ING-DiBa Phishing

[kjz1]

Wobei es sich wahrscheinlich nicht um Phishing, sondern um Vorschußbetrug handeln dürfte.

[Arthur]

Die Seite sieht professionell aus. Ist ein (schlechter) Witz ^whois:ingsteinmann.com
anonym in Frankreich registriert

"Betreiberinfo": eine fiktive Telefonnummer > 40 759 179 252 > "dieser Dienst steht uns zur Zeit leider nicht zur Verfügung"
mit einer 0 davor > "Diese Rufnummer ist uns nicht bekannt"

Unten in zarter Schrift "Blossom Consulting" was das bedeuten soll ist unklar.

[kjz1]

Die lahme Entschuldigung von so profitorientierten Güllegruben wie Sendgrid und Hetzner wird wohl lauten, dass bei denen´jeder dahergelaufene Ganove ohne große Authentitätsprüfung ein (Probe-)Konto eröffnen kann. Und dann direkt frisch, fromm, fröhlich frei hinwegspammen kann...

header:

01: Received: from wrqvkpks.outbound-mail.sendgrid.net
02: (static.76.156.235.167.clients.your-server.de [167.235.156.76])
03: 	by xxxxx (Postfix) with ESMTP
04: 	for <x>; Sat,  8 Oct 2022 xx:xx:xx +0200 (CEST)
05: Received: by wrqvkpks.outbound-mail.sendgrid.net ID: [ID filtered]
06: <x>; Sat, 08 Oct 2022 xx:xx:xx -0400
07: (envelope-from <info [at] e-ing.de>)

IP: 167.235.156.76 -> AS24940 - Hetzner Online GmbH

Sehr geehrter Kunde,

die neue lNG-Banking-to-go ist da und damit werden Ihre Überweisungen in
der lNG Group noch sicherer.
Um unseren Service und die Qualität unserer Leistungen auf dem höchsten
Niveau zu halten , werden wir Sie die App Bis zum 08.10.2022 aktivieren:

Klick hier

Mit freundlichen Grüßen

Folge uns!


ING-DiBa AG
[Link nur für registrierte Mitglieder sichtbar. ]
Telefon: 069 50500105
E-Mail: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 221.121.157.149 -> AS45671 - Wholesale Services Provider

[hoppala]

Die lahme Entschuldigung von so profitorientierten Güllegruben wie Sendgrid und Hetzner wird wohl lauten, dass bei denen´jeder dahergelaufene Ganove ohne große Authentitätsprüfung ein (Probe-)Konto eröffnen kann. Und dann direkt frisch, fromm, fröhlich frei hinwegspammen kann...

Na in dem Fall hat Sendgrid nichts damit zu tun, wird nur als HELO-Name missbraucht.
Nicht dass Sendgrid eine Leuchte in Sachen Spambekämpfung wäre...

hoppala

[kjz1]

Dafür gibt es aber gleich Nachschub:

header:

01: Received: from wrqvkpks.outbound-mail.sendgrid.net
02: (static.65.249.46.78.clients.your-server.de [78.46.249.65])
03: 	by xxxxx (Postfix) with ESMTP
04: 	for <x>; Sat,  8 Oct 2022 xx:xx:xx +0200 (CEST)
05: Received: by wrqvkpks.outbound-mail.sendgrid.net ID: [ID filtered]
06: <x>; Sat, 08 Oct 2022 xx:xx:xx -0400
07: (envelope-from <info [at] e-ing.de>)

IP: 78.46.249.65 -> AS24940 - Hetzner Online GmbH

Sehr geehrter Kunde,

die neue lNG-Banking-to-go ist da und damit werden Ihre Überweisungen in
der lNG Group noch sicherer.
Um unseren Service und die Qualität unserer Leistungen auf dem höchsten
Niveau zu halten , werden wir Sie die App Bis zum 08.10.2022 aktivieren:

Klick hier

Mit freundlichen Grüßen

Folge uns!

ING-DiBa AG
[Link nur für registrierte Mitglieder sichtbar. ]
Telefon: 069 50500105
E-Mail: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 221.121.157.149 -> AS45671 - Wholesale Services Provider

Tja, und Wholesale Services Provider in AU muss auch direkt beweisen, wes Geistes Kind man ist.

1. Verteidigungslinie gegen Abuse Beschwerden:

Message blocked
Your message to [Link nur für registrierte Mitglieder sichtbar. ] has been blocked. See technical details below for more information.

Also Spamfilter auf der Abuse-Mailbox.

Mit leicht modifizierter Abuse-Beschwerde tritt die 2. Verteidigungslinie in Kraft:

Thanks for contacting the Servers Australia Abuse Helpdesk.

As this is a fully automated system, this reply is confirmation that your report was received. Servers Australia utilises the Abuse.IO system ( [Link nur für registrierte Mitglieder sichtbar. ]) to process and action all abuse emails.
Any reports not received in X-ARF format may not be processed and actioned.

Mit anderen Worten: der Beschwerdeführer(!) soll über sämtliche Stöckchen springen, die Servers Australia hinhält, um überhaupt mal dort Gehör zu finden, dass da eine gecrackte Wordpress Installation läuft. Also wohl auch so eine völlig profitorientierte G..grube.

[kjz1]

Dieselben Gauner haben jetzt auch evil Google für sich entdeckt:

header:

01: Received: from wrqvkpks.outbound-mail.sendgrid.net
02: (static.135.70.235.167.clients.your-server.de [167.235.70.135])
03: 	by xxxxx (Postfix) with ESMTP
04: 	for <x>; Thu, 13 Oct 2022 xx:xx:xx +0200 (CEST)
05: Received: by wrqvkpks.outbound-mail.sendgrid.net ID: [ID filtered]
06: <x>; Thu, 13 Oct 2022 xx:xx:xx -0400
07: (envelope-from <security [at] e-ing.de>)

IP: 167.235.70.135 -> AS24940 - Hetzner Online GmbH

Sehr geehrter Kunde,

die neue lNG-Banking-to-go ist da und damit werden Ihre Überweisungen in
der lNG Group noch sicherer.
Um unseren Service und die Qualität unserer Leistungen auf dem höchsten
Niveau zu halten , werden wir Sie die App Bis zum 13.10.2022 aktivieren:

Klick hier

Mit freundlichen Grüßen

Folge uns!

ING-DiBa AG
[Link nur für registrierte Mitglieder sichtbar. ]
Telefon: 069 50500105
E-Mail: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 35.185.130.121 -> AS396982 - Google LLC

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 162.241.169.247 -> AS46606 - Unified Layer

BitDefender: Malware
Comodo Valkyrie Verdict: Phishing
CRDF: Malicious
CyRadar: Malicious
Emsisoft: Phishing
Fortinet: Phishing
G-Data: Malware
Kaspersky: Phishing
Netcraft: Malicious
Phishing Database: Phishing
Sophos: Malware
Viettel Threat Intelligence: Malicious
alphaMountain.ai: Suspicious
Forcepoint ThreatSeeker: Suspicious

[Stachel24]

Google ist nicht grundsätzlich evil! Die haben nur alle Kunden gleich lieb
und allergrößte Probleme, die Drecksäcke unter den vielen Kunden auch wie Drecksäcke zu behandeln.

[schara56]

header:

01: Received: from cskrhhvt.outbound-mail.sendgrid.net ([198.21.0.135]) by
02:  mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTPS (Nemesis) id
03:  x for <x>; Fri, 30 Dec 2022
04:  xx:xx:xx +0100
05: [...]
06: X-Mailer: ColdFusion 2016 Application Server

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /scap /suus.html	whois:20.60.62.36	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /~rcihandler /pocket /vendor /nikic /php-parser /tlls /iss1 /iss.html	whois:2606:4700:3030::ac43:d161 whois:2606:4700:3034::6815:353c whois:172.67.209.97 whois:104.21.53.60	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /~rcihandler /pocket /vendor /nikic /php-parser /tlls /is /ifpsm.php	whois:2606:4700:3030::ac43:d161 whois:2606:4700:3034::6815:353c whois:172.67.209.97 whois:104.21.53.60	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /~rcihandler /pocket /vendor /nikic /php-parser /tlls /is /ifpsm.php	whois:2606:4700:3030::ac43:d161 whois:2606:4700:3034::6815:353c whois:172.67.209.97 whois:104.21.53.60	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /vendor /webmozart /assert /src /dexter /*schnapp* /GNI-DE /DEE /INGDE /	whois:2a01:238:20a:202:1159:: whois:81.169.145.159	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /vendor /webmozart /assert /src /dexter /*schnapp* /GNI-DE /DEE /INGDE /*schnapp*	whois:2a01:238:20a:202:1159:: whois:81.169.145.159	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /vendor /webmozart /assert /src /dexter /*schnapp* /GNI-DE /DEE /INGDE /*schnapp* /	whois:2a01:238:20a:202:1159:: whois:81.169.145.159	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /vendor /webmozart /assert /src /dexter /*schnapp* /GNI-DE /DEE /INGDE /*schnapp* /clients	whois:2a01:238:20a:202:1159:: whois:81.169.145.159	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /vendor /webmozart /assert /src /dexter /*schnapp* /GNI-DE /DEE /INGDE /*schnapp* /clients /	whois:2a01:238:20a:202:1159:: whois:81.169.145.159	[ ] ja / [X] nein

Was möchte mir Dexter mit diesem Anhang sagen?

Code:

__________________________________________________________________________

Fri Dec 16 03:37:47 UTC 2022

Free Memory: 352742 kB
Total Memory: 448000 kB

java.class.path:
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData\IAClasses.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData\Execute.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\InstallerData\Execute.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData\Resource1.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\InstallerData\Resource1.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\InstallerData

ZGUtil.CLASS_PATH:
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData\IAClasses.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData\Execute.zip
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\InstallerData

sun.boot.class.path:
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\resources.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\rt.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\sunrsasign.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\jsse.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\jce.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\charsets.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\jfr.jar
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\classes

java.ext.dirs:
    C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\lib\ext
    C:\Windows\Sun\Java\lib\ext

java.version                  == 1.8.0_112 (Java 1)
java.vm.name                  == Java HotSpot(TM) 64-Bit Server VM
java.vm.vendor                == Oracle Corporation
java.vm.version               == 25.112-b15
java.vm.specification.name    == Java Virtual Machine Specification
java.vm.specification.vendor  == Oracle Corporation
java.vm.specification.version == 1.8
java.specification.name       == Java Platform API Specification
java.specification.vendor     == Oracle Corporation
java.specification.version    == 1.8
java.vendor                   == Oracle Corporation
java.vendor.url               == http://java.oracle.com/
java.class.version            == 52.0
java.library.path             == C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre\bin;C:\Windows\Sun\Java\bin;C:\Windows\system32;C:\Windows;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Users\sops\AppData\Local\Microsoft\WindowsApps;.
java.compiler                 == null
java.home                     == C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows\resource\jre
java.io.tmpdir                == C:\Users\sops\AppData\Local\Temp\2\
os.name                       == Microsoft Windows Server 2019 Datacenter
os.arch                       == amd64
os.version                    == 10.0.17763
path.separator                == ;
file.separator                == \
file.encoding                 == UTF-8
user.name                     == sops
user.home                     == C:\Users\sops
user.dir                      == C:\Users\sops\AppData\Local\Temp\2\I1671204947\Windows
user.language                 == en
user.region                   == null
__________________________________________________________________________

Installed Feature(s) ColdFusion, J2EE of 

Install Begin: DECEMBER 16, 2022 3:36:41 PM UTC
Install End: DECEMBER 16, 2022 3:37:20 PM UTC

Installed by InstallAnywhere 18.0 Premier Build 5460

INSTALLATION WAS CANCELLED BY USER DURING PRE-INSTALLATION

User Interactions
-----------------


Summary
-------

Installation:  Cancelled during pre-install.

48 Successes
0 Warnings
0 NonFatalErrors
0 FatalErrors

Action Notes:

None

Install Log Detail:

Check Disk Space:         \
                          Status: SUCCESSFUL
                          Additional Notes: NOTE - Required Disk Space:554,255,509 Bytes Free Disk Space:122,083,737,600 Bytes 

Custom Action:            com.macromedia.ia.util.ProductProps
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 9
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 9
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 9
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 11
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 11
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 11
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 10
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 10
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 10
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016
                          Value Name: CFMXRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016 2016 .NET Integration Services
                          Value Name: DotNetIntegrationRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016 2016 .NET Integration Services
                          Value Name: DotNetIntegrationRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\Adobe ColdFusion 2016 2016 .NET Integration Services
                          Value Name: DotNetIntegrationRoot
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\ColdFusion2016JettyService
                          Value Name: ImagePath
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\ColdFusion2016JettyService
                          Value Name: ImagePath
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Install Data\ColdFusion2016JettyService
                          Value Name: ImagePath
                          Status: SUCCESSFUL

Custom Action:            com.macromedia.ia.action.PreInstallCheckAction
                          Status: SUCCESSFUL


Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC\Servicing\11.0\RuntimeMinimum
                          Value Name: Version
                          Status: SUCCESSFUL

Get Registry Entry:       Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC\Servicing\11.0\RuntimeMinimum
                          Value Name: Version
                          Status: SUCCESSFUL


Custom Action:            com.macromedia.ia.action.InstallVCRuntimeAction
                          Status: SUCCESSFUL

INSTALLATION WAS CANCELLED BY USER DURING PRE-INSTALLATION

[schara56]

Ene, mene, muh und raus bist Du.

[blizzy]

Hahahaha!

Betreff: App-Ticket Ref#1915-DE-4173
Hallo liebe/r lNG Bank Kunde
Übeweisungen in lNG Deutschland noch sicherer.
Um unseren Service und die Qualität unserer Leistungen auf dem höchsten Niveau zu halten.
bitten wir Sie die App Bis zum 22.03.2023 aktivieren

aktivieren
ING AG Team


Copyright 2023 © ING AG. Alle Rechte vorbehalten