Ergebnis 1 bis 3 von 3

Thema: NORD / LB Warnung Alert!!

  1. #1
    Mitglied
    Registriert seit
    20.10.2011
    Beiträge
    66

    Ausrufezeichen NORD / LB Warnung Alert!!

    Bei mir sind inzwischen schon 2 Phishing-Mails auf meinem GMX-FreeMail-Account aufgeschlagen,
    die offensichtlich auf Online-Banking-Kunden der Nord/LB abzielen:

    1. Mail: 18. Feb. 2014 - 17:51:54
    ehr geehrter Kunde,

    Jemand hat sich von einem unbekannten Gerät bei Ihrem NORD/LB KONTO angemeldet. 6. Feb 2014 10:30 MEZ aus Rumänien.

    Waren Sie das? Wenn ja, können Sie den Rest dieser Mail einfach ignorieren.

    Wenn dieser Anmeldeversuch nicht von Ihnen stammt,

    klicken Sie bitte auf die Link unten, um Ihren NORD/LB KONTO zu schützen.

    Nachdem Sie die Anweisungen, um Ihr Konto zu aktualisieren befolgt haben, wird Ihr Online-Zugang zu Ihrem Konto automatisch wiederhergestellt werden und keine weiteren Maßnahmen von Ihnen erforderlich.

    Ein Mitarbeiter der NORD/LB KONTO wird Sie innerhalb 48 Stunden kontaktieren.

    Klicken Sie hier, um zu aktualisieren[whois:http://www.ajir.com.br/keke/nordsev/fix/]

    Vielen Dank für Ihre Mitarbeit.

    Mit freundlichen Grüßen.
    2. Mail: 19. Feb. 2014 - 00:54:52
    Inhaltlich identisch, mit Außname des Phishing-Links:
    Klicken Sie hier, um zu aktualisieren[whois:http://www.ajir.com.br/proupdate/NDLB/NdLBupdate/]
    Da treibt wohl jemand auf nem brasilianischen WebRadio-Server sein Unwesen.

    Besonders interessant sind meines Erachtens die Header:

    header:
    01: Return-Path: iveyjl [at] guilford.edu
    02: Received: from exprod5og107.obsmtp.com ([64.18.0.184]) by mx-ha.gmx.net
    03: (mxgmx006) with ESMTPS (Nemesis) ID: [ID filtered]
    04: Received: from mail-pa0-f46.google.com ([209.85.220.46]) (using TLSv1) by
    05: exprod5ob107.postini.com ([64.18.4.12]) with SMTP ID: [ID filtered]
    06: Received: by mail-pa0-f46.google.com with SMTP ID: [ID filtered]
    07: X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20130820;
    08: h=x-gm-message-state:mime-version:date:message-id:subject:from:to :content-type;
    09: bh=WR+DMeQtifSIHKVMawqNkXFPi9ZaNEscp0ZFzPmjOxY=;
    10: b=HZTw5ibqpJVvtrE0cauHKN1B+Oppx/GWuTi8i5QQtysewjUIx8YRAnVNnKKFxMXYiC
    11: 1EVG3i8PRRDuaUumV6ukWLUrt/WBKvCvpy0ClECuk1bcegbusyQldYNDWJ98gjmWzsM2
    12: 4k2o6gNBrcImGURHWXFjgoHEkQZ1DpRVXb3uBHsgPsEAeD1RMymkpj/QVQvtymahh9AK
    13: RrIHdj6AUk00SPQ5cGbGYvHD1ZGIwZchwUBqDJ1djSboFOmChnIr+qhyUJSc2DpVdC4U
    14: YJyJyIqeimlfCLHnPpXDOBUOZTzIxFmOxKIBTYRggVjRUUpWqy8QKxEiZXEhBvw2eSbQ CjWg==
    15: X-Gm-Message-State:
    16: ALoCoQloUBDUrrjVKe6/zFnlsKjWEHMAe5bleQwTZ58ZwvYJQ808Z4CQE/nkco2ZDxuMtfzzunbUlwjQy/6Us+QYfuoyvD
    17: bw1QoLuT/vt4+tesw7gkzbIVOJq0XE50X4heBS3Pnj04ySEwyQREciPY4zRw1DfJAFw==
    18: X-Received: by 10.68.223.9 with SMTP ID: [ID filtered]
    19: MIME-Version: 1.0
    20: X-Received: by 10.68.223.9 with SMTP ID: [ID filtered]
    21: Received: by 10.68.29.169 with HTTP; Tue, 18 Feb 2014 xx:xx:xx -0800 (PST)
    22: Date: Tue, 18 Feb 2014 xx:xx:xx +0100
    23: Message-ID: [ID filtered]
    24: Subject: NORD / LB Warnung Alert!!
    25: From: "NORD/LB Online Services" <iveyjl [at] guilford.edu>
    26: To: undisclosed-recipients:;
    27: Content-Type: multipart/alternative; boundary=047d7b16344105ba6204f2b0ac1c
    28: Bcc: <poor [at] spamvictim.tld>
    29: Envelope-To: <poor [at] spamvictim.tld>
    30: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    31: X-GMX-Antivirus: 0 (no virus found)

    header:
    01: Return-Path: klyadusk [at] ncsu.edu
    02: Received: from na3sys009aog114.obsmtp.com ([74.125.149.211]) by mx-ha.gmx.net
    03: (mxgmx113) with ESMTP (Nemesis) ID: [ID filtered]
    04: Received: from mail-pb0-f54.google.com ([209.85.160.54]) (using TLSv1) by
    05: na3sys009aob114.postini.com ([74.125.148.12]) with SMTP ID: [ID filtered]
    06: Received: by mail-pb0-f54.google.com with SMTP ID: [ID filtered]
    07: X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20130820;
    08: h=x-gm-message-state:mime-version:date:message-id:subject:from:to :content-type;
    09: bh=zuTJEmuApjjU+Zbj/ZZCfzq84raZVV5S4VR+pgiS8yg=;
    10: b=K4aoXxkRnwvDzEKKiUqu2BU4k7WdsV0In4G8JH/UBAhTaJYvWLswRRh7MkpMwDy5Pf
    11: VJ7Ty5v9kklmcDws+RFHCSFKsdcF9vWMaqk7+tKrYracEhzkG39J5RR692dchi45c+3E
    12: Pf3VWJzUM/n6q64piEK7lgz5xJFHLe4F1lr5zW+s9WbxwxAtMNQ4rzpmWAHhglkugvaP
    13: IunZN4y0gwXvrMtt811r/hpKthSjHD0KmgRlmPMW0QHeHofxn5t97wmcnJT9gATFDUUm
    14: mHURFcmyZtQTb6mVpvrOlJ/E6n8/2au+Ib5Im3eV63W5hVVdkMuDELYuOungLxmxpBb3 jK8A==
    15: X-Gm-Message-State:
    16: ALoCoQlw7sW4GMOoul376zUMyANia0zYxP+71HEGpYGtc9WsOLal4Iu5cqQxCUZYoPIhjMiltGx+Gbv5MZV0EGth+VQV+Q
    17: oy5OOABhuNG8SCtRlDfQ6xWgNzEXzr585EoCkAQLON+rUmBQWxUkT9dXrjrTbTZbbhg==
    18: X-Received: by 10.68.228.138 with SMTP ID: [ID filtered]
    19: MIME-Version: 1.0
    20: X-Received: by 10.68.228.138 with SMTP ID: [ID filtered]
    21: Received: by 10.70.23.130 with HTTP; Tue, 18 Feb 2014 xx:xx:xx -0800 (PST)
    22: Date: Wed, 19 Feb 2014 xx:xx:xx +0100
    23: Message-ID: [ID filtered]
    24: Subject: NORD / LB Warnung Alert!!
    25: From: "NORD/LB Online Services" <klyadusk [at] ncsu.edu>
    26: To: undisclosed-recipients:;
    27: Content-Type: multipart/alternative; boundary=047d7b2e54ce8ffb0804f2b6ff00
    28: Bcc: <poor [at] spamvictim.tld>
    29: Envelope-To: <poor [at] spamvictim.tld>
    30: X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
    31: X-GMX-Antivirus: 0 (no virus found)
    Da diese wohl darauf hindeuten, dass dieser Mist allem Anschein nach über Google-Server abgekübelt wurde.
    Oder interpretiere ich da was falsch:
    whois:exprod5og107.obsmtp.com (whois:64.18.0.184)
    whois:na3sys009aog114.obsmtp.com (whois:74.125.149.211)
    Und das meines Erachtens nicht etwa, wie man evtl. vermuten könnte, einfach von einem gecrackten Google-Mail-Account aus,
    da in solch einem Fall wohl die "RETURN-PATH" und "FROM" -Angaben nicht aauf irgendwelche Uni-Domains
    (Guildford College bzw. North Carolina State) verweisen würden.
    Geändert von MarCop (19.02.2014 um 08:53 Uhr) Grund: Vielleicht sollte ich erwähnen, dass ich gar kein Konto bei der Nord/LB habe

  2. #2
    Mitglied Avatar von Speedy56
    Registriert seit
    03.11.2011
    Ort
    SouthBavaria
    Beiträge
    352

    Standard

    Wer das ganz genau liest sollte bemerken dass das ganze nicht ganz richtig ist:

    - wenn ich selber in Rumänien war kann ich das ganze ignorieren und mein Konto läuft normal weiter.
    - falls ich nicht in Rumänien war ist mein Konto gesperrt und ich müsste es wieder freischalten

    Ooo...
    „Man muss dem Leben immer um mindestens einen Whisky voraus sein“ (Humphrey Bogart)

  3. #3
    Senior Mitglied
    Registriert seit
    15.01.2006
    Beiträge
    2.188

    Standard

    Nicht nur das. Solche Mails kommen nie, aber wirklich nie auf die Mail-Adresse an, die nur der Bank bekannt ist. Und dass die Bank "NORD/LB KONTO" heißt, bedeutet ebenfalls, dass da was oberfaul ist ("Ein Mitarbeiter der NORD/LB KONTO wird Sie innerhalb 48 Stunden kontaktieren."). Wie soll mich ein Mitarbeiter des Kontos kontaktieren?

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen