Und schon wieder Ing DiBa - diesmal sogar mit Text in der Mail
Guten Tag, <richtiger Name von madman70>!
am 18.12.2014 wurden verschiedene Server-Updates durchgeführt, welche zwischen 03:00 und 05:00 Uhr stattfanden. In diesem Zeitraum waren unsere Server für Sie leider nicht erreichbar, dafür entschuldigen wir uns bei Ihnen.
Nach der Systemaktualisierung wurden auf Ihrem Konto Unregelmäßigkeiten bezüglich der Aktualität Ihrer Daten festgestellt. Daher bitten wir Sie, Ihre Daten nochmals zu verifizieren und damit Ihr Konto zu reaktivieren.
Aktualisierung ausführenwhois:
[Link nur für registrierte Mitglieder sichtbar. ]
Bitte beachten Sie, dass Ihr Kontozugang so lange eingeschränkt bleibt, bis Sie Ihre Identität bestätigt haben. Vielen Dank für Ihr Verständnis.
Auch hier wieder der Ganove mit dem HTML-Formular im Anhang:
header:
01: Received: from mail.hscseminars.org ([66.166.140.195]) by mx-ha.gmx.net
02: (mxgmx113) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from localhost (localhost.localdomain [127.0.0.1]) by
04: mail.hscseminars.org (Postfix) with ESMTP ID: [ID filtered]
05: Received: from mail.hscseminars.org ([127.0.0.1]) by localhost
06: (mail.hscseminars.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID
07: filtered]
08: Received: from dnd-gns.de (stats.enterx.arvixevps.com [192.169.55.49]) by
09: mail.hscseminars.org (Postfix) with ESMTPA ID: [ID filtered]
Datenabgleich/Aktualisierung
Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
Mit freundlichen Grüßen
Ihre Ing Diba
Guten Tag,
Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
Sicherheitsgründen bestätigt werden müssen.
Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten
kostenfrei zu
ändern.
Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
schriftlich über den Postweg bei Ihnen einfordern.
Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und
folgen Sie
den Anweisungen oder wie folgt ausführen:
1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
aus!
2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!
Für weitere Fragen steht unser Online Support unter
[Link nur für registrierte Mitglieder sichtbar. ]
24Std.
für Sie zur Verfügung.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Thank you from Netcraft
The URL you recently submitted has been accepted as a phishing site by
Netcraft.
URL: whois:
[Link nur für registrierte Mitglieder sichtbar. ]
As of 1st December 2014, the Netcraft Toolbar community has blocked over
6 million phishing attacks
Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
„Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein1879-1955
„Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill1874–1965
"Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826
Und wieder der Phishki mit dem HTML-Anhang und gecracktem Wordpress:
header:
01: Received: from tccs2.tantalos.de ([86.109.249.181]) by mx-ha.gmx.net
02: (mxgmx009) with ESMTP (Nemesis) ID: [ID filtered]
03: Mon, 05 Jan 2015 xx:xx:xx +0100
04: Received: from localhost (localhost [127.0.0.1])
05: by tccs2.tantalos.de (Postfix) with ESMTP ID: [ID filtered]
06: for xxxxx; Sun, 4 Jan 2015 xx:xx:xx +0100 (CET)
07: Received: from tccs2.tantalos.de ([127.0.0.1])
08: by localhost (tccs2.tantalos.de [127.0.0.1]) (amavisd-new, port 10024)
09: with ESMTP ID: [ID filtered]
10: Sun, 4 Jan 2015 xx:xx:xx +0100 (CET)
11: Received: from deeba.de (cfbenter.arvixevps.com [108.175.152.16])
12: by tccs2.tantalos.de (Postfix) with ESMTPA ID: [ID filtered]
13: for xxxxx; Sun, 4 Jan 2015 xx:xx:xx +0100 (CET)
Datenabgleich/Aktualisierung
Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
Mit freundlichen Grüßen
Ihre Ing Diba
Guten Tag,
Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
Sicherheitsgründen bestätigt werden müssen.
Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten
kostenfrei zu
ändern.
Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
schriftlich über den Postweg bei Ihnen einfordern.
Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und
folgen Sie
den Anweisungen oder wie folgt ausführen:
1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
aus!
2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!
Für weitere Fragen steht unser Online Support unter
[Link nur für registrierte Mitglieder sichtbar. ]
24Std.
für Sie zur Verfügung.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Was mich jedesmal wundert: Wieso kann man aus dem Quelltext nicht erkennen, wohin die gephishten Daten versandt /gespeichert werden?
offtopic:
Weil das PHP-Skript, das aufgerufen wird, um die Daten zu verschicken, als aktive Sprache auf dem Webserver ausgeführt wird, auf dem man als normaler Internetnutzer nicht die nötigen Zugriffsrechte hat. Der Webserver liefert als Ergebnis des Skriptlaufs nur "normales" HTML aus, und das hat mit dem Mailversand nichts zu tun, der über andere Kanäle läuft.
Beispiel Datenbankabfrage: Im PHP-Skript benutze ich einige Befehle, die der Webserver als Datenbankserver ausführt (oder entsprechend weitergibt, je nach Konfiguration) und die die Datenbank abfragen. Das Ergebnis dieser Abfrage wird dann von PHP abgefangen und zu in einen HTML-Quelltext eingebaut, der wiederum dann als Webseite an den Webserver übergeben und dem Aufrufenden ausgeliefert wird. Um an Daten aus der Datenbank zu kommen, muss ich somit also weder Kenntnisse über die Struktur derselben haben noch direkten Zugang zu ihr. PHP überbrückt die Lücke und schottet den Zugang auch nach außen ab.
PHP verhält sich dabei in etwa so wie Sprecher von Gerichten. Wenn sie von Journalisten zu einem Verfahren gefragt werden, holen sie sich zunächst umfangreiche Auskünfte bei den zuständigen Kammern, wägen dann ab, was davon an die Öffentlichkeit darf und schweigen sich über den Rest beharrlich aus. Ohne spezielle Druckmittel (ich meine Hacks eines PHP-Servers) kommt man nicht an solche Informationen. Und bei den Kammern (=Diensten auf dem Server) selber kann man zwar direkt anfragen, erhält aber ohne passende Berechtigung (=Zugangsdaten) eine Abfuhr.
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/wp-includes/images/smilies/x/mail.php hätte ich auch noch im Angebot.
scheint schon enttarnt/korrigiert worden zu sein, bei mir in der Sandbox kommt da die Echte https://www.ing-diba.de/ Seite
(bei dem kompletten Link natürlich)
der abgekürzte Link bringt sofort eine Phishing Warnung
Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
„Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein1879-1955
„Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill1874–1965
"Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826
Wobei dieser Ganove am Ende des Skripts immer eine Weiterleitung zur Original Bankseite einbaut. Die Daten werden also abgegriffen und dann erfolgt zur Verschleierung die Weiterleitung zur Original Website. Gemeinsam ist diesen gecrackten Wordpress-Installationen meist auch, dass da bei den Servern der Hosenlatz offensteht. Wobei es im Darkweb natürlich auch alles zu kaufen gibt: gecrackte Server, Phishing-Kits mit Bankauswahl für Dumm-Phiskis, etc.
Und bei PHP ist es ja so, dass der Server solche Skipte gemeinhin ausführt. Könnte man diese einfach nur herunterladen, so wäre evtl. auch das Ziel des Datenversands erkennbar. Aber so blöd sind die russ. Cyberkriminellen natürlich auch wieder nicht, es sind ja keine Mugus.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Nun, über einen Umweg bekommt man in Windows ja das Script runtergeladen. Man erstellt dazu eine Verknüpfung zu der *.php-Datei auf dem gecrakten Server, benennt die Dateierweiterung hernach in *.txt um und öffnet das dann mit dem Editor oder Wordpad. Und das ergibt bei mir nur und ausschließlich den 1:1 Quelltext der INGDiBa.
"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
Lesezeichen