Phishing-Archiv (5 Einträge)

Die hier dokumentierten E-Mails stammen nicht ausschließlich aus meiner Spamtrap, sondern von allen mir gehörenden Adressen - bei Phishing-Mails ist irrelevant, woher die Empfängeradresse stammt.

Open now and verify your email at eBay

Der Empfänger wird aufgefordert, auf einer Webseite sein eBay-Konto zu reaktivieren. Als Absender wurde eine real existierende eBay-Adresse verwendet, die jedem eBay-Benutzer vertraut vorkommen soll. Die Mail ist eine HTML-Mail. Die Links zur Reaktivierung haben in der HTML-Ansicht URL von ebenfalls real existierenden eBay-Servern - oder zumindestens soll es danach aussehen: man beachte das Semikolon in der URL http;//cgi.ebay.com/, ein Blick in die Rohansicht zeigt jedoch, dass der Link auf http://69.17.97.252/.signin.ebay.com/cgi4.ebay.com/ws3/eBayISAPI.dll/ zeigt. Unter dieser URL findet man eine gefälschte Webseite, die vorgibt, von eBay zu sein und bei der man seine Kontodaten eingeben soll.
Die E-Mail mit allen Headern findet man hier.
Der Server war am 21.06.2005 bereits abgeklemmt.

Your account will be suspended!

Der Empfänger wird aufgefordert, auf einer Webseite Screenshot die Daten seines Paypal-Kontos zu erneuern. Als Absender wurde eine real existierende Paypal-Adresse verwendet, die jedem Paypal-Benutzer vertraut vorkommen soll. Die Mail ist eine HTML-Mail.
Der Link zur vorgeblichen Paypal-Seite führt zu http://johnsonseeds.com/paypal/index2.htm. Unter dieser URL findet man eine gefälschte Webseite, die vorgibt, von Paypal zu sein und bei der man seine Kontodaten eingeben soll.
Die E-Mail mit allen Headern findet man hier.
Johnsonseeds wurde am 18.07.2005 über den Mißbrauch informiert.
Nach einigen Stunden kam eine automatisierte Antwort von Johnsonseeds: Meine Nachricht sei von ihrem Antispam-System geblockt worden, und ich solle doch bitte einen Bestätigungslink klicken (Die volle E-Mail findet man hier). Obwohl ich solchen Pseudo-Antispam-Maßnahmen (die eher Anti-Kommunikations-Maßnahmen sind) äußerst ablehnend gegenüberstehe und daher prinzipiell nicht befolge, machte ich in diesem Falle eine Ausnahme. Da mir Johnsonseeds allerdings nunmehr den Beweis ihrer Inkompetenz geliefert hatte, ging ein Complaint an den Hoster der Website raus.
Die Phising-Seite ist seit spätestens 18.07.2005, 21:00 Uhr offline (danke an Bernd Hohmann für die externer Link

Benachrichtigung.)

Paypal Alert - You've added a new email addy.

Die Plaintext-E-Mail Screenshot gibt vor, man habe seinem Paypal-Account eine weitere zugangsberechtigte E-Mail-Adresse hinzugefügt. Falls dem nicht so sein sollte, solle man sich auf der Paypal-Seite einloggen, um diese Berechtigung zu widerrufen. Praktischerweise wird der Link zu dieser Seite gleich mitgeliefert: http://alerts-paypal.com/Screenshot.
Eine whois-Abfrage über die Domain alerts-paypal.com liefert

Registration Service Provided By: Registerfly.com
Contact: support@registerflysupport.com
Visit: http://www.RegisterFly.com

Domain name: alerts-paypal.com

Registrant Contact:
 ees
 Fabio Giotta (civics96@yahoo.com)
 +1.3453040023
 Fax: +1.3453040023
 1465 25th Street
 San Francisco, CA 94107
 US

Administrative Contact:
 ees
 Fabio Giotta (civics96@yahoo.com)
 +1.3453040023
 Fax: +1.3453040023
 1465 25th Street
 San Francisco, CA 94107
 US

Technical Contact:
 ees
 Fabio Fabio (civics96@yahoo.com)
 +1.3453040023
 Fax: +1.3453040023
 1465 25th Street
 San Francisco, CA 94107
 US

Billing Contact:
 ees
 Fabio Giotta (civics96@yahoo.com)
 +1.3453040023
 Fax: +1.3453040023
 1465 25th Street
 San Francisco, CA 94107
 US
Status: Locked

An den Besitzer der Domain wurde eine E-Mail mit der Bitte, die Seite vom Netz zu nehmen, geschickt. Da allerdings zu vermuten ist, dass die Domain alerts-paypal.com nicht ohne gewisse Absicht registriert wurde, wurde dem Besitzer der IP-Range internap.com der Mißbrauch ebenfalls mitgeteilt.
Die Seite http://alerts-paypal.com/ lädt in einem Frame die Seite http://login-pp.com/login.htm nach. Eine whois-Abfrage für login-pp.com ergibt lediglich

I-55 INTERNET SERVICES I55-BLK-2 (NET-206-251-160-0-1) 
         206.251.160.0 - 206.251.191.255
Zipa, LLC I55-ZIPA-8 (NET-206-251-184-0-1) 
         206.251.184.0 - 206.251.184.255

Eine Google-Suche nach I-55 INTERNET SERVICES führt zu i-55.com, einem Hoster und Provider in Los Angeles, USA. Die Firma wurde über die Phishing-Aktivitäten in ihrem Bereich aufmwerksam gemacht.

Wird auf der Phising-Seite ein Login durchgeführt, so wird ein Request an http://scrilla107.tripod.com gesandt. Tripod.com wurde über den Mißbrauch ihrer Ressourcen für Phishing informiert. Spätestens am 25.07.2005, 23:11h war die Seite von tripod.com gelöscht worden.

Am 26.07.2005, 00:38h antwortete mir i-55.com, dass login-pp.com abgeklemmt wurde. Der Mensch von i-55.com wies mich außerdem noch daraufhin, dass die - noch immer zu erreichende - Seite http://alerts-paypal.com/ nunmehr nach http://blare-mail.com/login.htm weiterleitet. Eine whois-Abfrage über blare-mail.com ergab

Registrant: 

 BlueHost.Com, POWERFUL WEB HOSTING - 4GB Disc - 100GB Transfer 
 ** FREE DOMAIN REGISTRATION ** 
 1548 N Technology Way, #D13 
 Orem, Utah 84097 
 United States 

 Registered through: BlueHost.com 
 Domain Name: BLARE-MAIL.COM 
  Created on: 06-Jul-05 
  Expires on: 06-Jul-06 
  Last Updated on: 06-Jul-05

Bluehost.com wurde über den Mißbrauch ihrer Ressourcen informiert.

Wird auf der blare-mail.com-Phising-Seite ein Login durchgeführt, so wird ein Request an http://scrilla108.tripod.com gesandt. Tripod wurde über den Mißbrauch ihrer Ressourcen für Phishing informiert. Spätestens am 26.07.2005, 17:00h war http://scrilla108.tripod.com abgeklemmt.
Der Request beim Ausfüllen des Formulares geht nunmehr an http://scrilla109.tripod.com. Tripod wurde über den Mißbrauch informiert. Am 26.07.2005, 20:01h erhielt ich von Tripod die Nachricht, dass http://scrilla109.tripod.com abgeklemmt wurde.

Ebenfalls am 26.07.2005, 20:00h war blair-mail.com offline.

Am 27.07.2005 leitet alerts-paypal.com auf http://secure-pp.com/login.htm weiter. Eingegebene Daten werden an http://mysubmits.tripod.com/ gesandt. Tripod wurde über den Mißbrauch informiert.

Da der Phisher schnell auf Abklemmen seiner Weiterleitungen reagiert, muß das erste Glied in der Kette, die in den Phishing-Mails beworbene Ausgangsseite alerts-paypal.com terminiert werden. Da mir die Ressourcen dazu nicht zur Verfügung stehen, habe ich Paypal informiert.

Am 30.07.2005 war http://alerts-paypal.com zwar noch erreichbar, die Seite, auf die weitergeladen wird (http://aol-verification.net/paypal/login.htm) offline.

DIE INFORMATION FÜR DIE KUNDEN
DIE WICHTIGE INFORMATION
DIE WICHTIGE MITTEILUNG
ES IST WICHTIG!
VOLKSBANKEN RAIFFEISENBANKEN BANKING
VOLKSBANKEN RAIFFEISENBANKEN INTERNET BANKING
VOLKSBANKEN RAIFFEISENBANKEN ONLINE-BANKING

Bei diesen E-Mails Screenshot , die vorgeben, von der Volksbank Raiffeisenbank zu kommen, handelt es sich um klassische Phishing-Mails. Der Link verweist auf die URL http://210.21.119.123/rpm/ Screenshot, unter der eine gefälschte Volksbank-Raiffeisenbank-Seite zu finden ist. Auf dieser Seite wird der User aufgefordert, "[...] 10 ungenutzte TAN [...] (falls es sie weniger ubrigblieb, so setzen Sie die bleibenden ein)[...]" "einzutasten", außerdem "[...] Kundennummer (Kontonummer) [...] [,] PIN [...] [,] Bankleitzahl [...]".
Der User, der hier seine Daten eingibt, öffnet sein Konto komplett den Phishern.
Die Seite ist am 25.10.2005, über 10 Tage nach Eintreffen der ersten E-Mail, immer noch online. Offensichtlich gelingt es nicht, den Server abzuklemmen, obwohl diese Phishing-Welle ein gewisses Medienecho fand (beispielsweise externer Link

Meldung auf heise.de), und auch die Volksbank Raiffeisenbank warnt Screenshotauf ihren Seiten vor den Phishing-Mails. Die Phising-Mails trafen in sehr großer Anzahl auf meiner Spamtrap ein (~10000 E-Mails in sieben Tagen). Sie wurden hauptsächlich über Dialup-Rechner versandt, die vermutlich gekapert wurden.
Die IP 210.21.119.123löst auf keinen Namen auf. Auf dem Rechner läuft ein Apache 2.0 http-Server unter RedHat Linux Screenshot.

Message from eBay Member