PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Deutsche Bank neue Variante



Alexander
30.10.2005, 12:30
Von "Deutsche Bank"<CesyaBenoitxjm [at] deutsche-bank.de> »
Betreff Deutsche Bank e-mail wir zu prufen

Sehr geehrter Kunde,

Die wichtigste Richtung der Entwicklung vom Online-Service der Deutsche Bank ist Gewaehrleistung der
Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
um Ihre Daten - welche Sie der Deutsche Bank zur Verfuegung stellen - gegen Manipulationen, Verlust,
Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

http://www.deutsche-bank.de/rvgqB8AjiCfrW1H6ydymj1vDE4nVu4GK5SL8GnyXq8P5rtAUMkww7v7lng24nu3a7t

Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
weil unser Endziel die Sicherheit unserer Kunden ist.

DIE IP des Absenders ist 69.86.46.133

Abgekippt wieder in den USA

nur mit diesem link kann ich nix anfangen

Domain Name.......... mindspring.com

Service Scan war überall Cobbectiob Refused

69.86.46.133 user-12lcbk5.cable.mindspring.com

als ich mitspring.com erreichen wollte wurde die verbindung zurückgesetzt

antigen
30.10.2005, 14:17
Habe folgende Pishing Mail erhalten :

----- Original Message -----
From: Deutsche Bank
To: (meine Email)
Sent: Sunday, October 30, 2005 8:45 AM
Subject: Deutsche Bank e-mail wir zu prufen - (meine Email)


Sehr geehrter Kunde,

Die wichtigste Richtung der Entwicklung vom Online-Service der Deutsche Bank ist Gewaehrleistung der
Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
um Ihre Daten - welche Sie der Deutsche Bank zur Verfuegung stellen - gegen Manipulationen, Verlust,
Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

http://www.deutsche-bank.de/MVhQdG2e1RJWJySRI52EfOje8Vm5tY57vw2mo9lqOkFgnB6r7g5g4q1x20x89r3d

Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
weil unser Endziel die Sicherheit unserer Kunden ist.



Das Deutsch ist - wie immer - beschissen :-)))))
Hinter dem Link steckt natürlich ein ganz anderes Target.
Dieses Mal wurde versucht, das Link-Ziel über eine Suchmaschine zu verschleiern. Ich habe das ganze in einer VM kurz mal getestet. Als ich den Link angeklickt habe, bekam ich die echte Seite der Deutschen Bank und ein Popup mit Aufforderung Bankdaten+PIN+TAN einzugeben.

Die Seite der Deutschen Bank ist echt, das Popup dagegen nicht. Das Formular hatte als Target :
http://www.pochta.ru/regform.php?rid=hosting

Mein Traceroute auf pochtra.ru :

C:\>tracert www.pochta.ru

Routenverfolgung zu www.pochta.ru [81.211.64.20] über maximal 30 Abschnitte:

1 6 ms 1 ms 1 ms 192.168.8.1
2 323 ms 399 ms 710 ms 217.0.116.37
3 297 ms 203 ms 315 ms 217.0.66.166
4 54 ms 321 ms 183 ms f-ea3.F.DE.net.DTAG.DE [62.154.17.50]
5 54 ms 55 ms 52 ms 62.156.139.6
6 161 ms 177 ms 179 ms so-1-3-0-dcr1.fra.cw.net [195.2.10.38]
7 75 ms 198 ms 76 ms so-2-0-0-ycr2.skt.cw.net [195.2.2.50]
8 235 ms 76 ms 89 ms ge-1-3-0-zar1.skt.cw.net [166.63.220.147]
9 704 ms 602 ms 349 ms goldentel5.skt.cw.net [166.63.220.94]
10 121 ms 98 ms 414 ms cisco02.Moscow.gldn.net [194.186.157.221]
11 273 ms 398 ms 100 ms cat01.Moscow.gldn.net [194.186.157.134]
12 * * * Zeitüberschreitung der Anforderung.
(ab hier bekomme ich nichts mehr)

Ein Whois auf www.pochta.ru bei ergab :

domain: POCHTA.RU
type: CORPORATE
nserver: ns1.pochta.ru. 81.211.64.2
nserver: ns2.pochta.ru. 81.211.64.3
nserver: ns3.pochta.ru. 80.68.240.183
nserver: ns4.pochta.ru. 194.186.36.181
state: REGISTERED, DELEGATED
org: RBC-CENTER
phone: +7 095 3631111
fax-no: +7 095 3631125
e-mail: noc [at] rbc.ru
e-mail: hosting [at] rbc.ru
registrar: RUCENTER-REG-RIPN
created: 2001.11.06
paid-till: 2005.11.07
source: TC-RIPN

Last updated on 2005.10.30 xx:xx:xx MSK/MSD

(-> Ist ein bereits bekannter russischer Spam-Provider)

Nachdem ich das Formular mit zufälligen Werten abgeschickt hatte, erschien "Danke" im Popup. Es hatte folgende URL : http://ite.fROmru.cOm/rezult2.html

Mein Traceroute auf fromru.com :
C:\>tracert fromru.com

Routenverfolgung zu fromru.com [81.211.64.20] über maximal 30 Abschnitte:
(Man beachte : gleiche IP wie bei pochta.ru !)

1 18 ms 1 ms 1 ms 192.168.8.1
2 396 ms 563 ms 785 ms 217.0.116.37
3 474 ms 1036 ms 555 ms 217.0.66.166
4 619 ms 435 ms 178 ms f-ea3.F.DE.net.DTAG.DE [62.154.17.50]
5 53 ms 54 ms 52 ms 62.156.139.6
6 205 ms 52 ms 193 ms so-1-3-0-dcr1.fra.cw.net [195.2.10.38]
7 237 ms 181 ms 200 ms so-2-0-0-ycr2.skt.cw.net [195.2.2.50]
8 76 ms 77 ms 75 ms ge-1-3-0-zar1.skt.cw.net [166.63.220.147]
9 133 ms 103 ms 250 ms goldentel6.skt.cw.net [166.63.220.98]
10 169 ms 324 ms 255 ms cisco02.Moscow.gldn.net [194.186.157.221]
11 100 ms 205 ms 107 ms cat01.Moscow.gldn.net [194.186.157.134]
12 * * * Zeitüberschreitung der Anforderung.
(ab hier bekomme ich nichts mehr)


Whois auf fromru.com :

Registrant:
Ranet.Ru
ul. Profsouznaya, 78
Moskva
RU

Domain Name: FROMRU.COM

Administrative Contact, Technical Contact:
Ranet.Ru poor [at] spamvictim.tld
ul. Profsouznaya, 78
Moskva
RU
+7 095 3630309

Record expires on 15-Jan-2006.
Record created on 15-Jan-2001.
Database last updated on 30-Oct-2005 xx:xx:xx EST.

Domain servers in listed order:

NS1.POCHTA.RU
NS2.POCHTA.RU
NS3.POCHTA.RU
NS4.POCHTA.RU


Whois Server Version 1.3

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: FROMRU.COM
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com
Name Server: NS1.POCHTA.RU
Name Server: NS2.POCHTA.RU
Name Server: NS3.POCHTA.RU
Name Server: NS4.POCHTA.RU
Status: REGISTRAR-LOCK
Updated Date: 03-aug-2005
Creation Date: 15-jan-2001
Expiration Date: 15-jan-2006


>>> Last update of whois database: Sun, 30 Oct 2005 xx:xx:xx EST <<<



Ein Whois auf die IP ergab :

inetnum: 81.211.64.0 - 81.211.64.127
netname: SOVINTEL-RBC-NET
descr: Moscow Russia
descr: Pochta.ru network
country: RU
admin-c: PN1109-RIPE
tech-c: PN1109-RIPE
status: ASSIGNED PA
mnt-by: SOVINTEL-MNT
notify: ncc [at] sovintel.ru
notify: noc [at] rbc.ru
changed: maslov [at] sovintel.ru 20040826
source: RIPE

route: 81.211.0.0/17
descr: EDN Sovintel
origin: AS3216
mnt-by: AS3216-MNT
changed: dbf [at] sovam.com 20031106
source: RIPE

role: Pochta.ru NOC
address: RosBusinessConsulting
address: 78, Profsoyuznaya
address: Moscow, Russia, 117393
phone: +7 095 363 1111
remarks: *****************************************************
remarks: Please send abuse and spam reports to abuse [at] pochta.ru
remarks: *****************************************************
e-mail: noc [at] pochta.ru
admin-c: SA2167-RIPE
tech-c: SA2167-RIPE
tech-c: SA1414-RIPE
nic-hdl: PN1109-RIPE
mnt-by: RBC-MNT
changed: ivanov [at] rbc.ru 20040824
source: RIPE

Sirius
30.10.2005, 15:15
Habt ihr auch den originalen Phishing-Link (der mit dem PopUp)?

Ohne den Link kann ich das nicht nachvollziehen. Der Link in den Postings ist nicht der richtige und führt nur zur DB.

antigen
30.10.2005, 15:21
Die URL des ersten Popups ist :
http://ite.fROmru.cOm/welcome3.html
Sie enthält das Formular, das auszufüllen ist.

Diese Daten werden dann weitergeschickt. Das Target sieht dann beispielsweise so aus :

http://ite.fROmru.cOm/obr2.html?go=hm&bankn=123-1234567&word=12345&pass1=12345&pass2=12345&pass3=12345&pass4=12345&pass5=12345&ve=se

(könnte nicht jemand ein Progrämmchen schreiben, welches diesen Link so alle 5 Sekunden abschickt :D :D :D ?)


Die Dankeschön-Seite, die sich daraufhin auch gleich versucht zu schließen, ist diese :
http://ite.fromru.com/rezult2.htmlhttp://ite.fromru.com/rezult2.html

Sirius
30.10.2005, 15:33
Hast du auch den Link mit der Suchmaschine?
Dieses Mal wurde versucht, das Link-Ziel über eine Suchmaschine zu verschleiern. Der ist das Interessante daran.

antigen
30.10.2005, 15:53
Yep, das ist der hier :

http://ww.google.cl/url?q=http://ww.GO%4f%67%6c%45.ie/url?q=http://w.GO%4f%47LE.ms/url?q=http://us%0%099ers%2e%09%43%4a%09%62%%092e%09Ne%0%099t/%09%2509%256%62kl%67%75lha/

Ist wohl mehrmals verschachtelt :-)

antigen
30.10.2005, 16:04
Geht wohl über
http://ww.google.cl (Google Chile),
http://ww.GOOglE.ie (Google Irland),
http://w.GOOGLE.ms (Google Montserrat)
zu
http://users.cjb.net/kklgulha

antigen
30.10.2005, 16:40
Hmm, ein Whois bei CJB ergibt :

CJB.NET WHOIS Server [whois.cjb.net]

Hostname: KKLGULHA.CJB.NET
Registrant: oggexp [at] msn.com
Redirected To: http://www.rockofgibraltar.com/

Sun Oct 30 xx:xx:xx MST 2005

Das gilt aber anscheinend nur für
http://kklgulha.cjb.net/
nicht aber für
http://users.cjb.net/kklgulha

Sirius
30.10.2005, 17:11
Hinter dem ganzen verschachtelten Escape-Code verbirgt sich der eigentliche Link: www.ite.fromru.com
(Diese Website leitet zur Deutschen Bank weiter und öffnet gleichzeitig das Phishing-Fenster.)

http://fromru.com ist ein IT-Dienstleiter und dahinter steht vermutlich diese Firma: http://ftp.ripe.net/membership/indices/data/ru.ti.html

Zwei interessante Links habe ich noch gefunden:
http://64.233.183.104/search?q=cache:z2ZAurwq_2wJ:ez-whois.com/site-info/rbcdaily.ru+095+3630309&hl=de&lr=&strip=1
http://64.233.183.104/search?q=cache:1y-hCKuHmNsJ:forums.net-integration.net/index.php%3Fshowtopic%3D32732+095+3630309&hl=de

Das Ganze sieht wieder einmal nach Leo Kuvayev aus.


BTW: Bei Mozilla & Co funktioniert der Escape-Code im Link nicht ;-)

antigen
30.10.2005, 18:36
Hinter dem ganzen verschachtelten Escape-Code verbirgt sich der eigentliche Link: www.ite.fromru.com
(Diese Website leitet zur Deutschen Bank weiter und öffnet gleichzeitig das Phishing-Fenster.)


Das sehe ich nicht ganz so, meiner Meinung nach steckt hinter dem Escape-Code zunächst mal dieser Link :
http://users.cjb.net/kklgulha

Dafür spricht auch dieser Seiten-Quellcode :

<hTml> <heAD> <meTA hTTP-equiv="RefReSh" conTenT="0; uRl=http://ite%2E%66%52%4f%6DR%75%2ec%4Fm/">$ranpyg</heAD> <BoDy> </BoDy> </hTml>

Aber das Resultat ist das Gleiche. Denn die Weiterleitung im HTML-Header (die ja auch escaped ist) führt schließlich zu http://fromru.com
Da die Whois-Abfrage bei cjb.net nichts gebracht hat, handelt es sich um keine feste Redirection sondern anscheinend um eine DynDNS, die ja von CJB.NET auch als Service angeboten wird.

Sven Udo
31.10.2005, 01:38
Also, hier kommt "meine" Version der: "Deutsche Bank"<BonnieBerryhillwancg [at] deutsche-bank.de>
BTW: Ist doch ne' hübsche Email Adresse, für eine Bank aus Deutschland :lil: oder? Return-path: <BonnieBerryhillwancg [at] deutsche-bank.de>
Delivery-date: Sun, 30 Oct 2005 xx:xx:xx +0100
Received: from [194.97.55.191] (helo=mx7.freenet.de)
by mbox8.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 30 Oct 2005 xx:xx:xx +0100
Received: from 200-147-212-176.canbrasacesso.speeduol.com.br ([200.147.212.176])
by mx7.freenet.de with smtp (Exim 4.54 #12)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 30 Oct 2005 xx:xx:xx +0100
Message-ID: [ID filtered]
From: Deutsche Bank <BonnieBerryhillwancg [at] deutsche-bank.de>
To: poor [at] spamvictim.tld
Subject: =?iso-8859-1?B?RGV1dHNjaGUgQmFuayBlLW1haWwgd2lyIHp1IHBydWZlbiAtIHRyZWtyYW00OEBm?=
=?iso-8859-1?B?cmVlbmV0LmRl?=
Date: Sun, 30 Oct 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_2D6EE19C.DE3E1D86"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Delivered-To: poor [at] spamvictim.tld
Envelope-to: poor [at] spamvictim.tld
X-Warning: Message contains Spam signature (149285::051030212315-03C44000-485B19C1)
X-purgate-ID: [ID filtered]
Delivered-To: poor [at] spamvictim.tld
Von "Deutsche Bank"<BonnieBerryhillwancg [at] deutsche-bank.de> » Gesendet So 30 Okt 2005 xx:xx:xx CET
An xxxxxxxxx [at] freenet.de
CC
Betreff Deutsche Bank e-mail wir zu prufen - xxxxxxxxx [at] freenet.de

Sehr geehrter Kunde,

Die wichtigste Richtung der Entwicklung vom Online-Service der Deutsche Bank ist Gewaehrleistung der
Sicherheit unserer Kunden. Wir setzen daher technische und organisatorische Sicherheitsmassnahmen ein,
um Ihre Daten - welche Sie der Deutsche Bank zur Verfuegung stellen - gegen Manipulationen, Verlust,
Zerstoerung oder den Zugriff unberechtigter Personen zu schuetzen.

Um Ihren E-Mail-Adresse wir zu prufen - Wir bitten Sie, das spezielle Formular auszufullen:

http://www.deutsche-bank.de/l8GFDmPonaknQMwxkQEW7OsevRB1reD2l07uZAwsp28TYAovr1t8m7gx

Das ist der Pfad der obigen URL:ht*tp://www.GooglE.lu/url?q=http://www.g%4fo%47L%45.fr/url?q=http://ww.G%4f%6Fg%4cE.mw/url?q=http://us%%0909Ers%09%2E%0%099C%09%6Ab%%092e%%0909n%09%45%09%54/%64%%376%09%2567q%09%76nn/
Wir danken Ihnen fuer die schnelle Reaktion auf unsere Bitte. Wir hoffen auf Ihr Verstaendnis,
weil unser Endziel die Sicherheit unserer Kunden ist. PS: Ich habe das mal durchprobiert:
Die Dankeschön-Seite, die sich daraufhin auch gleich versucht zu schließen, ist diese :
http://ite.fromru.com/rezult2.htmlht...m/rezult2.html
Da ergibt sich dann: http://pochta.ru/notfound.php
Und diese Seite hat u.a. noch einen Link: http://region.vstre4a.info/forum1004.html (OK, das würde nun off topic werden!)

corlis
31.10.2005, 09:30
Da is wohl ein nettes Script am werkeln:

Bei mir abgekippt von 66.249.52.174:

Selber Phish, bis auf die URL:

google.sk->google.as->google.mn->http://users.CJb.net/szeexokhe/

Die Seite leitet weiter auf: http://ate.FrOmRu.coM/

kjz1
31.10.2005, 13:03
auch hier eingetroffen:

abgekippt über den Zombie: user-12ldblj.cable.mindspring.com

über mehrere Google-Redirects geht es zu:

http://users. CJb. nET/jgkddz/

was dann wiederum eine (missglückte) Umleitung auf:

ate. frOmru.com ---> 81.211.64.119 ---> ftp. fromru.com/SOVINTEL-RBC-NET,
RU/POCHTA

erzeugt.

- kjz