Seite 25 von 75 ErsteErste ... 15232425262735 ... LetzteLetzte
Ergebnis 241 bis 250 von 746

Thema: Paypal-Phishing

  1. #241
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    595

    Standard

    Der Teil ist harmlos:
    <br> Kartenpr&uuml;fnummer <span style="cursor: pointer; text-decoration: underline; color:#084482; " onClick="window.open('https://www.paypal.com/de/cgi-bin/webscr?cmd=p/acc/cvv_info_pop-outside','_BLANK','width=640, height=300, scrollbars=yes');">Was ist das?</span><br /> <span class="field"> <input type="text" name="cvv" size="4" maxlength="4" /> </span></td>
    Vermutlich sind noch ein Haufen mehr von diesen Zeilen im Quelltext, der Verweis auf den Phishing-Host ist woanders.

    hoppala
    Geändert von hoppala (14.02.2013 um 15:56 Uhr)

  2. #242
    Mitglied
    Registriert seit
    20.06.2008
    Beiträge
    81

    Standard

    das ist das dekodierte script:
    Code:
     //document.write (s)  <br>Kartenpr&uuml;fnummer <span style="cursor: pointer; text-decoration: underline; color:#084482; " onClick="window.open('https://www.paypal.com/de/cgi-bin/webscr?cmd=p/acc/cvv_info_pop-outside','_BLANK','width=640, height=300, scrollbars=yes');">Wasist das?</span><br /><span class="field"><input type="text" name="cvv" size="4" maxlength="4" /></span></td>
    Geändert von cmds (23.03.2014 um 00:54 Uhr) Grund: Skripte niemals im Klartext posten

  3. #243
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Die einzige URL welche ich im Quelltext klar sehe ist: whois: [Link nur für registrierte Mitglieder sichtbar. ] - aber die Domain gibt es nicht.
    Zitat Zitat von hoppala Beitrag anzeigen
    ...] Vermutlich sind noch ein Haufen mehr von diesen Zeilen im Quelltext, der Verweis auf den Phishing-Host ist woanders. [...
    Ja, klar - da sind noch mehr solcher Zeilen.
    Wie decodiert ihr das?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  4. #244
    Mitglied
    Registriert seit
    20.06.2008
    Beiträge
    81

    Standard

    Schaun sie hier:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/dec/go?
    klappt zwar nicht immer, aber für den Anfang ganz gut.
    Geändert von cmds (23.03.2014 um 00:56 Uhr) Grund: whois

  5. #245
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Danke für die URL
    Hat auch nix neues ergeben - evtl. hat Phishy auch murks gebaut bei der Angabe der URL.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #246
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    Wie decodiert ihr das?
    Oder im Eigenbau das "document.write" durch ein "alert" ersetzen. Empfiehlt sich aber nur auf einer sicheren Plattform, evtl. hat Hacky ja noch ein paar fiese Sachen eingebaut. Ich hab für solche Sache entweder eine eigene Müll-VM oder einen ziemlich rechtlosen User auf einer Linux-Kiste.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  7. #247
    Mitglied Avatar von Johannes
    Registriert seit
    08.01.2007
    Beiträge
    355

    Standard

    Mal ohne Skripte in irgndwelchen Links...


    header:
    01: From: - Fri Feb 15 xx:xx:xx 2013
    02: X-Account-Key: account3
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0000
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07: X-Envelope-From: <infos [at] paypal.de>
    08: X-Envelope-To: <poor [at] spamvictim.tld>
    09: X-Delivery-Time: 1360828669
    10: X-UID: [UID filtered]
    11: Return-Path: <infos [at] paypal.de>
    12: X-RZG-MI-VALUES: bm=8 mafl=1 sh=0 du=0 sp=9,90 vv=1 nf=0
    13: X-Strato-MessageType: email
    14: To: poor [at] spamvictim.tld
    15: X-RZG-CLASS-ID: [ID filtered]
    16: Received: from zhhdzmsp-smtp14.bluewin.ch ([195.186.136.32]) by
    17: mailin.rzone.de (jorabe mi69) (RZmta 31.16 OK) with ESMTP ID: [ID filtered]
    18: Received: from [84.253.58.75] ([84.253.58.75:29831] helo=User) by
    19: zhhdzmsp-smtp14.bluewin.ch (envelope-from <infos [at] paypal.de>) (ecelerity 2.2.3.47
    20: r(39824M)) with ESMTP ID: [ID filtered]
    21: From: PayPal<infos [at] paypal.de>
    22: Message-ID: [ID filtered]
    23: Subject: Notification
    24: Date: Thu, 14 Feb 2013 xx:xx:xx +0100
    25: MIME-Version: 1.0
    26: Content-Type: text/html; charset="Windows-1251"
    27: Content-Transfer-Encoding: 7bit
    28: X-Priority: 3
    29: X-MSMail-Priority: Normal
    30: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    31: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

    We want to inform you that your account was accessed from an unauthorized computer.

    Please visit www.paypal.de and confirm that you are the owner of the account.


    Login :
    https://www.paypal.de
    Die Links führen zu whois: [Link nur für registrierte Mitglieder sichtbar. ]

  8. #248
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Heute mal wieder einen Starto-Server gecrackt:


    header:
    01: Received: from annahof.com ([213.208.135.89]) by mx-ha.gmx.net
    02: (mxgmx006) with
    03: ESMTP (Nemesis) ID: [ID filtered]
    04: 2013 xx:xx:xx +0100

    IP: 213.208.135.89 ---> Webmachine Unixsecurity Network (Unixsecurity, na ja, tolle Empfehlung...)

    DRS: Regional Direktion PayPal

    Sehr geehrter Kunde PayPal :

    Ausgehend auf dem Server auf ein Steuerelement Zahlungen geleistet, so
    fanden
    wir die folgende Fehlermeldung :
    In diesem Monat vom 11/01/2013 Ihre monatlichen Abo-Gebühren wurden doppelt
    nehmen (32,75 * 2) einen Betrag von 67,50 Euro.
    Zu diesem Zweck werden Sie aufgefordert, die Region zu besuchen und
    Verfüllung
    des Teilnehmers Application Delivery
    indem Sie auf den Link unten, um einen Rabatt zu erhalten.

    Einfach anrufen oder Zugriff auf Online-Formular indem Sie hier
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Vielen Dank für Ihr Verständnis.
    Kein Anspruch wird in Abwesenheit einer sofortigen Antwort von Ihnen
    akzeptiert
    werden.
    nach Erhalt des Formulars werden wir Sie auf die Zahl, die Sie
    kontaktieren..

    Sehr freundlichen Grüßen,
    Regional Management .

    Alle I
    IP: 85.214.148.133 ---> h1465519.stratoserver.net
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #249
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Heute wieder mit HTML-Anhang:


    header:
    01: Received: from bizpsie3.9services.com ([84.96.93.161]) by mx-ha.gmx.net
    02: (mxgmx005) with ESMTP (Nemesis) ID: [ID filtered]
    03: Tue, 05 Mar 2013 xx:xx:xx +0100
    04: Received: from mail.serafec.com ([109.0.139.156])
    05: by bizpsie3.9services.com with 9services
    06: ID: [ID filtered]
    07: X-VRSPAM-SCORE: 44.00
    08: Received: from localhost.localdomain ([66.175.100.73])
    09: (authenticated user info [at] serafec.com)
    10: by mail.serafec.com (Kerio MailServer 6.7.0 patch 1) for xxxxx;
    11: Tue, 5 Mar 2013 xx:xx:xx +0100

    IP: 66.175.100.73 ---> CLOUDSHARE LTD.

    gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

    Phishki hatte noch nicht mal Kohle für einen vernünftigen Übersetzer:

    Liebes Paypal Customer:

    Paypal wird am Erhalten einer sicheren Umwelt für seine Gemeinschaft von
    Kunden festgelegt.
    Um die Sicherheit Ihres Kontos zu schützen, setzt Paypal einige der
    höchstentwickelten
    Sicherheitssysteme in der Welt ein und unser Antibetrug teams regelmäßig
    Schirm das
    Paypal-System für ungewöhnliche Tätigkeit.

    Wir treten mit Ihnen in Verbindung, um Sie zu erinnern das auf 04 Mar 13
    23:13:11 ,
    das unser Konto-Bericht-Team etwas ungewöhnliche Tätigkeit in Ihrem Konto
    identifizierte. In Übereinstimmung mit Paypals Benutzer-Vereinbarung und
    zu garantieren,
    dass Ihr Konto nicht kompromittiert worden ist, war Zugang zu Ihrem
    Konto begrenzt.
    Ihr Kontozugang bleibt begrenzt, bis diese Frage gelöst worden ist.

    Um Ihr Konto zu sichern und vollen Zugriff schnell wieder herzustellen,
    fordern möglicherweise wir etwas zusätzliche Information von Ihnen aus
    folgendem Grund:

    Wir sind mitgeteilt worden, dass eine Karte, die mit Ihrem Konto
    verbunden ist,
    berichtet worden ist, wie verloren oder gestohlen oder dass es
    zusätzliche Probleme mit Ihrer Karte gab.

    Dieser Prozess ist obligatorisch und wenn Sie nicht innerhalb die
    nächste Zeit Ihres Kontos
    oder Kreditkarte abgeschlossen werden, kann für vorübergehende
    Suspendierung abhängig sein.

    Um Ihre Paypal-Informationen sicher zu bestätigen laden Sie bitte das
    attachement herunter.


    Wir regen Sie an, die Schritte anzumelden und durchzuführen, die
    notwendig sind,
    Ihren Kontozugang so bald wie möglich wieder herzustellen. Das Lassen
    Ihres Kontozugangs
    begrenzt bleiben über einen längeren Zeitraum ergibt möglicherweise
    weitere Beschränkungen
    auf dem Gebrauch von Ihrem Konto und möglichen Kontoschließung.

    Sicherheits-Mitte schützt. Wir entschuldigen uns für jedes mögliches
    incovenience,
    das dieses möglicherweise verursacht und uns apriciate Ihre
    Unterstützung im Helfen wir,
    die Integrität des gesamten Paypal-Systems beizubehalten.

    Danke für die Anwendung von Paypal!

    Paypal-Sicherheits-Mitte-Team
    Im HTML-Teil dann:

    Code:
    <script type="text/javascript">
    <!--
    eval(unescape('%66%75%6e%63%74%69%6f%6e%20%6a%63%36%38%30%32%65%32%65%28%73%29%20%7b%0a%09%76%61%72%20%72%20%3d%20%22%22%3b%0a%09%76%61%72%20%74%6d%70%20%3d%20%73%2e%73%70%6c%69%74%28%22%31%30%37%38%38%33%39%35%22%29%3b%0a%09%73%20%3d%20%75%6e%65%73%63%61%70%65%28%74%6d%70%5b%30%5d%29%3b%0a%09%6b%20%3d%20%75%6e%65%73%63%61%70%65%28%74%6d%70%5b%31%5d%20%2b%20%22%37%39%33%35%31%32%22%29%3b%0a%09%66%6f%72%28%20%76%61%72%20%69%20%3d%20%30%3b%20%69%20%3c%20%73%2e%6c%65%6e%67%74%68%3b%20%69%2b%2b%29%20%7b%0a%09%09%72%20%2b%3d%20%53%74%72%69%6e%67%2e%66%72%6f%6d%43%68%61%72%43%6f%64%65%28%28%70%61%72%73%65%49%6e%74%28%6b%2e%63%68%61%72%41%74%28%69%25%6b%2e%6c%65%6e%67%74%68%29%29%5e%73%2e%63%68%61%72%43%6f%64%65%41%74%28%69%29%29%2b%2d%36%29%3b%0a%09%7d%0a%09%72%65%74%75%72%6e%20%72%3b%0a%7d%0a'));
    decodiert:

    Code:
    eval(unescape('function jc6802e2e(s) {
    	var r = "";
    	var tmp = s.split("10788395");
    	s = unescape(tmp[0]);
    	k = unescape(tmp[1] + "793512");
    	for( var i = 0; i < s.length; i++) {
    		r +=
    String.fromCharCode((parseInt(k.charAt(i%k.length))^s.charCodeAt(i))+-6);
    	}
    	return r;
    }
    '));
    Da fehlt aber dann der Rest, da war wohl die Ratware kapott...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #250
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard


    header:
    01: Received: from mail.gpq-active.de ([80.85.5.110]) by mx-ha.gmx.net (mxgmx104)
    02: with ESMTP (Nemesis) ID: [ID filtered]
    03: <x>; Tue, 05 Mar 2013 xx:xx:xx +0100
    04: Received: from User (85-125-59-182.static.xdsl-line.inode.at [85.125.59.182])
    05: by mail.gpq-active.de (b1gMailServer) with ESMTP ID: [ID filtered]
    06: for <x>; Tue, 05 Mar 2013 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Auf der Webseite selbst sehr interessant:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/runforestrun?sid=botnet_api2
    Dazu Kaspersky: [Link nur für registrierte Mitglieder sichtbar. ]
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 25 von 75 ErsteErste ... 15232425262735 ... LetzteLetzte

Ähnliche Themen

  1. Paypal Phishing von deutschem Server?
    Von Coke1984 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 3
    Letzter Beitrag: 11.04.2007, 15:17
  2. [phishing] PayPal Security Measures
    Von Sirius im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 14
    Letzter Beitrag: 11.08.2005, 00:05
  3. [phishing] PayPal
    Von Maq im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 11
    Letzter Beitrag: 19.03.2005, 20:21
  4. PayPal Phishing ?
    Von rumbarumbatätärräää im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 19.12.2004, 00:04

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen