdepo.com [54.28.19.4])
by fast-ping.com with SMTP ID: [ID filtered]
for xxxxxx; Tue, 24 Oct 2006 xx:xx:xx -0600
From: "Volksbanken Raiffeisenbanken AG" <reference-id_37228488036vr-id [at] volksbank.de>
To: "xxxxxx
Subject: Volksbanken Raiffeisenbanken informiert Sie Tue, 24 Oct 2006 xx:xx:xx -0800
XMessage-ID: [ID filtered]
User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Mailer: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ICPJMEDO4_ZXNXM"
Message-ID: [ID filtered]
Date: Tue, 24 Oct 2006 xx:xx:xx +0200
Sender: operate_ref408727786305592vr-id [at] vr-networld.de

http://www.volksbank.de.vr-web.networld.loreta.biz/anmelden.de

Received: from [70.77.21.98] (helo=S01060040ca885dbe.ca.shawcable.net)
by mx19.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
Received: from demarcate.info.gamanetwork.com (helo info.gamanetwork.com.ledzeppelin.com [114.46.185.94])
by untd.com with SMTP ID: [ID filtered]
for xxxxxxx; Mon, 23 Oct 2006 xx:xx:xx -0800
Date: Mon, 23 Oct 2006 xx:xx:xx +0100
From: "Volksbanken Raiffeisenbanken AG 2006" <customercare_19058vr-id [at] volksbank.de>
To: "xxxxxx
Subject: Volksbanken Raiffeisenbanken: Online-Banking -Tue, 24 Oct 2006 xx:xx:xx +0500
Date: Mon, 23 Oct 2006 xx:xx:xx +0100
User-Agent: Internet Mail Service (5.5.2650.21)
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="ASMWRQK3P79AZNE1N883QN"
Message-ID: [ID filtered]
Sender: supprefnum57125848856971vr-id [at] vr-networld.de

http://www.volksbank.de.vr-web.networld.tionthhe.com.bz/anmelden.asp

kjz1
25.10.2006, 21:49
Frisch von Leo heute:

http://www.volksbank.de.vr-web.networld.issue.web.com/anmelden.asp

- kjz

007
26.10.2006, 11:05
Auch gaaaanz frisch reingekommen :p

http://www.volksbank.de.vr-web.networld.issue.web.com/anmelden.asp

Bitte wieder löschen. Danke ! :o

mareike26
27.10.2006, 12:59
Return-Path: <infonum_3377503126415vr-id [at] vr-networld.de>
X-Flags: 1001
Delivered-To: GMX delivery to xxx
Received: (qmail invoked by alias); 25 Oct 2006 xx:xx:xx -0000
Received: from 135.Red-213-97-217.staticIP.rima-tde.net (HELO 135.Red-213-97-217.staticIP.rima-tde.net) [213.97.217.135]
by mx0.gmx.net (mx029) with SMTP; 25 Oct 2006 xx:xx:xx +0200
Received: from porn-screen.com (unknown [108.230.217.204])
by digitalua.com with SMTP ID: [ID filtered]
for <xxx>; Wed, 25 Oct 2006 xx:xx:xx -0700
Received: from bimolecular.info.gamanetwork.com (ehlo betsy.info.gamanetwork.com [137.152.188.6])
by niftyserve.com with SMTP ID: [ID filtered]
for <xxx>; Wed, 25 Oct 2006 xx:xx:xx +0500
From: "Volksbanken Raiffeisenbanken AG" <supprefnum2009315508vr-id [at] volksbank.de>
To: "xyz" <xxx>
Subject: Volksbanken Raiffeisenbanken: obligatorisch zu lesen -Wed, 25 Oct 2006 xx:xx:xx -0700
Status: 8 (Normal)
User-Agent: PObox II beta1.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="KL9_UKBZCLB3W5"
Date: Wed, 25 Oct 2006 xx:xx:xx +0200
Message-ID: [ID filtered]

http://www.volksbank.de.vr-web.networld.issue.web.com/index.php

sis
27.10.2006, 13:53
Vorschlag:
Da Leo uns weiterhin mit "wichtig zu lesenden" Bankinfos zulöffelt und die hier geposteten eMail-Header auf Dauer so aussagekräftig sind wie der ahnungslose DAU des nur über die Staatsanwaltschaft ermittelbaren DSL-Anschlusses, müsste es doch ausreichen, wenn wir hier nur noch die URLs listen. Das würde diesen und die anderen Phishing-Threads sicherlich übersichtlicher machen, oder?

Grüße, sis

P.S.: http://www.volksbank.de.vr-web.networld.jorder.cc/anmelden.asp

sis
27.10.2006, 15:51
http://www.volksbank.de.vr-web.networld.lugers.biz/anmelden.asp

schara56
27.10.2006, 18:14
Return-Path: <customersupport_7397487393681bv [at] berliner-volksbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: (qmail invoked by alias); 27 Oct 2006 xx:xx:xx -0000
Received: from 20179188153.user.veloxzone.com.br (HELO 20179188153.user.veloxzone.com.br) [201.79.188.153]
by mx0.gmx.net (mx067) with SMTP; 27 Oct 2006 xx:xx:xx +0200
Received: from atlanta.com (unknown [96.109.208.78])
by free.fr with SMTP ID: [ID filtered]
for <x>; Fri, 27 Oct 2006 xx:xx:xx -0700
From: "Berliner Volksbank" <customersupport_7397487393681bv [at] berliner-volksbank.de>
To: "x" <x>
Subject: Softwareupdate
Status: 0 (Normal)
X-Mailer: MailGate v3.0
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="B99O76AZ8K1V0GFRCXSNZ"
Date: Fri, 27 Oct 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (,FROM_HAS_ULINE_NUMS,FROM_LOCAL_HEX,HTML_FONT_LOW_CONTRAST,HTML_IMAGE_ONLY_16,H TML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,ROUND_THE_WORLD_LOCAL)
X-GMX-UID: [UID filtered]

http://www.berliner-volksbank.de.navigation.loreta.biz/procedure.jsp

Hmmm...wie schaut das eigentlich im DNS aus?
> set q=soa
> loreta.biz

Nicht autorisierte Antwort:
loreta.biz
primary name server = dns01.gpn.register.com
responsible mail addr = partnersupport.register.com
serial = 2002050701
refresh = 10001 (2 hours 46 mins 41 secs)
retry = 1801 (30 mins 1 sec)
expire = 604801 (7 days 1 sec)
default TTL = 181 (3 mins 1 sec) Kurze cache-Zeit; typisch für dynamische A-Einträge

loreta.biz nameserver = dns03.gpn.register.com
loreta.biz nameserver = dns04.gpn.register.com
loreta.biz nameserver = dns05.gpn.register.com
loreta.biz nameserver = dns01.gpn.register.com
loreta.biz nameserver = dns02.gpn.register.com
dns01.gpn.register.com internet address = 69.25.142.1
dns02.gpn.register.com internet address = 216.52.184.230
dns03.gpn.register.com internet address = 63.251.92.193
dns04.gpn.register.com internet address = 64.74.96.242
dns05.gpn.register.com internet address = 70.42.37.1

> set q=a
> 69.25.142.1
Name: dns1.name-services.com
Address: 69.25.142.1

> 216.52.184.230
Name: dns2.name-services.com
Address: 216.52.184.230

> 63.251.92.193
Name: dns3.name-services.com
Address: 63.251.92.193

> 64.74.96.242
Server: dns02.mnet-online.de
Address: 212.18.3.5

Name: dns4.name-services.com
Address: 64.74.96.242

> 70.42.37.1
Name: dns5.name-services.com
Address: 70.42.37.1

> set q=soa
> name-services.com

Nicht autorisierte Antwort:
name-services.com
primary name server = dns1.name-services.com
responsible mail addr = info.name-services.com
serial = 2002050701
refresh = 10001 (2 hours 46 mins 41 secs)
retry = 1801 (30 mins 1 sec)
expire = 604801 (7 days 1 sec)
default TTL = 181 (3 mins 1 sec)

name-services.com nameserver = dns1.name-services.com
name-services.com nameserver = dns2.name-services.com
name-services.com nameserver = dns3.name-services.com
name-services.com nameserver = dns4.name-services.com
name-services.com nameserver = dns5.name-services.com
dns1.name-services.com internet address = 69.25.142.1
dns2.name-services.com internet address = 216.52.184.230
dns3.name-services.com internet address = 63.251.92.193
dns4.name-services.com internet address = 64.74.96.242
dns5.name-services.com internet address = 70.42.37.1

Alles läuft über die DNS-Server von eNom

Goofy
28.10.2006, 10:40
Inzwischen ist die Domain auf register.com umgestellt. Aber auch dort läuft sie über Nameserver, deren IPs zum enom-Hausnetz gehören:

dns05.gpn.register.com [70.42.37.1] 64.14.244.55 14ms
dns03.gpn.register.com [63.251.92.193] 64.14.244.55 31ms
dns04.gpn.register.com [64.74.96.242] 64.14.244.55 47ms
dns02.gpn.register.com [216.52.184.230] 64.14.244.55 45ms
dns01.gpn.register.com [69.25.142.1] 64.14.244.55 122ms

70.42.37.1

CustName: eNom

NetRange: 70.42.37.0 - 70.42.37.255
CIDR: 70.42.37.0/24
NetName: INAP-NYM-ENOM-5037

Backbone ist InterNap.

Wenn ich bei der Voba was zu sagen hätte, würde ich die beide in den USA verklagen.

sis
28.10.2006, 19:37
http://www.volksbank.de.vr-web.networld.aealthqof.st/anmelden.asp

Lachsy
28.10.2006, 21:41
http://www.volksbank.de.vr-web.networld.nklosqsresu.net.bz/anmelden.asp

kjz1
01.11.2006, 21:52
Heute für Leo im Rennen:

http://www.volksbank.de.vr-web.networld.shoprickymartin.info/anmelden.asp

- kjz

sis
02.11.2006, 19:33
http://www.volksbank.de.vr-web.networld.mosya.biz/anmelden.asp

cuseeme
03.11.2006, 03:03
Bekomme seit ca. 2 jahren mehrmals täglich Spam von der Volksbank. Die örtliche Polizeidienststelle sagte mir man könne leider nichts unternehmen , weil die "Rechtsgrundlage" fehlt Ausländischen Spam zu bekämpfen. Ich denke es gibt Spam und Phishing Mails Solange es das Internet gibt , wie lange soll man noch warten.. ?

gruss

From: "Volksbanken Raiffeisenbanken" <operate_ref05026vr-id [at] vr-networld.de>
Date: November 3, 2006 2:55:43 AM GMT+01:00
To: "Codewarrior" <codewarrior@*.de>
Subject: Volksbanken Raiffeisenbanken: Sehr wichtig -Thu, 02 Nov 2006 xx:xx:xx -0200
Return-Path: <operate_ref171955792918vr-id [at] vr-networld.de>
Received: from mail.variomedia.de ([10.0.1.20]) by imapdev.variomedia.de (Cyrus v2.2.12-Invoca-RPM-2.2.12-3.RHEL4.1) with LMTPA; Fri, 03 Nov 2006 xx:xx:xx +0100
Received: from cpe-76-179-0-126.maine.res.rr.com ([76.179.0.126]) by mail.variomedia.de with smtp (Exim 4.62) (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
Received: from assail.triode.net.au (helo triode.net.au.inodes.org [78.100.116.48]) by asus.com with SMTP ID: [ID filtered]
X-Sieve: CMU Sieve 2.2
Envelope-To: codewarrior@*.de
Delivery-Date: Fri, 03 Nov 2006 xx:xx:xx +0100
User-Agent: Microsoft Internet Mail 4.70.1155
X-Mailer: Microsoft Internet Mail 4.70.1155
X-Priority: 3 (Normal)
Mime-Version: 1.0
Content-Type: multipart/related; boundary="CZRX.S1S9WRY1YY2"
X-Spam-Suspicion: Yes
Message-ID: [ID filtered]

Der Text ist ein bild der auf folgenden link verweisst:

http://www.volksbank.de.vr-web.networld.jored.biz/anmelden.asp



May 10th, 1981 ? long illness. defocus dean DavID: [ID filtered]

His usual procedure when it was necessary to HAVE AN IDEA was to put on his coat and go for a walk. He finally reached the bathroom, every part of him throbbing. Mrs. AW! "Annie, come in here! ("Virginia") Sandpiper hastened to assure him that she was not using his character to make money, nor dID: [ID filtered]

schara56
03.11.2006, 05:33
Hallo cuseeme,

willkommen im Forum.

Wenn Du Header postest, solltest Du
a) das Ganze mit [header ] Header [/header ] zusammenfassen; dadurch wird der Header deutlich besser lesbar und
b) natürlich Deine eigene Emailadresse anonymisieren - sonst bekommst Du mehr Post :p

Wenn Links im Emailbody sind sollten diese mit [whois ] Link/URL [/whois ] zusammengefasst werden; das senkt den Pagerank der beworbenen Sites durch dieses Forum.

@Mods
Bitte die Emailadresse anonymisieren, Header- und Whois-Tags setzen und den ganzen Kram in die Phish-Abteilung umhängen.

sis
03.11.2006, 11:34
http://www.volksbank.de.vr-web.networld.zeromuz.com/anmelden.asp

gation
10.11.2006, 22:21
Return-Path: <sicherheitsabteilung [at] planet.nl>
X-Flags: 1001
Delivered-To: ***
Received: (qmail invoked by alias); 10 Nov 2006 xx:xx:xx -0000
Received: from psmtp04.wxs.nl (EHLO psmtp04.wxs.nl) [195.121.247.13]
by mx0.gmx.net (mx015) with SMTP; 10 Nov 2006 xx:xx:xx +0100
Received: from planet.nl (ip51ccf40f.speed.planet.nl [81.204.244.15])
by psmtp04.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 2.07 (built Jun 24 2005))
with SMTP ID: [ID filtered]
10 Nov 2006 xx:xx:xx +0100 (MET)
Date: Fri, 10 Nov 2006 xx:xx:xx +0200
From: Sicherheitsabteilung von Volksbank <sicherheitsabteilung [at] planet.nl>
Subject: Dringende Mitteilung von Volksbank
To: ***
Reply-to: Sicherheitsabteilung von Volksbank <sicherheitsabteilung [at] planet.nl>
Message-ID: [ID filtered]
MIME-version: 1.0
Content-type: text/html; charset=us-ascii
Content-transfer-encoding: 7BIT
X-Accept-Language: en-us
User-Agent: Mozilla 4.78 [en] (Windows NT 5.0; U)
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

т ест

---final---
Sehr geehrte Kundin,

Sehr geehrter Kunde



Wir sind beauftragt, die maximale Sicherheit Ihrer Personaldaten mit den Hochtechnologien zu gewährleisten.

Wir haben einen ganzen Stab von Mitarbeitern, die Monitoring der online-Aktivität durchführen und verdächtige Aktionen vorbeugen.

Wir tun alles mögliche, um unsere online-Kunden zu schützen, aber Schritte, die wir unternehmen,

kön nen weitaus besser und effektiver sein, wenn Sie mit uns zusammenarbeiten werden, um sich selbst zu schützen.



Am 10 November 2006 brachte unser Sicherheitssystem den erfolglosen Versuch des online Zugangs zu Ihrem Konto ans Licht

von der IP-Adresse 213.7.18.217, was Ihrer aktuellen IP-Adresse nicht entspricht.



Bitte klicken Sie hier um online-Zugang zu bestätigen.

Falls Sie Ihren online-Zugang bis 14.11.2006 nicht bestätigen, wird Ihr Konto aus Sicherheitsgründen blockiert

und wir senden Ihnen auf dem Postweg den Aktivierungskode, den Sie brauchen, um den online-Zugang zu Ihrem Konto zu erneuern.

Falls Sie Ihren online-Zugang nicht bestätigen, wird der Aktivierungskode im Laufe einer Woche gesandt.



Mit freundlichen Grüssen

Josef Neubauer

Sicherheitsabteilung

der link ist eine Weiterleitung auf eine Volksbankphishingseite, dort gibt es links zu Verisignzertifikaten u.a. einer deutschen Firma aus Münster.

kjz1
11.11.2006, 16:33
Heute trudelte ein Vollsbank Phish rein, der auf den ersten Blick mal nicht nach Leo aussieht:

http://www.modelyz.com/TWljaFlbCBTb3V0aHdhcmQ7NjAgRGVubWFyayBSYW9kLCBD
b3R0ZW5oYW07Q2FtYnJpZGdlO0NCNCA4UVM7TWljaGFlbCBTb3V0aHdhcmQ7NjAgRGVubWFyayBS
YW9kLCBDb37TWljaGFlbCBTb3V0aHdhcmQ7NjAgRGVubWFyayBSYW9kR0ZW5oYW07Q2FtYnJpZGd
lO0NCNCA4UVM7/dm9sa3NubQ==|YyyQcTNVrJ7Cp0111fPJPYQft8hrC02qrsmV27GQ

- kjz