Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: Postbank-Phishing banking.pastbank.net

  1. #1
    Mitglied
    Registriert seit
    17.07.2005
    Beiträge
    321

    Standard Postbank-Phishing banking.pastbank.net


    header:
    01: Return-Path: <accountpolice [at] postbank.de>
    02: Delivered-To:
    03: Received: (qmail 18807 invoked from network); 16 Jul 2005 xx:xx:xx -0000
    04: Received: from unknown (HELO pcp09651847pcs.mnhwkn01.nj.comcast.net)
    05: ([68.38.55.174])
    06: (envelope-sender <poor [at] spamvictim.tld>)
    07: by mx07.ispgateway.de (qmail-ldap-1.03) with SMTP
    08: for <>; 16 Jul 2005 xx:xx:xx -0000
    09: Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
    10: by pcp09651847pcs.mnhwkn01.nj.comcast.net (Postfix) with ESMTP ID: [ID filtered]
    11: for <>; Sat, 16 Jul 2005 xx:xx:xx -0500
    12: From: "Sophisticates K. Wastepaper" <accountpolice [at] postbank.de>
    13: To: Info <>
    14: Subject: Die Bestatigung der Daten
    15: Date: Sat, 16 Jul 2005 xx:xx:xx -0500
    16: Message-ID: [ID filtered]
    17: MIME-Version: 1.0
    18: Content-Type: multipart/related;
    19: boundary="----=_NextPart_000_0024_79B2C44E.B28B6551"
    20: X-Priority: 3 (Normal)
    21: X-MSMail-Priority: Normal
    22: X-Mailer: Microsoft Outlook, Build 10.0.4024
    23: Importance: Normal
    24: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
    25: X-RAV-AntiVirus: This message has been scanned for viruses on
    26: pcp09651847pcs.mnhwkn01.nj.comcast.net
    ....

    unter banking.pastbank.net öffnet sich eine gut gemachte Seite (einschl. Warnung vor Phishing-Mails).

    Das Formular funktioniert aber nicht, es kommen Fehlermeldungen bezgl.

    home/httpd/vhosts/mrxxx.spx-host.net/httpdocs/jober/logon.php

    insgesamt ein fast schon lustiger Phishzug, insbesondere mit diesem Absendernamen

    "Sophisticates K. Wastepaper"
    Geändert von brk (17.07.2005 um 10:38 Uhr)

  2. #2
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.404

    Standard

    insgesamt ein fast schon lustiger Phishzug, insbesondere mit diesem Absendernamen
    Der Phisher benutzt offenbar die gleiche Spamsoftware wie gewisse Pornospammer.
    Wir kriegen euch alle!

  3. #3
    Mitglied
    Registriert seit
    17.07.2005
    Beiträge
    321

    Standard


    header:
    01: Return-Path: <cloudzinaus [at] graffiti.net>
    02: Delivered-To:
    03: Received: (qmail 26594 invoked from network); 17 Jul 2005 xx:xx:xx -0000
    04: Received: from unknown (HELO cm95-75.liwest.at) ([212.241.95.75])
    05: (envelope-sender <poor [at] spamvictim.tld>)
    06: by mx11.ispgateway.de (qmail-ldap-1.03) with SMTP
    07: for <>; 17 Jul 2005 xx:xx:xx -0000
    08: X-Message-Info: DZZCaTD6eUYWyOf9xu818Y062KejBVEtyz
    09: Received: from wkvteda85.mypersonalemail.com (32) by sos484-lq.usa.com with Microsoft
    10: SMTPSVC(5.0.2195.6824);
    11: Sat, 16 Jul 2005 xx:xx:xx +0100
    12: Received: from chevronsextontv897 (ticklish205)
    13: by blackburnmail.com (snssgm04) with SMTP
    14: ID: [ID filtered]
    15: (AuthID: [ID filtered]
    16: Sat, 16 Jul 2005 xx:xx:xx -0300
    17: From: "" Benita Mccord "" <restonparker [at] coolgoose.com >
    18: To: "'[b]Info[/b]'" <>
    19: Subject:[spam] Re: .. your organization will thank you for this...
    20: Date: Sat, 16 Jul 2005 xx:xx:xx +0300
    21: Message-ID: [ID filtered]
    22: MIME-Version: 1.0
    23: Content-Type: multipart/alternative;
    24: boundary="--585233702280737"

    whois:http://www.optin2millions.net


    header:
    01: Return-Path: <orzcbwoulsatrq [at] sharelogic.com>
    02: Delivered-To:
    03: Received: (qmail 10559 invoked from network); 17 Jul 2005 xx:xx:xx -0000
    04: Received: from unknown (HELO c-67-173-100-173.hsd1.il.comcast.net)
    05: ([67.173.100.173])
    06: (envelope-sender <poor [at] spamvictim.tld>)
    07: by mx01.ispgateway.de (qmail-ldap-1.03) with SMTP
    08: for <>; 17 Jul 2005 xx:xx:xx -0000
    09: X-Message-Info: GJp7NW90736Q148xneEfvzK1oP18jbgIQBtxKUL096JCS517
    10: Received: from 192.92.96.142 by
    11: [email="ip-0-429-395-32.mfm.orzcbwoulsatrq [at] sharelogic.com"]ip-0-429-395-32.m
    12: m.orzcbwoulsatrq [at] sharelogic.com (AppleMailServer 98.5.2.0) ID: [ID filtered]
    13: Reply-To: "Cathryn Butcher" <orzcbwoulsatrq [at] sharelogic.com>
    14: From: "Cathryn Butcher" <orzcbwoulsatrq [at] sharelogic.com>
    15: To: "[b]Info[/b]" <>
    16: Subject:[spam] hello my love
    17: Date:Sun, 17 Jul 2005 xx:xx:xx -0800
    18: MIME-Version: 1.0
    19: Content-Type: multipart/alternative;
    20: boundary="--041574260765711"

    lapa202@pochta.ru


    header:
    01: Return-Path: <qsgygs [at] yahoo.com>
    02: Delivered-To:
    03: Received: (qmail 7330 invoked from network); 16 Jul 2005 xx:xx:xx -0000
    04: Received: from unknown (HELO c-24-218-43-103.hsd1.ma.comcast.net)
    05: ([24.218.43.103])
    06: (envelope-sender <poor [at] spamvictim.tld>)
    07: by mx11.ispgateway.de (qmail-ldap-1.03) with SMTP
    08: for <>; 16 Jul 2005 xx:xx:xx -0000
    09: X-Message-Info: HM/z+41+j/D+30/995918790667
    10: Received: from
    11: [email="smtp-probe.quell.qsgygs [at] yahoo.com"]smtp-probe.quell.qsgygs [at] yahoo.com
    12: ([24.218.43.103]) by
    13: [email="e907-hbd6.qsgygs [at] yahoo.com"]e907-hbd6.qsgygs [at] yahoo.com with
    14: Microsoft SMTPSVC(5.0.1616.2831);
    15: Sun, 17 Jul 2005 xx:xx:xx -0300
    16: Received: from
    17: [email="complainant417.declaratory.qsgygs [at] yahoo.com"]complainant417.declarat
    18: ry.qsgygs [at] yahoo.com (kiosk891.qsgygs [at] yahoo.com [24.218.43.103])
    19: by [email="poor [at] spamvictim.tld"]poor [at] spamvictim.tld (Postfix) with SMTP
    20: ID: [ID filtered]
    21: for <>; Sun, 17 Jul 2005 xx:xx:xx -0400
    22: Received: from
    23: [email="smtp-emitting.fluff.qsgygs [at] yahoo.com"]smtp-emitting.fluff.qsgygs [at] yah
    24: o.com ([24.218.43.103]) by
    25: [email="me59-lj00.qsgygs [at] yahoo.com"]me59-lj00.qsgygs [at] yahoo.com with
    26: Microsoft SMTPSVC(5.0.0503.4117);
    27: Sun, 17 Jul 2005 xx:xx:xx -0300
    28: X-Message-Info: SGBDN+%ND_LC_CHAR[1-3]26+d+I+232/13069394242
    29: Received: from [email="lang.qsgygs [at] yahoo.com"]lang.qsgygs [at] yahoo.com
    30: ([224.93.36.203]) by
    31: [email="ocular.qsgygs [at] yahoo.com"]ocular.qsgygs [at] yahoo.com with MailEnable
    32: ESMTP; Sun, 17 Jul 2005 xx:xx:xx -0200
    33: Date: Sun, 17 Jul 2005 xx:xx:xx +0200
    34: Message-ID: [ID filtered]
    35: From: Zachariah Kerns <qsgygs [at] yahoo.com>
    36: To: "[b]Info[/b]" <>
    37: Subject:[spam] EXTRA-TIME - last 5-10 times longer!
    38: MIME-Version: 1.0 (produced by discriminablethrice 3.6)
    39: Content-Type: multipart/alternative;
    40: boundary="--054842572630734"

    whois:http://fibrously.com/et/?1663800


    Keine Ahnung, ob das Zufall ist oder zusammenhängt, auffällig ist, dass alle Mails an "Info" geschickt wurden, die Mail-Adresse aber ganz anders beginnt.

    p.s.: war die Codierung jetzt so richtig?
    Geändert von cycomate (18.07.2005 um 00:04 Uhr)

  4. #4
    retired Avatar von cycomate
    Registriert seit
    31.03.2002
    Ort
    127.0.0.1
    Beiträge
    2.331

    Standard

    hier und hier wird die korrekte Benutzung der [ header ] und [ spam ] Tags erklärt.
    Disclaimer: This post is for educational and entertainment purpose only
    'In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people.' (Linus Torvalds)

  5. #5
    Mitglied
    Registriert seit
    17.07.2005
    Beiträge
    321

    Standard

    ja, und? Stimmt doch, oder?

    Mir ist nur nicht der Sinn des Spam-Tags klar, ausser dass er die Links unbrauchbar macht...

  6. #6
    retired Avatar von cycomate
    Registriert seit
    31.03.2002
    Ort
    127.0.0.1
    Beiträge
    2.331

    Standard

    Zunächst einmal hat der beworbene link nichts im header verloren, also bitte nicht klammern:
    [ header ]
    Return-Path: yatta
    Received: by foo
    [ spam ]http://www.gibtsnicht.invalid [ /spam ]
    [ /header ]

    sondern header und beworbene links getrennt halten:
    [ header ]
    Return-Path: yatta
    Received: by foo
    [ /header ]
    [ spam ]http://www.gibtsnicht.invalid [ /spam ]


    Dann macht der [ spam ] tag den link nicht unbrauchbar, sondern leitet ihn woanders hin. Klick mal auf [spam]http://www.optin2millions.net[/spam] dann siehst Du es.
    Disclaimer: This post is for educational and entertainment purpose only
    'In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people.' (Linus Torvalds)

  7. #7
    Mitglied
    Registriert seit
    17.07.2005
    Beiträge
    321

    Standard

    Also ich bin hergegangen und habe den kompletten header in "[ header][/header]" gestellt (meine Adresse und den "recieved from" meines Providers eleminiert). Dann habe ich die beworbenen Links reinkopiert und mit [spam][/spam] codiert.

    Ansonsten habe ich im header nur to: "info" mit "[ b][/b]" codiert, um die Herkunft zu kennzeichnen.

    Wo ist also der break?

    [ header][/header] wird nicht dargestellt, daher der blank zwischen "[" und "header".
    Geändert von brk (17.07.2005 um 23:57 Uhr)

  8. #8
    Mitglied
    Registriert seit
    17.07.2005
    Beiträge
    321

    Standard

    wohlgemerkt: "[ header] [/header] endete vor [spam][/spam] gefolgt von erneutem "[ header] [/header] und [spam][/spam]

    Wenn das jetzt durcheinander war, muss es das Programm verbogen habe. Ja ich weiß, hinterher redet man sich leicht, aber ich werkle schon seit Jahren mit BBCode und weiß in der Regel, was ich mache....
    Geändert von brk (18.07.2005 um 00:10 Uhr)

  9. #9
    retired Avatar von cycomate
    Registriert seit
    31.03.2002
    Ort
    127.0.0.1
    Beiträge
    2.331

    Standard

    Nicht wirklich. Dein Antispamprogramm hat dem Subject ein [spam] vorangestellt, was natürlich vom board interpretiert wurde. Da [spam] jetzt [ spamlink ] heißt (und Raider Twix), sollte das aber zukünftig kein Problem darstellen.
    Disclaimer: This post is for educational and entertainment purpose only
    'In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people.' (Linus Torvalds)

  10. #10
    Mitglied
    Registriert seit
    17.07.2005
    Beiträge
    321

    Standard

    o.k. - ich gebe mich geschlagen - daran habe ich nicht gedacht und werde zukünftig aufpassen - man lernt ja nie aus.....

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. [Phishing] Postbank / pastbank.net
    Von doka im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 16.07.2005, 21:02
  2. [Phishing] Postbank Online-Banking
    Von Eniac im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 12
    Letzter Beitrag: 16.07.2005, 05:42
  3. [phishing] Postbank
    Von spag im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 07.07.2005, 14:40
  4. [Phishing] "Kundeninformation Deutsche Postbank AG"
    Von pewe222 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 22
    Letzter Beitrag: 17.12.2004, 08:56
  5. [phishing]Postbank Sicherheitsaktualisierung
    Von webeinspunktnull im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 12
    Letzter Beitrag: 25.08.2004, 18:56

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen