Ergebnis 1 bis 9 von 9

Thema: Deutsche Postbank - serverbackup09.com

  1. #1
    Urgestein Avatar von Eniac
    Registriert seit
    18.07.2005
    Ort
    Dragasani - Lagos - Moskau - Cloppenburg
    Beiträge
    5.203

    Standard Deutsche Postbank - serverbackup09.com

    Bald sollten alle backup Server durchnummeriert sein, jetzt ist 09 an der Reihe, diesmal für die Postbank. Wie in den vorangegangen Fällen ist der header einigermassen geschickt gefälscht.

    Whois-Eintrag wie gehabt:

    Domain Name : serverbackup09.com

    ::Registrant::
    Name : Foundation Men On Line
    Email : [Link nur für registrierte Mitglieder sichtbar. ]
    Address : PO Box 76613, AMSTERDAM, NH
    Zipcode : 1070 HE
    Nation : NL
    Tel : +31206791556
    Fax : +31206627572

    ::Administrative Contact::
    Name : Foundation Men On Line
    Email : [Link nur für registrierte Mitglieder sichtbar. ]
    Address : PO Box 76613, AMSTERDAM, NH
    Zipcode : 1070 HE
    Nation : NL
    Tel : +31206791556
    Fax : +31206627572

    ...

    ::Name Servers::
    ns1.serverbackup09.com
    ns2.serverbackup09.com
    ns3.serverbackup09.com
    ns4.serverbackup09.com
    ns5.serverbackup09.com

    :: Dates & Status::
    Created Date 2005-07-18 13:25:01 EDT
    Updated Date 2005-07-18 13:25:01 EDT
    Valid Date 2006-07-18 13:25:01 EDT
    Status ACTIVE
    ----------------------------------------

    Re: 221.216.204.53 (Ursprungsquelle der Scammail)
    To: [Link nur für registrierte Mitglieder sichtbar. ], [Link nur für registrierte Mitglieder sichtbar. ]

    Re: serverbackup09.com [66.67.46.11] (phishing-Seite)
    To: abuse#rr.com

    Re: Phishing
    To: direkt#postbank.de

    ===8<==============Original message text===============


    header:
    01: X-Flags: 1001
    02: Received: (qmail invoked by alias); 20 Jul 2005 xx:xx:xx -0000
    03: Received: from [221.216.204.53] (helo=tlcfan.com)
    04: by mxeu12.kundenserver.de with ESMTP (Nemesis),
    05: ID: [ID filtered]
    06: Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
    07: by tlcfan.com (Postfix) with ESMTP ID: [ID filtered]
    08: for <info@$munged$.tld>; Tue, 19 Jul 2005 xx:xx:xx -0500
    09: From: Postbank <support [at] postbank.de>
    10: To: Info <info@$munged$.tld>
    11: Subject: Deutsche Postbank
    12: Date: Tue, 19 Jul 2005 xx:xx:xx -0500
    13: Message-ID: [ID filtered]
    14: MIME-Version: 1.0
    15: Content-Type: multipart/mixed;
    16: boundary="----=_NextPart_000_0024_FE0B11A3.0FA615D8"
    17: X-Priority: 3 (Normal)
    18: X-MSMail-Priority: Normal
    19: X-Mailer: Microsoft Outlook, Build 10.0.4024
    20: Importance: Normal
    21: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
    22: X-AntiVirus: skaner antywirusowy poczty Wirtualnej Polski S. A

    Deutsche Postbank

    Sehr geehrter Kunde,

    Im Zusammenhang mit den häufiger werdenden Betrügereien mit den Bankkonten von unseren Kunden sind wir gezwungen eine zusätzliche Autorisation von den Kontoinhabern durchzuführen.
    Der Sicherheitsdienst der PostBank hat die Entscheidung getroffen, die Datensicherung einer neuen Generation einzuführen. Dazu wurden von unseren Spezialisten sowohl die Informationsübertragungsprotokolle, als auch die Verschlüsselungsart der übertragenen Daten modernisiert.

    Im Zusammenhang mit dem Obenerwähnten bitten wir Sie, eine spezielle Form der zusätzlichen Autorisation auszufüllen.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Diese Maßnahmen werden ausschließlich zur Sicherung der Interessen von unseren Kunden getroffen.

    Danke für die Zusammenarbeit,
    Administration der Postbank Online Banking

    © 2004 Deutsche Postbank AG

    ===8<===========End of original message text===========


    Eniac
    Geändert von Eniac (20.07.2005 um 13:45 Uhr)

  2. #2
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Hallo.

    Das Mail ist bei mir ebenfalls aufgeschlagen:

    header:
    01: From support [at] postbank.de Wed Jul 20 xx:xx:xx 2005
    02: Return-Path: <support [at] postbank.de>
    03: X-Flags: 1001
    04: Delivered-To: GMX delivery to ###@###.###
    05: Received: (qmail invoked by alias); 20 Jul 2005 xx:xx:xx -0000
    06: Received: from fj194.net220216055.thn.ne.jp (HELO fj194.net220216055.thn.ne.jp)
    07: [220.216.55.194]
    08: by mx0.gmx.net (mx013) with SMTP; 20 Jul 2005 xx:xx:xx +0200
    09: Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
    10: by fj194.net220216055.thn.ne.jp (Postfix) with ESMTP ID: [ID filtered]
    11: for <###@###.###>; Tue, 19 Jul 2005 xx:xx:xx -0500
    12: From: Postbank <support [at] postbank.de>
    13: To: ### <###@###.###>
    14: Subject: Deutsche Postbank
    15: Date: Tue, 19 Jul 2005 xx:xx:xx -0500
    16: Message-ID: [ID filtered]
    17: MIME-Version: 1.0
    18: Content-Type: multipart/mixed;
    19: boundary="----=_NextPart_000_0002_283B2332.2ADC1454"
    20: X-Priority: 3 (Normal)
    21: X-MSMail-Priority: Normal
    22: X-Mailer: Microsoft Outlook, Build 10.0.2605
    23: Importance: Normal
    Abgekippt über Japan (und keine so gelungene Header-Fälschung).

    Der Link ist derselbe wie oben. Allerdings ist der Domain-Name serverbackup09.com bei centralops.net unbekannt.

    Die DNS-Server ns1.serverbackup09.com bis ns5..... haben folgende IPs:
    Code:
    24.6.206.65 = Comcast Cable Communications Inc
    64.172.99.119 = PPPoX Pool ADSL Rback18
    68.184.193.197 = Charter Communications 
    71.8.197.224 = Charter Communications 
    82.254.9.106 = Proxad, Internet Service Provider in France
    Diese DNS-Server leiten zu folgenden Adressen:
    Code:
    24.132.46.235 = Kabeltelevisie Amsterdam B.V.
    66.30.227.21 = Comcast Cable Communications Inc
    66.176.92.39 = Comcast Cable Communications Inc
    68.56.134.62 = Comcast Cable Communications Inc
    69.142.20.169 = Comcast Cable Communications Inc
    Hat da irgendwer die DNS-Server manipuliert???

    Ich schreibe mal ein paar Abuse-Mails...

    Grüße

  3. #3
    Offiz. Diskordianer-Papst Avatar von Investi
    Registriert seit
    17.07.2005
    Beiträge
    11.638

    Standard

    3 x hier eingetroffen:


    header:
    01: Return-Path: <support [at] postbank.de>
    02: Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
    03: Received: from [218.81.6.116] (helo=carmax.com)
    04: by mxeu9.kundenserver.de with ESMTP (Nemesis),
    05: ID: [ID filtered]
    06: Date: Wed, 20 Jul 2005 xx:xx:xx +0000
    07: From: Postbank <support [at] postbank.de>
    08: Subject: Deutsche Postbank
    09: To: Abuse <abuse [at] ....de>
    10: References: <3BDKGEJF6AJ5G81J [at] ....de>
    11: In-Reply-To: <3BDKGEJF6AJ5G81J [at] ....de>
    12: Message-ID: [ID filtered]
    13: MIME-Version: 1.0
    14: Content-Type: multipart/mixed;
    15: boundary="----=_NextPart_JE4EEI_2HI1ABDA_7F6H1HH8I"
    16: Envelope-To: info [at] ....de
    17: X-SpamScore: 0

    header:
    01: Return-Path: <support [at] postbank.de>
    02: Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
    03: Received: from [218.81.6.116] (helo=carmax.com)
    04: by mxeu9.kundenserver.de with ESMTP (Nemesis),
    05: ID: [ID filtered]
    06: Date: Wed, 20 Jul 2005 xx:xx:xx +0000
    07: From: Postbank <support [at] postbank.de>
    08: Subject: Deutsche Postbank
    09: To: Info <info [at] ....de>
    10: References: <BCHFH2L9K3DJ8EBB [at] ....de>
    11: In-Reply-To: <BCHFH2L9K3DJ8EBB [at] ....de>
    12: Message-ID: [ID filtered]
    13: MIME-Version: 1.0
    14: Content-Type: multipart/mixed;
    15: boundary="----=_NextPart_DFGI7J3G4BA55H50JD80H68C1"
    16: Envelope-To: info [at] ....de
    17: X-SpamScore: 0

    header:
    01: Return-Path: <support [at] postbank.de>
    02: Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
    03: Received: from [218.81.6.116] (helo=carmax.com)
    04: by mxeu9.kundenserver.de with ESMTP (Nemesis),
    05: ID: [ID filtered]
    06: Date: Wed, 20 Jul 2005 xx:xx:xx +0000
    07: From: Postbank <support [at] postbank.de>
    08: Subject: Deutsche Postbank
    09: To: Stammposter <stammposter [at] ....de>
    10: References: <88692HG9KLH99GKH [at] ....de>
    11: In-Reply-To: <88692HG9KLH99GKH [at] ....de>
    12: Message-ID: [ID filtered]
    13: MIME-Version: 1.0
    14: Content-Type: multipart/mixed;
    15: boundary="----=_NextPart_8229A9CI3C4BADE68CH0DCCJ6"
    16: Envelope-To: info [at] ....de
    17: X-SpamScore: 0
    Investi
    --------------------------------------------------------------------------------------------
    Artikel 5 Grundgesetz
    (1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.

  4. #4
    Neues Mitglied
    Registriert seit
    19.07.2005
    Beiträge
    2

    Standard Weiterleitung nach Eingabe der Daten

    Gibt man die Daten auf der Phishing-Seite ein, so landet man doch tatsächlich bei der Postbank - die haben allerdings (vielleicht über den referrer) dort eine Warnung eingebaut.
    Es wird geladen:
    [Link nur für registrierte Mitglieder sichtbar. ]
    Nicht ganz schlecht, aber bestimmt leicht auszutricksen.

    Martin

  5. #5
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Hallo.

    ...so landet man doch tatsächlich bei der Postbank - die haben allerdings (vielleicht über den referrer) dort eine Warnung eingebaut.
    Genau. Der Browser gibt immer auch den URL an, von dem aus auf eine neue Seite verlinkt wird (Referrer).
    Anhand des Referrers kann die Postbank dann auch sofort die Phishing-Seite feststellen - wenn sie denn will. Allerdings sind die meisten Seiten "bullet-proofed" gehostet oder auf verwurmten Windows-Rechnern untergebracht :-(

    Nicht ganz schlecht, aber bestimmt leicht auszutricksen.
    So leicht geht das gar nicht. Ein <meta http-equiv="refresh" content="0; URL=http://..."> würde wegen einer Verzögerung auffallen und andere Methoden, wie z.B. ein De-Referrer-Mechanismus wie bei Suchmaschinen sind mit JavaScript nicht zu machen.

    Grüße

  6. #6
    Senior Mitglied Avatar von webeinspunktnull
    Registriert seit
    17.07.2005
    Ort
    daheim
    Beiträge
    2.253

    Standard

    whois: [Link nur für registrierte Mitglieder sichtbar. ]


    header:
    01: Return-Path: <[email="support [at] postbank.de"]support [at] postbank.de>
    02: Delivery-Date: Wed, 20 Jul 2005 xx:xx:xx +0200
    03: Received: from [218.244.89.43] (helo=carmax.com)
    04: by mxeu3.kundenserver.de with ESMTP (Nemesis),
    05: ID: [ID filtered]
    06: Date: Wed, 20 Jul 2005 xx:xx:xx +0000
    07: From: Postbank
    08: <[email="support [at] postbank.de"]support [at] postbank.de>
    09: Subject: Deutsche Postbank
    10: To: Acquisition <>
    11: References:
    12: <[email="IF66IDIJ744C1FK6 [at] trafficklau.de"]IF66IDIJ744C1FK6 [at] tau.de>
    13: In-Reply-To:
    14: <[email="IF66IDIJ744C1FK6 [at] trafficklau.de"]IF66IDIJ744C1FK6 [at] t.de>
    15: Message-ID: [ID filtered]
    16: MIME-Version: 1.0
    17: Content-Type: multipart/mixed;
    18: boundary="----=_NextPart__CGI73_CH15L_JF_CDJB_0I92"
    19: Envelope-To:
    20: This is a multipart message in MIME format.
    21: ------=_NextPart__CGI73_CH15L_JF_CDJB_0I92
    22: Content-Type: multipart/related; type="multipart/alternative";
    23: boundary="----=_NextPart_JILE5HJI40K296L1G9FLE83H_"
    24: ------=_NextPart_JILE5HJI40K296L1G9FLE83H_
    25: Content-Type: multipart/alternative;
    26: boundary="----=_NextPart_BJAA2398JLGHK55F43E1CEDJ4"
    27: ------=_NextPart_BJAA2398JLGHK55F43E1CEDJ4
    28: Content-Type: text/plain
    29: Content-Transfer-Encoding: 8bit
    30: Deutsche Postbank
    31: ------=_NextPart_BJAA2398JLGHK55F43E1CEDJ4
    32: Content-Type: text/html
    33: Content-Transfer-Encoding: 8bit
    34:
    Gib Deinem Mailfach wieder Hoffnung, werde Mitglied im Antispam e.V. http://www.antispam-ev.de/wiki/Mitgliedschaft Gemeinsam sind wir stark!

  7. #7
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard


    header:
    01: Return-Path: <support [at] postbank.de>
    02: Received: from unknown (HELO surfy.net) (61.51.242.30) by 0 with SMTP; 21
    03: Jul 2005 xx:xx:xx -0000
    04: Received: from postbank.de (mailrelay1.bonn.postbank.de [213.61.167.250])
    05: by surfy.net (Postfix) with ESMTP ID: [ID filtered]
    06: Jul 2005 xx:xx:xx -0500
    07: From: Postbank <support [at] postbank.de>
    08: To: X <x [at] x.x>
    09: Subject: Deutsche Postbank
    10: Date: Wed, 20 Jul 2005 xx:xx:xx -0500
    11: Message-ID: [ID filtered]
    12: MIME-Version: 1.0
    13: Content-Type: multipart/mixed;
    14: boundary="----=_NextPart_000_0018_D414BB61.8A114CB6"
    15: X-Priority: 3 (Normal)
    16: X-MSMail-Priority: Normal
    17: X-Mailer: Microsoft Outlook, Build 10.0.2605
    18: Importance: Normal
    19: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1082
    20: X-GMX-Antivirus: 0 (no virus found)

    Geht auch auf whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  8. #8
    Mitglied
    Registriert seit
    18.07.2005
    Beiträge
    65

    Standard

    hab die mail auch erhalten. der server ist mittlerweile nicht mehr erreichbar. beschwerde an comcast ging raus.

  9. #9
    Der Grabsteinschubser Avatar von Gool
    Registriert seit
    17.07.2005
    Ort
    localhorst:666
    Beiträge
    3.477

    Standard

    Die Herrschaften werden schlauer:

    Form der zusätzlic hen Autoris ation
    und

    Administr ation der Post bank
    soll wohl Spamfilter austricksen, allerdings haben sie nicht bedacht, dass dadurch die Mail unglaubwürdiger erscheint.


    header:
    01: Return-Path: <support [at] postbank.de>
    02: Delivered-To: #
    03: Received: (qmail 973 invoked from network); 22 Jul 2005 xx:xx:xx -0000
    04: Received: from unknown ([80.67.18.7])
    05: by xaroco.ispgateway.de (qmail-ldap-1.03) with QMQP; 22 Jul 2005 xx:xx:xx -0000
    06: Delivered-To: CLUSTERHOST mx07.ispgateway.de #
    07: Received: (qmail 28283 invoked from network); 22 Jul 2005 xx:xx:xx -0000
    08: Received: from unknown (HELO carmax.com) ([24.174.83.190])
    09: (envelope-sender <poor [at] spamvictim.tld>)
    10: by mx07.ispgateway.de (qmail-ldap-1.03) with SMTP
    11: for <#>; 22 Jul 2005 xx:xx:xx -0000
    12: Date: Fri, 22 Jul 2005 xx:xx:xx +0000
    13: From: Postbank <support [at] postbank.de>
    14: Subject: Deutsche Postbank
    15: To: Falle <#>
    16: References: <#>
    17: In-Reply-To: <#>
    18: Message-ID: [ID filtered]
    19: MIME-Version: 1.0
    20: Content-Type: multipart/mixed;
    21: boundary="----=_NextPart_D_GL_4I3ED_53KA381GCA1DJ8"
    Schwarz macht glücklich!

Ähnliche Themen

  1. Deutsche Bank
    Von Investi im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 38
    Letzter Beitrag: 01.05.2022, 14:06
  2. Angeblich Postbank
    Von xray12 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 1
    Letzter Beitrag: 15.03.2005, 23:12
  3. PostBank TAN-Absicherung
    Von Friedrich im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 15.03.2005, 15:17
  4. [Phishing] "Kundeninformation Deutsche Postbank AG"
    Von pewe222 im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 22
    Letzter Beitrag: 17.12.2004, 08:56
  5. postbank
    Von webeinspunktnull im Forum 1.2 international
    Antworten: 1
    Letzter Beitrag: 14.07.2004, 13:53

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen