Seite 3 von 5 ErsteErste 12345 LetzteLetzte
Ergebnis 21 bis 30 von 48

Thema: ING-DiBa Phishing

  1. #21
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.533

    Standard

    Zitat Zitat von cmds Beitrag anzeigen
    scheint schon enttarnt/korrigiert worden zu sein, [...
    Ich hatte gepetzt...

    Zitat Zitat von truelife Beitrag anzeigen
    ...] ergibt bei mir nur und ausschließlich den 1:1 Quelltext der INGDiBa.
    Du lädst die Anwort des Webservers basierend auf dem Script herunter - nicht das Script selbst.
    Vgl.: http://upload.wikimedia.org/wikipedi...tionsweise.svg
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #22
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.757

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    Ich hatte gepetzt...
    ...
    Brav, so soll es sein.

    Geheimlager öffne:
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  3. #23
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Man erstellt dazu eine Verknüpfung zu der *.php-Datei auf dem gecrakten Server, benennt die Dateierweiterung hernach in *.txt um und öffnet das dann mit dem Editor oder Wordpad.
    Auch da wird AFAIK nichts heruntergeladen, sondern nur das Skript auf dem Server ausgeführt. Und als 'Endresultat' wird halt die Weiterleitung (i.e. die Originalseite der Bank) präsentiert.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #24
    Mittwoch
    Gast

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Nun, über einen Umweg bekommt man in Windows ja das Script runtergeladen.
    Ergänzend zu den Ausführungen meiner Vorredner möchte ich noch beitragen: Der Umweg heißt "Einloggen per FTP" (Kenntnis der Zugangsdaten vorausgesetzt), dann runter laden der PHP-Datei, Umbenennen kann man weglassen, der Windoof-Editor öffnet das auch so.
    Natürlich immer angenommen, der PHP-Server wird ordentlich gepflegt und lässt keine der bekannten Sicherheitslücken offen. Gleiches muss auch für den Web- und den FTP-Server gelten.

  5. #25
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Wieder der Phiski mit dem Mailanhang, wieder gecracktes Wordpress, aber schon tot:


    header:
    01: Received: from zimbra.nxmserver.com ([207.158.33.48]) by mx-ha.gmx.net
    02: (mxgmx110) with ESMTP (Nemesis) ID: [ID filtered]
    03: Received: from localhost (localhost [127.0.0.1]) by zimbra.nxmserver.com
    04: (Postfix) with ESMTP ID: [ID filtered]
    05: Received: from zimbra.nxmserver.com ([127.0.0.1]) by localhost
    06: (zimbra.nxmserver.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID
    07: filtered]
    08: Received: from [127.0.0.1] (unknown [212.57.17.162]) by
    09: zimbra.nxmserver.com (Postfix) with ESMTPA ID: [ID filtered]

    Datenabgleich/Aktualisierung
    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    Ihre Ing Diba

    Guten Tag,

    Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
    Sicherheitsgründen bestätigt werden müssen.Bitte benutzen Sie dieses
    Formular um die bestätigung Ihrer Daten kostenfrei zu ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
    schriftlich über den Postweg bei Ihnen einfordern.

    Bitte ladenund öffnen Sie dasSicherheitszertifikatangebrachtund folgen
    Sie denAnweisungen oder wie folgt ausführen:

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
    3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

    Für weitere Fragen steht unser Online Support unter direkt@ing-diba.de
    24Std. für Sie zur Verfügung.
    Gephisht wird hier:

    [HTML]<form action="http://tilesatdoral.com/wp-includes/images/smilies/x/mail.php" method="post">[/HTML]

    IP: 64.207.147.184 ---> activacorp.net/Media Temple, Inc.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #26
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    946

    Standard

    Dito
    Link geht zu
    Code:
    http://conejoblanco.mx/wp-includes/images/smilies/x/mail.php
    lässt sicher aber derzeit nicht aufrufen.
    Seite ist bereits bekannt und steht auf der Liste.

    header:
    01: Received: from mail.thequicktech.com (mail.ldsviet.com [50.206.143.166])
    Gespammt via whois:mail.thequicktech.com whois:mail.thequicktech.com und whois:50.206.143.166

    Gruß Carsten

  7. #27
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Und es geht weiter, activacorp.net mit voller Merkbefreiung hat wohl den ganzen Server offen stehen:



    header:
    01: Received: from silicon.node.cst.bgservice.net ([88.203.232.5]) by
    02: mx-ha.gmx.net (mxgmx006) with ESMTP (Nemesis) id
    03: 0LabpH-1XURTc28Ap-00mN0Z for xxxxx; Wed, 14 Jan 2015 xx:xx:xx +0100
    04: Received: from localhost (localhost [127.0.0.1])
    05: by silicon.node.cst.bgservice.net (Postfix) with ESMTP ID: [ID filtered]
    06: for xxxxx; Wed, 14 Jan 2015 xx:xx:xx +0200 (EET)
    07: Received: from silicon.node.cst.bgservice.net ([127.0.0.1])
    08: by localhost (silicon.node.cst.bgservice.net [127.0.0.1]) (amavisd-new,
    09: port 10024)
    10: with ESMTP ID: [ID filtered]
    11: Wed, 14 Jan 2015 xx:xx:xx +0200 (EET)
    12: Received: from [127.0.0.1] (unknown [192.168.4.5])
    13: by silicon.node.cst.bgservice.net (Postfix) with ESMTPA ID: [ID filtered]
    14: for xxxxx; Wed, 14 Jan 2015 xx:xx:xx +0200 (EET)



    header:
    01: Received: from mta02.doruk.net.tr ([212.58.5.168]) by mx-ha.gmx.net
    02: (mxgmx101) with ESMTP (Nemesis) ID: [ID filtered]
    03: Jan 2015 xx:xx:xx +0100
    04: Received: from mail.ng-iletisim.com ([85.105.94.133])
    05: by mta02.doruk.net.tr with esmtp (Exim 4.77)
    06: (envelope-from <info [at] deeba.de>)
    07: ID: [ID filtered]
    08: for xxxxx; Wed, 14 Jan 2015 xx:xx:xx +0200
    09: Received: from localhost (localhost [127.0.0.1])
    10: by mail.ng-iletisim.com (Postfix) with ESMTP ID: [ID filtered]
    11: for xxxxx; Wed, 14 Jan 2015 xx:xx:xx +0200 (EET)
    12: Received: from mail.ng-iletisim.com ([127.0.0.1])
    13: by localhost (mail.ng-iletisim.com [127.0.0.1]) (amavisd-new, port 10024)
    14: with ESMTP ID: [ID filtered]
    15: Wed, 14 Jan 2015 xx:xx:xx +0200 (EET)
    16: Received: from [127.0.0.1] (unknown [212.57.17.162])
    17: by mail.ng-iletisim.com (Postfix) with ESMTPA ID: [ID filtered]
    18: for xxxxx; Wed, 14 Jan 2015 xx:xx:xx +0200 (EET)

    Datenabgleich/Aktualisierung
    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    Ihre Ing Diba

    Guten Tag,

    Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
    Sicherheitsgründen bestätigt werden müssen.Bitte benutzen Sie dieses
    Formular um die bestätigung Ihrer Daten kostenfrei zu ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
    schriftlich über den Postweg bei Ihnen einfordern.

    Bitte ladenund öffnen Sie dasSicherheitszertifikatangebrachtund folgen
    Sie denAnweisungen oder wie folgt ausführen:

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
    3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

    Für weitere Fragen steht unser Online Support unter direkt@ing-diba.de
    24Std. für Sie zur Verfügung.
    Skript unter:

    [HTML]<form action="http://tilesatdoral.com/wp-includes/images/smilies/x/mail.php" method="post">[/HTML]

    IP: 64.207.147.184 ---> activacorp.net/Media Temple, Inc.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #28
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Und wohl wieder mal Wordpress gecrackt:


    header:
    01: Received: from taurus.websitewelcome.com ([192.185.2.186]) by mx-ha.gmx.net
    02: (mxgmx010) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from echo489.server4you.de ([85.25.138.80]:34506
    04: helo=[127.0.0.1]) by taurus.websitewelcome.com with esmtpa (Exim 4.82) (envelope-from
    05: <direkt [at] dsb.de>) ID: [ID filtered]

    IP: 85.25.138.80 ---> Plusserver mal wieder...

    Datenabgleich/Aktualisierung
    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    Ihre Ing Diba

    Guten Tag,

    Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus
    Sicherheitsgründen bestätigt werden müssen.Bitte benutzen Sie dieses
    Formular um die bestätigung Ihrer Daten kostenfrei zu ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung
    schriftlich über den Postweg bei Ihnen einfordern.

    Bitte ladenund öffnen Sie dasSicherheitszertifikatangebrachtund folgen
    Sie denAnweisungen oder wie folgt ausführen:

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
    3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

    Für weitere Fragen steht unser Online Support unter direkt@ing-diba.de
    24Std. für Sie zur Verfügung.
    Hier gibt's Phishki:

    [HTML]<form class="form wizard" id="id23" method="post" action="http://tawasul-libya.com/images/_notes/x/mail.php" novalidate="novalidate">[/HTML]

    IP: 41.208.68.109 ---> ng1.libyanspider9.com
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #29
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.697

    Standard

    Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
    Mit freundlichen Grüßen
    ING-DiBa
    Sehr geehrter Kunde der ING-DiBa,

    bedingt durch neue Sicherheitsrichtlinien der ING-DiBa, bitten wir Sie, Ihren Telefon-Banking PIN Kostenfrei zu erneuern und den neuen Standards anzupassen.

    Erfolgt keine Änderung Ihrerseits, erheben wir eine Bearbeitungsgebühr von 43,99 EUR.Sie erhalten automatisch Ihren neuen Telefon-Banking PIN innerhalb weniger Werktage per Post.

    Telefon-Banking PIN jetzt kostenfrei erneuern

    Mit Freundlichen Grüßen

    Ihr Kundenservice

    896797837595072327642112440050
    Der Link unter "Telefon-Banking PIN jetzt kostenfrei erneuern" geht auf die sicherlich, schon am Domainnamen erkennbar unseriöse Phisher-Domain:

    whois:http://vsdfdsfdstfdsfdsozlftchwbk99v7gwzt61hwlepr4nb6.yasindalici.com/images/x/index.php


    header:
    01: Return-Path: info [at] khas.edu.tr
    02: Received: from mail-la0-f99.google.com ([209.85.215.99]) by mx-ha.gmx.net
    03: (mxgmx103) with ESMTPS (Nemesis) ID: [ID filtered]
    04: <+++@gmx.de>; Thu, 25 Jun 2015 xx:xx:xx +0200
    05: Received: by lamq1 with SMTP ID: [ID filtered]
    06: for <poor [at] spamvictim.tld>; Thu, 25 Jun 2015 xx:xx:xx -0700 (PDT)
    07: X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    08: d=1e100.net; s=20130820;
    09: h=x-gm-message-state:message-id:date:from:subject:to:content-type
    10: :mime-version;
    11: bh=Enqh4NjggGRj28gWk7xdnYPvi1QQWnuaLkavn+xu7TM=;
    12: b=NTOZjxwLj0wMSGnuUFPPtpqZlZa5bV1JybMO/NWHrsUyxvhaDnNpLYX/cl9b3an98s
    13: ksVYD3ASEBX5pzccmZEnQMFXzLgXhk5JZRZWEZjN/m0xUkzCgTqrFUEGAvfVs9oEdpTu
    14: a6OH7xu8Fje99KxQO/f4kUs/AxvFJ7noGpz9ClHuPBBQ9DuMqz7duQS2rrOpEH3LgHJX
    15: kZEvx5ROZ+jD00RfY+UB8cVG65sNS/tnhZo4gZ3D9JNJfNIMdwl+k6c2fZiLRhgKQXnR
    16: d+XoIFRaubQ5IQT/6a8V8BaGjN5BN0BA6hlVaJxjrSJIgu7sW8MDANUx72zcyR4cuCKk
    17: JmiA==
    18: X-Gm-Message-State:
    19: ALoCoQnfaidwhnkgQi28gTymEGMpg7STN8uOmeZUS601pq9nJvYyorx5WNmsnq9KVGXJabkvmQ2KYqXde4JTvtmOsKbUUR
    20: fhA==
    21: X-Received: by 10.194.78.110 with SMTP ID: [ID filtered]
    22: Thu, 25 Jun 2015 xx:xx:xx -0700 (PDT)
    23: Received: from khsexch02.khas.edu.tr (webmail.khas.edu.tr. [31.145.7.5])
    24: by mx.google.com with ESMTPS ID: [ID filtered]
    25: for <poor [at] spamvictim.tld>
    26: (version=TLSv1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
    27: Thu, 25 Jun 2015 xx:xx:xx -0700 (PDT)
    28: X-Relaying-Domain: khas.edu.tr
    29: Received: from [127.0.0.1] (10.1.1.121) by KHSEXCH02.khas.edu.tr (10.1.1.110)
    30: with Microsoft SMTP Server ID: [ID filtered]
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  10. #30
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.063

    Standard

    Der obige Link ist aber nur ein Redirector auf einem gecrackten Server, gephisht wird auf einer anderen Kiste:

    whois:http://banking.ing-diba.de.app.login.misiondrjgh.org.ve/ing/index2.php
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 3 von 5 ErsteErste 12345 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen