Gleich dreimal aufgeschlagen.


Return-Path: <Justice [at] yomogi.jp>
Delivery-Date: Wed, 10 Aug 2005 xx:xx:xx +0200
Received: from [201.137.188.44] (helo=dsl-201-137-188-44.prod-infinitum.com.mx)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from [26.55.75.31] (port=2036 helo=[Tom])
by dsl-201-137-188-44.prod-infinitum.com.mx with esmtp
ID: [ID filtered]
for ***********************; Wed, 10 Aug 2005 xx:xx:xx -0600
Mime-Version: 1.0 ()
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]
Content-Type: text/html; charset=iso-8859-1
To: ***********************
From: Deutsche Postbank AG <Justice [at] yomogi.jp>
Subject: Deutsche Postbank AG
Date: Wed, 10 Aug 2005 xx:xx:xx -0600
X-Mailer: Tiffani 76.111023
Envelope-To: ***********************
Return-Path: <Jefferson [at] zklaw.com>
Delivery-Date: Wed, 10 Aug 2005 xx:xx:xx +0200
Received: from [83.129.173.59] (helo=p83.129.173.59.tisdip.tiscali.de)
by mxeu1.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from [160.79.125.60] (port=8288 helo=[Andrew])
by p83.129.173.59.tisdip.tiscali.de with esmtp
ID: [ID filtered]
for ***********************; Wed, 10 Aug 2005 xx:xx:xx +0200
Mime-Version: 1.0 ()
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]
Content-Type: text/html; charset=iso-8859-1
To: ***********************
From: Deutsche Postbank AG <Jefferson [at] zklaw.com>
Subject: Deutsche Postbank AG
Date: Wed, 10 Aug 2005 xx:xx:xx +0200
X-Mailer: Gwendolyn 64.82764
Envelope-To: ***********************
Return-Path: <Dylan [at] wslco.com>
Delivery-Date: Wed, 10 Aug 2005 xx:xx:xx +0200
Received: from [212.244.155.98] (helo=212.244.155.98)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from [122.106.43.223] (port=9460 helo=[Keanu])
by 212.244.155.98 with esmtp
ID: [ID filtered]
for ***********************; Wed, 10 Aug 2005 xx:xx:xx +0200
Mime-Version: 1.0 ()
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]
Content-Type: text/html; charset=iso-8859-1
To: ***********************
From: Deutsche Postbank AG <Dylan [at] wslco.com>
Subject: Deutsche Postbank AG
Date: Wed, 10 Aug 2005 xx:xx:xx +0200
X-Mailer: Madeline 52.117314
Envelope-To: ***********************
Sehr geehrte Kundin,
Sehr geehrter Kunde,

Die Sicherheitsabteilung unserer Bank hat beschlossen, ein neues Datenschutzssystem zu entwickeln. Da zur Zeit die Betrügereien mit den Bankkonten von unseren Kundschaften öfters geworden sind, sind wir gezwungen, eine zusätzliche Autorisation von den Konten unserer Bankkunden vorzunehmen. Von unseren Spezialisten wurden sowohl die Protokolle der Informationsübertragung, als auch die Methoden der Kodierung der übertragenen Daten neu gestaltet.

Auf Grund dessen, bitten wir unsere Kunden inständig, eine spezielle Form der zusätzlichen Autorisation auszufüllen


http://post-authorization.com/


Diese Schutzmaßnahmen wurden nur zur Sicherheit der Interessen unserer Kunden eingesetzt.

Danke für Ihr Verständnis,
Mit freundlichen Grüßen,
Administration der Deutsche Postbank AG


© 2004 Deutsche Postbank AG

Das Ding ist so frisch, daß die Daten noch nicht im Whois sind. Aber es lädt schon...

Das Ding ist so frisch, daß die Daten noch nicht im Whois sind. Aber es lädt schon...
Bei mir lädt da noch nix:

FEHLER
Der angeforderte URL konnte nicht geholt werden
Während des Versuches, den URL
http://post-authorization.com/
zu laden, trat der folgende Fehler auf:
Verbindung schlug fehl
Das System gab:
(110) Connection timed out
zurück.
Der Zielrechner oder das Zielnetzwerk könnten deaktiviert sein. Bitte versuchen Sie die Anfrage noch einmal.
Ihr Cache Administrator ist webmaster.

Generated Wed, 10 Aug 2005 xx:xx:xx GMT by my.proxy.server (squid/2.5.STABLE3)

Es geht, allerdings grottenlangsam, da das Teil momentan auf einem Dialup liegt:
post-authorization.com = 195.250.200.13 = bsn-250-200-13.dial-up.dsl.siol.net

Wie üblich wird nach Name, Familienname, Telefon - Nr., Kontonummer, PIN, TAN (ACHTUNG! Verwenden Sie bitte zukünftig diese TAN nicht, das führt zur Blockierung vom Konto), Geheimfrage, und Antwort auf die Geheimfrage gefragt.

[Image ignored] [links to post-authorization.com]

Return-Path: <Frederick [at] zinlaw.com>
Delivery-Date: Wed, 10 Aug 2005 xx:xx:xx +0200
Received: from [85.166.45.238] (helo=ti211310a080-11758.bb.online.no)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from [88.69.132.156] (port=7460 helo=[Jerry])
by ti211310a080-11758.bb.online.no with esmtp
ID: [ID filtered]
for ; Wed, 10 Aug 2005 xx:xx:xx +0200
Mime-Version: 1.0 ()
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]
Content-Type: text/html; charset=iso-8859-1
To:
From: Deutsche Postbank AG <Frederick [at] zinlaw.com>
Subject: Deutsche Postbank AG
Date: Wed, 10 Aug 2005 xx:xx:xx +0200
X-Mailer: Kirsten 2.88139
Envelope-To:

tse tse die nehmen sogar irgendwelche gehijackten Fakeaddys statt irgendeine orthographisch falsche postbankmäßige Absende URL zu verschicken. Denken die das machts seriöser und glaubwürdiger. Wieviel IQ haben Phiser eigentlich?

Und wieder eine neue Variante.


Return-Path: <info [at] postbank.de>
Delivery-Date: Thu, 11 Aug 2005 xx:xx:xx +0200
Received: from [201.235.87.110] (helo=110-87-235-201.fibertel.com.ar)
by mxeu1.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbank.de (mailrelay2.bonn.postbank.de [62.180.72.121])
by 110-87-235-201.fibertel.com.ar (Postfix) with ESMTP ID: [ID filtered]
for <***********************>; Thu, 11 Aug 2005 xx:xx:xx -0500
From: Administration der Postbank <info [at] postbank.de>
To: Thomas <***********************>
Subject: Administration der Postbank
Date: Thu, 11 Aug 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A.
Envelope-To: ***********************
Sehr geehrter Kunde,

Da zur Zeit die Betr?gereien mit den Bankkonten von unseren Kunden h?ufig geworden sind, m?ssen wir notgedrungen nachtr?glich eine zus?tzliche Autorisation von den Kontobesitzern durchf?hren.
Der Sicherheitsdienst der Postbank traf die Entscheidung, eine neue Sicherung von den Daten vorzunehmen. Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-?bertragung, als auch die Kodierungssart der ?bertragenen Daten erneuert.

Im Zusammenhang damit, bitten wir Sie, eine spezielle Form der zus?tzlichen Autorisation auszuf?llen.

http://www.postbank-homebanking.net


Diese Sofortmaßnahmen wurden nur zur Sicherung der Interessen von unseren Kunden getroffen.

Danke f?r die Mitarbeit,
Administration der Postbank




© 2004 Deutsche Postbank AG

Wieviel IQ haben Phiser eigentlich?
Immerhin deutlich mehr als die Opfer. :lil:

http://www.postbank-homebanking.net

Die Seite kann nicht angezeigt werden.

poslbankk=2ecom/cl=
ickhere=2egif poslbankk=2ecom/logo=2e=
jpg

Return-Path: <noreply [at] postbank.de>
Delivery-Date: Sun, 14 Aug 2005 xx:xx:xx +0200
Received: from [82.66.127.184] (helo=boi59-1-82-66-127-184.fbx.proxad.net)
by mxeu1.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
by boi59-1-82-66-127-184.fbx.proxad.net (Postfix) with ESMTP ID: [ID filtered]
for <>; Sat, 13 Aug 2005 xx:xx:xx -0500
From: "Chips Q. Vassaling" <noreply [at] postbank.de>
To: <>
Subject: Postbank Update
Date: Sat, 13 Aug 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1082
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.20.0.1; VDF: 6.20.0.46; host: boi59-1-82-66-127-184.fbx.proxad.net)
Envelope-To:



Return-Path: <Techunterstutzung15 [at] postbank.de>
Delivery-Date: Sat, 13 Aug 2005 xx:xx:xx +0200
Received: from [59.187.239.110] (helo=59.187.239.110)
by mxeu8.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: Postbank Privat Techunterstutzung <Techunterstutzung15 [at] postbank.de>
To:
Subject: Postbank Alert: Modernisierung von den Sicherheitsstandards. [ref:451]
Date: Sat, 13 Aug 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_91CA2027.2667AB88"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To:

219.142.63.136:8081/postbank/privat/app/welcome.do.htm

From security [at] postbank.de Thu Aug 18 xx:xx:xx 2005
Return-Path: <security [at] postbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to
Received: (qmail invoked by alias); 18 Aug 2005 xx:xx:xx -0000
Received: from 201008021116.user.veloxzone.com.br (HELO 136885928) [201.8.21.116]
by mx0.gmx.net (mx072) with SMTP; 18 Aug 2005 xx:xx:xx +0200
Received: from postbank.de (141541456 [136868704])
by 201008021116.user.veloxzone.com.br (Qmailv1) with ESMTP ID: [ID filtered]
for <>; Fri, 19 Aug 2005 xx:xx:xx -0700
Date: Fri, 19 Aug 2005 xx:xx:xx -0700
From: Postbank <security [at] postbank.de>
X-Mailer: The Bat! (v2.00.4) Personal
X-Priority: 3
Message-ID: [ID filtered]
To:
Subject: Postbank Online Banking
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------523BFD580333F87"
X-RAV-AntiVirus: This message has been scanned for viruses on 201008021116.user.veloxzone.com.br
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 3 (Dynamic IP range)
X-GMX-UID: [UID filtered]
Sehr geehrter Kunde,

Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert.

Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.



Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen.

Danke für die Zusammenarbeit,
Administration der Postbank Online Banking


© 2004 Deutsche Postbank AG

Der Sch*ß ist heute bei mir aufgeschlagen. Abgekippt in Brasilien: [200.226.9.64]

From SecurityUpdate [at] postbanck.de Mon Sep 5 xx:xx:xx 2005
Return-Path: <SecurityUpdate [at] postbanck.de>
Received: (qmail invoked by alias); 05 Sep 2005 xx:xx:xx -0000
Received: from 64.9.226.200.in-addr.arpa.ig.com.br (HELO 141178992) [200.226.9.64]
by mx0.gmx.net (mx029) with SMTP; 05 Sep 2005 xx:xx:xx +0200
Date: Sun, 04 Sep 2005 xx:xx:xx -0700
From: PostBank.de <SecurityUpdate [at] postbanck.de>
X-Mailer: The Bat! (v2.00.4) Personal
X-Priority: 3
Message-ID: [ID filtered]
Subject: Postbank Security System

PostBanck.de gibt es tatsächlich: http://postbanck.de
Der Schwachmat sollte jetzt ganz viel Rücklauf-Post bekommen :D

Phishing läuft über http://postbahk.net und ist bei comcast.net gehostet.

Der Registrar ist Joker - eine deutsche Firma. Bei denen würde es mich nicht mal wundern, wenn sie der Postbank als Berater in Sachen "Phishing" zur Seite stehen.

Grüße

Kann es sein, dass die Phisher nun auf das verteilen von Trojanern umgestiegen sind?

Return-Path: <OnlinePolice [at] postbanck.net>
Delivery-Date: Mon, 05 Sep 2005 xx:xx:xx +0200

Delivered-To: <x>
X-Eon-Dm: pop15
Received: from -1227598312 (68.52.84.40 [68.52.84.40])
by pop15.mta.everyone.net (EON-INBOUND) with SMTP ID: [ID filtered]
for <x>; Sun, 4 Sep 2005 xx:xx:xx -0700 (PDT)
Received: from postbanck.net (-1209571368 [-1214570376])
by pcp566787pcs.rthfrd01.tn.comcast.net (Qmailv1) with ESMTP ID: [ID filtered]
for <x>; Sun, 04 Sep 2005 xx:xx:xx -0700
Date: Sun, 04 Sep 2005 xx:xx:xx -0700
From: PostBankPolice <OnlinePolice [at] postbanck.net>
X-Mailer: The Bat! (v2.00.4) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: x
Subject: Postbank Security System
MIME-Version: 1.0
X-Virus-Scanned: by amavisd-milter (http://amavis.org/)
Envelope-To: x
X-SpamScore: 0.8
tests= DATE_IN_PAST_06_12
Content-Type: multipart/mixed;
boundary="----=_FQGQunPVDikvqnnoxYuoSCHPazlfwdusf"
X-Spam-Flag: Yes
X-Spam-Level: 4/3




[Attachment!gif: "relevantly.gif"][CRC#2F67B2E1]
[Attachment!jpg: "microbiology.jpg"][CRC#331C44F1]-This message was modified by F-Secure Anti-Virus E-Mail Scanning.




Mein Virenscanner hat zu der Email folgende Meldung in die Ereignisanzeige geschrieben:

Ereignisquelle: F-Secure Anti-Virus
Ereigniskategorie: Keine
Ereigniskennung: 103
Datum: 05.09.2005
Zeit: xx:xx:xx
Benutzer: Nicht zutreffend

Beschreibung:
3 2005-09-05 xx:xx:xx+02:00 Mein PC Mein PC/Ich F-Secure Anti-Virus
E-Mail Virus Alert!
Infection: Trojan-Spy.HTML.Bankfraud.if
Attachment:
Action: Attachment was dropped.
Message <x [at] postbanck.net>
from: PostBankPolice <poor [at] spamvictim.tld>
to: x
subject: Postbank Security System

Kann es sein, dass die Phisher nun auf das verteilen von Trojanern umgestiegen sind?Genau!

Siehe hier: http://www.antiviruslab.com/description.php?virus=267092&lang=de

Klick ihn an und nimm an der nächsten DDos-Attacke teil ;-)

Grüße

Bei mir schlug eine andere Variante ein. Abender war postbanck.de, der Link zeigte auf poctbank.de (geht anscheinend nicht mehr). Seltsam nur, dass ich diese Mailadresse noch nie im Netz verwendet habe....

Abender war postbanck.de, der Link zeigte auf poctbank.de (geht anscheinend nicht mehr).Die Domains postbanck.de und postbahk.net wurden geschlossen. Bei der Denic ist die PostBanck bereits rausgeflogen.

http://PoctBank.de lebt noch und wurde - wie könnte es anders sein - bei Jokers in Düsseldorf registriert.

Countdown läuft....

Grüße

http://PoctBank.de lebt noch und wurde - wie könnte es anders sein - bei Jokers in Düsseldorf registriert.
Die heute und in den vergangenen Tagen bei mir aufgeschlagenen Phishings verwiesen ebenfalls alle auf Joker:
- http://www.dotsdll.com
- http://www.databasecontainer.com
- http://www.pbmainserver.com
Alle drei Domains sind inzwischen unter "lock", aber die Häufigkeit dieses Registrars bei Spam JEDER ART, und dies bereits seit mehreren Jahren, ist verblüffend.

Alle drei Domains sind inzwischen unter "lock", aber die Häufigkeit dieses Registrars bei Spam JEDER ART, und dies bereits seit mehreren Jahren, ist verblüffend.

Man muss in den ICANN Foren nur mal nach Joker suchen, da kommt so einiges zutage. Also einschlägig bekannt...

- kjz

Alle drei Domains sind inzwischen unter "lock", aber die Häufigkeit dieses Registrars bei Spam JEDER ART, und dies bereits seit mehreren Jahren, ist verblüffend.

Vielleicht noch ein Nachtrag: Die Registrare liefern sich natürlich einen Preiskampf. Die Margen sind gering und anscheinend ist Joker auch ein 'Billigheimer'. Für anständige Adress-Überprüfung bleibt da kaum mehr etwas übrig. Und gefälschte Whois-Daten werden wahrscheinlich von den Staatsanwälten auch eher als Lappalie bzw. 'lässliche Sünde' behandelt. Und wenn dann einer noch vorbringt, bei strengeren Kontrollen wäre der IT-Standort Deutschland (und insbesondere NRW) gefährdet, dann ist das das absolute Totschlagsargument, überhaupt nichts mehr zu unternehmen. Die Schäden durch Phishing trägt sicherlich nicht der Bankvorstand, das wird sozialisiert, sprich: auf alle Kunden umgelegt. Insofern sind die Bemühungen gegen Phishing erstens relativ schwierig (technisch, und weil internationale Rechtsnormen zur Anwendung kommen müssen) und zweitens wohl auch eher halbherzig.

- kjz

Und wenn dann einer noch vorbringt, bei strengeren Kontrollen wäre der IT-Standort Deutschland (und insbesondere NRW) gefährdet, dann ist das das absolute Totschlagsargument, überhaupt nichts mehr zu unternehmen.
Dann sollte man meinen, daß auch die in Deutschland (und insbesondere NRW) geltenden Rechte zugrunde liegen. Das bedeutet: korrekte Angaben im Impressum der Domain www.joker.com. Zwar ist ein Unternehmen aus NRW als Domaininhaber eingetragen, aber in den Kontaktdaten der Seite findet sich plötzlich der entwicklungsstarke EU-umschlossene Standort Schweiz [Ironie aus]:

EIS AG
d/b/a joker.com
Baarerstrasse 8
Po Box 458
CH-6300 Zug
Switzerland
Wie war nochmal die Definition für "Umgehung"?

Hallo.

Ein probates Mittel gegen solche Firmen ist, die Suppe ständig am Köcheln zu halten: Sticheleien, negative Berichterstattung, immer wieder laut auf Missstände hinweisen, kurzum - die Firma permanent in die Schlagzeilen treiben.

Irgendwann ist der Ruf in der Szene soweit ruiniert, dass man sich die Extratouren schlichtweg nicht mehr leisten kann.

Cyberservices scheint das inzwischen kapiert zu haben und manche Inkasso-Dienste sind durchaus wählerisch.

Wenn das nicht hilft, spielt man den einen gegen den anderen aus. Derzeit reißt gerade jemand dem Spammer-Dominik den A. auf.

(Das war der Versuch einer metaphorischen Umschreibung.)

Grüße

Listen wir doch einfach mal die Domains der letzten Scams und die dazugehörigen Registrare auf:

deutsche-ebank.net...........yesnic.com
deutcshe-bank.com...........yesnic.com
charteronebank.com..........NETWORK SOLUTIONS, LLC.
deutschekonto.com............joker.com
meinedeutsche.com...........joker.com
deutschepank.com.............joker.com
backup011.com.................yesnic.com
backups erver11.com.........yesnic.com
deutschi-bank.net..............yesnic.com
serverbackup77.com..........yesnic.com


post-authorization.com............yesnic.com
postbank-homebanking.net......yesnic.com
postbanck.de...........................joker.com
postbahk.net...........................joker.com
PoctBank.de............................joker.com

dotsdll.com.............................joker.com
databasecontainer.com.............joker.com
pbmainserver.com...................joker.com

Auch Yesnic scheint hier gut vertreten zu sein. Neuerdings ist allerdings scheinbar joker der Phisherfavorit. :sick:

Wenn die schon den Phisher zum Reseller machen: vielleicht sollten sie dann auch eine "Arbeitsvermittlungsagentur" gründen? - Oder einen "Dolmetscherservice" für Phisher, nebst html-Baukasten für Phishingseiten im Hostpaket...

Eventuell könnte man seiner Beschwerde jeweils ein CC an diese Institution (http://www.ago.state.ma.us/sp.cfm?pageid=929) beifügen, die bekannterweise ein berechtigtes Interesse an Leos Treiben hat.

Re: 200.82.218.239 (Ursprungsquelle der Spammail)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

Re: http://poctbank.net/ [82.159.5.178] (beworbene Seite)
To: poor [at] spamvictim.tld

Re: Phishing
To: direkt#postbank.de

===8<=============Original message header==============

Return-Path: <SecurityUpdate [at] postbanck.de>
X-Flags: 0000
Delivery-Date: Mon, 05 Sep 2005 xx:xx:xx +0200
Received: from [200.82.218.239] (helo=-1245718512)
by mxeu4.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbanck.de (-1208314168 [-1209426160])
by miho-nakayama.com (Qmailv1) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 04 Sep 2005 xx:xx:xx -0700
Date: Sun, 04 Sep 2005 xx:xx:xx -0700
From: PostBank.de <SecurityUpdate [at] postbanck.de>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Info <poor [at] spamvictim.tld>
Subject: Postbank Security Issue
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------E183DBAF2E6FA88"
X-AntiVirus: OK! AntiVir MailGate Version 2.0.1; AVE: 6.15.0.0; VDF: 6.15.0.6
Envelope-To: poor [at] spamvictim.tld
X-SpamScore: 0.8
tests= DATE_IN_PAST_06_12

===8<==========End of original message header==========

-whois poctbank.net

domain: poctbank.net
owner: shawn casey
email: shawn22 [at] emailaccount.com
address: 2311 southern blvd.bronx
city: New York
state: --
postal-code: 10460
country: US
phone: +49 211 12345678
admin-c: shawn22 [at] emailaccount.com
tech-c: shawn22 [at] emailaccount.com
billing-c: shawn22 [at] emailaccount.com
nserver: ns1.fuck-whitehat.com 24.163.44.96
nserver: ns2.fuck-whitehat.com 85.130.106.215
status: hold,infringe-3rd-parties
created: 2005-09-03 xx:xx:xx UTC
modified: 2005-09-05 xx:xx:xx UTC
expires: 2006-09-02 xx:xx:xx UTC
source: joker.com live whois service
query-time: 0.074386
db-updated: 2005-09-06 xx:xx:xx


Eniac

deutsche-ebank.net...........yesnic.com
deutcshe-bank.com...........yesnic.com
charteronebank.com..........NETWORK SOLUTIONS, LLC.
deutschekonto.com............joker.com
meinedeutsche.com...........joker.com
deutschepank.com.............joker.com
backup011.com.................yesnic.com
backups erver11.com.........yesnic.com
deutschi-bank.net..............yesnic.com
serverbackup77.com..........yesnic.com


post-authorization.com............yesnic.com
postbank-homebanking.net......yesnic.com
postbanck.de...........................joker.com
postbahk.net...........................joker.com
PoctBank.de............................joker.com

dotsdll.com.............................joker.com
databasecontainer.com.............joker.com
pbmainserver.com...................joker.com
Weshalb wundert mich bei der heutigen Phishing-Attacke nicht, daß die "beworbene" Domain http://www.postebank.net wieder bei unseren Freunden aus Düsseldorf registriert ist?

Postebank.net hat einen dns-Schlaganfall erlitten. :D

Hat sich leider vom Schlaganfall erholt und erfreut sich bester Gesundheit. :(
Geänderter Text.

-----------------------------------------------

Re: 58.10.56.34 (Ursprungsquelle der Spammail)
To: abuse#asianet.co.th

Re: http://postebank.net [66.25.111.120] (beworbene Seite)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

Re: Phishing
To: direkt#postbank.de

===8<==============Original message text===============

From SRS0=axKg=XK=postbankag.de=security [at] srs.kundenserver.de Thu Sep 8 xx:xx:xx 2005
Return-Path: <SRS0=axKg=XK=postbankag.de=security [at] srs.kundenserver.de>
X-Flags: 1001
Received: (qmail invoked by alias); 08 Sep 2005 xx:xx:xx -0000
Received: from [58.10.56.34] (helo=-1208241208)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbankag.de (-1208557816 [-1209617680])
by fi.ba.56.34.revip2.asianet.co.th (Qmailv1) with ESMTP ID: [ID filtered]
for <info [at] meine-domäne.de>; Wed, 07 Sep 2005 xx:xx:xx -0700
From: Postbank online-banking <security [at] postbankag.de>
To: Info <info [at] meine-domäne.de>
Subject: Online Kunden
Date: Wed, 07 Sep 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0013_D7E001F3.74718FF4"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2505.0000
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: fi.ba.56.34.revip2.asianet.co.th)

Wichtige Information von der Verwaltung der Postbank!

Sehr geehrte Kundin,
sehr geehrter Kunde,

Es freut uns sehr Ihnen über planmäßige Modernisierung des Softwares (inkl. Transaktionsicherheitsmodul, Übergang zum Protokoll SSL 4.5 u s.w.) mitzuteilen. Diese Maßnamen gewährleisten die Vereinfachung für Benutzung unseres Zahlung-Online-Systems und bieten noch mehr Datenschutzsicherheit an.
Der Übergang zum neuen System wird nicht später als am 12.09.2005 erfolgen.
Im Zusammenhang mit der Modernisierung bitten wir alle unsere Kunden ein spezielles Registrierungsformular der Benutzer des neuen Systems auszufüllen.

http://postebank.net

Beachten Sie, dass der Übergang zum neuen System für alle Benutzer Postbank Online-Banking erforderlich ist. Bitte füllen Sie die Registrierungsform unverzüglich nach dem Empfang dieses Mails aus.

Wir bedanken uns für Zusammenarbeit.



Achtung: diese Mail ist automatisch versendet. Keine Antwort darauf wird bearbeitet. Alle Fragen senden sie bitte an Helpdesk Postbank support#postbank.de


© 2005 Deutsche Postbank AG

===8<===========End of original message text===========

Eniac

Läuft z.Zt. auf zwei rotierenden IP´s:

59.113.184.212 (Taiwan)
66.25.111.120 (Roadrunner)

dns-Server: ns9.rent-dns.com, auf der gleichen IP.

Und weg isse wieder. :death:

Neue Runde für die Postbank:

From security [at] postbank.de Fri Sep 16 xx:xx:xx 2005
Return-Path: <security [at] postbank.de>
X-Flags: 1101
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxx.xxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Fri, 16 Sep 2005 xx:xx:xx +0200 (CEST)
Received: from -1275149128 (S0106001111530937.va.shawcable.net [70.70.47.73] (may be forged))
by xxxx.xxx.xx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Fri, 16 Sep 2005 xx:xx:xx +0200
Received: from postbank.de (-1279114792 [-1289348768])
by S0106001111530937.va.shawcable.net (Qmailv1) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Fri, 16 Sep 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
From: Security <security [at] postbank.de>
To: Martin <poor [at] spamvictim.tld>
Subject: Postbank Online Banking
Date: Fri, 16 Sep 2005 xx:xx:xx -0500
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_A58F49BC.0398BEB7"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: ssss
X-MailScanner-From: security [at] postbank.de
X-Collected-By: xxxx.xxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

Sehr geehrter Kunde,

Im Zusammenhang mit den haufiger werdenden Betrugereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusatzliche Autorisation von den Kontoinhabern durchzufuhren.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzufuhren. Dazu wurden von unseren Spezialisten sowohl die Informationsubertragungsprotokolle, als auch die Verschlusselungsart der ubertragenen Daten modernisiert.

Im Zusammenhang mit dem Obenerwahnten bitten wir Sie, eine spezielle Form der zusatzlichen Autorisation auszufullen.

Diese Ma?nahmen werden ausschlie?lich zur Sicherung der Interessen von unseren Kunden getroffen.

Danke fur die Zusammenarbeit,
Administration der Postbank Online Banking

Abgekippt über: 70.70.47.73 -> Shaw Communications Inc -> ipadmin [at] sjrb.ca
http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.backup111.com
http://www.backup111.com phished genauso gut wie oben. Interessant ist auch die Liste der Nameserver für backup111.com.

Namerserverliste:

backup111.com nameserver = ns1.backup111.com
backup111.com nameserver = ns2.backup111.com
backup111.com nameserver = ns3.backup111.com
backup111.com nameserver = ns4.backup111.com
backup111.com nameserver = ns5.backup111.com

ns1.backup111.com internet address = 66.214.36.102
ns1.backup111.com internet address = 67.162.238.164
ns1.backup111.com internet address = 67.191.135.173
ns1.backup111.com internet address = 68.52.99.4
ns1.backup111.com internet address = 68.58.110.87
ns1.backup111.com internet address = 12.215.193.251
ns1.backup111.com internet address = 24.21.127.204
ns1.backup111.com internet address = 24.22.149.193
ns1.backup111.com internet address = 24.34.49.251
ns1.backup111.com internet address = 24.110.1.86
ns1.backup111.com internet address = 24.160.122.97
ns1.backup111.com internet address = 24.237.86.250
ns1.backup111.com internet address = 66.41.91.115

Soweit ich das sehe sind die ganzen NS1.backup111.com dynamisch IP-Adressen. Ich frage mich wie diese .com-Domain delegiert wird...
...knuffiges Botnetzwerk - nur 'leider' funktioniert nicht bei jedem der TCP Port 53 :clown:
So, letztes Update: selbst die ns2, ns3 und ns4.backup111.com sind dynamische IP-Adressen (comcast, chello at, charter).

From security [at] postbank.de Sun Sep 18 xx:xx:xx 2005
Return-Path: <security [at] postbank.de>
Received: (qmail invoked by alias); 18 Sep 2005 xx:xx:xx -0000
Received: from host239-135.pool8249.interbusiness.it (EHLO host239-135.pool8249.interbusiness.it) [82.49.135.239]
by XXX with SMTP; 18 Sep 2005 xx:xx:xx +0200
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.aizho.com with SMTP; Sun, 18 Sep 2005 xx:xx:xx +0000
Received: from 141.87.249.131 (141.87.249.131[141.87.249.131])
by host239-135.pool8249.interbusiness.it (IMP) with HTTP for <>;
Message-ID: [ID filtered]
From: "PostBank Online-Banking" <security [at] postbank.de>
To:
Subject: PostBank TAN-Absicherung
Date: Sun, 18 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 141.87.249.131
Bilder:
http://design-it.com.au/images/logo.jpg
http://design-it.com.au/images/clickhere.gif

Leo's Phishing-Site:
http://postbank-de.org

Und wieder eine Joker-Domain:


http://www.securesqlserver.comReturn-Path: <ssl [at] postbank.de>
Delivery-Date: Wed, 21 Sep 2005 xx:xx:xx +0200
Received: from [81.15.137.157] (helo=-1208482928)
by mxeu7.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbank.de (-1233011672 [-1207988728])
by host-81-15-137-157.kalisz.mm.pl (Qmailv1) with ESMTP ID: [ID filtered]
for <leon [at] ....de>; Wed, 21 Sep 2005 xx:xx:xx -0700
Date: Wed, 21 Sep 2005 xx:xx:xx -0700
From: PostBank Police <ssl [at] postbank.de>
X-Mailer: The Bat! (v2.00.1) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Leon <leon [at] ....de>
Subject: [SPAM] PostBank Online Banking
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------C1FDAECF6425F8A"
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.20.0.1; VDF: 6.20.0.46; host: host-81-15-137-157.kalisz.mm.pl)
Envelope-To: info [at] ....de
X-SpamScore: 0.8
tests= DATE_IN_PAST_06_12
X-Spam-Flag: Yes
X-Spam-Level: 7/5

Received: from [220.121.252.212] (helo=220.121.252.212)
by mx33.web.de with smtp (WEB.DE 4.105 #297)
ID: [ID filtered]
for xxx; Sat, 24 Sep 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: harley egon <90bazza [at] postbankde.com>
To: xxx
Subject: Online Kunden
Date: Sat, 24 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_E9B771F7.5F6F835D"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: 90bazza [at] postbankde.com


Diesmal mit folgendem Link : http://postepank.info/ - braucht aber sehr lange für den Seitenaufbau. ;)


in diesem Sinne


Oliver

Wieder mal gehostet auf infizierten dial-up-Accounts.

Abgekübelt über:

Received: from smtp1.Stanford.EDU ([171.67.16.123]) by ... ...Sat, 24 Sep 2005 22:xx


Domain:


postebanking.net IN A 24.58.248.239 300s (5m)
postebanking.net IN A 84.65.142.156 300s (5m)
postebanking.net IN A 84.60.187.97 300s (5m)
postebanking.net IN A 83.253.105.106 300s (5m)
postebanking.net IN A 217.132.37.108 300s (5m)

ns2.dns-stat.com IN A 217.34.33.173 114877s (1d 7h 54m 37s)
ns1.dns-stat.com IN A 172.180.47.223 114877s (1d 7h 54m 37s)


Sowohl Domain als auch DNS-Server auf infizierten Rechnern gehostet.

Header erspare ich mir: http://postbankservice.com

Die Seite muß man gesehen haben, um es zu glauben. :eek:

Hallo Fidul

Unter den "Hostern" ist auch eine Arcor-DSL-Dumpfbacke aus Stuttgart:

[84.60.107.194]=dsl-084-060-107-194.arcor-ip.net.

Sieh dir mal den Service-Scan an: http://centralops.net/co/DomainDossier.aspx?addr=84.60.107.194&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit


HTTP/1.1 200 OK
Date: Sun, 25 Sep 2005 xx:xx:xx GMT
Server: Apache/2.0.51 (Fedora)
X-Powered-By: PHP/4.3.10
Connection: close
Content-Type: text/html; charset=UTF-8Da läuft ein Apache!

Das ist doch kein gekaperter Rechner.

Unter den "Hostern" ist auch eine Arcor-DSL-Dumpfbacke aus Stuttgart:
[84.60.107.194]=dsl-084-060-107-194.arcor-ip.net.
Schade, grade wollte ich die Kiste mal genauer unter die Lupe nehmen, schon isser weg. nmap hat mir noch verraten, was da aktuell läuft:

PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
443/tcp open https
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp open UPnP
5101/tcp open admdog
Der https konnte mir noch ein selbstgesticktes Plesk-Zertifikat mitteilen, dann war Schicht im Schacht und meine OS detection ist ins Leere gelaufen :(

Bei den infizierten Rechnern wird anscheinend immer ein Apache simuliert. Centralops gibt beim Service-Scan immer diese Meldung für den http-Port 80.

Der Spezi hat sich neu eingewählt: 84.60.121.130 (http://centralops.net/co/DomainDossier.aspx?addr=84.60.121.130&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)

Ein paar Aufrufe von 'ping' oder 'traceroute` bringen die IPs von postbankservice.com ans Licht.

Da ist eine ganze Bande am Werk:

dsl-084-060-121-130.arcor-ip.net (84.60.121.130)
bzq-218-89-175.red.bezeqint.net (81.218.89.175)
1.12.177.69.snet.net (69.177.12.1)
user-3740.lns1-c7.dsl.pol.co.uk (84.65.142.156)
h81172216168.kund.kommunicera.umea.se (81.172.216.168)

ns1.dns-stat.com. [82.159.5.178] AUNA.NET
ns2.dns-stat.com. [217.34.33.173] BTOPENWORLD.COM

Auch die dns-Servern laufen auf gekaperten Rechnern.

Was mich verblüfft, ist dass sich die Kiste vom Netz trennt, sofort wieder einwählt und den Nameservern die neue IP zusendet.
(Oder hat Arcor getrennt und ich war zufällig Zeuge?)

[Update]
Da scheint wirklich eine Apache dahinter zu stecken: http://84.60.121.130/cgi-bin/ liefert durchaus sinnvolle Reaktionen.

...und schon hat er wieder die IP gewechselt

Vielleicht ist seine Kiste instabil und stürzt andauernd ab?

Dass vielleicht ein Apache-Rechner gekapert wird, ist denkbar. Aber gleich 5 Rechner, plus 2 für die DNS-Server?
Sind alles dial-up-Accounts, soviele Apaches gibt´s doch gar nicht auf Dial-Ups.
Ist es nicht möglich, dass ein Trojaner einen Webserver installiert, der unter Win nach aussen so aussieht wie ein Apache?

Ist es nicht möglich, dass ein Trojaner einen Webserver installiert, der unter Win nach aussen so aussieht wie ein Apache?
Ja, da kann sogar ein Apache laufen. Welche Version und welches OS der meldet lässt sich doch beim kompilieren einstellen. Aktuell ist auf der 84.65.142.156 offen:

PORT STATE SERVICE VERSION
25/tcp open smtp
80/tcp open http?
81/tcp open hosts2-ns?
443/tcp open ssl/http Apache httpd 2.0.51 ((Fedora))
445/tcp filtered microsoft-ds
5101/tcp open admdog?
Der SMTP ist ein offener Relay:

me [at] homer:~> telnet 84.65.142.156 25
Trying 84.65.142.156...
Connected to 84.65.142.156.
Escape character is '^]'.
220 AVG ESMTP Proxy Server 7.0.338/7.0.344 [267.11.6]
HELO X
250 localhost Hello X
MAIL FROM: <irgend [at] eine.addr>
250 Sender ok
RCPT TO: <eine [at] andere.addr>
250 Recipient ok
DATA
354 Ok, send the message
Subject: .....

sofsdfhwoeifkadjf
.
250 Ok: queued as A999A999A9
QUIT
221 Asta la vista
Connection closed by foreign host.
Recht witzig ist dieser SMTP-Dialog:

me [at] homer:~> telnet 84.65.142.156 25
Trying 84.65.142.156...
Connected to 84.65.142.156.
Escape character is '^]'.
220 AVG ESMTP Proxy Server 7.0.338/7.0.344 [267.11.6]
HELP
250 RTFM :)
QUIT
221 Asta la vista
Connection closed by foreign host.

[...]
Diesmal mit folgendem Link : http://postepank.info/ - braucht aber sehr lange für den Seitenaufbau. ;)

Bei mir auch, Seite geht aber relativ flott. Gehostet wird der Schrott auf einer vermutlich wurmverseuchten Kiste in Polen.

------------------------------------------------------------------

Re: 85.237.179.75 (Ursprungsquelle der Spammail)
To: poor [at] spamvictim.tld

Re: http://postepank.info (bxl145.neoplus.adsl.tpnet.pl = [83.30.5.145]; (beworbene Seite))
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

Re: Phishing
To: direkt#postbank.de

===8<=============Original message header==============

From SRS0=Y90H=XY=postbankde.com=kunde [at] srs.kundenserver.de Thu Sep 22 xx:xx:xx 2005
Return-Path: <SRS0=Y90H=XY=postbankde.com=kunde [at] srs.kundenserver.de>
X-Flags: 1001
Received: (qmail invoked by alias); 22 Sep 2005 xx:xx:xx -0000
Received: from [85.237.179.75] (helo=-1222441712)
by mxeu7.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from postbankde.com (-1220849440 [-1218807584])
by 75.85-237-179.tkchopin.pl (Qmailv1) with ESMTP ID: [ID filtered]
for <info [at] meine-domäne.de>; Thu, 22 Sep 2005 xx:xx:xx -0700
Date: Thu, 22 Sep 2005 xx:xx:xx -0700
From: Deutsche Postbank AG <kunde [at] postbankde.com>
X-Mailer: The Bat! (v2.00.3) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Info <info [at] meine-domäne.de>
Subject: Online Kunden
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------46B412A8761A9BB"
X-Virus-Scanned: Norton

===8<==========End of original message header==========


Eniac

Ich habe mal ein paar IPs von postbankservice.com gescannt.

Heraus kommt immer dasselbe - die typischen Wurm-Ports (135,139,445) sind immer zugänglich.

Port State Service
25/tcp open smtp
80/tcp open http
135/tcp filtered loc-srv
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
Mails kann man übrigens von dort auch versenden.

Die Rechner sind z.T. dieselben wie gestern Abend. Sie wechseln nicht die IP, wenn man sie scannt. Also scheint der Arcor-Rechner etwas besonderes gewesen zu sein. Wahrscheinlich haben die Phisher einen echten Apache auf den verwurmten Rechnern installiert

Received: from [218.157.68.226] (helo=218.157.68.226)
by mx25.web.de with smtp (WEB.DE 4.105 #297)
ID: [ID filtered]
for xxx; Mon, 26 Sep 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: armand clywd <8marcia [at] postbankde.com>
To: xxx
Subject: Online Kunden
Date: Mon, 26 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_1FA35400.6D1530D8"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: 8marcia [at] postbankde.com


Received: from [210.171.95.80] (helo=d-210-171-95-080.d-cable.katch.ne.jp)
by mx23.web.de with smtp (WEB.DE 4.105 #297)
ID: [ID filtered]
for xxx; Mon, 26 Sep 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: havelock fredrick <6collins [at] postbankde.com>
To: xxx
Subject: Online Kunden
Date: Mon, 26 Sep 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_D4B2E5FC.EAE47D3E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: 6collins [at] postbankde.com


Diesmal dieser Link : http://postauth.info/


Kann dieser Looser nicht woanders spielen ? :mad:


in diesem Sinne


Oliver

Nun hat mich die "Postbank" auch endeckt. Mit Niederlassung in Neuseeland.From Nicholas Sat Sep 24 xx:xx:xx 2005
X-Apparently-To: xxxxxx [at] yahoo.com.au via 66.218.93.226; Sat, 24 Sep 2005 xx:xx:xx -0700
X-YahooFilteredBulk: 80.51.254.74
X-Originating-IP: [80.51.254.74]
Return-Path: <moises [at] yhi.co.nz>
Authentication-Results: mta144.mail.re2.yahoo.com from=yhi.co.nz; domainkeys=neutral (no sig)
Received: from 80.51.254.74 (80.51.254.74) by mta144.mail.re2.yahoo.com with SMTP; Sat, 24 Sep 2005 xx:xx:xx -0700
Received: from [112.240.211.157] (port=3578 helo=[Brian]) by 80.51.254.74 with esmtp ID: [ID filtered]
Mime-Version: 1.0 (Apple Message framework v728)
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]
Content-Type: text/html; charset=US-ASCII; format=flowed
To: poor [at] spamvictim.tld
From: "Nicholas" <Moises [at] yhi.co.nz> Add to Address Book
Subject: Postbank.de
Date: Sat, 24 Sep 2005 xx:xx:xx +0200
X-Mailer: Apple Mail (2.728)
Content-Length: 1281

Ich finde es interessant, daß bei diesen Seiten grundsätzlich ein Apache auf Fedora oder Red Hat gemeldet wird. Das war IIRC auch bei früheren Inkarnationen schon so und wir sollten das wirklich im Auge behalten.

postbankservice.com: Apache/2.0.51 (Fedora), PHP/4.3.10
postauth.info: Apache/2.0.40 (Red Hat Linux), PHP/4.3.2

Nr. 1
Return-Path: <tech [at] homebanking-postbank.de.df-webhosting.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: from xxxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for poor [at] spamvictim.tld (single-drop); Wed, 28 Sep 2005 xx:xx:xx +0200 (CEST)
Received: from -1224354592 (c-67-181-168-166.hsd1.ca.comcast.net [67.181.168.166])
by xxxxxxx.xx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 28 Sep 2005 xx:xx:xx +0200
Received: from homebanking-postbank.de (-1224353344 [-1224352832])
by c-67-181-168-166.hsd1.ca.comcast.net (Qmailv1) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 27 Sep 2005 xx:xx:xx -0700
Date: Tue, 27 Sep 2005 xx:xx:xx -0700
From: PostBankBill Center <tech [at] homebanking-postbank.de.df-webhosting.de>
X-Mailer: The Bat! (v2.00.5) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Martin <poor [at] spamvictim.tld>
Subject: {Spam?} Postbank Security Issue
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------2CB1799252F4B39"
X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=13.676, benoetigt 6,
autolearn=spam, DATE_IN_PAST_06_12 0.65, FORGED_THEBAT_HTML 4.10,
HTML_60_70 0.11, HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32,
MIME_MISSING_BOUNDARY 1.84, NO_DNS_FOR_FROM 1.65,
RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DSBL 0.71,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: sssssssssssss
X-MailScanner-From: tech [at] homebanking-postbank.de
X-Collected-By: GMX/xxxx [at] xxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

Abgekippt über Comcast 67.181.168.166 -> abuse[at]comcast.com
Phishing-Link:http://www.postbanc.org/ - Registrar ist soweit ich es sehe Joker / CSL

postbanc.org nameserver = ns1.dynsecurity.com
postbanc.org nameserver = ns2.dynsecurity.com

ns1.dynsecurity.com internet address = 69.220.253.169
ns2.dynsecurity.com internet address = 82.83.180.64



Nr. 2
Return-Path: <tech [at] homebanking-postbank.de.df-webhosting.de>
X-Flags: 0000
Delivered-To: GMX delivery to xxxxxxx.xx
Received: from xxxxxxx.xx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for xxxxxxx.xx (single-drop); Tue, 27 Sep 2005 xx:xx:xx +0200 (CEST)
Received: from -1210114360 ([221.125.13.169])
by xxxxxxx.xx(8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <xxxxxxx.xx>; Tue, 27 Sep 2005 xx:xx:xx +0200
Received: from homebanking-postbank.de (-1210124432 [-1211015320])
by guanajuato.com (Qmailv1) with ESMTP ID: [ID filtered]
for <xxxxxxx.xx>; Mon, 26 Sep 2005 xx:xx:xx -0700
Date: Mon, 26 Sep 2005 xx:xx:xx -0700
From: PostBankBill Center <tech [at] homebanking-postbank.de.df-webhosting.de>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: [ID filtered]
To: Martin <xxxxxxx.xx>
Subject: {Spam?} Postbank Account Reactivation
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------66C09BCB3C2A8F4"
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: guanajuato.com)
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=8.771, benoetigt 6,
DATE_IN_PAST_06_12 0.65, FORGED_THEBAT_HTML 4.10, HTML_60_70 0.11,
HTML_MESSAGE 0.10, MIME_HTML_ONLY 0.32, MIME_MISSING_BOUNDARY 1.84,
NO_DNS_FOR_FROM 1.65)
X-MailScanner-SpamScore: ssssssss
X-MailScanner-From: tech [at] homebanking-postbank.de
X-Collected-By: GMX/xxxxxxx.xx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

Abgekippt über Hutchison Global Crossing Ltd. 221.125.13.169 -> abuse[at]on-nets.com
Phishing-Link:http://www.postbark.org/ - leider schon aus dem DNS geflogen :sick:

Diese Mail ging am 28.09.2005 um 12:38Uhr bei mir ein:

Return-Path: <support [at] postbank.de>
Delivery-Date: Wed, 28 Sep 2005 xx:xx:xx +0200
Received: from [201.8.4.167] (helo=carmax.com)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Date: Wed, 28 Sep 2005 xx:xx:xx +0000
From: Security <support [at] postbank.de>
Subject: Postbank Online-Banking
To: Webmaster <poor [at] spamvictim.tld>
References: <xxx [at] xxx.de>
In-Reply-To: <xxx [at] xxx.de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_L6114LCF84J179EA6K79J8HHA"
X-RBL-Warning: warn.bl.kundenserver.de says: This mail has been received from a dialup host.
Envelope-To: poor [at] spamvictim.tld

Der Inhalt der Mail und der Webseite:

http://moshauer-nt.de/images/email_tn.jpg (http://moshauer-nt.de/images/email.jpg) http://moshauer-nt.de/images/webseite_tn.jpg (http://moshauer-nt.de/images/webseite.jpg)

Der HTML-Code aus der E-Mail lautet:


<HTML><HEAD><TITLE>Postbank Online-Banking</TITLE>
<META http-equiv=Content-Type content="text/html>
<STYLE type=text/css>BODY {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; MARGIN: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; MARGIN: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
.text {
FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif
}
.text TD {
FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif
}
.text A {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: underline
}
.text TD A {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: underline
}
.text A:active {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: underline
}
.text TD A:active {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: underline
}
.text A:visited {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: underline
}
.text TD A:visited {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: underline
}
.text A:hover {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: none
}
.text TD A:hover {
FONT-WEIGHT: bold; COLOR: #000066; FONT-FAMILY: arial,geneva,helvetica,sans-serif; TEXT-DECORATION: none
}
</STYLE>

<META content="MSHTML 6.00.2900.2668" name=GENERATOR></HEAD>
<BODY bgColor=#ffffff>
<TABLE height="100%" cellSpacing=0 cellPadding=0 width="100%" border=0
valign="top">
<TBODY>
<TR height="100%">
<TD width="50%"></TD>
<TD vAlign=top width=616>
<TABLE height="100%" cellSpacing=0 cellPadding=0 width=616 border=0
valign="top">
<TBODY>
<TR height=10>
<TD width=616><BR><BR></TD></TR>
<TR height=16>
<TD width=616 bgColor=#000066></TD></TR>
<TR height=67>
<TD width=616><IMG height=67 alt=""
src="cid:mo.jpg" width=616></TD></TR>
<TR height=16>
<TD width=616 bgColor=#c0cce0></TD></TR>
<TR height=300>
<TD class=text vAlign=top width=616><BR><BR>Sehr geehrter Kunde,
<BR><BR>Im Zusammenhang mit den häufiger werdenden Betrügereien mit
den Bankkonten von unseren Kunden sind wir gezwungen eine
zusätzliche Autorisation von den Kontoinhabern durchzuführen.
<BR>Der Sicherheitsdienst der PostBank hat die Entscheidung
getroffen, die Datensicherung einer neuen Generation einzuführen.
Dazu wurden von unseren Spezialisten sowohl die
Informationsübertragungsprotokolle, als auch die Verschlüsselungsart
der übertragenen Daten modernisiert. <BR><BR>Im Zusammenhang mit dem
Obenerwähnten bitten wir Sie, eine spezielle <B>Form der
zusätzlichen Autorisation auszufüllen.</B> <BR><BR>
<DIV align=center><A href="http://www.postbank.de.pbde_pk_home-pbde.pk_produkteundpreise.pbde_pk_serviceundkredite-00945001843.server333.com/"><IMG
height=30 alt="" src="cid:ms.gif"
width=150></A></DIV><BR><BR>Diese Maßnahmen werden ausschließlich
zur Sicherung der Interessen von unseren Kunden getroffen.
<BR><BR>Danke für die Zusammenarbeit,<BR>Administration der Postbank
Online Banking <BR><BR><BR></TD></TR>
<TR height=16>
<TD width=616 bgColor=#c0cce0></TD></TR>
<TR height=16>
<TD class=text align=right width=616><SMALL>© 2004 Deutsche Postbank
AG</SMALL></TD></TR>
<TR height="100%">
<TD width=616></TD></TR></TBODY></TABLE></TD>
<TD width="50%"></TD></TR></TBODY></TABLE></BODY></HTML>


Ich hoffe ich konnte etwas beitragen. Wie kann ich meine Informationen noch ausbauen?

http://server333.com -> Leo Kuvayev

bei server333 sind aber die DNS-Server wieder ziemlich ausgelastet. (http://www.dnsstuff.com/tools/lookup.ch?name=server333.com&type=A) :D

server333 ist inzwischen ganz tot, aber:

Neuer Server, neues Glück für Leo.

Heute abend versucht er´s mal mit einem Link auf die
210.182.42.110 (Boranet, Korea), abgekippt über
adsl-64-169-247-252.dsl.sndg02.pacbell.net ([64.169.247.252]).

Neues Design aber die alte Masche. From Deutsche Postbank AG Thu Sep 29 xx:xx:xx 2005
X-Apparently-To: xxxxxxxxxxx [at] yahoo.de via 217.146.176.68; Thu, 29 Sep 2005 xx:xx:xx -0700
X-YahooFilteredBulk: 65.23.242.40
X-Originating-IP: [65.23.242.40]
Return-Path: <supprefnum47930 [at] postbank.de>
Authentication-Results: mta163.mail.dcn.yahoo.com from=postbank.de; domainkeys=neutral (no sig)
Received: from 65.23.242.40 (HELO SVRADMINISTRATO) (65.23.242.40) by mta163.mail.dcn.yahoo.com with SMTP; Thu, 29 Sep 2005 xx:xx:xx -0700
FCC: mailbox://supprefnum47930 [at] postbank.de/Sent
X-Identity-Key: id1
Datum: Thu, 29 Sep 2005 xx:xx:xx -0700
Von: "Deutsche Postbank AG" <supprefnum47930 [at] postbank.de> Zum Adressbuch hinzufügen
X-Accept-Language: en-us, en
MIME-Version: 1.0
An: xxxxxxxxxxxxx [at] yahoo.de
Betreff: DIE INFORMATION FÜR DIE KUNDEN [Thu, 29 Sep 2005 xx:xx:xx -0100]
Content-Type: multipart/related; boundary="------------000402070001050205010009"
Content-Length: 9714
http://img84.imageshack.us/img84/6552/euphemist2wz.th.gif (http://img84.imageshack.us/my.php?image=euphemist2wz.gif)

http://210.203.163.66/rpm/index.html
Wobei nach dem ansehen der Seite, und dem Versuch,
sie zu schliessen, diese immer wieder beginnt, sich selbst zu öffnen.

Bei mir ist es: http://210.204.33.33/rpm/

Die IP ist Korea NIC zugeordnet, aber nicht vergeben: Whois (http://centralops.net/co/DomainDossier.aspx?addr=210.204.33.33&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)

Hi bei mir ist heute mal wieder folgendes eingetrudelt:

X-Sieve: cmu-sieve 2.0
Return-Path: <lambert [at] postbank.de>
Received: from localhost (localhost [127.0.0.1])
by mail.*.de (*) with ESMTP ID: [ID filtered]
for <*>; Wed, 5 Oct 2005 xx:xx:xx +0200 (CEST)
Received: from mail.*.de ([127.0.0.1])
by localhost (mail [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
ID: [ID filtered]
Received: from 222.137.217.79 (unknown [222.137.217.79])
by mail.*.de (*) with SMTP ID: [ID filtered]
for <*>; Wed, 5 Oct 2005 xx:xx:xx +0200 (CEST)
Message-ID: [ID filtered]
From: allan elwood <lambert [at] postbank.de>
To: *
Subject: Postbank Online Konto
Date: Wed, 05 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_C693C287.34082F47"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Virus-Scanned: by amavisd-new at *.de
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on mail.*.de
X-Spam-Level: ****
X-Spam-Status: No, hits=4.7 required=5.0 tests=BAYES_80,HTML_50_60,
HTML_FONTCOLOR_BLUE,HTML_MESSAGE,MIME_BASE64_LATIN,MIME_BASE64_TEXT
autolearn=no version=2.64
X-UID: [UID filtered]
X-Length: 7304

Darin war ein ein Link auf http://reserve-server.com/. Jetzt ist das Whois aber sehr auskunftsfreudig:


whois reserve-server.com

Whois Server Version 1.3

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

No match for "RESERVE-SERVER.COM".

Wie geht sowas? :lil: Hier noch die Ausgabe des Dig:


dig reserve-server.com

; <<>> DiG 9.2.4 <<>> reserve-server.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, ID: [ID filtered]
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;reserve-server.com. IN A

;; ANSWER SECTION:
reserve-server.com. 42628 IN A 69.234.211.65

;; AUTHORITY SECTION:
reserve-server.com. 172227 IN NS ns1.vds-virtual-hosting.com.
reserve-server.com. 172227 IN NS ns2.vds-virtual-hosting.com.

;; Query time: 91 msec
;; SERVER: 193.155.207.61#53(193.155.207.61)
;; WHEN: Wed Oct 5 xx:xx:xx 2005
;; MSG SIZE rcvd: 108

Kann mir mal jemand erklären wie diese Domain zustande kam / gehalten wird? Ich hab von DNS nicht wirklich viel Ahnung. :(

Kann mir mal jemand erklären wie diese Domain zustande kam / gehalten wird? Die IP [82.80.152.118] gehört zu einem Pool von ADSL-Anschlüssen. Deshalb ist der Seitenaufbau so langsam: ADSL=asymetrisches DSL, das beim Download eine wesentlich höhere Geschwindigkeit als beim Upload erreicht: Whois: 82.80.152.118 (http://www.antispam-ev.de/~phil/spamlink/?url=http://82.80.152.118)

Gehostet ist der Dreck auf einem Rechner in Israel bei BEZEQINT.NET: bzq-82-80-152-118.red.bezeqint.net (http://centralops.net/co/DomainDossier.aspx?addr=reserve-server.com&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)

Die Whois-Daten der Domain "reserve-server.com" sind vermutlich gefälscht.

Der Service-Scan sowie die Reaktion auf http://82.80.152.118/cgi-bin/ spricht dagegen, dass der Rechner gekapert ist. Hier sind vermutlich Hinterhof-Phisher am Werk.

Die Name-Server stehen ebenfalls in Israel bei BEZEQINT.NET:
NS1.BEZEQINT.NET = 192.115.106.10
NS2.BEZEQINT.NET = 192.115.106.11
NS3.BEZEQINT.NET = 62.219.186.11

Das ist sehr vielschichtig. Leo hat den dns-Server vds-virtual-hosting.com so eingestellt, dass er jedesmal einen anderen A-record rausgibt, abhängig davon, welcher Nameserver seinen DNS-server fragt.

Man kriegt jeweils unterschiedliche A-records, wenn man dns-stuff.com, centralops.net, zoneedit.com oder network-tools fragt.

Wenn man bei network-tools den A-record unter Benutzung anderer Public-Nameserver abfragt, kriegt man jedesmal eine andere Antwort.

Leo will vermutlich damit einen "Load Balance" erreichen.

Lediglich die Angaben für die dns-Server stehen fest auf den Root-DNS-Servern:
ns1.vds-virtual-hosting.com IN A 67.10.138.66
ns2.vds-virtual-hosting.com IN A 67.10.138.66
ns3.vds-virtual-hosting.com IN A 80.145.90.190
ns4.vds-virtual-hosting.com IN A 80.145.90.190

Die Domain reserve-server.com hat auf den Root-Servern keinen A-record, es muss also immer Leo´s nameserver gefragt werden. Und der liefert dann je nach Belieben ein buntes, verteiltes Ergebnis.

Heute morgen: neuer Phishingversuch.
Abgekippt über
C248H075.personal22.cable.mecha.ne.jp ([61.206.248.75])

Phisher-Domain war wieder reserve-server.com.

Die DNS-Server haben allerdings momentan einen Rohrkrepierer, die Domain ist nicht aufzurufen. :D :sniper:

@goofy

ich glaube eher dass die dns server gehackte rechner sind ...

schon darüber nachgedacht ?

daher auch immer eine andere ip ... im nslookup oder sonstigen whoisabfragen

Das ist richtig, es ist uns auch schon eine Weile bekannt, dass Kuvayev mit dieser Masche arbeitet.
Allerdings hatte er einige Probleme mit diesen auf bots gehosteten Netzwerken. Teilweise waren die Seiten sehr langsam, zeitweise war der Mist nicht abrufbar.
Daher setzt er jetzt zur Lastverteilung eine größere Zahl von bots ein. Neu ist hier, dass sein dns nicht gleichzeitig auf dieselben bots verweist, sondern für verschiedene anfragende Nameserver ganz andere Resultate rausgibt.
Wie auch immer - seine Probleme scheinen damit nicht endgültig beseitigt zu sein.

Received: from [59.115.1.186] (helo=59-115-1-186.dynamic.hinet.net)
by mx27.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Fri, 14 Oct 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: hyde abdulkarim <0julayne [at] postbank.de>
To: xxx
Subject: =?iso-8859-1?B?SU5URVJORVQgS09OVE8gPj4+IERldXRzY2hlIFBvc3RiYW5r?=
Date: Fri, 14 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_1305EA6E.45C82770"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: 0julayne [at] postbank.de

http://server-backup-online.com - Die Seite kann nicht angezeigt werden. :rolleyes:

Received: from [219.19.104.54] (helo=YahooBB219019104054.bbtec.net)
by mx31.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Tue, 11 Oct 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: joji enoch <jeremy [at] postbank.de>
To: xxx
Subject: =?iso-8859-1?B?SU5URVJORVQgS09OVE8gPj4+IERldXRzY2hlIFBvc3RiYW5r?=
Date: Tue, 11 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_4D668966.B56FECF6"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: jeremy [at] postbank.de

Received: from [200.208.245.80] (helo=200.208.245.80)
by mx28.web.de with smtp (WEB.DE 4.105 #323)
ID: [ID filtered]
for xxx; Mon, 10 Oct 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: luis gaultiero <kathreen [at] postbank.de>
To: xxx
Subject: =?iso-8859-1?B?SU5URVJORVQgS09OVE8gPj4+IERldXRzY2hlIFBvc3RiYW5r?=
Date: Mon, 10 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_DB3DC975.7766464E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: kathreen [at] postbank.de

http://encrypted-channel.info - Die Seite kann nicht angezeigt werden. :rolleyes:


Mal wieder ein paar lustige Postbankseiten... :D


in diesem Sinne

Oliver

Die Seite kann nicht angezeigt werden.

Dem Leo scheint momentan der sichere IP-space knapp zu werden. :D

Die o.a. Domains sind momentan im "Reserved"-Status ohne IP- und ns-Eintrag. Kann sein, dass Leo sie im Laufe des Tages doch noch aktivieren lässt.

Hier diesmal mit einer komischen e-mail, die zu diesem Zeitpunnkt , wo ich poste noch aktv ist:

Von "denney cheow-to"<269luana [at] info.gamanetwork.com

Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit haufiger wiederholten Angriffen auf die Portale
der PostBanken ist die Direktion der PostBank zur Entscheidung gekommen, eine vollstandige
Zwangserneuerung der Informationen uber Ihre Konten vorzunehmen. Sie mussen das nachfolgende Link befolgen und die
Angaben zum Zugriff von Ihrem Konto andern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verstandnis
und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet.
Um Hilfe zu bekommen.
Kommen Sie auf Ihr PostBank konto und tippen Sie oben auf der beliebigen Seite
ein.

2005 PostBank Inc.c
Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.

eturn-path: <269luana [at] info.gamanetwork.com>
Delivery-date: Tue, 18 Oct 2005 xx:xx:xx +0200
Received: from [] (helo=mx8.freenet.de)
by mbox72.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for @01019freenet.de; Tue, 18 Oct 2005 xx:xx:xx +0200
Received: from 200165129094.user.veloxzone.com.br ([200.165.129.94])
by mx8.freenet.de with smtp (Exim 4.53-RC2 #21)
ID: [ID filtered]
for @freenet.de; Tue, 18 Oct 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: =?iso-8859-1?B?ZGVubmV5IGNoZW93LXRv?= <269luana [at] info.gamanetwork.com>
To: @freenet.de
Subject: =?iso-8859-1?B?R2VlaHJ0ZSBLdW5kZW4gdW5kIEt1bmRpbm5lbnUgUG9zdEJhbmsh?=
Date: Tue, 18 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_F087508D.3E232342"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Delivered-To: @freenet.de
Envelope-to: @freenet.de
X-Warning: Message contains Spam signature (149285::051018045056-45434000-7955AA6C)
Delivered-To:01019freenet.de

ALLES ABGEKIPPT IN BRASSILIEN

canonical name 200165129094.user.veloxzone.com.br.
aliases
addresses 200.165.129.94
Domain Whois record

Queried whois.nic.br with "veloxzone.com.br"...

domain: veloxzone.com.br
owner: Telemar Norte Leste S.A.
ownerID: [ID filtered]
responsible: Marlemar Telgon
address: Rua Humberto de Campos, 425, 7 andar
address: 22430-190 - Rio de Janeiro - RJ
phone: (021) 31311343 []
owner-c: MAT838
admin-c: MAT838
tech-c: CGR13
billing-c: MAT838
nserver: ns4.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
nserver: ns2.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
created: 20001011 #445644
changed: 20050324
status: published
nic-hdl-br: CGR13
person: Centro de Gerencia de Rede TELEMAR
e-mail: abuse [at] telemar.net.br
created: 20000605
changed: 20051004
nic-hdl-br: MAT838
person: Marlemar Telgon
e-mail: mlugon [at] telemar.com.br
created: 20050324
changed: 20050324
remarks: Security issues should also be addressed to
remarks: cert [at] cert.br, http://www.cert.br/
remarks: Mail abuse issues should also be addressed to
remarks: mail-abuse [at] cert.br

% whois.registro.br accepts only direct match queries.
% Types of queries are: domains (.BR), BR POCs, CIDR blocks,
% IP and AS numbers.


Queried whois.lacnic.net with "200.165.129.94"...
% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries
% Copyright registro.br

inetnum: 200.165/16
aut-num: AS7738
abuse-c: CGR13
owner: Telemar Norte Leste S.A.
ownerID: [ID filtered]
responsible: Marlemar Telgon
address: Rua Humberto de Campos, 425, 7 andar
address: 22430-190 - Rio de Janeiro - RJ
phone: (021) 31311343 []
owner-c: MAT838
tech-c: CGR13
inetrev: 200.165.0/24
nserver: ns4.telemar.net.br
nsstat: 20051014 AA
nslastaa: 20051014
nserver: ns2.telemar.net.br
nsstat: 20051014 AA
nslastaa: 20051014
inetrev: 200.165.1/24
nserver: ns4.telemar.net.br
nsstat: 20051015 AA
nslastaa: 20051015
nserver: ns2.telemar.net.br
nsstat: 20051015 AA
nslastaa: 20051015
inetrev: 200.165.2/24
nserver: ns4.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
nserver: ns2.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
inetrev: 200.165.3/24
nserver: ns4.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
nserver: ns2.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
inetrev: 200.165.4/24
nserver: ns4.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
nserver: ns2.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
inetrev: 200.165.5/24
nserver: ns4.telemar.net.br
nserver: ns2.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
inetrev: 200.165.8/24
nserver: ns4.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
nserver: ns2.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
inetrev: 200.165.9/24
nserver: ns4.telemar.net.br
nsstat: 20051015 AA
nslastaa: 20051015
nserver: ns2.telemar.net.br
nsstat: 20051015 AA
nslastaa: 20051015
inetrev: 200.165.10/24
nserver: ns4.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
nserver: ns2.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
inetrev: 200.165.11/24
nserver: ns4.telemar.net.br

nsstat: 20051014 AA
nslastaa: 20051014
nserver: ns2.telemar.net.br
nsstat: 20051014 AA
nslastaa: 20051014
inetrev: 200.165.16/24
nserver: ns4.telemar.net.br
nsstat: 20051017 AA
nslastaa: 20051017
inetrev: 200.165.18/24
inetrev: 200.165.19/24
nserver: ns4.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
nserver: ns2.telemar.net.br
nsstat: 20051016 AA
nslastaa: 20051016
inetrev: 200.165.20/24
nserver: ns4.telemar.net.br
nsstat: 20051015 AA
nslastaa: 20051015
nserver: ns2.telemar.net.br
nsstat: 20051015 AA
nslastaa: 20051015
inetrev: 200.165.21/24
inetrev: 200.165.22/24
nserver: ns4.telemar.net.br

.... geht immer so weiter, soviel wurde mir noch nie ausgespuckt


changed: 20011003
nic-hdl-br: CGR13
person: Centro de Gerencia de Rede TELEMAR
e-mail: abuse [at] telemar.net.br
created: 20000605
changed: 20051004
nic-hdl-br: MAT838
person: Marlemar Telgon
e-mail: mlugon [at] telemar.com.br
created: 20050324
changed: 20050324
remarks: Security issues should also be addressed to
remarks: cert [at] cert.br, http://www.cert.br/
remarks: Mail abuse issues should also be addressed to
remarks: mail-abuse [at] cert.br
% whois.registro.br accepts only direct match queries.
% Types of queries are: domains (.BR), BR POCs, CIDR blocks,
% IP and AS numbers.
DNS records
name class type data time to live
200165129094.user.veloxzone.com.br IN A 200.165.129.94 86400s (1.xx:xx:xx)
veloxzone.com.br IN SOA
server: ns4.telemar.net.br
email: root [at] veloxzone.com.br
serial: 2005092901
refresh: 10800
retry: 600
expire: 691200
minimum ttl: 43200
3600s (xx:xx:xx)
veloxzone.com.br IN NS ns2.telemar.net.br 3600s (xx:xx:xx)
veloxzone.com.br IN NS ns4.telemar.net.br 3600s (xx:xx:xx)
veloxzone.com.br IN A 200.223.8.81 3600s (xx:xx:xx)
94.129.165.200.in-addr.arpa IN PTR 200165129094.user.veloxzone.com.br 43200s (xx:xx:xx)
Traceroute

Tracing route to 200165129094.user.veloxzone.com.br [200.165.129.94]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 1 0 64.29.192.3 port-64-1949699-dal16509a-drtn.devices.datareturn.com
3 0 0 0 64.29.192.142 port-64-1949838-zzt0prespect.devices.datareturn.com
4 0 0 0 64.29.192.229 daa.g921.ispa.datareturn.com
5 0 0 0 209.246.152.201 ge-6-3.car2.dallas1.level3.net
6 1 0 0 4.68.122.166 ge-1-2-56.car3.dallas1.level3.net
7 0 0 0 63.209.47.186 unknown.level3.net
8 0 0 1 213.140.36.234 ge9-1-1-grtdaleq2.red.telefonica-wholesale.net
9 46 45 45 213.140.36.54 s2-0-0-0-grtwaseq2.red.telefonica-wholesale.net
10 52 52 52 213.140.36.1 so7-0-0-0-grtnycpt2.red.telefonica-wholesale.net
11 339 125 45 213.140.51.150 telemar-1-0-2-grtnycpt2.red.telefonica-wholesale.net
12 167 419 166 200.223.131.245
13 182 182 216 200.223.131.133 po4-0.arc-rj-rotn-01.telemar.net.br
14 181 450 359 200.223.254.122
15 338 182 182 200.216.22.2 200216022002.user.veloxzone.com.br
16 182 182 182 200.195.51.238
17 761 * 915 200.165.129.94 200165129094.user.veloxzone.com.br

Trace complete, aber war TIMEOUT.
KOMISCHE E-MAIL WAS?

Eben noch bekommen:

269luana [at] info.gamanetwork.com
retry timeout exceeded (===????)

Schlechtes Deutsch ist man ja schon gewöhnt, aber eigentlich sollte es doch nun langsam mal besser werden. :D


Return-Path: <online [at] postbank.de>
Delivery-Date: Wed, 19 Oct 2005 xx:xx:xx +0200
Received: from [218.106.120.132] (helo=FTPSERVER)
by mxeu12.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: by 218.106.120.132 (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from 93.53.160.48.gigabits.us (60.52.226.211.gigabits.us [216.223.105.90])
by webmail.rambler.ru (IMP) with HTTP
for <poor [at] spamvictim.tld>; Wed, 19 Oct 2005 xx:xx:xx +0200
Message-ID: [ID filtered]
From: "Postbank" <online [at] postbank.de>
Reply-To: "Postbank" <online [at] postbank.de>
To: ***********************
Subject: Postbank Online-Banking,confirmation code ¹0648-QBSOT
Date: Wed, 19 Oct 2005 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--8250329526337152"
X-Priority: 3
X-CS-IP: 200.110.20.12
Envelope-To: ***********************
Bemerken Sie: Das ist eine Dienstnachricht mit der mit Ihrer Bank verbundenen Information. Es kann spezifische Details uber Transaktionen, Produkte oder On-Line-Dienstleistungen einschlie?en. Wenn Sie kurzlich Ihre Rechnung annullierten, ignorieren Sie bitte diese Nachricht.





Liebe PostBank Kunde:
Im Zusammenhang mit der komplizierten Situation, die in unserem Land mit online - Banking zustande gekommen ist, haben wir die Verordnung bekommen, alle online - Konten von unserer Bank zu uberprufen. Diese Ma?nahme wurde wegen der "Tageskonten" getroffen, die von den Missetatern fur Geldwasche der gestohlenen Mittel benutzt werden.

Wir bitten unsere Kunden instandig, die Form der Kontobestatigung auf unserer offiziellen Seite https://login.postbank.de/app/login.prep.do [links to http://konto-online-secure.com/app/login.prep.do]

Die Konten, die bis zum 13.10.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umstande ihrer Eroffnung und Verwendung gebunden. Diese Kontrolle ist sowohl fur die Privatkunden, als auch fur die Firmenkunden aktuell.

Wir entschuldigen uns fur die Unannehmlichkeiten, die wir Ihnen mit der Durchfuhrung der Ma?nahme bereitet haben, wir hoffen auf Ihre Mithilfe und Verstandnis.

Mit freundlichen Gru?en, Sicherheitsabteilung,


PostBank



?2005 PostBank

Auch hier ist der Phishing-Link wieder wegen DNS-Problemen nicht aufzurufen.
Ich kriege lediglich die Nameserver:

ns1.ecards2005.com
ns2.ecards2005.com
c211-1-184-42.customer.mni.ne.jp.

Scheint ein japanischer Bot zu sein. Sieht allerdings ziemlich tot aus:


Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
NNTP - 119 Error: TimedOut

:hangman:

Und wieder die "Postbank"!X-Apparently-To: xxxxxxxxxxxxxx [at] yahoo.com.au via 66.218.93.231; Tue, 18 Oct 2005 xx:xx:xx -0700
X-YahooFilteredBulk: 82.240.232.27
X-Originating-IP: [82.240.232.27]
Return-Path: <94gaoyuan [at] amqa.com>
Authentication-Results: mta138.mail.scd.yahoo.com from=amqa.com; domainkeys=neutral (no sig)
Received: from 82.240.232.27 (HELO per92-8-82-240-232-27.fbx.proxad.net) (82.240.232.27) by mta138.mail.scd.yahoo.com with SMTP; Tue, 18 Oct 2005 xx:xx:xx -0700
Message-ID: [ID filtered]
From: "bailie gavriel" <94gaoyuan [at] amqa.com> Add to Address Book
To: poor [at] spamvictim.tld
Subject: Geehrte Kunden und Kundinnenu PostBank!
Date: Wed, 19 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_553BF211.EA89AE4E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Content-Length: 2790

http://img353.imageshack.us/img353/4432/pblogo8ka.gif (http://imageshack.us)

Sehr geehrte Kundin Sehr geehrter Kunde

Wir sind gezwungen, Ihnen folgendes mitzuteilen. Im Zusammenhang mit haufiger wiederholten Angriffen auf die Portale
der PostBanken ist die Direktion der PostBank zur Entscheidung gekommen, eine vollstandige
Zwangserneuerung der Informationen uber Ihre Konten vorzunehmen. Sie mussen das nachfolgende Link befolgen und die
Angaben zum Zugriff von Ihrem Konto andern. Auf Grund der entstandenen Situation wollen wir auf Ihr Verstandnis
und Zusammenarbeit hoffen, weil es der beste Weg ist, ihre Konten zu sichern.

https://banking.postbank.de/app/welcome.do

Antworten Sie bitte auf diesen Brief nicht. Die Briefe, die an diese Anschrift geschickt werden, werden nicht beantwortet.
Um Hilfe zu bekommen.
Kommen Sie auf Ihr PostBank konto und tippen Sie oben auf der beliebigen Seite
ein.
2005 PostBank Inc.c
Alle Rechte vorbehalten. Handelsmarken und Brands sind Eigentum von ihren Besitzern.

Me too, allerdings anderer "confirmation code" im Subject. Und der Phisher war zu blöd, die Templates für die Fake-Mailhops richtig zu bauen.
Phishvertized wird auch hier http://konto-online-secure.com/app/login.prep.do.
Return-Path: <online [at] postbank.de>
Received: from 11-30-112.adsl.terra.cl (200.112.30.11) by 0 with SMTP; 19
Oct 2005 19:XX:XX -0000
Received: by 200.112.30.11 (Postfix, from userID: [ID filtered]
%CUSTOM_ID; Thu, 20 Oct 2005 01:XX:XX +0500
Received: from Delia [52.66.112.74] by hotmail.com (Postfix) with ESMTP id
%CUSTOM_NUM for <poor [at] spamvictim.tld>; Wed, 19 Oct 2005 19:XX:XX -0100
Received: from mail.hotmail.com ([127.0.0.1]) by localhost
(mail.hotmail.com [127.0.0.1]) (port %CUSTOM_NUM) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 19 Oct 2005 14:XX:XX -0600
Message-ID: [ID filtered]
From: "Postbank" <online [at] postbank.de>
Reply-To: "Postbank" <online [at] postbank.de>
To: poor [at] spamvictim.tld
Subject: Postbank online, confirmation code 99999-XXXXXX
Date: Thu, 20 Oct 2005 01:XX:XX +0500
MIME-Version: 1.0
X-Virus-Scanned: by AmaViS using ClamAV

Received: from [200.233.183.21] (helo=200-233-183-021.xd-dynamic.ctbcnetsuper.com.br) by mx32.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
Received: from [200.233.183.21] (port=3428 helo=MX.yahoo.com) by MX.yahoo.com with esmtp ID: [ID filtered]
Received: from Beatriz [56.52.177.83] by yahoo.com with ESMTP ID: [ID filtered]
Message-ID: [ID filtered]
From: Postbank <online [at] postbank.de>
Reply-To: Postbank <online [at] postbank.de>
To: MOO
Subject: Postbank online - die Aufmerksamkeit! confirmation code ¹56-GBETXI
Date: Thu, 20 Oct 2005 xx:xx:xx -0400 (16:16 CEST)
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--16775261268688585935"
Sender: online [at] postbank.de

konto-online-secure.com ist nach wie vor platt, ich versteh den Sinn der heutigen Phishing-Attacke nicht.

Datt is ja wohl gründlich schief gegangen... Hier die komplette (!) Mail:

Received: from [216.49.115.83] (helo=adsl463-sc-psci.psci.net) by
mx25.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
2005 xx:xx:xx +0100
Received: from 182.59.160.104 by 216.49.115.83; Mon, 07 Nov 2005 xx:xx:xx
+0200
Received: by relay.msn.com (Postfix, from userID: [ID filtered]
FMBVmPzK9TAxnOFqjxxZ; Tue, 08 Nov 2005 xx:xx:xx +0400
Received: from Marjorie (msn.com[177.160.46.224]) by relay.msn.com
(Postfix) with ESMTP ID: [ID filtered]
2005 xx:xx:xx +0500
Message-ID: [ID filtered]
From: online [at] postbank.de
Bcc:
Date: Mon, 07 Nov 2005 xx:xx:xx +0100
Sender: online [at] postbank.de
Subject: No Subject
Mime-Version: 1.0

Datt is ja wohl gründlich schief gegangen...
Hat unser Phishy wohl mal wieder zu viel Koks geschnupft.
Naja, heute oder morgen wird sicher Nachschlag kommen... :sick:

So schlecht, wie die Spammer in letzter Zeit sind, tippe ich nicht auf Koks, sondern eher darauf, dass sie sich ihre Cialis anal einführen und das Tramadol rauchen, dass sie tonnenweise auf Lager haben...

Die Postbank-Kokserei geht weiter:
Return-Path: <support_refnum_... [at] postbank.de>
X-Sieve: CMU Sieve 2.2
Received: from pc34.fx-net.ro ([193.19.179.34]) by ...
with smtp ID: [ID filtered]
FCC: mailbox://support_refnum_... [at] postbank.de/Sent
X-Identity-Key: id1
Date: Sun, 27 Nov 2005 06:xx:07 -0200
From: Deutsche Postbank <support_refnum_... [at] postbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ...
Subject: Die Information fXr die Kunden [Sun, 27 Nov 2005 07:xx:07 -0100]Return-Path: <support_ref_... [at] postbank.de>
X-Sieve: CMU Sieve 2.2
Received: from h66.129.178.64.cable.grpr.cablerocket.net ([64.178.129.66]) by ...
with smtp ID: [ID filtered]
FCC: mailbox://support_ref_... [at] postbank.de/Sent
X-Identity-Key: id1
Date: Mon, 28 Nov 2005 03:xx:24 -0100
From: Deutsche Postbank AG <support_ref_... [at] postbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ...
Subject: Postbank Online-Banking

Beide Male angezeigter Fake-Link:
https:// banking.postbank.de/app/cust_details_confirmation_page.do

Der hinter dem GIF-Anhang verborgene tatsächliche Link:
http://200.69.195.227:780/rock/Isap/


Eine entsprechende Phishing-Meldung habe ich gestern bereits an den argentinischen Provider verschickt. Mal sehen, ob er antwortet.

Unser Leo kanns wohl nich lassen, der wird auch nimmer schlau

Der muss sich unglaublich sicher fühlen in seinem Fluchtversteck in Russland. Das Phishing-Business boomt weiter, so dass er mit der Giesskannen-Methode jeden Tag dieselben Empfänger mit demselben Kram beglückt.
Gibt es eigentlich noch eine Bank in D-A-CH, die ihre Kunden nicht im Online-Portal vor Phishing warnt? Diese so geniale Geschäftsidee müsste doch so langsam verbrannt sein :confused:

Interessanter Artikel zum Thema.


EU: Banken sollen für Phishing-Schäden haften
Verbraucherschutz wird verbessert

Die EU-Kommission will Europas Bankkunden besser stellen. Ein Richtlinienentwurf, der der 'Süddeutschen Zeitung' (Montagsausgabe) vorliegt, weitet die Rechte der Verbraucher bei Überweisungen und der Nutzung von Kreditkarten erheblich aus. Binnenmarkt-Kommissar Charlie McCreevy will die 230 Milliarden Zahlungstransaktionen, die jährlichen in den EU-Staaten getätigt werden, effizienter gestalten und den Wettbewerb der Banken erhöhen.

http://de.internet.com/index.php?id=2039722&section=Marketing-News

Der Server steht in Thailand, daher wohl auch das furchtbare Deutsch. Abgekippt anscheinend über USAland.

Link war http://202.129.53.211:8081/postbank/privat/app/welcome.do.htm



From - Wed Dec 21 xx:xx:xx 2005
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <Kontounterstutzung07 [at] postbank.de>
Delivered-To:
Received: (qmail 19346 invoked from network); 21 Dec 2005 xx:xx:xx -0000
Received: from unknown ([80.67.18.11])
by twister.ispgateway.de (qmail-ldap-1.03) with QMQP; 21 Dec 2005 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx11.ispgateway.de
Received: (qmail 1124 invoked by UID: [UID filtered]
Delivered-To:
X-Envelope-To:
Received: (qmail 933 invoked by UID: [UID filtered]
Delivered-To:
X-Envelope-To:
Received: (qmail 884 invoked from network); 21 Dec 2005 xx:xx:xx -0000
Received: from unknown (HELO GMACCESS) ([209.161.51.42])
(envelope-sender <poor [at] spamvictim.tld>)
by mx11.ispgateway.de (qmail-ldap-1.03) with SMTP
for <>; 21 Dec 2005 xx:xx:xx -0000
Message-ID: [ID filtered]
From: Kontounterstutzung07 [at] postbank.de
To: <>
Subject: [**SPAM**] Postbank Alert: Modernisierung von den Sicherheitsstandards. (Ref:0154)
Date: Wed, 21 Dec 2005 xx:xx:xx -0600
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0013_01C6063D.86D0CB40"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Spam-Checker-Version: SpamAssassin 3.0.4 (2005-06-05) on
spamfilter07.ispgateway.de
X-Spam-Level: ****
X-Spam-Status: No, hits=4.4 required=9999.0 tests=EXTRA_MPART_TYPE,
FROM_ENDS_IN_NUMS,HTML_60_70,HTML_IMAGE_ONLY_20,HTML_MESSAGE,
INVALID_DATE,NORMAL_HTTP_TO_IP,NO_REAL_NAME,RCVD_IN_BL_SPAMCOP_NET,
WEIRD_PORT autolearn=disabled version=3.0.4
X-List-Match: X-Spam-Level:****:subject:[**SPAM**]


This is a multi-part message in MIME format.

------=_NextPart_000_0013_01C6063D.86D0CB40
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0014_01C6063D.86D0CB40"


------=_NextPart_001_0014_01C6063D.86D0CB40
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

3D"Homepage"

---------------------------------------------------------------------

Sehr geehrter Kunde,

- Unser neues Schutzystem kann Ihnen helfen, öftere betrügerischen
Transaktionen zu vermeiden und Ihre Mittel sicher zu halten.

- Im Zusammenhang mit der technischen Modernisierung empfehlen wir
Ihnen eine wiederholte Aktivierung von Ihrem Bankkonto durchzumachen.

Dafür müssen Sie unser Link verfolgen: Login


Wir schätzen Ihr Business ein. Für uns ist eine große Ehre, Sie zu
bedienen.
Die Abteilung mit der Arbeit für die Kunden von der Deutsche Postbank
AG

Dieses E-Mail ist nur für die Mitteilung. Damit haben Sie keine
Antwort zu machen.

msg-ID: [ID filtered]

Lt. Whois Auskunft gehört das du der IP-Adresse:

OrgName: Fiberpipe Inc.
OrgID: [ID filtered]
Address: 10215 West Emerald Street
Address: Suite 160
City: Boise
StateProv: ID
PostalCode: 83704
Country: US

Hallo zusammen,

soeben habe ich auch eine "Dringende Geheimmitteiling" erhalten:

Return-Path: <Kundenbetreuung87 [at] postbank.de>
Delivery-Date: Thu, 22 Dec 2005 xx:xx:xx +0100
Received: from [62.254.226.124] (helo=SCFCPress)
by mx.kundenserver.de (node=mxeu14) with ESMTP (Nemesis),
ID: [ID filtered]
Message-ID: [ID filtered]
From: Kundenbetreuung87 [at] postbank.de
To: <***Nebelwolf***>
Subject: Postbank - Dringende Geheimmitteiling. Ref:581
Date: Thu, 22 Dec 2005 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0005_01C606F2.4895FFC0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: ***Nebelwolf***
X-NP-webmailer-Has-Attach: yes

Text wie vorher, aber ein neuer, aktiver Link:
http://220.130.196.145:8081/postbank/privat/app/Banking_Login.html

Aktion: eMail an Missbrauch bei der Postbank.
Aktion 2: Ein paar glaubhafte Zahlen eingetragen.

Nebelwolf

Immerhin sind die Seiten diesmal nicht mit einem trojanischen Phish verseucht, wie letztens die "/rock/v/"-Welle am Ende. Da kann man ruhig mal ein wenig verweilen und rumspielen.
Ist übrigens teilweise lustich, was man auf den Kisten per FTP für schöne Zufallsfunde machen kann...:D

MfG
L.

From custservice_id_15627 [at] postbank.de Fri Feb 3 xx:xx:xx 2006
Return-Path: <custservice_id_15627 [at] postbank.de>
X-Flags: 1001
Delivered-To: GMX delivery to XXX
Received: (qmail invoked by alias); 03 Feb 2006 xx:xx:xx -0000
Received: from mpe-25-88.mpe.lv (HELO mpe-25-88.mpe.lv) [83.241.25.88]
by mx0.gmx.net (mx042) with SMTP; 03 Feb 2006 xx:xx:xx +0100
FCC: mailbox://custservice_id_15627 [at] postbank.de/Sent
X-Identity-Key: id653859653
Date: Sat, 04 Feb 2006 xx:xx:xx +0200
From: Deutsche Postbank AG <custservice_id_15627 [at] postbank.de>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: XXX
Subject: Die wichtige Mitteilung [Sat, 04 Feb 2006 xx:xx:xx +0500]
Content-Type: multipart/related;
boundary="------------030502000704020106040007"
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)
X-GMX-UID: [UID filtered]
http://211.169.77.194:180/r1/p/

Lyrik:

Pet writer. the blackout How are you? It was a pit of shadows.

He had taken none of them — knowing he had them put aside, a form of Annie-insurance, was enough. But that was obvious. "he yelled after her. The typed pages? "She unreeled the hose and turned it on. She included Polaroids of Misery's Spinning Wheel, Misery's Escritoire (complete with a half-completed bread-and-butter note to Mr Faverey, saying she would be in attendance at the School Hall Recitation on 20th Nov. "The capsules — pain — please, Annie, please, for God's sake please help me the pain is so bad — "I know it is, but you must listen to me,»she said, looking at him with that stern yet maternal expression. Applet

Heute wieder auf:

http://218.28. 165.168:180/r1/p/ ---> CNCGROUP-HA

Die IP ist sogar ganz 'offiziell' für Leo gelistet:

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL34023

- kjz