YOU HAVE WON!!! CONTACT OUR AGENT NOW
Phishing-Archiv (5 Einträge)
Die hier dokumentierten E-Mails stammen nicht ausschließlich aus
meiner Spamtrap, sondern von allen mir gehörenden Adressen - bei Phishing-Mails ist irrelevant, woher die Empfängeradresse stammt.
Open now and verify your email at eBay
Der Empfänger wird aufgefordert, auf einer Webseite sein eBay-Konto zu reaktivieren. Als Absender wurde eine real existierende eBay-Adresse verwendet, die jedem eBay-Benutzer vertraut vorkommen soll. Die Mail ist eine HTML-Mail. Die Links zur Reaktivierung haben in der HTML-Ansicht URL von ebenfalls real existierenden eBay-Servern - oder zumindestens soll es danach aussehen: man beachte das Semikolon in der URL
http;//cgi.ebay.com/, ein Blick in die Rohansicht zeigt jedoch, dass der Link auf
http://69.17.97.252/.signin.ebay.com/cgi4.ebay.com/ws3/eBayISAPI.dll/ zeigt. Unter dieser URL findet man eine gefälschte Webseite, die vorgibt, von eBay zu sein und bei der man seine Kontodaten eingeben soll.
Die E-Mail mit allen Headern findet man
hier.
Der Server war am 21.06.2005 bereits abgeklemmt.
Your account will be suspended!
Der Empfänger wird aufgefordert, auf einer Webseite
Screenshot die Daten seines Paypal-Kontos zu erneuern. Als Absender wurde eine real existierende Paypal-Adresse verwendet, die jedem Paypal-Benutzer vertraut vorkommen soll. Die Mail ist eine HTML-Mail.
Der Link zur vorgeblichen Paypal-Seite führt zu
http://johnsonseeds.com/paypal/index2.htm. Unter dieser URL findet man eine gefälschte Webseite, die vorgibt, von Paypal zu sein und bei der man seine Kontodaten eingeben soll.
Die E-Mail mit allen Headern findet man
hier.
Johnsonseeds wurde am 18.07.2005 über den Mißbrauch informiert.
Nach einigen Stunden kam eine automatisierte Antwort von Johnsonseeds: Meine Nachricht sei von ihrem Antispam-System geblockt worden, und ich solle doch bitte einen Bestätigungslink klicken (Die volle E-Mail findet man
hier). Obwohl ich solchen Pseudo-Antispam-Maßnahmen (die eher Anti-Kommunikations-Maßnahmen sind) äußerst ablehnend gegenüberstehe und daher prinzipiell nicht befolge, machte ich in diesem Falle eine Ausnahme. Da mir Johnsonseeds allerdings nunmehr den Beweis ihrer Inkompetenz geliefert hatte, ging ein Complaint an den Hoster der Website raus.
Die Phising-Seite ist seit spätestens 18.07.2005, 21:00 Uhr offline (danke an Bernd Hohmann für die
Benachrichtigung.)
Paypal Alert - You've added a new email addy.
Die Plaintext-E-Mail
Screenshot gibt vor, man habe seinem Paypal-Account eine weitere zugangsberechtigte E-Mail-Adresse hinzugefügt. Falls dem nicht so sein sollte, solle man sich auf der Paypal-Seite einloggen, um diese Berechtigung zu widerrufen. Praktischerweise wird der Link zu dieser Seite gleich mitgeliefert:
http://alerts-paypal.com/Screenshot.
Eine whois-Abfrage über die Domain
alerts-paypal.com liefert
Registration Service Provided By: Registerfly.com
Contact: support@registerflysupport.com
Visit: http://www.RegisterFly.com
Domain name: alerts-paypal.com
Registrant Contact:
ees
Fabio Giotta (civics96@yahoo.com)
+1.3453040023
Fax: +1.3453040023
1465 25th Street
San Francisco, CA 94107
US
Administrative Contact:
ees
Fabio Giotta (civics96@yahoo.com)
+1.3453040023
Fax: +1.3453040023
1465 25th Street
San Francisco, CA 94107
US
Technical Contact:
ees
Fabio Fabio (civics96@yahoo.com)
+1.3453040023
Fax: +1.3453040023
1465 25th Street
San Francisco, CA 94107
US
Billing Contact:
ees
Fabio Giotta (civics96@yahoo.com)
+1.3453040023
Fax: +1.3453040023
1465 25th Street
San Francisco, CA 94107
US
Status: Locked
An den Besitzer der Domain wurde eine E-Mail mit der Bitte, die Seite vom Netz zu nehmen, geschickt. Da allerdings zu vermuten ist, dass die Domain
alerts-paypal.com nicht ohne gewisse Absicht registriert wurde, wurde dem Besitzer der IP-Range
internap.com der Mißbrauch ebenfalls mitgeteilt.
Die Seite
http://alerts-paypal.com/ lädt in einem Frame die Seite
http://login-pp.com/login.htm nach. Eine whois-Abfrage für
login-pp.com ergibt lediglich
I-55 INTERNET SERVICES I55-BLK-2 (NET-206-251-160-0-1)
206.251.160.0 - 206.251.191.255
Zipa, LLC I55-ZIPA-8 (NET-206-251-184-0-1)
206.251.184.0 - 206.251.184.255
Eine Google-Suche nach I-55 INTERNET SERVICES führt zu i-55.com, einem Hoster und Provider in Los Angeles, USA. Die Firma wurde über die Phishing-Aktivitäten in ihrem Bereich aufmwerksam gemacht.
Wird auf der Phising-Seite ein Login durchgeführt, so wird ein Request an
http://scrilla107.tripod.com gesandt. Tripod.com wurde über den Mißbrauch ihrer Ressourcen für Phishing informiert. Spätestens am 25.07.2005, 23:11h war die Seite von tripod.com gelöscht worden.
Am 26.07.2005, 00:38h antwortete mir i-55.com, dass
login-pp.com abgeklemmt wurde. Der Mensch von i-55.com wies mich außerdem noch daraufhin, dass die - noch immer zu erreichende - Seite
http://alerts-paypal.com/ nunmehr nach
http://blare-mail.com/login.htm weiterleitet. Eine whois-Abfrage über
blare-mail.com ergab
Registrant:
BlueHost.Com, POWERFUL WEB HOSTING - 4GB Disc - 100GB Transfer
** FREE DOMAIN REGISTRATION **
1548 N Technology Way, #D13
Orem, Utah 84097
United States
Registered through: BlueHost.com
Domain Name: BLARE-MAIL.COM
Created on: 06-Jul-05
Expires on: 06-Jul-06
Last Updated on: 06-Jul-05
Bluehost.com wurde über den Mißbrauch ihrer Ressourcen informiert.
Wird auf der blare-mail.com-Phising-Seite ein Login durchgeführt, so wird ein Request an
http://scrilla108.tripod.com gesandt. Tripod wurde über den Mißbrauch ihrer Ressourcen für Phishing informiert. Spätestens am 26.07.2005, 17:00h war
http://scrilla108.tripod.com abgeklemmt.
Der Request beim Ausfüllen des Formulares geht nunmehr an
http://scrilla109.tripod.com. Tripod wurde über den Mißbrauch informiert. Am 26.07.2005, 20:01h erhielt ich von Tripod die
Nachricht, dass
http://scrilla109.tripod.com abgeklemmt wurde.
Ebenfalls am 26.07.2005, 20:00h war
blair-mail.com offline.
Am 27.07.2005 leitet alerts-paypal.com auf
http://secure-pp.com/login.htm weiter. Eingegebene Daten werden an
http://mysubmits.tripod.com/ gesandt. Tripod wurde über den Mißbrauch informiert.
Da der Phisher schnell auf Abklemmen seiner Weiterleitungen reagiert, muß das erste Glied in der Kette, die in den Phishing-Mails beworbene Ausgangsseite
alerts-paypal.com terminiert werden. Da mir die Ressourcen dazu nicht zur Verfügung stehen, habe ich Paypal informiert.
Am 30.07.2005 war
http://alerts-paypal.com zwar noch erreichbar, die Seite, auf die weitergeladen wird (
http://aol-verification.net/paypal/login.htm) offline.
DIE INFORMATION FÜR DIE KUNDEN
DIE WICHTIGE INFORMATION
DIE WICHTIGE MITTEILUNG
ES IST WICHTIG!
VOLKSBANKEN RAIFFEISENBANKEN BANKING
VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING
VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING
Bei diesen E-Mails
Screenshot
, die vorgeben, von der Volksbank Raiffeisenbank zu kommen, handelt es sich um klassische Phishing-Mails. Der Link verweist auf die URL
http://210.21.119.123/rpm/ Screenshot, unter der eine gefälschte Volksbank-Raiffeisenbank-Seite zu finden ist. Auf dieser Seite wird der User aufgefordert, "[...] 10 ungenutzte TAN [...] (falls es sie weniger ubrigblieb, so setzen Sie die bleibenden ein)[...]" "einzutasten", außerdem "[...] Kundennummer (Kontonummer) [...] [,] PIN [...] [,] Bankleitzahl [...]".
Der User, der hier seine Daten eingibt, öffnet sein Konto komplett den Phishern.
Die Seite ist am 25.10.2005, über 10 Tage nach Eintreffen der ersten E-Mail, immer noch online. Offensichtlich gelingt es nicht, den Server abzuklemmen, obwohl diese Phishing-Welle ein gewisses Medienecho fand (beispielsweise
Meldung auf heise.de), und auch die Volksbank Raiffeisenbank warnt
Screenshotauf ihren Seiten vor den Phishing-Mails.
Die Phising-Mails trafen in sehr großer Anzahl auf
meiner Spamtrap ein (~10000 E-Mails in sieben Tagen). Sie wurden hauptsächlich über Dialup-Rechner versandt, die vermutlich gekapert wurden.
Die IP
210.21.119.123löst auf keinen Namen auf. Auf dem Rechner läuft ein Apache 2.0 http-Server unter RedHat Linux
Screenshot.
Message from eBay Member
Diese E-Mails
Screenshot, die vorgeblich von eBay stammen, verweisen auf die URL
http://mujweb.cz/www/pavel34/index.htm?r=7314 Screenshot, unter der ein gefälschtes eBay-Formular eBay-Kontodaten des Opfers mittels eines Formmailers auf
http://cgi.business.allstream.net/cgi-bin/nbcmailform an
usersss2222@yahoo.com schickt. Den Quelltext der Seite kann man
hier anschauen.
Es trafen über 15000 E-Mails ein.
mujweb.cz wurde informiert, hat aber bis jetzt nicht reagiert.