Phishing: E-Mail-Konten der Password-Fischer

Sparkassen Phishing
Gefälschte Seite der Sparkasse
Zur Zeit gehen wieder vermehrt Phishing-Mails für die Sparkasse bei mir ein. Dabei ist es mir geglückt an eine Installationsdatei für die Phishing Seiten zu gelangen. Aus dieser Datei ergibt sich, dass die Kriminellen zur Zeit folgende E-Mail-Adressen verwenden, an die sie die abgegriffenen Kontodaten schicken:

  • sunnycoolblooded@gmail.com
  • arisvanrobchams@outlook.com

Leider geschieht das Versenden der E-Mails vom Server, so dass man lokal nichts dagegen tun kann. Hier ist auch Vorsicht geboten., denn die Seite wird von allen Virenscannern bei Virustotal als „Clean Site“ gemeldet.

Ich wünsche noch frohe Ostern.

PS: Hier noch der Klartext der E-Mails – etwas seltsam formatiert:

-Sehr geehrter Kunde,

-wir möchten Sie darauf hinweisen, dass der Zugang zu Ihrem Online-Konto in Kurze abläuft. Um dieses weiterhin nützen zu können, bitten wir Sie Ihre Daten bei folgendem Link zu bestätigen:

-Sparkasse Online-Konto aktualisieren: klicken Sie hier

-Anschließend wir Ihr Online-Konto automatisch wiederhergestellt und Sie werden von einem unserer Mitarbeiter kontaktiert.

-Beim Online-Banking haben Sie per Klick alles im Griff.

-Mit dem komfortablen Online-Banking haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto. Bequem können Sie Überweisungen und Daueraufträge per Mausklick erledigen.

-DIE VORTEILE AUF EINEM BLICK:

,,..Kontozugang rund um die Uhr
,,..Schneller Zugriff aufs Girokonto
,,..Online-Banking bequem vom Handy oder PC aus
,,..Flexibel in jedem Winkel der Welt
,,..Kombinierbar mit Telefon-Banking

-Wir freuen uns sehr Sie weiterhin als unseren Online Konto Kunden begrüßen zu dürfen!

-Mit freundlichen Grüßen,
-Ihr Sparkasse Kundenservice.

SPAM: Vodafone Online Rechnung 57487 341247

Gerade flatterte eine Vodafone Online Rechnung in mein Postfach. Komisch. Ich bin nicht bei Vodafone. Der Inhalt war wie erwartet. Eine angebliche Rechnung in einem ZIP-Archive, die sich dürftig als PDF zu tarnen versucht.

Die Mail hat einen Text und einen HTML-Teil. der Text teil ist extrem schlecht formatiert.

Ihre aktuelle Online-Rechnung

==========================================================

Dies ist eine automatisch generierte E-Mail. Bitte senden

Sie keine Antworten an diese Absender-Adresse.

==========================================================

Ihre aktuelle Online-Rechnung steht für Sie bereit.

Die Gesamtsumme für den aktuellen Abrechnungszeitraum beträgt: 91,88 Euro.

Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Hinweise zu Ihrer Rechnung:

=> Sie können Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.

Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.

=> Der Rechnungsbetrag wird frühestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.

=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter
http://www.vodafone.de/kunden/rechnungserklaerung

Online-Kundenservice – Tipp des Monats!

Sie ziehen um? Wir ziehen mit!

Beauftragen Sie Ihren Umzug schnell und bequem online: http://www.vodafone.de/kunden

Sie erreichen Ihren kostenlosen Online-Kundenservice rund um die Uhr!

Exklusiv für Sie!

Mit dem Kundenmagazin „news“ sind Sie immer top-informiert!

Klicken Sie rein!

http://www.vodafone.de/kunden/news

Mit freundlichen Grüßen,

Ihr Vodafone Team

Vodafone D2 GmbH

Adresse: Am Seestern 1, 40547 Düsseldorf

Sitz: Düsseldorf

Eintragung im Handelsregister: Amtsgericht Düsseldorf, HRB Nr. 24644

Zentrale: Am Seestern 1, 40547 Düsseldorf

Vorstand: Friedrich Joussen (Vorsitzender),

Jan Geldmacher, Hartmut Kremling, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna, Achim Weusthoff

Vorsitzender des Aufsichtsrats: Michel Combes

http://www.vodafone.de/kunden

Die Links zeigen tatsächlich alle auf Vodafone. Der Schreiber versucht nicht, seinen Trojaner auf mehreren Wegen an den Mann oder die Frau zu bringen. Leider hat er vergessen, die Style-Definitionen einzubinden. So ist die Formatierung eher spartanisch. Aber besser als der Text-Teil. Die Namen der Geschäftsführung stimmen nur teilweise mit den im Impressum von Vodafone überein.
„SPAM: Vodafone Online Rechnung 57487 341247“ weiterlesen

Stock-Foto: der-masterplan.org

Wolfgang K., 19 Jahre Stock-Foto zu der-masterplan.org In einem früheren Artikel hatte ich über die Herkunft der Fotos von HaJo Erzbach berichtet. Als Ergänzung hier die Quelle des Bildes (Shutterstock ID=48222298) von Wolfgang K., 19 Jahre und angeblicher Azubi.

http://www.shutterstock.com/pic.mhtml?id=48222298

HaJo Erzbach: Stock-Fotos

In einem früheren Artikel hatte ich untersucht, ob es sich bei HaJo Erzbach um einen Fake handeln könnte. Ich hatte vermutet, dass es sich bei den verwendeten Bildern um Stock-Fotos handelt, die ich bisher nicht finden konnte. Heute ist es mir gelungen die Bilder den zugehörigen Stock-Fotos zuzuordnen.

Facebook Bild

„HaJo Erzbach: Stock-Fotos“ weiterlesen

Trojaner: Scan from a Hewlett-Packard ScanJet

Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.

Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350

Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]

Zu dumm, dass ich

„Trojaner: Scan from a Hewlett-Packard ScanJet“ weiterlesen

HaJo Erzbach: Ein Fake?

In dem Artikel zu den Binary Options Mails habe ich die technische Herkunft der Mails untersucht. Eine bisher vernachlässigte Frage, steht hinter HaJo Erzbach eine reale Person. Diese Frage sollte mit Informationen aus dem Netz zu beantworten sein.

Legen wir los.

„HaJo Erzbach: Ein Fake?“ weiterlesen

SPAM: Delivery Status Notification (1)

Zur Zeit schicken mir zahlreiche Mailserver freundliche Hinweise darüber, dass

  • sie meine Mails nicht ausliefern können und daher zurücksenden.
  • sie versuchen werden meine Mail in den nächsten Tagen oder Stunden erneut zu senden.

Der Betreff (Subject) dieser Mails lautet zum Beispiel:

  • Delayed Mail (still being retried)
  • Delivery Notification: Delivery has failed
  • Delivery Status Notification
  • Delivery Status Notification (Delay)
  • Delivery Status Notification (Failure)
  • Mail delivery failed: returning message to sender
  • Mail Delivery Failure
  • Mail System Error – Returned Mail
  • [POSSIBLE SPAM] Mail delivery failed: returning message to sender
  • Returned mail: see transcript for details
  • Undeliverable: Newsletter
  • Undelivered Mail Returned to Sender
  • Unzustellbar: Newsletter
  • Unzustellbar: [SPAM:] Dear iypagev8114

Ursache ist, dass die Spammer Absenderadressen aus einer meiner Domains generieren.

„SPAM: Delivery Status Notification (1)“ weiterlesen

RE:Why did you put this photo online?

Why did you put this photo online?
Why did you put this photo online?

Hab ich nicht und so blöd nicht zu erkennen, dass das Bild eine ZIP-Datei mit ausführbarem Programm ist, bin ich auch nicht. Wie üblich ist der Trojaner zu neu, um von den meisten Scannern erkannt zu werden. Scheinbar funktionieren auch heuristische Verfahren kaum noch. Wer sein E-Mail-Postfach durch einen Virenscanner und nicht die eigene Wachsamkeit schützen lassen will, sollte seine E-Mails erst mit mehreren Tagen Verzögerung lesen.

Ein anderer netter Versuch ist eine E-Mail mit dem Betreff: RE:They killed your privacy man your photo is all over facebook! NAKED! Hier war der Trick etwas billiger: Erst der übliche Trick mit der Exe in der ZIP-Datei – aber mit doppelter Endung getarnt – IMG9321.jpg.zip, dann einen Tag später eine Exe-Datei mit doppelter Erweiterung IMG6897.jpg.exe. Wobei die reine Exe-Datei nach einer Woche von clamscan nicht als Schädling erkannt wird. Die einen Tag ältere Datei wird als W32.Trojan.Jorik-2 erkannt.

Mircosofts Idee, die Dateiendungen standardmäßig auszublenden, ist eine der dümmsten, die sie bisher hatten. Warum sie in den neusten Windows Versionen immer noch an diesem Schwachsinn festhalten ist mir schleierhaft.