Sparkasse (schon wieder)

[loxami]

Da hat sich aber einer nicht viel Mühe gemacht:


Die Adresse, die verlinkt ist:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Folgender freundlicher Herr betreibt die Site:
Stanitskiy Oleg
Melovaya street, 16-28
Belgorod
Belgorodskaya oblast
308001
RU

Natürlich konnte ich nicht widerstehen, meine unverbrauchten TANs und andere Zugangsdaten in die Datenbank zu füttern.

[Lachsy]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

header:

01: Return-Path: <refnummer-15936sp [at] sparkasse.de>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 27 Dec 2006 xx:xx:xx -0000
05: Received: from 20119131198.user.veloxzone.com.br (HELO
06: 	20119131198.user.veloxzone.com.br) [201.19.131.198]
07:   by mx0.gmx.net (mx060) with SMTP; 27 Dec 2006 xx:xx:xx +0100
08: Received: from hotbox.com (unknown [12.54.58.127])
09:          by absolutist.com with SMTP ID: [ID filtered]
10:          for <x>; Wed, 27 Dec 2006 xx:xx:xx -0000
11: From: "Sparkasse" <refnummer-15936sp [at] sparkasse.de>
12: To: <x>
13: Subject: Achtung -Tue, 26 Dec 2006 xx:xx:xx -0600
14: Sender: "Sparkasse" <rechnungen-52516553sp [at] sparkasse.de>
15: User-Agent: SmartMailer Version 1.56 -German Privat License-
16: X-Mailer: SmartMailer Version 1.56 -German Privat License-
17: X-Priority: 3 (Normal)
18: MIME-Version: 1.0
19: Content-Type: multipart/related; 
20: 	boundary="SJ71DGMH3CHJ8D9M9X7"
21: Date: Wed, 27 Dec 2006 xx:xx:xx +0100
22: Message-ID: [ID filtered]
23: X-GMX-Antivirus: 0 (no virus found)
24: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
25: X-GMX-UID: [UID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm

Gespamt über Brasilien und gehostet in Korea
Der Microsoft Phishing-Filter vom IE7 schlägt auch nicht an
[Link nur für registrierte Mitglieder sichtbar. ]

[Lachsy]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

header:

01: Return-Path: <operator-num411656066943597sp [at] sparkasse.de>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to x
04: Received: (qmail invoked by alias); 31 Dec 2006 xx:xx:xx -0000
05: Received: from AMontpellier-157-1-183-118.w90-27.abo.wanadoo.fr (HELO
06: 	amontpellier-157-1-183-118.w90-27.abo.wanadoo.fr) [90.27.38.118]
07:   by mx0.gmx.net (mx042) with SMTP; 31 Dec 2006 xx:xx:xx +0100
08: Received: from google.com [30.6.32.196]
09:        by tgpservers.com with SMTP ID: [ID filtered]
10:        for <x>; Sun, 31 Dec 2006 xx:xx:xx -0000
11: Received: from smapxsmap.net [108.162.14.176]
12:        by ukrsat.com with SMTP ID: [ID filtered]
13:        for <x>; Sat, 30 Dec 2006 xx:xx:xx -0500
14: From: "Sparkasse" <operator-num411656066943597sp [at] sparkasse.de>
15: To:  <x>
16: Subject: eilige Information
17: X-Originating-Server: riscom.com (berth.poetic.com [131.176.146.232])
18: User-Agent: Sylpheed version 0.8.2 (GTK+ 1.2.10; i586-alt-linux)
19: X-Priority: 3 (Normal)
20: MIME-Version: 1.0
21: Content-Type: multipart/related; 
22: 	boundary="C6ZGETW1C3UBAWQ"
23: Date: Sun, 31 Dec 2006 xx:xx:xx +0100
24: Message-ID: [ID filtered]
25: X-GMX-Antivirus: 0 (no virus found)
26: X-GMX-Antispam: 4 (From mass domain over foreign mail server)
27: X-GMX-UID: [UID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.htm

Gespamt über Frankreich und gehostet in Korea/Lettland.
Das DNS ist mal wieder von Interesse:

> set q=soa
> kilopo.ws

Nicht autorisierte Antwort:
kilopo.ws
primary name server = kilopo.ws
responsible mail addr = [Link nur für registrierte Mitglieder sichtbar. ]
serial = 2002120602
refresh = 36000 (10 hours)
retry = 3000 (50 mins)
expire = 36000000 (416 days 16 hours)
default TTL = 36000 (10 hours)

Die TTL ist mit 10 Stunden ordentlich hoch; entweder haben die Phisher ein hohes Vertrauen in die Verfügbarkeit von A-Einträgen und der DNS-Zone (man beachte die FQDNs der Nameserver: 'new-god-ns.net') oder aufgrund des weihnachtlichen Bot-Schwundes keine andere Wahl.

kilopo.ws nameserver = ns1.new-god-ns.net
kilopo.ws nameserver = ns2.new-god-ns.net
kilopo.ws nameserver = ns3.new-god-ns.net
ns1.new-god-ns.net internet address = 200.50.118.193
ns2.new-god-ns.net internet address = 218.49.150.100
ns3.new-god-ns.net internet address = 200.207.127.103

Die ersten beiden DNS-Server sind dynamisch - nur die 200.207.127.103 ist statisch; dort läuft neben einem DNS- auch ein SMTP-, ein http- und ein POP3-Server

Die A-Einträge zeigen derzeit in zwei Richtungen:
- ^whois:220.149.207.121 - Korea und
- ^whois:80.81.48.238 - Lettland

[Lachsy]

frohes Neues Antispam

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[Ratzeputz]

Noch eine brasilianische Spasskassen-phish-Mail:

Received: from [201.11.85.39] (helo=home)
by mx32.web.de with smtp (WEB.DE 4.107 #114)
id 1HKl62-00072T-00
for [Link nur für registrierte Mitglieder sichtbar. ]; Sat, 24 Feb 2007 01:49:06 +0100
Message-ID: <003201c75bf7$17d0f66e$4900160a@home>
From: "Sparkasse GmbH.'07"< [Link nur für registrierte Mitglieder sichtbar. ]>
To: < [Link nur für registrierte Mitglieder sichtbar. ]>
Subject: Sparkasse Online-Banking - Dringende Geheimmitteiling. Id: 7712Date: Thu, 01 Mar 2007 08:45:21 -0200MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_002E_01C75BDD.F2815250"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: [Link nur für registrierte Mitglieder sichtbar. ]


Auch mit einem schönen versteckten Text:

sind dieselben sehr gut zu nennen. Die Befestigungen der darin; in der zweiten ist dieselbe Einrichtung, doch koennen hier Table d'hôte fand unsere ganze Reisegesellschaft einen Geselligkeit war ihr etwas ganz neues. Fall, wie bei den katholischen. Uebrigens Angesichts unserer eigenen auf die Anwesenden. Ein Ausruf des Erstaunens entfuhr allen: »Die prinzliche Ehepaar zu sehen. Unter ihnen war als jüngste unsere Frau Der zierliche Anblick dieses Kunstwerks ist unbeschreiblich; »Während des Sommers sollst du nun an deiner Aussteuer nähen!« sagte die »Ach Schwester Marie,« seufzte Lenchen, »wann wird denn endlich die einiger und Mohammed sein Gesandter ist, oder endlich, _man verflucht selbst die Aquarien von Brighton und Neapel aus dem Felde schlagen wird. bekanntlich verboten ist. Aber wie trefflich der Wein in Nordafrika weit wasserreicher und majestaetischer als gestern, ueber wilde das eigentliche Nilthal, das, welches unter der unmittelbaren Einwirkung kroenen dessen Zinnen, von welchen einer zur Sternwarte eingerichtet ist. die Frauen des Duars hatten den ganzen Tag Kuskussu bereiten müssen, der Gelegenheit dazu, und was wir waehrend unseres ersten und zweiten fuer jede einzelne Visite bieten. Diese wird ihnen gewoehnlich schlaftrunken wie die ersten Male.«
dass die Flamme seines Lichts blau brennt. Der naechste Au

Und das hat Neo Trace ausgespuckt:

Node Data
Node Net Reg IP Address Location Node Name
13 1 1 201.11.85.39 Florianópolis 201-11-85-39.fnsce701.dsl.brasiltelecom.net.br


OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Rambla Republica de Mexico 6125
City: Montevideo
StateProv:
PostalCode: 11400
Country: UY

Firefox hat die Seite übrigens als Fischerseite markiert.
^whois: [Link nur für registrierte Mitglieder sichtbar. ]
Mfg

[skater]

Wie wärs mit nem Link zu der Seite?
bitte mit [whois] Link [ /whois] (ohne Leerzeichen) markieren.

[Eniac]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Beschwerde ist raus.

Eniac

[sis]

Hier natürlich auch:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/update/banking/index.html?...