Targo Bank phishing

[schara56]

Kannst Du bitte im Quelltext die 'href' mal genauer anschauen?
Das sieht ein bisschen wie Phishing aus.

[Arthur]

1) Btw. Was ist SPF?

[Link nur für registrierte Mitglieder sichtbar. ]

Das Sender Policy Framework (SPF; früher Sender Permitted From) ist ein Verfahren, mit dem das Fälschen der Absenderadresse einer E-Mail verhindert werden soll, genauer das Versenden von E-Mail über nicht legitimierte Mail Transfer Agents (MTAs) unterbindet.

[Ralgert]

Macht es evtl. Sinn der Targobank mal einen Tipp zu geben, dass hier jemand ihren "guten Namen" zum Spammen benutzt?

Generell bei Banken schon.
Aber bei der Citibank vom guten Namen zu sprechen, ist verwegen. Es gibt mehr als genügend Vorwürfe und Urteile, daß sie sich in einer Reihe von Kredithaien und Wucherer befindet (u.a.).

[isenaecher]

Deshalb auch die Anführungszeichen.

offtopic:

Wer lesen kann ist klar im Vorteil

Kannst Du bitte im Quelltext die 'href' mal genauer anschauen?
Das sieht ein bisschen wie Phishing aus.

Habe jetzt mal ein paar hrefs in der E-Mail hier reinkopiert

Code:

<a href="http://communication.mailingscom.com/VjFBhHeYOrxUfMNiZkWmCtDaGd/7e52b43720faadfddbc7621f8aced8d8d1c60907jsp"  style="border: none;" target="_blank"
<a href="https://deref-web-02.de/mail/client/QvjhRi6I8iY/dereferrer/?redirectUrl=https%3A%2F%2F87904.seu1.cleverreach.com%2Fc%2F28721176%2Fdc1fdd6e1e67f-poelj4" onclick="parent.phx.event.mailUrlClicked('https:\/\/87904.seu1.cleverreach.com\/c\/28721176\/dc1fdd6e1e67f-poelj4'); return true;" style="border: none;" target="_blank">
<a href="https://deref-web-02.de/mail/client/l2P-HMQ3z1Y/dereferrer/?redirectUrl=https%3A%2F%2F87904.seu1.cleverreach.com%2Fc%2F28721177%2Fdc1fdd6e1e67f-poelj4" onclick="parent.phx.event.mailUrlClicked('https:\/\/87904.seu1.cleverreach.com\/c\/28721177\/dc1fdd6e1e67f-poelj4'); return true;" style="border: none;" target="_blank">

Bei den weiteren steigt nur die letzten Zahl in diesem Term

cleverreach.com\/c\/28721177

um 1. Die hrefs sehen mir alle nach tracking Links aus. Beim ersten in der Liste wäre ich mir da ziemlich sicher.

An Phishing hatte ich auch erst gedacht. Aber für was?

Hat vielleicht ein Hacker einen "harmlosen" Newsletter zum Phishen umfunktioniert? Irgendwie passt das Alles nicht: geleakte web.de Adressen, ein vermeintliches E_mail der Targobank an einen Nicht-Kunden und ein Newsletter dahinter.

Aber so ein großer Spezialist bin ich auch nicht, um das alles zu deuten. Und ohne virtuelle Maschine mach ich die Links auch nicht auf.
Vielleicht gibt es ja hier jemanden der mehr Ahnung hat als ich

[Sastef]

Die Farbe der Markierung ist entsetzlich.

Im übrigen habe ich derzeit gewisse Zweifel, ob der eher seriöse Würth-Konzern, zu dem die SVH Handels-GmbH gehört, auf diese unseriöse Weise wirbt. Wäre mir jedenfalls neu. Das ist eher der Stil der Chinawaren-Händler.

[schara56]

Wie ich vermutete: Phishing.
Führt zu einer Fake-Targobank-Seite:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/*schnapp*/*schnapp*/de/identification/?cgi=*schnapp*&token=*schnapp*

Beim POST wird unter _cm_pwd das Kennwort gephished und unter _cm_user der Loginname.

*tackerweglege*

[kjz1]

Die Masche habe ich in letzter Zeit häufiger gesehen: getarnt als Newsletter (wenn man die Mail als Text only anschaut), aber dann via HTML der eigentlich Schadlink. Das soll wohl die Filter umschiffen. Wirkt aber nur, wenn man HTML als Standard-Anzeige aktiviert hat.

[isenaecher]

Genau so war es bei mir.
Meine E-Mails werden als HTML aber grundsätzlich ohne Bilder angezeigt. Filter in Thunderbird hat nicht angeschlagen. Beim Betreff mit Targo-Bank hat gleich mein GMV-Filter angeschlagen und die E-Mail händisch als Spam markiert. Im Spam Oredner wird eine Nur-Text-Mail draus und dann hat man auch den Text gesehen

[isenaecher]

Heute kamen gleich zwei Phishingversuche unter dem Deckmäntelchen der Targobank. Der erste nach der selben Masche wie oben beschrieben, der zwei wurde vom "Donnervogel" erkannt und ins Spamverzeichnis gekickt.

Hier die Header und Texte:

header:

01: Return-Path: <lesarcs [at] lesarcs.com>
02: Received: from mout.kundenserver.de ([217.72.192.74]) by mx-ha.gmx.net
03:  (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
04:  for <mich bei gmx.de>; Wed, 20 Mar 2019 xx:xx:xx +0100
05: Received: from 167.99.41.67 ([167.99.41.67]) by mrelayeu.kundenserver.de
06:  (mreue108 [212.227.15.183]) with ESMTPSA (Nemesis) id
07:  1MxDck-1gmVRl2YxM-00xcGa; Wed, 20 Mar 2019 xx:xx:xx +0100
08: Date: Wed, 20 Mar 2019 xx:xx:xx +0000
09: To: undisclosed-recipients:;
10: From: TargoBank <lesarcs [at] lesarcs.com>
11: Subject: Wichtige Nachricht : dein easyTAN
12: Message-ID: [ID filtered]

Abgekippt diesmal über GMX.
Die Adresse zum Einloggen geht zu ^whois:178.62.27.247 digital ocean
Absender ist ebenfalls ^whois:167.99.41.67digital ocean

Hallo :

UmrweiterhinrvonrallrIhren Online-Banking-Services zu profitieren,
Aktivieren Sie den easyTAN-Dienst, um die Aussetzung Ihrer Dienste zu vermeiden
Bitte melden Sie sich an, um Ihr easyTAN zu aktivieren

Einloggen



TARGOBANK-GmbH / Copyright 2019

header:

01: Return-Path: <onlinesicherheit [at] targobank.de>
02: Received: from mout.kundenserver.de ([217.72.192.74]) by mx-ha.gmx.net
03:  (mxgmx112 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
04:  for <mich bei gmx.de>; Wed, 20 Mar 2019 xx:xx:xx +0100
05: Received: from localhost ([167.99.35.102]) by mrelayeu.kundenserver.de
06:  (mreue108 [212.227.15.183]) with ESMTPSA (Nemesis) id
07:  1MWAWq-1hUF2x3K14-00XeWo; Wed, 20 Mar 2019 xx:xx:xx +0100
08: Date: Wed, 20 Mar 2019 xx:xx:xx +0000
09: To: undisclosed-recipients:;
10: From: TARGOBANK <onlinesicherheit [at] targobank.de>
11: Reply-To: onlinesicherheit [at] targobank.de
12: Subject: Aktivieren Sie Ihren easyTAN-Service.
13: Message-ID: [ID filtered]

Quelle auch ^whois:167.99.35.102digital ocean
Den Ziellink, der sich hinter dem Login verbirgt vermag ich nicht zu deuten ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Code:

<a data-auth="NotApplicable" href="https://t.co/Ca07WDWLMm" rel="noopener noreferrer" target="_blank">

Sehr geehrter Kunde

Ihr Aus technischen Sicherheitsgründen war es nötig Ihr Konto zu sperren.

Um weiterhin von all Ihren Online-Banking-Services zu profitieren,
Aktivieren Sie den EasyTAN-Dienst, um die Aussetzung Ihrer Dienste zu vermeiden

Um Ihren EasyTAN-Dienst zu aktivieren, Klicken Sie bitte auf den untenstehenden Link :

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

wir wünschen ihnen einen schönen tag

Kundenservice TARGOBANK

[schara56]

...] Den Ziellink, der sich hinter dem Login verbirgt vermag ich nicht zu deuten ^whois: [Link nur für registrierte Mitglieder sichtbar. ] [...

Geht per META-Refresh zu
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/~mxj9ans8hvwz/targobank-identification/de/