Phishing: Sparkasse

Derzeit sind vermehrt Pishing Mails mit einer angeblicch notwendigen Bestätiung der Kontodaten unterwegs. Gemeinsames Kennzeichen der E-Mails ist, das der Linkt zur Pishinge -Site in einer angehängten HTML-Datei versteckt ist. Diese Links haben nun als gemeinsames Kennzeichen, dass die auf eine in der Filestruktur von WordPress versteckte Seite mit dem Namen /wp-includes/images/wlw/ok/mail.php zeigen.

Phishing: Paypal

Paypal Pishing Seite
Paypal Pishing Seite
Es sind neue Pishing Versuche bei Paypal unterwegs. Um Grunde nichts neues, aber dies,mal versteckt sich der Link hinter einem Linkverkürzer.

Für die Umstellung auf SEPA muss kein Kunde einen Finger krümmen. Dennoch versuchen die Betrüger ständig mit dieser Masche neue Opfer zu finden. Nein, Ihre Konten werden und sind nicht gesperrt! Also auf keinen Fall auf diesen Seiten die E-Mail-Adresse und das Password für das Paypal Konto eingeben.

Die Seite paypal.webapps-einkauf.com (IP 185.11.145.61) ist eine Betrugsseite!

Gute Nacht

SPAM: Verwaltungsarbeit in der grossen Firma

Jetzt schicke ich mir schon selbst Stellenangebote. Sie auch? Lassen Sie die Finger davon; es handelt sich um Betrug und Sie landen im Knast. In diesem Fall dürfte es um Geldwäsche aus Pishing gehen. Sie erhalten einen Beträge auf ihr Konto gutgeschrieben und leiten diese Beträhe – nach Abzug ihrer Provision – ins Ausland als Bar-Überweisung per Western Union weiter.

Der Mailserver für die Domain arbeit-googleapps.com, mx.arbeit-googleapps.com (IP 220.67.126.175) steht in Korea, obwohl er vor zwei Tagen (28.11.2013) mit amerikanischen Kontaktdaten registriert wurde. Dies ist schon der zweite Fall heute, in dem kein Anonymisierungsdienst für die Registrierung genutzt wurde. Sollte es Schule machen?

Also Finger weg!

Genug für heute.

Date: Fri, 29 Nov 2013 04:13:44 -0800
From: <thomas@example.com>
To: <thomas@example.com>
Subject: Verwaltungsarbeit in der grossen Firma

Guten Tag!
Wir suchen die Mitarbeiter fuer die Verwaltungsfunktion in der Abteilung für die Arbeit mit Kunden,die mit der Geldangelegenheit verbunden ist.

Fuer die Arbeit ist notwendig:
Sie sollen eine minimale Kenntnisse im Finanz-und Währungssystem haben
Kontaktfreudig und verantwortlich sein
einen Zugang zum Internet, E-Mail und Mobilfunk haben
Ein Bankkonto für die Zahlung von Bonus und Gehalt haben

Arbeitsbedingungen:
Teilbeschaeftigung
Arbeitszeit koennen Sie selbst variieren
Ein guter Arbeitslohn
Karriereaufsteig

Für weitere Information über das Unternehmen und die Dienststellung fuellen Sie das Registrierungsformular solcher Art aus:
1.Name und Vorname
2.Kontakttelefon
3.Aufenthaltsland

Unsere Kontakte: Clare@arbeit-googleapps.com

Nach der Ermittlung Ihres Registrierungsformulars setzen wir uns mit Ihnen in Verbindung und schicken eine weitere Information.
Viel Erfolg!!!

SPAM: Angebliche Commerzbank Mitteilung

Warnung Betrug
Heute morgen war wieder eine Pishing-Mail für Commerzbank Kunden unterwegs.

Ahngeblich wurde auf das Konto von einem nicht autorisierten Computer zugegriffen. Gefahr erkannt, Gefahr gebannt; doch dioe Gefahr liegt im getarnten Link, der nicht zur Commerzbank führt, sonder auf eine gefälschte Seite zum Abfangen der Anmeldung.

Angebliche Mitteilung der Commerzbank
Angebliche Mitteilung der Commerzbank

„Dabei habe isch doch gar kein Auto – äh – Konto.“

Die obige Warnung der Commerzbank ist eine Fake. Der Link führt auf eine gefälschte Anmeldeseite über die Anmeldedaten geklaut werden.

Screen Shot der gefälschten Siete
Screen Shot der gefälschten Siete

Und siehe da, nach Eingabe zufälliger Zahlen erscheint in Chromium eine Warnung.

Warnung vor der Pishing Seite mdsideas.com.
Warnung vor der Pishing Seite mdsideas.com.

Im oberhalb des Kopfes der HTML-Seite steht, wo die Pisher die Commerzbank-Seite geklaut haben.

<!– saved from url=(0350)https://www.commerzbanking.de/P-Portal2/XML/IFILPortal/pgf.html?WSPL_ID=S-8ksWYJ5rf21NuZ78j7pZYvxbllRL55rhCc5.29oZJKW.t4BheUQhRaBfJvWQ52HUC00HbiaV3hrdpj7A4yA1k5GhR3ImjD5HPtWNw028fbsP7Il3uYb3Z6-5qle9cip44FmTTYtEFGvtf0sCJh2D-Vp-tIx-Q-u4QZ85wYAgeiRM1RD0znp7F1ZCCPwoFC&tab=800&doc=/de/gb/hauptnavigation/onlinebanking/bereichsgabelseite_onlinebanking.htm –>

Hier der Text-Teil der Mail:

</span></span></a></p>
<p>
<img src=“https://www.commerzbanking.de/P-Portal1/XML/IFILPortal/cms/images/logo.png“></p>
<p>&nbsp;</p>
<p>Sehr geehrter Kunde,</p>
<p> Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.</p>
<p> Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.</p>
<p><a href=“http://mdsideas.com/scripts/“>
https://www.commerzbank.de/</a></p>

</tr>
</table>

Jungs und Mädels, fehlerfreies Deutsch habt ihr nun geschafft; aber HTML habt ihr noch nicht gelernt. Ein Spam Score von 35.0 ist sehr hoch. Wollt ihr nicht oder könnt ihr nicht besser? Das ist ja langweilig.

Genug für heute.

Arbeit für Dich – Gut bezahlte Arbeit

Vor einigen Tagen fand ich folgende Mail im Postfach:

Screen Shot Spam, Mail - Betreff: Arbeit für Dich
Spam: Arbeit für Dich - Gut bezahlte Arbeit

Der Transfer von Geld erfolgt im Normalfall durch Banken. Diese nehmen in der Regel keine Gebühren in Höhe von 20%. Wenn hier Geld über ein drittes Konto transferiert werden soll und der Überweisende dem Kontoinhaber dafür 20% Provision ohne sonstige Leistungen zahlen will, dann kann es sich nur um Geldwäsche handeln, die in Deutschland nicht legal ist. Mein Verdacht: Das Geld stammt aus Online-Banking Betrug.

Die Mail wurde von einem Rechner mit der Adresse 125.162.233.37 verschickt, der in Indonesien stehen dürfte. Ein sicheres Zeichen, dass der Absender wenig Interesse daran hat, Fragen deutscher Ermittlungsbehörden zu beantworten.

Die Adresse del@reng-gruppe.com / de@reng-gruppe.com gehört zur Domain reng-gruppe.com, die auf einen Deutschen mit Wohnort in Braunschweig registriert ist. Ich vermute, dass er mehr Opfer – vielleicht nicht ganz unschuldiges – als Täter ist, daher lasse ich den Namen hier weg. Wer Name und Kontonummer eines Anderen kennt, hat kein Problem auf fremden Namen eine Domain anzumelden. Bis der Kontoinhaber seine Auszüge kontrolliert und sich über die unrechtmäßige Abbuchung beschwert, kann einige Zeit vergehen.

host reng-gruppe.com
reng-gruppe.com has address 31.184.241.31
reng-gruppe.com mail is handled by 10 mail.reng-gruppe.com.

Der Web-Server www.reng-gruppe.com ist zwar erreichbar, aber er meldet: „This account has been suspended. Either the domain has been overused, or the reseller ran out of resources.“

Der Server mit der Adresse 31.184.241.31 gehört zu einem russischen Class-C Netz:

..
inetnum:         31.184.241.0 - 31.184.241.255
netname:         PIN-DEDICATEDCUSTOMER-net
descr:           net for customer no. 31654
country:         RU
..

Also: Finger weg!!!

Hier noch eine kleine Sammlung zum Thema Finanzagenten haften für Phishing bei den Pfiffigen Senioren.

Nachtrag: Es gibt eine Firmengruppe Reng, gegründet von Ludwig Reng. Diese Firmengruppe hat die Domains reng-gruppe.de, renggruppe.de und renggruppe.com registriert. Vielleicht wurde die Domain reng-gruppe.com vergessen und ein kluger Kopf hat sich gedacht, dies könnte er ausnutzen. Zur Zeit meldet der Server noch „This account has been suspended. …“ (siehe oben). Ein vorgetäuschter Web-Auftritt unter dieser Domain würde das Angebot seriöser erscheinen lassen und die Absichten des Absenders der Mail wären schwerer zu durchschauen.