secure-costumer.eu ist offline. Die eigentliche Fängerdomain ist weiter aktiv. Die myLoc managed IT AG interessiert sich scheinbar nicht für die Abuse-Mitteilung.
Druckbare Version
secure-costumer.eu ist offline. Die eigentliche Fängerdomain ist weiter aktiv. Die myLoc managed IT AG interessiert sich scheinbar nicht für die Abuse-Mitteilung.
header:01: Received: from [87.106.82.220] (helo=s16695742.onlinehome-server.info)02: by mr1.firma.tld with esmtps (TLSv1:AES256-SHA:256)03: (envelope-from <poor [at] spamvictim.tld>)04: ID: [ID filtered]05: for poor [at] spamvictim.tld; Sat, 12 Jan 2013 xx:xx:xx +010006: Received: by s16695742.onlinehome-server.info (Postfix, from userID: [ID filtered]07: ID: [ID filtered]08: To: poor [at] spamvictim.tld09: Subject: Fremdzugriff Bestellung 9297130156 erfolgreich storniert!10: From: "Amazon.com" <2254660320@*RAMDOM*.de>11: Reply-To:12: MIME-Version: 1.013: Content-Type: text/plain14: Content-Transfer-Encoding: 8bit15: Message-ID: [ID filtered]16: Date: Sat, 12 Jan 2013 xx:xx:xx +0100 (CET)17: Return-Path: apache [at] s16695742.onlinehome-server.info
whois: = 111.90.148.48 = PIRADIUS NET/MalaysiaZitat:
Guten Tag geehrter Amazon Kunde,
bedauerlicherweise müssen wir Ihnen mitteilen, dass fremde auf Ihr
Kunden-Account eiblick beschaffen konnten.
Die Bestellungen die von Ihrem Kundenkonto am folgende Lieferadresse:
L. K. (Name anonymisiert)
Ludwig-Beckstraße 11
37547 Göttingen
getätigt wurde, haben wir mit erfolg zurückgerufen.
Wir fordern Sie daher auf, Ihr Mitgliedskonto eilig zu überprüfen
und weitere Fehler dem Service Team zu melden.
Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:
whois:
Auf dieser IP noch weitere verdächtige domains wie whois:amz-check.info und whois:problembehebung.info
Eniac
Hallo zusammen,
das habe ich grade angeblich von Amazon bekommen.
Der Absender macht mich jedoch stutzig.
Received: from whois:rechner3.hofmann-online.com
Zitat:
Amazon.de Meine Bestellungen | Mein Konto | Amazon.de
Guten Tag Vorname Name,
ab dem 01.02.2013 sind wir gesetzlich dazu verpflichtet Zahlungen, die mit einer Kreditkarte getätigt werden, gesondert zu verifizieren.
Daraus folgt, dass wir ab diesem Zeitpunkt nur noch Zahlungen entgegennehmen können, die einen 3-D Secure Code hinterlegt haben.Diese Maßnahme sorgt für zusätzliche Sicherheit bei Online-Transaktionen, sichert den Zahlungseingang und reduziert den Datenmissbrauch.
Dieser Vorgang wird nur einige Minuten in Anspruch nehmen.
Bitte klicken Sie auf folgenden Link, um den 3-D Secure Code zu hinterlegen.
http://www.amazon.de/3d-securecode/Vorname+Name
Mit freundlichen Grüßen,
Ihr Amazon Kundenservice.
(Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.)
header:01: Return-Path: <service [at] amazon.de>02: Received: from rechner3.hofmann-online.com (rechner3.hofmann-online.com03: [193.254.184.244]) by xxx.mein Provider.xx (Internet Inbound) with ESMTP ID: [ID04: filtered]05: Received: from Boss-PC (localhost.localdomain [127.0.0.1]) by06: rechner3.hofmann-online.com (Postfix) with ESMTP ID: [ID filtered]07: From: service [at] amazon.de <service [at] amazon.de>08: Subject: Das 3-D Securecode verfahren, jetzt auch bei Amazon!09: To: Meine Emailadresse10: Content-Type: multipart/alternative;11: boundary="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"12: MIME-Version: 1.013: Reply-To: service [at] amazon.de14: Date: Sat, 19 Jan 2013 xx:xx:xx +010015: Message-ID: [ID filtered]
Gruß Frechdachs
Meldung an Amazon ist raus
Gehört einer Firma aus Wallenhorst bei Osnabrück. Wenn der zweite Received-Eintrag Ernst genommen werden kann, dürfte der PC des Chefs Zombie-verseucht sein. Ich würde an Deiner Stelle die Mail auch an den Abuse-Dek von gmx.de weiterleiten, denn whois:www.hoffmann-online.com liefert den Hinweis, dass GMX involviert ist.
Schönen Gruß
Mittwoch
header:whois:/ama/01: Received: from werk4.werkbank.com (werk4.werkbank.com [5.199.134.150])02: by x (Postfix) with ESMTP ID: [ID filtered]03: for <x>; Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)04: Received: from g1679600d001.krueger.ads (mail.krueger.ms [195.226.178.50])05: by werk4.werkbank.com (Postfix) with ESMTP ID: [ID filtered]06: Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)07: Received: from User ([217.86.231.91]) by g1679600d001.krueger.ads with08: Microsoft SMTPSVC(6.0.3790.4675);09: Mon, 21 Jan 2013 xx:xx:xx +0100
Schlecht gemachter Phish...
Von den Vlads über einen gecrackten Server:
header:01: Received: from s16728631.onlinehome-server.info ([212.227.58.176]) by02: mx-ha.gmx.net (mxgmx101) with ESMTP (Nemesis) id03: 0MQgtd-1USiGX1bK9-00U4CM for04: xxxxx; Fri, 25 Jan 2013 xx:xx:xx +010005: Received: by s16728631.onlinehome-server.info (Postfix, from userID: [ID filtered]06: ID: [ID filtered]
Seine Ratware hat der Vlad auch nicht im Griff:
header:01: X-PHP-Originating-Script: 0:11.php02: From: Kundendienst <9713732506@*RAMDOM*.de>
IP: 88.247.131.76 ---> mail.tariffinder24.com/TIER-Data-Center, RomaniaZitat:
Guten Tag geehrter Amazon Kunde,
leider müssen wir Ihnen bekannt geben, dass fremde auf Ihr
Kunden-Account zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Account an die nicht übliche eingetragene
Adresse:
P[gekürzt] K[gekürzt]
Ludwig-Beckstraße 52
37348 Göttingen
getätigt wurde, haben wir mit erfolg annulliert.
Wir bitten Sie daher, Ihr Kundenkonto eilig zu kontrollieren
und weitere Probleme dem Amazon Kundenservice zu melden.
Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:
whois:
Wir entschuldigen uns für dadurch entstandene Probleme und Bitten Sie
um Verständniss.
Ihr Amazon Kunden-Support.
Von der ICANN wird wieder die Ausrede kommen, dass es sich ja nur (!!!) um Phishing handeln würde und man da nichts machen könne. Man kann eigentlich nur hoffen, dass irgendwann einer der 2000 Pfd.-Gorillas mal die ICANN in den USA auf Millionensummen verklagt, da man dort bei Cyberkriminalität vorsätzlich wegzuschauen scheint. Vielleicht bekommt die ICANN ja dann endlich mal den Allerwertesten hoch...
Ja - nee... is klar!
Zitat:
Akten-ID: 98472522431629883424
Guten Tag <mein Vorname Nachname>,
mit dieser E-Mail benachrichtigen wir Sie über die Blockierung Ihres Amazon-Kontos.
Am 03.02.2013 wurde der Prozess der Sicherheitsupdates beendet.
In diesem Kontext war jeder Kunde zu einem Datenableich verpflichtet, um eine eindeutige und authentifizierte Erfassung zu ermöglichen.
Unseren Daten nach haben Sie bis jetzt Ihren Account noch nicht durch die Bestätigung Ihrer Daten gesichert.
Wir empfehlen Ihnen diese sofort vorzunehmen, um Ihren Account für Zahlungen zu aktivieren.
Nachfolgend ist ein Verweis auf unserer SSL-gesicherte Webseite aufgeführt.
Nachdem Sie sich über den Link angemeldet haben, werden Sie durch den Aktivierungsprozess geführt.
Zum Start:
whois:
Im Anschluss einer erfolgreichen Prüfung Ihrer Daten können Sie Ihren Account wie gewohnt weiternutzen.
Mit freundlichen Grüßen,
Amazon Abteilung für Security
SSL-Signature:2759496622:2616840451
header:01: From - Mon Feb 25 xx:xx:xx 201302: X-Account-Key: account703: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000105: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07:08: Return-Path: bounce[BOUNCE filtered]@88.mail-out.ovh.net09: Received: from 88.mail-out.ovh.net ([178.32.115.44]) by mx-ha.gmx.net10: (mxgmx006) with ESMTP (Nemesis) ID: [ID filtered]11: <xxxx.xxxxxxxxxxxxxxxxxx [at] gmx.de>; Mon, 25 Feb 2013 xx:xx:xx +010012: Received: (qmail 3316 invoked by UID: [UID filtered]13: Received: from gw8.ovh.net (HELO start.ovh.net) (213.251.189.208)14: by 88.mail-out.ovh.net with SMTP; 24 Feb 2013 xx:xx:xx -000015: Received: from localhost.localdomain (localhost [127.0.0.1])16: by localhost.domain.tld (Postfix) with ESMTP ID: [ID filtered]17: for <***@***>; Mon, 25 Feb 2013 xx:xx:xx +0100 (CET)18: Received: by start.ovh.net (Postfix, from userID: [ID filtered]19: ID: [ID filtered]20: Subject: ***, Es wird ein Sicherheitsupdate Ihres Amazon Accounts erfordert21: From: Amazon Secure-Service <service7512432120 [at] amzon-secure.infranet.de>22: Reply-To:23: MIME-Version: 1.024: Content-Type: text/html25: Content-Transfer-Encoding: 8bit26: Message-ID: [ID filtered]27: Date: Mon, 25 Feb 2013 xx:xx:xx +0100 (CET)28: X-Ovh-Tracer-ID: [ID filtered]29: Envelope-To: <poor [at] spamvictim.tld>30: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;31: X-GMX-Antivirus: 0 (no virus found)32: X-UI-Filterresults: notjunk:1;V01:K0:DaZJ2JVZdwI=:ApKITDtGRxrQ5bzceYi9BZ33: dRZ4jzl8KoeZA1UhyMrXnFaVb7VllScxYSAmCYDaenf5BEHeAx+BK6nCzUjkI6Niu/adMPM34: DDfzdKSQdE/s2bTFNZvI4eOixvVrGC6GWRfPQaWiZ0voI43PT7V3a19l1s17cRB3UBTXgo835: X9b2kv+AEqGBzcYoxB9jLFNYflMthXYXX5uqkbL+RPGhpU6ticJZeQIQAm0OEGZaDaIG1nq36: 9HKYKGGda8AN7R0FM/ZoI6+Ck8cuf7pNscy/nYzAvL7QaIU85Yy8zXNBv5j2xVrTYah0eF737: maR/weUiv4SzDHy6kaWHOFOZaZDhKavXdRxxXI/tZmF7/1Ape0DdVj1WCNZR3BR45JYB1+x38: 4bCIN/EEUpRxoo7+sOl/hIl7OS5FtlB5u4KCCwYnA4iLLI7cHRl3miPBXVanuTn9IZVjUp639: BTyc9acEIk4IM3IcxmdE4gL6syQrcaHdEN+nrEkJvCOioZx+2HR6Iaw1nbqCWitMHDl72IJ40: gNuSIlC1GrTpHLGSWwhyfiGGTFPL8OXUQToWLWb6vCFydPji2kQUzEBcgXl+sq1yL/ZqBBA41: HQHVAhOoOHUCl4vrQ7qwGcUKyLfosKnkwtvLnGoNLiI0tNcsqn4VdSTlZf6KkqYJf9erC+n42: sHsmX+Cu3TQmRglAnNFRri8eHnIyvQ7SrPUgYKSV81mxUEooc/l6bobL1Uy7haSl/Drp9tt43: cw8LjK4Yo7nYtrepxJtjZNTrmNVsg2IQhjDtt6JMWv51xy68p7gSGwG3DrBdFzpPoGPFCGI44: VYy1ro5kNjacE6WvtkPDQVH4p7L4wU+oAXSr3YXpc59UUdVQvXQm5I+4rLg55SGfrS+FZVC45: fTlRITS0yi4y6dWE/2eFglmNNWvkzHbxXViqxIqWPstKisV5Wu1zDGS3Nt5HAQF3KVXCjbQ46: aFLItZZGwvnfFtdJzk9tVDvJZn9nsW2htZaAQ7sSvCcnL+gRsQw6M5rFOMhOWP2z7SAkUTA47: 7RmKME2colUSxbs9/jG9hclz+7hBkECtoK1e2cTHCTgShpan03P9HMfwTSg8z6AHRMvoLhb48: 2n/M+WcHynAwM3ciKqmjNL5MBUV65DXqYxZj85OkPnCbBb0UZXOYk+SlRVBiUO4OUvRm1q+49: R83w2z2vg8c7uX4+c6wVVu6xgQczWvwHPcYvAWI/7qKNX2kvXUvcGCkZUBgLdL/RzCjccBS50: 44huPca8ZG3QXNQ5ZSom2MdB+kz7NWOARnoJQqKU+6RXrfutaZTnMjW9t4iN7zU2OkNPes351: LWeiTji0i7UmryrZFDo+6lThz4fx8E8vqyRK7aCl7HDa+B2PnaMHjUyd5v0GppANPVb7jna52: 1k9CLqUgATQAMMxc/3Sr8LTYZOiHKqkQtP3QpGltbL6256zjxGJWDPfpmfcOXNdjHLqKjaB53: DUeZss9uLcK6GuCJf4tozaBhRhUQvBApJztRRUbt3jMOGtSmfBDYw6RcPG0KTLAYj/bS0hO54: CrGVn8h24aCXHzIIVuAZzmXQdI95LFgoBRyEcGn/yOsYw==
Hier heute auf einer geernteten Adresse eingeschlagen:
>> Klicken Sie hier << --> führt auf whois: --> Mabna Dialup, IranZitat:
Sehr geehrter Amazon Kunde,
Wir haben vor kurzem festgestellt, dass verschiedene Computer zu Ihrem Amazon-Konto, das Kennwort und der vorliegenden Schach mehr taient vor dem Anschluss zu verbinden. Jetzt müssen wir die neuen Informationen aus Ihrem Amazon-Konto zu bestätigen. Wenn nicht innerhalb von 48 Stunden abgeschlossen werden, sind wir gezwungen, Ihr Konto auf unbestimmte Zeit auszusetzen, weil es in eine betrügerische Absicht verwendet werden kann. Vielen Dank für Ihr Verständnis in dieser Weise. Um Ihr Online-Konto zu bestätigen:
>> Klicken Sie hier <<
header:01: Return-Path: nobody [at] mars.rapidvps.com02: Received: from mars.rapidvps.com ([208.77.96.210]) by mx-ha.gmx.net (mxgmx101)03: with ESMTP (Nemesis) ID: [ID filtered]04: <xxx>; Tue, 12 Mar 2013 xx:xx:xx +010005: Received: from nobody by mars.rapidvps.com with local (Exim 4.77)06: (envelope-from <nobody [at] mars.rapidvps.com>)07: ID: [ID filtered]08: for xxx; Tue, 12 Mar 2013 xx:xx:xx -0500
von: Support-Service-Amazon-Deutschland [support_ad_sicherheit.de]
header:01: Return-Path: <support [at] sicherheit.de>02: Delivery-Date: Sat, 16 Mar 2013 xx:xx:xx +010003: Received: from ta-180.E180STSIGNALS.com (ool-60384a23.static.optonline.net04: [96.56.74.35])05: by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)06: ID: [ID filtered]07: Received: from [93.186.196.23] ([93.186.196.23]) by08: ta-180.E180STSIGNALS.com with Microsoft SMTPSVC(6.0.3790.3959);09: Sat, 16 Mar 2013 xx:xx:xx -050010: Message-ID: [ID filtered]11: Mime-Version: 1.012: From: Support-Service-Amazon-Deutschland <support [at] sicherheit.de>13: To: Levy [at] work14: Subject: =?utf-8?Q?[News]_Newsletter-Service_M=C3=A4rz_2013?=15: Date: Sat, 16 Mar 2013 xx:xx:xx +010016: X-Priority: 217: Content-type: multipart/alternative;18: Boundary="--=BOUNDARY_3162114_ADCP_PKXJ_NQHN_DSJW"19: Return-Path: support [at] sicherheit.de20: X-OriginalArrivalTime: 16 Mar 2013 xx:xx:xx.0031 (UTC)21: FILETIME=[5C077370:01CE2285]22: Envelope-To: Lavy [at] work
Jetzt habe ich Angst und verkümmel mich, lösche alle Amazonen Mails. ;)Zitat:
Web-Ansicht | Kundenlogin | Web ansicht | Support
Levy@work
Sehr geehrte Kundin, sehr geehrter Kunde,
Wir möchten Sie auf die neuen Amazon richtlinien vom 01.03.2013 in Kenntnis setzen.
Wo liegt das Problem?
Bearbeitungsnummer: 129.13-D137
Um gewährleisten zu können, das kein Unbefugter Zugang zu Ihrem Mitgliedskonto hat, ist eine einmalige Zuordnung Ihres Mitgliedskontos durch Eingabe von personenbezogenen Daten erforderlich.
Was mache ich jetzt?
Bitte registrieren Sie Ihre Daten innerhalb von 5 Tagen um eine eventuelle Sperrung Ihres Mitgliedskontos zu vermeiden.
Wir von Amazon-Deutschland Team wünscht Ihnen ein schönes und erholsames Wochenende.
Weiter
Abmeldelink | Kunde | Angebote | Sicheres Surfen |
Hinter allen links der Mail befinden sich virennester.
Nun bin auch ich Opfer eines Betrugs (steht zumindest in der Mail)
header:01: From - Sun Apr 07 xx:xx:xx 201302: X-Account-Key: account503: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000105: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07:08: Received: (qmail 30480 invoked from network); 6 Apr 2013 xx:xx:xx +000009: Received-SPF: pass (vsxxxxx.netfabrik.de: domain of gator946.hostgator.com designates10: 174.120.83.130 as permitted sender) client-ip=174.120.83.130;11: envelope-from=kitmon [at] gator946.hostgator.com; helo=gator946.hostgator.com;12: Received: from gator946.hostgator.com (174.120.83.130)13: by vs2068031.vserver.de with (DHE-RSA-AES256-SHA encrypted) SMTP; 6 Apr 2013 xx:xx:xx +000014: Received: from kitmon by gator946.hostgator.com with local (Exim 4.80)15: (envelope-from <kitmon [at] gator946.hostgator.com>)16: ID: [ID filtered]17: for ME; Sat, 06 Apr 2013 xx:xx:xx -050018: To: ME19: Subject: XXXX, Amazon Betrugsverdacht.20: X-PHP-Script: theinfoquest.com/wp-content/plugins/wp-plugin-repo-stats/babomail.php for21: 195.94.38.22722: From: Amazon. <betrugsstelle [at] burg.com>
Zitat:
Sehr geehrter Kunde,
aus gegebenen Anlass müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto Zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Kundenkonto am folgende Adresse:
L. Kl.
Ludwig-Beckstraße 55
37588 Göttingen
getätigt wurde, haben wir erfolgreich zurückgezogen
Wir bitten Sie daher, Ihr Mitgliedskonto eilig zu überprüfen
und weitere Anliegen dem Amazon Kundenservice zu melden.
Öffnen sie dazu bitte folgenden Link in Ihrem Browser auf und folgen sie den
Anweisungen:
whois:?www.amazon.de/ap/signin/XXXXXXXXXX?_encoding=UTF8&openid.assoc_handle=deflex&openid.claimed_id
Wir entschuldigen uns für dadurch entstandene Schwierigkeiten und Bitten Sie
um Verständniß!