[Phishing] Postbank Online-Banking

[Eniac]

Phishing für die Postbank, Seite ist bei Road Runner gehostet. Wieso bekomme ich für die domain keinen whois record und wieso wird dann der Name überhaupt vom DNS aufgelöst?
----------------------------------------
Re: 61.46.42.75 (Ursprungsquelle der Scammail)
To: [Link nur für registrierte Mitglieder sichtbar. ].jp
Re: backup-server05.com [24.26.146.217] (phishing-Seite)
To: [Link nur für registrierte Mitglieder sichtbar. ]
Re: Phishing
To: direkt#postbank.de
===8<==============Original message text===============
From SRS0=SiQF=VI=postbank.de= [Link nur für registrierte Mitglieder sichtbar. ] Mon Jul 4
03:21:24 2005
Return-Path: <SRS0=SiQF=VI=postbank.de= [Link nur für registrierte Mitglieder sichtbar. ]>
X-Flags: 1001
Received: (qmail invoked by alias); 04 Jul 2005 03:21:24 -0000
Received: from [61.46.42.75] (helo=zaq3d2e2a4b.zaq.ne.jp)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
id 0MKpIi-1DpHWL3ZOh-0005C5 for info@meine-domäne.de.invalid; Mon, 04 Jul 2005
05:21:21 +0200
Received: from postbank.de (mailrelay.de.ignite.net [195.182.110.146])
by zaq3d2e2a4b.zaq.ne.jp (Postfix) with ESMTP id 7A40ABB52B
for <info@meine-domäne.de.invalid>; Sun, 03 Jul 2005 12:21:21 -0500
From: Postbank <support#postbank.de>
To: Info <info@meine-domäne.de.invalid>
Subject: Postbank Online-Banking
Date: Sun, 03 Jul 2005 12:21:21 -0500
Message-ID: <101001c57ff3$0cf3b1d4$ [Link nur für registrierte Mitglieder sichtbar. ]>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0022_1EC2B10C.DF8672A3"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2505.0000
X-Kaspersky-Antivirus: passed
Sehr geehrter Kunde,
Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten
von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den
Kontoinhabern durchzuführen.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die
Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren
Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die
Verschlüsselungsart der übertragenen Daten modernisiert.
Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form
der zusätzlichen Autorisation auszufüllen.
[Link nur für registrierte Mitglieder sichtbar. ]
Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von
unseren Kunden getroffen.
Danke für die Zusammenarbeit,
Administration der Postbank Online Banking

&copy; 2004 Deutsche Postbank AG
===8<===========End of original message text===========

Eniac

[xray12]

Return-Path: <onlinebanking@postbank-de.com>
Delivery-Date: Mon, 04 Jul 2005 12:05:13 +0200
Received: from [194.116.140.124] (helo=194.116.140.124)
by mxeu5.kundenserver.de with ESMTP (Nemesis),
id 0MKqpg-1DpNp10vaV-0002LN for ...........de; Mon, 04 Jul 2005 12:05:03 +0200
Message-ID: <3e6f01c5807d$006c9702$0eb5e7da@postbank-de.com>
From: =?iso-8859-1?B?Pj4+UG9zdEJhbmsgT25saW5lIEJhbmtpbmc=?= <onlinebanking@postbank-de.com>
To: .....de
Subject: PostBank OnlineBanking
Date: Mon, 04 Jul 2005 09:50:23 +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_F7EC1038.C918D00A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: .........de
Sehr geehrter Kunde, Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen. Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert. Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen. (Banner auf:(http://www.berliner-security-update.com/)
Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen. Danke für die Zusammenarbeit,Administration der Postbank Online Banking

[Goofy]

@ Eniac
Es dreht sich um die Domain backup-server05.com.
network-tools.com zeigt für diese Domain beim verwendeten Nameserver 66.98.244.52 das Ergebnis:
"Queried domain does not exist".
Fragt man aber den Nameserver 217.237.151.161 (einer von t-online), bekommt man auf einmal doch die additional records mit den IP-Addressen für die Drecksnameserver (ns1.backup-server05.com etc.). Im Moment geht es jedenfalls bei mir so. Kann sich allerdings schnell ändern.
Besonders merkwürdig daran: fragt man jetzt nach dem NS-Record für die Domain und direkt danach wieder nach dem
A-record, kommt auf einmal doch "Queried domain does not exist", obwohl derselbe Nameserver vorher additional records angezeigt hatte.
Die Domain wird wahrscheinlich bei Deinem Browser noch aufgelöst, weil der Nameserver Deines Providers die Daten noch im Cache hat. Es könnte sich auch hier wieder mal um eine der vielen gespooften Domains handeln, wo verhindert wird, dass die TTL-Zeit abläuft. Daher bleibt die Domain im Cache des Nameservers, obwohl der Registrar sie schon aus dem DNS genommen hat. Die Domain wird mit Spoofing künstlich länger am Leben gehalten.
Bei Yesnic kommt "Timeout", wenn man die whois-Daten abfragt. Könnte ein Problem beim Yesnic-Server sein.
Goofy

[Friedrich]

Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ]>
Delivery-Date: Mon, 04 Jul 2005 23:43:02 +0200
Received: from [66.168.247.80] (helo=66-168-247-80.dhcp.mtgm.al.charter.com)
by mxeu12.kundenserver.de with ESMTP (Nemesis),
id 0MKrQq-1DpYiR1xCN-0001nX for [Link nur für registrierte Mitglieder sichtbar. ]; Mon, 04 Jul 2005 23:42:59 +0200
Message-ID: <6b0e01c580df$313d7284$ [Link nur für registrierte Mitglieder sichtbar. ]>
From: =?iso-8859-1?B?Pj4+UG9zdEJhbmsgT25saW5lIEJhbmtpbmc=?= < [Link nur für registrierte Mitglieder sichtbar. ]>
To: [Link nur für registrierte Mitglieder sichtbar. ]
Subject: PostBank OnlineBanking
Date: Mon, 04 Jul 2005 21:26:51 +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_D18E7491.80CBE1BB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Envelope-To: [Link nur für registrierte Mitglieder sichtbar. ]

Sehr geehrter Kunde,
Im Zusammenhang mit den hufiger werdenden Betrgereien mit den Bankkonten
von unseren Kunden sind wir gezwungen eine zustzliche Autorisation von
den Kontoinhabern durchzufhren.
Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die
Datensicherung einer neuen Generation einzufhren. Dazu wurden von unseren
Spezialisten sowohl die Informationsbertragungsprotokolle, als auch die
Verschlsselungsart der bertragenen Daten modernisiert.
Im Zusammenhang mit dem Obenerwhnten bitten wir Sie, eine spezielle Form
der zustzlichen Autorisation auszufllen.
Diese Manahmen werden ausschlielich zur Sicherung der Interessen von unseren
Kunden getroffen.
Danke fr die Zusammenarbeit,
Administration der Postbank Online Banking
&copy; 2004 Deutsche Postbank AG

[YviDee]

Hallo zusammen!
Habe ich ein Problem, wenn ich dämlicherweise "Form ausfüllen" geklickt habe? Dann nach hat sich bei mir keine Seite aufgebaut und ich habe nach ca. 5 sec. die Seite geschlossen...

[Fidul]

Was genau hast du gemacht? Nur das "Formular" leer abgeschickt oder es vorher auch ausgefüllt?
--
Wir kriegen euch alle!

[YviDee]

Ich kam gar nicht bis zu dieser falschen Homepage, weil ich mir direkt nach dem Klick dachte, dass daran was foul sein müsste. Habe also nix ausgefüllt und keine Pins weitergegeben...

[Fidul]

Dann dürfte eigentlich nichts passiert sein.
--
Wir kriegen euch alle!

[YviDee]

Denke ich auch,.. - Danke!!

[Investi]

Soeben wieder aufgeschlagen:

Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ]>
Delivery-Date: Thu, 07 Jul 2005 18:06:59 +0200
Received: from [200.147.211.12] (helo=200-147-211-12.canbrasacesso.speeduol.com.br)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
id 0MKpIi-1DqYtt228z-0007y7 for [Link nur für registrierte Mitglieder sichtbar. ]; Thu, 07 Jul 2005 18:06:57 +0200
FCC: [Link nur für registrierte Mitglieder sichtbar. ]/Sent" target="_blank">mailbox:// [Link nur für registrierte Mitglieder sichtbar. ]/Sent
X-Identity-Key: id1
Date: Fri, 08 Jul 2005 18:13:49 -0100
From: DEUTSCHE POSTBANK AG < [Link nur für registrierte Mitglieder sichtbar. ]>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: [Link nur für registrierte Mitglieder sichtbar. ]
Subject: [SPAM] [SPAM?]: POSTBANK ONLINE-BANKING
Content-Type: multipart/related;
boundary="------------080704020206080207060006"
Message-ID: < [Link nur für registrierte Mitglieder sichtbar. ]>
Envelope-To: [Link nur für registrierte Mitglieder sichtbar. ]
X-SpamScore: 4.279
tests= DATE_IN_FUTURE_24_48 FROM_ENDS_IN_NUMS SUBJ_ALL_CAPS
X-Spam-Flag: Yes
X-Spam-Level: 9/5

Verlinkt nach: [Link nur für registrierte Mitglieder sichtbar. ]

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)