Amazon-Phishing

[truelife]

secure-costumer.eu ist offline. Die eigentliche Fängerdomain ist weiter aktiv. Die myLoc managed IT AG interessiert sich scheinbar nicht für die Abuse-Mitteilung.

[Eniac]

header:

01: Received: from [87.106.82.220] (helo=s16695742.onlinehome-server.info)
02:         by mr1.firma.tld with esmtps (TLSv1:AES256-SHA:256)
03:         (envelope-from <poor [at] spamvictim.tld>)
04:         ID: [ID filtered]
05:         for poor [at] spamvictim.tld; Sat, 12 Jan 2013 xx:xx:xx +0100
06: Received: by s16695742.onlinehome-server.info (Postfix, from userID: [ID filtered]
07:         ID: [ID filtered]
08: To: poor [at] spamvictim.tld
09: Subject: Fremdzugriff Bestellung 9297130156 erfolgreich storniert!
10: From: "Amazon.com" <2254660320@*RAMDOM*.de>
11: Reply-To:
12: MIME-Version: 1.0
13: Content-Type: text/plain
14: Content-Transfer-Encoding: 8bit
15: Message-ID: [ID filtered]
16: Date: Sat, 12 Jan 2013 xx:xx:xx +0100 (CET)
17: Return-Path: apache [at] s16695742.onlinehome-server.info

Guten Tag geehrter Amazon Kunde,



bedauerlicherweise müssen wir Ihnen mitteilen, dass fremde auf Ihr

Kunden-Account eiblick beschaffen konnten.

Die Bestellungen die von Ihrem Kundenkonto am folgende Lieferadresse:



L. K. (Name anonymisiert)

Ludwig-Beckstraße 11

37547 Göttingen



getätigt wurde, haben wir mit erfolg zurückgerufen.

Wir fordern Sie daher auf, Ihr Mitgliedskonto eilig zu überprüfen

und weitere Fehler dem Service Team zu melden.

Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:



^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ] = 111.90.148.48 = PIRADIUS NET/Malaysia

Auf dieser IP noch weitere verdächtige domains wie ^whois:amz-check.info und ^whois:problembehebung.info


Eniac

[Frechdachs]

Hallo zusammen,

das habe ich grade angeblich von Amazon bekommen.

Der Absender macht mich jedoch stutzig.
Received: from ^whois:rechner3.hofmann-online.com

Amazon.de Meine Bestellungen | Mein Konto | Amazon.de



Guten Tag Vorname Name,



ab dem 01.02.2013 sind wir gesetzlich dazu verpflichtet Zahlungen, die mit einer Kreditkarte getätigt werden, gesondert zu verifizieren.

Daraus folgt, dass wir ab diesem Zeitpunkt nur noch Zahlungen entgegennehmen können, die einen 3-D Secure Code hinterlegt haben.Diese Maßnahme sorgt für zusätzliche Sicherheit bei Online-Transaktionen, sichert den Zahlungseingang und reduziert den Datenmissbrauch.

Dieser Vorgang wird nur einige Minuten in Anspruch nehmen.

Bitte klicken Sie auf folgenden Link, um den 3-D Secure Code zu hinterlegen.

http://www.amazon.de/3d-securecode/Vorname+Name



Mit freundlichen Grüßen,
Ihr Amazon Kundenservice.



(Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.)

header:

01: Return-Path: 	<service [at] amazon.de>
02: Received: 	from rechner3.hofmann-online.com (rechner3.hofmann-online.com
03: 	[193.254.184.244]) by xxx.mein Provider.xx (Internet Inbound) with ESMTP ID: [ID
04: 	filtered]
05: Received: 	from Boss-PC (localhost.localdomain [127.0.0.1]) by
06: 	rechner3.hofmann-online.com (Postfix) with ESMTP ID: [ID filtered]
07: From: 	service [at] amazon.de <service [at] amazon.de>
08: Subject: 	Das 3-D Securecode verfahren, jetzt auch bei Amazon!
09: To: 	Meine Emailadresse
10: Content-Type: 	multipart/alternative;
11: 	boundary="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
12: MIME-Version: 	1.0
13: Reply-To: 	service [at] amazon.de
14: Date: 	Sat, 19 Jan 2013 xx:xx:xx +0100
15: Message-ID: [ID filtered]

Gruß Frechdachs

Meldung an Amazon ist raus

[Mittwoch]

Der Absender macht mich jedoch stutzig.
Received: from ^whois:rechner3.hofmann-online.com

Gehört einer Firma aus Wallenhorst bei Osnabrück. Wenn der zweite Received-Eintrag Ernst genommen werden kann, dürfte der PC des Chefs Zombie-verseucht sein. Ich würde an Deiner Stelle die Mail auch an den Abuse-Dek von gmx.de weiterleiten, denn ^whois:www.hoffmann-online.com liefert den Hinweis, dass GMX involviert ist.

Schönen Gruß
Mittwoch

[schara56]

header:

01: Received: from werk4.werkbank.com (werk4.werkbank.com [5.199.134.150])
02: 	by x (Postfix) with ESMTP ID: [ID filtered]
03: 	for <x>; Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)
04: Received: from g1679600d001.krueger.ads (mail.krueger.ms [195.226.178.50])
05: 	by werk4.werkbank.com (Postfix) with ESMTP ID: [ID filtered]
06: 	Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)
07: Received: from User ([217.86.231.91]) by g1679600d001.krueger.ads with
08: 	Microsoft SMTPSVC(6.0.3790.4675);
09: 	 Mon, 21 Jan 2013 xx:xx:xx +0100

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/ama/

Schlecht gemachter Phish...

[kjz1]

Von den Vlads über einen gecrackten Server:

header:

01: Received: from s16728631.onlinehome-server.info ([212.227.58.176]) by
02:  mx-ha.gmx.net (mxgmx101) with ESMTP (Nemesis) id
03: 0MQgtd-1USiGX1bK9-00U4CM for
04:  xxxxx; Fri, 25 Jan 2013 xx:xx:xx +0100
05: Received: by s16728631.onlinehome-server.info (Postfix, from userID: [ID filtered]
06: 	ID: [ID filtered]

Seine Ratware hat der Vlad auch nicht im Griff:

header:

01: X-PHP-Originating-Script: 0:11.php
02: From: Kundendienst <9713732506@*RAMDOM*.de>

Guten Tag geehrter Amazon Kunde,

leider müssen wir Ihnen bekannt geben, dass fremde auf Ihr

Kunden-Account zugriff beschaffen konnten.

Die Bestellungen die von Ihrem Account an die nicht übliche eingetragene
Adresse:

P[gekürzt] K[gekürzt]

Ludwig-Beckstraße 52

37348 Göttingen

getätigt wurde, haben wir mit erfolg annulliert.

Wir bitten Sie daher, Ihr Kundenkonto eilig zu kontrollieren

und weitere Probleme dem Amazon Kundenservice zu melden.

Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Wir entschuldigen uns für dadurch entstandene Probleme und Bitten Sie

um Verständniss.

Ihr Amazon Kunden-Support.

IP: 88.247.131.76 ---> mail.tariffinder24.com/TIER-Data-Center, Romania

Von der ICANN wird wieder die Ausrede kommen, dass es sich ja nur (!!!) um Phishing handeln würde und man da nichts machen könne. Man kann eigentlich nur hoffen, dass irgendwann einer der 2000 Pfd.-Gorillas mal die ICANN in den USA auf Millionensummen verklagt, da man dort bei Cyberkriminalität vorsätzlich wegzuschauen scheint. Vielleicht bekommt die ICANN ja dann endlich mal den Allerwertesten hoch...

[Speedy56]

Ja - nee... is klar!

Akten-ID: 98472522431629883424

Guten Tag <mein Vorname Nachname>,

mit dieser E-Mail benachrichtigen wir Sie über die Blockierung Ihres Amazon-Kontos.
Am 03.02.2013 wurde der Prozess der Sicherheitsupdates beendet.
In diesem Kontext war jeder Kunde zu einem Datenableich verpflichtet, um eine eindeutige und authentifizierte Erfassung zu ermöglichen.
Unseren Daten nach haben Sie bis jetzt Ihren Account noch nicht durch die Bestätigung Ihrer Daten gesichert.
Wir empfehlen Ihnen diese sofort vorzunehmen, um Ihren Account für Zahlungen zu aktivieren.
Nachfolgend ist ein Verweis auf unserer SSL-gesicherte Webseite aufgeführt.
Nachdem Sie sich über den Link angemeldet haben, werden Sie durch den Aktivierungsprozess geführt.

Zum Start:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Im Anschluss einer erfolgreichen Prüfung Ihrer Daten können Sie Ihren Account wie gewohnt weiternutzen.

Mit freundlichen Grüßen,

Amazon Abteilung für Security

SSL-Signature:2759496622:2616840451

header:

01: From - Mon Feb 25 xx:xx:xx 2013
02: X-Account-Key: account7
03: X-UIDL: [UID filtered]
04: X-Mozilla-Status: 0001
05: X-Mozilla-Status2: 00000000
06: X-Mozilla-Keys:                                                                        
07: 	        
08: Return-Path: bounce[BOUNCE filtered]@88.mail-out.ovh.net
09: Received: from 88.mail-out.ovh.net ([178.32.115.44]) by mx-ha.gmx.net
10:  (mxgmx006) with ESMTP (Nemesis) ID: [ID filtered]
11:  <xxxx.xxxxxxxxxxxxxxxxxx [at] gmx.de>; Mon, 25 Feb 2013 xx:xx:xx +0100
12: Received: (qmail 3316 invoked by UID: [UID filtered]
13: Received: from gw8.ovh.net (HELO start.ovh.net) (213.251.189.208)
14:   by 88.mail-out.ovh.net with SMTP; 24 Feb 2013 xx:xx:xx -0000
15: Received: from localhost.localdomain (localhost [127.0.0.1])
16: 	by localhost.domain.tld (Postfix) with ESMTP ID: [ID filtered]
17: 	for <***@***>; Mon, 25 Feb 2013 xx:xx:xx +0100 (CET)
18: Received: by start.ovh.net (Postfix, from userID: [ID filtered]
19: 	ID: [ID filtered]
20: Subject: ***, Es wird ein Sicherheitsupdate Ihres Amazon Accounts erfordert
21: From: Amazon Secure-Service <service7512432120 [at] amzon-secure.infranet.de>
22: Reply-To:
23: MIME-Version: 1.0
24: Content-Type: text/html
25: Content-Transfer-Encoding: 8bit
26: Message-ID: [ID filtered]
27: Date: Mon, 25 Feb 2013 xx:xx:xx +0100 (CET)
28: X-Ovh-Tracer-ID: [ID filtered]
29: Envelope-To: <poor [at] spamvictim.tld>
30: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
31: X-GMX-Antivirus: 0 (no virus found)
32: X-UI-Filterresults: notjunk:1;V01:K0:DaZJ2JVZdwI=:ApKITDtGRxrQ5bzceYi9BZ
33:  dRZ4jzl8KoeZA1UhyMrXnFaVb7VllScxYSAmCYDaenf5BEHeAx+BK6nCzUjkI6Niu/adMPM
34:  DDfzdKSQdE/s2bTFNZvI4eOixvVrGC6GWRfPQaWiZ0voI43PT7V3a19l1s17cRB3UBTXgo8
35:  X9b2kv+AEqGBzcYoxB9jLFNYflMthXYXX5uqkbL+RPGhpU6ticJZeQIQAm0OEGZaDaIG1nq
36:  9HKYKGGda8AN7R0FM/ZoI6+Ck8cuf7pNscy/nYzAvL7QaIU85Yy8zXNBv5j2xVrTYah0eF7
37:  maR/weUiv4SzDHy6kaWHOFOZaZDhKavXdRxxXI/tZmF7/1Ape0DdVj1WCNZR3BR45JYB1+x
38:  4bCIN/EEUpRxoo7+sOl/hIl7OS5FtlB5u4KCCwYnA4iLLI7cHRl3miPBXVanuTn9IZVjUp6
39:  BTyc9acEIk4IM3IcxmdE4gL6syQrcaHdEN+nrEkJvCOioZx+2HR6Iaw1nbqCWitMHDl72IJ
40:  gNuSIlC1GrTpHLGSWwhyfiGGTFPL8OXUQToWLWb6vCFydPji2kQUzEBcgXl+sq1yL/ZqBBA
41:  HQHVAhOoOHUCl4vrQ7qwGcUKyLfosKnkwtvLnGoNLiI0tNcsqn4VdSTlZf6KkqYJf9erC+n
42:  sHsmX+Cu3TQmRglAnNFRri8eHnIyvQ7SrPUgYKSV81mxUEooc/l6bobL1Uy7haSl/Drp9tt
43:  cw8LjK4Yo7nYtrepxJtjZNTrmNVsg2IQhjDtt6JMWv51xy68p7gSGwG3DrBdFzpPoGPFCGI
44:  VYy1ro5kNjacE6WvtkPDQVH4p7L4wU+oAXSr3YXpc59UUdVQvXQm5I+4rLg55SGfrS+FZVC
45:  fTlRITS0yi4y6dWE/2eFglmNNWvkzHbxXViqxIqWPstKisV5Wu1zDGS3Nt5HAQF3KVXCjbQ
46:  aFLItZZGwvnfFtdJzk9tVDvJZn9nsW2htZaAQ7sSvCcnL+gRsQw6M5rFOMhOWP2z7SAkUTA
47:  7RmKME2colUSxbs9/jG9hclz+7hBkECtoK1e2cTHCTgShpan03P9HMfwTSg8z6AHRMvoLhb
48:  2n/M+WcHynAwM3ciKqmjNL5MBUV65DXqYxZj85OkPnCbBb0UZXOYk+SlRVBiUO4OUvRm1q+
49:  R83w2z2vg8c7uX4+c6wVVu6xgQczWvwHPcYvAWI/7qKNX2kvXUvcGCkZUBgLdL/RzCjccBS
50:  44huPca8ZG3QXNQ5ZSom2MdB+kz7NWOARnoJQqKU+6RXrfutaZTnMjW9t4iN7zU2OkNPes3
51:  LWeiTji0i7UmryrZFDo+6lThz4fx8E8vqyRK7aCl7HDa+B2PnaMHjUyd5v0GppANPVb7jna
52:  1k9CLqUgATQAMMxc/3Sr8LTYZOiHKqkQtP3QpGltbL6256zjxGJWDPfpmfcOXNdjHLqKjaB
53:  DUeZss9uLcK6GuCJf4tozaBhRhUQvBApJztRRUbt3jMOGtSmfBDYw6RcPG0KTLAYj/bS0hO
54:  CrGVn8h24aCXHzIIVuAZzmXQdI95LFgoBRyEcGn/yOsYw==

[truelife]

Hier heute auf einer geernteten Adresse eingeschlagen:

Sehr geehrter Amazon Kunde,

Wir haben vor kurzem festgestellt, dass verschiedene Computer zu Ihrem Amazon-Konto, das Kennwort und der vorliegenden Schach mehr taient vor dem Anschluss zu verbinden. Jetzt müssen wir die neuen Informationen aus Ihrem Amazon-Konto zu bestätigen. Wenn nicht innerhalb von 48 Stunden abgeschlossen werden, sind wir gezwungen, Ihr Konto auf unbestimmte Zeit auszusetzen, weil es in eine betrügerische Absicht verwendet werden kann. Vielen Dank für Ihr Verständnis in dieser Weise. Um Ihr Online-Konto zu bestätigen:
>> Klicken Sie hier <<

>> Klicken Sie hier << --> führt auf ^whois: [Link nur für registrierte Mitglieder sichtbar. ] --> Mabna Dialup, Iran

header:

01: Return-Path: nobody [at] mars.rapidvps.com
02: Received: from mars.rapidvps.com ([208.77.96.210]) by mx-ha.gmx.net (mxgmx101)
03:  with ESMTP (Nemesis) ID: [ID filtered]
04:  <xxx>; Tue, 12 Mar 2013 xx:xx:xx +0100
05: Received: from nobody by mars.rapidvps.com with local (Exim 4.77)
06: 	(envelope-from <nobody [at] mars.rapidvps.com>)
07: 	ID: [ID filtered]
08: 	for xxx; Tue, 12 Mar 2013 xx:xx:xx -0500

[Levitator]

von: Support-Service-Amazon-Deutschland [support_ad_sicherheit.de]

header:

01: Return-Path: <support [at] sicherheit.de>
02: Delivery-Date: Sat, 16 Mar 2013 xx:xx:xx +0100
03: Received: from ta-180.E180STSIGNALS.com (ool-60384a23.static.optonline.net
04: 	[96.56.74.35])
05: 	by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
06: 	ID: [ID filtered]
07: Received: from [93.186.196.23] ([93.186.196.23]) by
08: 	ta-180.E180STSIGNALS.com with Microsoft SMTPSVC(6.0.3790.3959);
09: 	 Sat, 16 Mar 2013 xx:xx:xx -0500
10: Message-ID: [ID filtered]
11: Mime-Version: 1.0
12: From: Support-Service-Amazon-Deutschland <support [at] sicherheit.de>
13: To: Levy [at] work
14: Subject: =?utf-8?Q?[News]_Newsletter-Service_M=C3=A4rz_2013?=
15: Date: Sat, 16 Mar 2013 xx:xx:xx +0100
16: X-Priority: 2
17: Content-type: multipart/alternative;
18: 	Boundary="--=BOUNDARY_3162114_ADCP_PKXJ_NQHN_DSJW"
19: Return-Path: support [at] sicherheit.de
20: X-OriginalArrivalTime: 16 Mar 2013 xx:xx:xx.0031 (UTC)
21: 	FILETIME=[5C077370:01CE2285]
22: Envelope-To: Lavy [at] work

Web-Ansicht | Kundenlogin | Web ansicht | Support

Levy@work

Sehr geehrte Kundin, sehr geehrter Kunde,


Wir möchten Sie auf die neuen Amazon richtlinien vom 01.03.2013 in Kenntnis setzen.

Wo liegt das Problem?
Bearbeitungsnummer: 129.13-D137

Um gewährleisten zu können, das kein Unbefugter Zugang zu Ihrem Mitgliedskonto hat, ist eine einmalige Zuordnung Ihres Mitgliedskontos durch Eingabe von personenbezogenen Daten erforderlich.

Was mache ich jetzt?
Bitte registrieren Sie Ihre Daten innerhalb von 5 Tagen um eine eventuelle Sperrung Ihres Mitgliedskontos zu vermeiden.


Wir von Amazon-Deutschland Team wünscht Ihnen ein schönes und erholsames Wochenende.

Weiter
Abmeldelink | Kunde | Angebote | Sicheres Surfen |

Jetzt habe ich Angst und verkümmel mich, lösche alle Amazonen Mails.
Hinter allen links der Mail befinden sich virennester.

[cmds]

Nun bin auch ich Opfer eines Betrugs (steht zumindest in der Mail)

header:

01: From - Sun Apr 07 xx:xx:xx 2013
02: X-Account-Key: account5
03: X-UIDL: [UID filtered]
04: X-Mozilla-Status: 0001
05: X-Mozilla-Status2: 00000000
06: X-Mozilla-Keys:                                                                        
07: 	        
08: Received: (qmail 30480 invoked from network); 6 Apr 2013 xx:xx:xx +0000
09: Received-SPF: pass (vsxxxxx.netfabrik.de: domain of gator946.hostgator.com designates
10: 	174.120.83.130 as permitted sender) client-ip=174.120.83.130;
11: 	envelope-from=kitmon [at] gator946.hostgator.com; helo=gator946.hostgator.com;
12: Received: from gator946.hostgator.com (174.120.83.130)
13:   by vs2068031.vserver.de with (DHE-RSA-AES256-SHA encrypted) SMTP; 6 Apr 2013 xx:xx:xx +0000
14: Received: from kitmon by gator946.hostgator.com with local (Exim 4.80)
15: 	(envelope-from <kitmon [at] gator946.hostgator.com>)
16: 	ID: [ID filtered]
17: 	for ME; Sat, 06 Apr 2013 xx:xx:xx -0500
18: To: ME
19: Subject: XXXX, Amazon Betrugsverdacht.
20: X-PHP-Script: theinfoquest.com/wp-content/plugins/wp-plugin-repo-stats/babomail.php for
21: 	195.94.38.227
22: From: Amazon. <betrugsstelle [at] burg.com>

Sehr geehrter Kunde,

aus gegebenen Anlass müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto Zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Kundenkonto am folgende Adresse:

L. Kl.
Ludwig-Beckstraße 55
37588 Göttingen

getätigt wurde, haben wir erfolgreich zurückgezogen
Wir bitten Sie daher, Ihr Mitgliedskonto eilig zu überprüfen
und weitere Anliegen dem Amazon Kundenservice zu melden.
Öffnen sie dazu bitte folgenden Link in Ihrem Browser auf und folgen sie den
Anweisungen:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]?www.amazon.de/ap/signin/XXXXXXXXXX?_encoding=UTF8&openid.assoc_handle=deflex&openid.claimed_id

Wir entschuldigen uns für dadurch entstandene Schwierigkeiten und Bitten Sie
um Verständniß!