Targo Bank phishing

[Mittwoch]

Hui - eine Mail in feiner Yoda-Grammatik

offtopic:

http://www.ruthe.de/index.php?pic=2635
SCNR
Mittwoch

[madman70]

Und mal wieder die Targobank ausgebuddelt - wieder ein grandioses Deutsch und die blöden Umlaute haben die Jungs wohl auf ihrer Tastatur auch nicht gefunden

�
TARGOBANK(R)

Sehr geehrter Kunde TARGOBANK,

Um uns zu helfen sch�tzen, ist es wichtig, dass Sie jetzt Ihre Daten zu aktualisieren.

Phising ist �berall. Unsere Online-Kunden sind anf�llig. Diese Nachricht nicht ignorieren..

Bitte, klicken sie auf Erfahren Sie Mehr, und vorbereitet werden um die �berpr�fung abzuschlie�en

Erfahren Sie Mehr� ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

TARGOBANK � 2014

Ist wohl die Seite eines türkischen DJ - ich habs ja immer schon gewusst - "Phishing ist überall."

Einen Header hätt ich auch noch:

header:

01: Return-Path: daemon [at] node22.cluster.nxs.nl
02: Received: from smtp.colo.nxs.nl ([217.115.198.239]) by mx-ha.web.de (mxweb107)
03:  with ESMTP (Nemesis) ID: [ID filtered]
04:  31 May 2014 xx:xx:xx +0200
05: Received: from smtp.colo.nxs.nl (localhost [127.0.0.1])
06: 	by smtp.colo.nxs.nl (Postfix) with ESMTP ID: [ID filtered]
07: 	for <poor [at] spamvictim.tld>; Sat, 31 May 2014 xx:xx:xx +0200 (CEST)
08: Received: from node22.cluster.nxs.nl (node22.cluster.nxs.nl [217.115.197.97])
09: 	by smtp.colo.nxs.nl (Postfix) with ESMTPS
10: 	for <poor [at] spamvictim.tld>; Sat, 31 May 2014 xx:xx:xx +0200 (CEST)
11: Received: from daemon by node22.cluster.nxs.nl with local (Exim 4.69)
12: 	(envelope-from <daemon [at] node22.cluster.nxs.nl>)
13: 	ID: [ID filtered]
14: 	for poor [at] spamvictim.tld; Sat, 31 May 2014 xx:xx:xx +0200
15: To: poor [at] spamvictim.tld
16: Subject: Sehr geehrter Kunde
17: X-PHP-Script: datadate.nl/site/libraries/simplepie/idn/z.php for 46.165.196.25
18: From: Targo Bank  <info [at] targs.de>
19: Reply-To: 
20: MIME-Version: 1.0
21: Content-Type: text/html
22: Message-ID: [ID filtered]
23: Date: Sat, 31 May 2014 xx:xx:xx +0200
24: X-NXS: 29087 local
25: X-Virus-Scanned: ClamAV using ClamSMTP
26: Content-Transfer-Encoding: quoted-printable
27: Envelope-To: <poor [at] spamvictim.tld>

... ich habe mal den Hoster der Domain informiert - mal schauen ob jemand antwortet

[madman70]

Na bei den Gebühren würd ich mir sofort ein neues Konto zulegen, wenn ich eines bei der Targobank hätte

Die Adresse des Links sieht auch aus, als wär eine Katze über die Tastatur getrampelt...

Sehr geehrter Kunde,

bedingt durch neue Sicherheitsrichtlinien der TARGOBANK, bitten wir Sie, Ihren Telefon-Banking PIN Kostenfrei zu erneuern und den neuen Standards anzupassen.

Erfolgt keine Änderung Ihrerseits, erheben wir eine Bearbeitungsgebühr von 53,99 EUR.Sie erhalten automatisch Ihren neuen Telefon-Banking PIN innerhalb weniger Werktage per Post.

Telefon-Banking PIN jetzt kostenfrei erneuern -> Link ^whois: [Link nur für registrierte Mitglieder sichtbar. ]


Mit Freundlichen Grüßen

Ihr Kundenservice

Hier ein Stück vom Header:

header:

01: Received: from hicap-telecom.com ([94.77.203.18]) by mx-ha.web.de (mxweb103)
02:  with ESMTP (Nemesis) ID: [ID filtered]
03:  07 Jul 2015 xx:xx:xx +0200
04: Received: from [x.x.x.x] ([62.75.143.37])
05: 	by hicap-telecom.com ([94.77.203.18])
06: 	(MDaemon PRO v15.0.1) 
07: 	with ESMTP ID: [ID filtered]
08: 	Tue, 07 Jul 2015 xx:xx:xx +0300
09: X-Spam-Processed: hicap-telecom.com, Tue, 07 Jul 2015 xx:xx:xx +0300
10: 	(not processed: message from trusted or authenticated source)

[kjz1]

Das ist nur der übliche gecrackte Redirector, Phiski möchte hier (gecracktes Wordpress) kassieren:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Und das Schweinderl hatten wir schon:

[Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

BTW: Das /x/ im Pfad ist typisch für manche Phishing-Kits; Dumpfbacken können Phishing-Kits für versch. Banken auch direkt fertig bei der Russenmafia erwerben...

[kjz1]

Man versucht es immer noch:

header:

01: Received: from mail.martinsaracini.com.ar ([23.23.233.192]) by mx-ha.gmx.net
02:  (mxgmx108) with ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from [127.0.0.1] (euve75914.serverprofi24.de [62.75.143.37])
04: 	by mail.martinsaracini.com.ar (Postfix) with ESMTPA ID: [ID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 67.227.154.175 ---> host.tech-city.org

[kjz1]

neuer Versuch:

header:

01: Received: from mout.kundenserver.de ([212.227.126.131]) by mx-ha.gmx.net
02:  (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
03:  for <x>; Tue, 05 Mar 2019 xx:xx:xx +0100
04: Received: from infong-es55.kundenserver.de ([82.165.83.135]) by
05:  mrelayeu.kundenserver.de (mreue010 [172.19.35.7]) with ESMTPA (Nemesis) ID: [ID
06: 	filtered]
07: Received: from 105.67.4.198 (IP may be forged by CGI script)
08:     by infong-es55.kundenserver.de with HTTP
09:     ID: [ID filtered]

Wohl ein gecracktes CGI-Script.

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 173.199.140.44 ---> svr.eworld.co.in/liquidweb.com

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 173.254.28.46 ---> just46.justhost.com

[kjz1]

Und wieder vermurkst:

header:

01: Received: from smtprelay05.ispgateway.de ([80.67.18.28]) by mx-ha.gmx.net
02:  (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
03:  for <x>; Tue, 12 Mar 2019 xx:xx:xx +0100
04: Received: from [82.165.125.239] (helo=VMAFD5D9A)
05: 	by smtprelay05.ispgateway.de with esmtpsa (TLSv1:ECDHE-RSA-AES256-SHA:256)
06: 	(Exim 4.90_1)
07: 	(envelope-from <user39 [at] laydi-killer.com>)
08: 	ID: [ID filtered]
09: 	for x; Tue, 12 Mar 2019 xx:xx:xx +0100

gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

Sehr geehrter kunde

AusitechnischeniSicherheitsgründenIwarIesInötigIIhrIKontoIzuIsperren.

DaISie
denIBestätigungsprozessInochInichtIdurchlaufenIhaben,ImüssenIwirIseitdemI12.03.2 019Ialle
BenutzerkontenIzwischenzeitlichIsperren.

überIdenInachfolgendIangezeigtenIButtonIkönnenISieIdenIBestätigungsprozessIdurch laufen
undIIhrINutzerkontoIwiederIfreischalten.IDieserIVorgangIistIselbstverstandlichIk ostenlos.

httρѕ://tагgοbаnk.dе/dе/Ьаnquе/еѕρасе_ρегѕοnnеl.аѕρх

WirIbittenISieIdieIUnannehmlichkeitenIzuIentschuldigenIundIbedankenIunsIbeiIIhne nIherzlichstIfürIIhre
GeduldIundIAufmIerksamIkeit.

Im Quellcode dann aber:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 80.88.87.210 ---> linc033.arubabusiness.it

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 89.46.105.63 ---> webx1094.aruba.it

[isenaecher]

Diese Mail hat mein "Donnervogel" leider nicht als Spam erkannt.

Anhand der Betreffzeile hatte ich erst gedacht, es ist eine Phishing Mail. Als ich mir die Datei später im Spamordner genauer angeschaut habe, entpuppte sie sich als stinknormaler deutschsprachiger Spam. Hier wird noch auf eigene Rechnung gespamt. ^whois: [Link nur für registrierte Mitglieder sichtbar. ]
Auf die Antwort auf den T5F bin ich ja mal gespannt.

WEB.de ist sowas von inkontinent. Darüber wurde der Spam nämlich "ausgeschieden"

header:

01: Received: from mout.web.de ([212.227.17.12]) by mx-ha.gmx.net (mxgmx011
02:  [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
03:  <ich armes spamopfer bei gmx.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
04: Received: from [212.227.17.8] ([212.227.17.8]) by mx-ha.web.de (mxweb110
05:  [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
06:  <ich armes spamopfer bei gmx.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
10: Received: from smtp10.relay.ord1d.emailsrvr.com (localhost [127.0.0.1])
11: 	by smtp10.relay.ord1d.emailsrvr.com (SMTP Server) with ESMTP ID: [ID filtered]
12: 	for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx -0400 (EDT)
13: X-Auth-ID: [ID filtered]
14: Received: by smtp10.relay.ord1d.emailsrvr.com (Authenticated sender:
15: 	dgwuaqooqmpxkp-AT-tcsuccess.local) with ESMTPSA ID: [ID filtered]
16: 	for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx -0400 (EDT)
17: X-Sender-ID: [ID filtered]
18: Received: from mta9.mfp.underarmour.com ([UNAVAILABLE]. [23.253.56.78])
19: 	(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384)
20: 	by 0.0.0.0:465 (trex/5.7.12);
21: 	Sat, 16 Mar 2019 xx:xx:xx -0400
22: Content-Type: text/html; charset="utf-8"
23: MIME-Version: 1.0
24: Content-Transfer-Encoding: 8bit
25: Subject: =?utf-8?b?QXcgOlZlcnBmbGljaHRlbmQgw5xiZXJwcsO8ZnVuZw==?= || Mein Nickname 
26: From: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
27: To:ich armes spamopfer bei web.de
28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>
29: Message-ID: [ID filtered]
30: Date: Tue, 19 Mar 2019 xx:xx:xx +0000 (GMT)
31: X-Spam-Flag: NO

Ergänzungen und Anonymisierungen farblich durch mich gekennzeichnet

Betreff: Aw :Verpflichtend Überprüfung ||mein Nickname

Kostenloser Paketversand ab 50 €

innerhalb Deutschlands

Nur bis Sonntag!
35% Rabatt
auf die folgenden Artikel
Rabatt-Code: YIPPI35
Nur solange der Vorrat reicht.


92-tlg Steckschlüssel-Satz 1/4""+ 1/2""Zoll Akku Roboter-Rasenmäher Indego 350 | 18V | 350 m² 18V Akku-Schlagschrauber SSW 18 | ohne Akku ohne Ladegerät im Karton
Preis inkl. Gutschein 62,87 € Preis inkl. Gutschein 417,85 € Preis inkl. Gutschein 115,85 €
Zum Angebot Zum Angebot Zum Angebot


Akku Fugenreiniger GE-CC 18 Li Kit | 1x Akku 2.0 Ah 10.8V Akku Bohrschrauber BS + ASE Akku Säbelsäge Akkuset Combo Set in Tasche Heckenschere AHS 70-34 | 700 Watt
Preis inkl. Gutschein 57,30 € Preis inkl. Gutschein 111,45 € Preis inkl. Gutschein 120,47 €
Zum Angebot Zum Angebot Zum Angebot

ABMELDUNG
Klicken Sie hier wenn Sie diesen Newsletter
nicht mehr erhalten möchten.
IMPRESSUM
SVH Handels-GmbH
Unterste-Wilms-Str. 53
44143 Dortmund
Telefon: 0231 / 3368-0
Telefax: 0231 / 3368-1000
E-Mail: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]" target="_blank"> [Link nur für registrierte Mitglieder sichtbar. ]
Registriergericht: Dortmund HRB 26559
Geschäftsführer: K. H. (w)
A.S. (m)
Ust.Id Nr.: DE 815 478 335
Angaben zum Datenschutz


GEPRÜFTE LEISTUNG

Bitte antworten Sie nicht auf diese E-Mail, da Ihre Nachricht leider nicht weitergeleitet werden kann.
Sollten Sie Hilfe benötigen, stehen wir Ihnen gerne telefonisch unter 0231/3368-0 oder per Mail zur Verfügung.
Telefonisch erreichen Sie uns in der Zeit von Mo.-Fr. zwischen 08.00 und 17.00 Uhr.
Alle Preise in Euro inkl. gesetzlicher Umsatzsteuer
und Versandkosten.
Alle Angebote in diesem Newsletter sind freibleibend
und gelten nur solange der Vorrat reicht.

Macht es evtl. Sinn der Targobank mal einen Tipp zu geben, dass hier jemand ihren "guten Namen" zum Spammen benutzt?

[schara56]

Was mir daran komisch vorkommt, sind folgende Header-Zeilen.

Code:

07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
[...]
28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>

1) Warum wird über die USA gespamt und im DNS ist die abgehende IP (^whois:184.106.54.78) nicht als SPF gesetzt.
2) Warum wird als Reply-To @targobank.de angegeben?

[isenaecher]

Was mir daran komisch vorkommt, sind folgende Header-Zeilen.

Code:

07: Received: from smtp78.ord1d.emailsrvr.com ([184.106.54.78]) by mx-ha.web.de
08:  (mxweb110 [212.227.17.8]) with ESMTPS (Nemesis) ID: [ID filtered]
09:  for <ich armes spamopfer bei web.de>; Sat, 16 Mar 2019 xx:xx:xx +0100
[...]
28: Reply-To: =?utf-8?b?VEFSR09CQU5L?= <no.replynotification [at] targobank.de>

1) Warum wird über die USA gespamt und im DNS ist die abgehende IP (^whois:184.106.54.78) nicht als SPF gesetzt.
2) Warum wird als Reply-To @targobank.de angegeben?

1) Könnte ich mir noch so erklären, das web.de mittlerweile auch einen Server in den USA hat; angemietet oder gekauft. Btw. Was ist SPF?
2) kann ich mir auch nicht erklären

Übrigens, habe ich jetzt erst realisiert. Die Spam-Mail ist auf den 19.3.2019 vordatiert