Sparkasse (schon wieder)

[loxami]

Da hat sich aber einer nicht viel Mühe gemacht:


Die Adresse, die verlinkt ist:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Folgender freundlicher Herr betreibt die Site:
Stanitskiy Oleg
Melovaya street, 16-28
Belgorod
Belgorodskaya oblast
308001
RU

Natürlich konnte ich nicht widerstehen, meine unverbrauchten TANs und andere Zugangsdaten in die Datenbank zu füttern.

[Lachsy]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

header:

01: Return-Path: <refnummer-15936sp [at] sparkasse.de>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 27 Dec 2006 xx:xx:xx -0000
05: Received: from 20119131198.user.veloxzone.com.br (HELO
06: 	20119131198.user.veloxzone.com.br) [201.19.131.198]
07:   by mx0.gmx.net (mx060) with SMTP; 27 Dec 2006 xx:xx:xx +0100
08: Received: from hotbox.com (unknown [12.54.58.127])
09:          by absolutist.com with SMTP ID: [ID filtered]
10:          for <x>; Wed, 27 Dec 2006 xx:xx:xx -0000
11: From: "Sparkasse" <refnummer-15936sp [at] sparkasse.de>
12: To: <x>
13: Subject: Achtung -Tue, 26 Dec 2006 xx:xx:xx -0600
14: Sender: "Sparkasse" <rechnungen-52516553sp [at] sparkasse.de>
15: User-Agent: SmartMailer Version 1.56 -German Privat License-
16: X-Mailer: SmartMailer Version 1.56 -German Privat License-
17: X-Priority: 3 (Normal)
18: MIME-Version: 1.0
19: Content-Type: multipart/related; 
20: 	boundary="SJ71DGMH3CHJ8D9M9X7"
21: Date: Wed, 27 Dec 2006 xx:xx:xx +0100
22: Message-ID: [ID filtered]
23: X-GMX-Antivirus: 0 (no virus found)
24: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
25: X-GMX-UID: [UID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm

Gespamt über Brasilien und gehostet in Korea
Der Microsoft Phishing-Filter vom IE7 schlägt auch nicht an
[Link nur für registrierte Mitglieder sichtbar. ]

[Lachsy]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

header:

01: Return-Path: <operator-num411656066943597sp [at] sparkasse.de>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 31 Dec 2006 xx:xx:xx -0000
05: Received: from AMontpellier-157-1-183-118.w90-27.abo.wanadoo.fr (HELO
06: 	amontpellier-157-1-183-118.w90-27.abo.wanadoo.fr) [90.27.38.118]
07:   by mx0.gmx.net (mx042) with SMTP; 31 Dec 2006 xx:xx:xx +0100
08: Received: from google.com [30.6.32.196]
09:        by tgpservers.com with SMTP ID: [ID filtered]
10:        for <x>; Sun, 31 Dec 2006 xx:xx:xx -0000
11: Received: from smapxsmap.net [108.162.14.176]
12:        by ukrsat.com with SMTP ID: [ID filtered]
13:        for <x>; Sat, 30 Dec 2006 xx:xx:xx -0500
14: From: "Sparkasse" <operator-num411656066943597sp [at] sparkasse.de>
15: To:  <x>
16: Subject: eilige Information
17: X-Originating-Server: riscom.com (berth.poetic.com [131.176.146.232])
18: User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
19: X-Priority: 3 (Normal)
20: MIME-Version: 1.0
21: Content-Type: multipart/related; 
22: 	boundary="C6ZGETW1C3UBAWQ"
23: Date: Sun, 31 Dec 2006 xx:xx:xx +0100
24: Message-ID: [ID filtered]
25: X-GMX-Antivirus: 0 (no virus found)
26: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
27: X-GMX-UID: [UID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm

Gespamt über Frankreich und gehostet in Korea/Lettland.
Das DNS ist mal wieder von Interesse:

> set q=soa
> kilopo.ws

Nicht autorisierte Antwort:
kilopo.ws
primary name server = kilopo.ws
responsible mail addr = [Link nur für registrierte Mitglieder sichtbar. ]
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)

Die TTL ist mit 10 Stunden ordentlich hoch; entweder haben die Phisher ein hohes Vertrauen in die Verfügbarkeit von A-Einträgen und der DNS-Zone (man beachte die FQDNs der Nameserver: 'new-god-ns.net') oder aufgrund des weihnachtlichen Bot-Schwundes keine andere Wahl.

kilopo.ws nameserver = ns1.new-god-ns.net
kilopo.ws nameserver = ns2.new-god-ns.net
kilopo.ws nameserver = ns3.new-god-ns.net
ns1.new-god-ns.net internet address = 200.50.118.193
ns2.new-god-ns.net internet address = 218.49.150.100
ns3.new-god-ns.net internet address = 200.207.127.103

Die ersten beiden DNS-Server sind dynamisch - nur die 200.207.127.103 ist statisch; dort läuft neben einem DNS- auch ein SMTP-, ein http- und ein POP3-Server

Die A-Einträge zeigen derzeit in zwei Richtungen:
- ^whois:220.149.207.121 - Korea und
- ^whois:80.81.48.238 - Lettland

[Lachsy]

frohes Neues Antispam

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

Dito frohe neue Spammerjagt:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm

[schara56]

und weiter im Text:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm

[schara56]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm
...ich nehme an Mr. Phish hofft, dass zwischen den Feiertagen (und etwas danach) die Kunden leichter geschröpft werden können.

Oh, ich sehe gerade die identische IP: der koreanische Server ist wohl recht stabil ( [Link nur für registrierte Mitglieder sichtbar. ])

[Lachsy]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]