SPAM: Angebliche Commerzbank Mitteilung

Warnung Betrug
Heute morgen war wieder eine Pishing-Mail für Commerzbank Kunden unterwegs.

Ahngeblich wurde auf das Konto von einem nicht autorisierten Computer zugegriffen. Gefahr erkannt, Gefahr gebannt; doch dioe Gefahr liegt im getarnten Link, der nicht zur Commerzbank führt, sonder auf eine gefälschte Seite zum Abfangen der Anmeldung.

Angebliche Mitteilung der Commerzbank
Angebliche Mitteilung der Commerzbank

„Dabei habe isch doch gar kein Auto – äh – Konto.“

Die obige Warnung der Commerzbank ist eine Fake. Der Link führt auf eine gefälschte Anmeldeseite über die Anmeldedaten geklaut werden.

Screen Shot der gefälschten Siete
Screen Shot der gefälschten Siete

Und siehe da, nach Eingabe zufälliger Zahlen erscheint in Chromium eine Warnung.

Warnung vor der Pishing Seite mdsideas.com.
Warnung vor der Pishing Seite mdsideas.com.

Im oberhalb des Kopfes der HTML-Seite steht, wo die Pisher die Commerzbank-Seite geklaut haben.

<!– saved from url=(0350)https://www.commerzbanking.de/P-Portal2/XML/IFILPortal/pgf.html?WSPL_ID=S-8ksWYJ5rf21NuZ78j7pZYvxbllRL55rhCc5.29oZJKW.t4BheUQhRaBfJvWQ52HUC00HbiaV3hrdpj7A4yA1k5GhR3ImjD5HPtWNw028fbsP7Il3uYb3Z6-5qle9cip44FmTTYtEFGvtf0sCJh2D-Vp-tIx-Q-u4QZ85wYAgeiRM1RD0znp7F1ZCCPwoFC&tab=800&doc=/de/gb/hauptnavigation/onlinebanking/bereichsgabelseite_onlinebanking.htm –>

Hier der Text-Teil der Mail:

</span></span></a></p>
<p>
<img src=“https://www.commerzbanking.de/P-Portal1/XML/IFILPortal/cms/images/logo.png“></p>
<p>&nbsp;</p>
<p>Sehr geehrter Kunde,</p>
<p> Wir möchten Sie darüber informieren, dass Ihr Konto von einem nicht autorisierten Computer zugegriffen wurde.</p>
<p> Bitte besuchen Sie uns bestätigen, dass Sie der Inhaber des Kontos sind.</p>
<p><a href=“http://mdsideas.com/scripts/“>
https://www.commerzbank.de/</a></p>

</tr>
</table>

Jungs und Mädels, fehlerfreies Deutsch habt ihr nun geschafft; aber HTML habt ihr noch nicht gelernt. Ein Spam Score von 35.0 ist sehr hoch. Wollt ihr nicht oder könnt ihr nicht besser? Das ist ja langweilig.

Genug für heute.

Pishing: Facebook – Account verification

Finger weg von den Links in diesen Mails
Facebook - Account verification fake
Facebook – Account verification fake

Netter Versuch Jungs, doch diese Mail-Adresse kennt Facebook nicht.

From: „Facebook.Team“ <9AF3AA6C@moostique.ch>
To: <thomas@excample.com>
Subject: Account verification
Date: Wed, 19 Dec 2012 10:36:39 -0500
Hi thomas,

Your account has been blocked due to spam activity.
To
activate account, please follow this link:
You may be asked to enter this confirmation code: 0754718
The Facebook Team
Didn’t sign up for Facebook? Please let us know.

Hinter dem angeblichen Facebook Link verbirgt sich in Wirklichkeit die Seite datingbest2012.info, die ich hier, genau wie meine Domain, durch example.com ersetzt habe. Die Domain datingbest2012.info ist erst gestern angemeldet worden, hat aber schon heute keine IP-Adresse mehr. Damit läuft der Link ins Leere und ich kann leider nicht ausprobieren, was geschieht. Aber Vorsicht: Es gibt sicher nicht nur einen Server und eine Domain.

Absender ist ein Rechner in Lima, Peru. Wie klein die Welt ist.

Auffällig ist die E-Mail-Adresse des angeblichen Absenders: „Facebook.Team“ <9AF3AA6C@moostique.ch>. So eine Adresse wird sicher nicht von Facebook genutzt. Hier wurde der Lokalteil (Teil vor dem @) der Adresse – zufällig? – generiert und besteht aus acht hexadezimalen Zahlen. Damit entspricht der Aufbau des Lokalteils entspricht dem Aufbau eines bestimmten sehr lästigen Typs Spam. Teilweise werden auch die Empfänger zufällig generiert und dann landen die Rückmeldungen (Zustellfehler) der empfangenden Mail-Server beim Mail-Server missbrauchten Domain. Sehr lästig, wenn man alles als gültigen Adressaten akzeptiert. Das „Default-Postfach“ bekommt dann reichlich Zustellfehler.

Damit soll es genug sein.

SPAM: Arbeitsangebote.com (3)

Die Adressen der Mail-Server mx.arbeitdeutschland.com und mx.technojobse.com werden zur Zeit nicht mehr aufgelöst. Dafür gibt es eine Neue Mail, diesmal in Englisch in der einen angeblich auf Gibraltar beheimatete Firma nach Finanzagenten sucht. Die E-Mail-Adressen lauten hier:

„SPAM: Arbeitsangebote.com (3)“ weiterlesen

SPAM: You have 1 Unread Message From PayPal!

Hier heute flatterte wieder eine Password Pishing Mail in meinen Briefkasten. Interessant war nur, dass es sich bei den Rechnern um T-Online – pdxxxxxxxx.dip0.t-ipconnect.de Kunden mit DSL-Anschluss handelt. Die IP-Adresse dieser Rechner wechselt mindestens täglich und so kann dies nur 24 Stunden. Der Weg zur falschen Web-Seite führt über eine Weiterleitung (über den selben Rechner)

From: „PayPal Account“<secure@mailservice.Paypal.com>
Subject: You have 1 Unread Message From PayPal!


———————————————————————-
We need your help
———————————————————————-

Dear valued PayPaI® Customer,

We need your help resolving an issue with your account. To give us time to
work together on this, we’ve temporarily limited what you can do with your
account until the issue is resolved.

What’s the problem?

We noticed some unusual activity on the credit card linked to your PayPaI® account.

Case ID Number: PP-001-212-055-698

How you can help

It’s usually pretty easy to take care of things like this. Most of the
time, we just need a little more information about your account.

To help us with this and to find out what you can and can’t do with your
account until the issue is resolved, please proceed to our secure webform by clicking here.

Thanks,
PayPaI®



Please do not reply to this email. This mailbox is not monitored and you
will not receive a response.
—————————————————————-
Copyright © 1999-2012 PayPaI®. All rights reserved.
Screen Shot E-Mail
Screen Shot der gefälschten E-Mail
Screen Shot der gefälschten Seite
Screen Shot der Pishing Seite auf einen Telekom-Kunden Rechner.

SPAM: United Postal Service Tracking Number H2243103717

Nichts neues, aber ich finde die Aufmachung der Mail in der HTML Ansicht sehr schöne. Blasse Farbe auf hellem Grund liest sich immer gut.

United Postal Service Tracking Number H2243103717
Attention!, thomas @ example.com.
DEAR CLIENT , We were not able to delivery the post package
Print out the invoice copy attached and collect the package at our department.
With Best Regards , UPS Customer Services.

Nun machen sie sich nicht mal mehr die Mühe, das Programm im angehängten ZIP-Archiv als *.pdf oder Word-Dokument zu tarnen.

  • Artemis!963FE8239C00
  • FakeAlert
  • PWS-Zbot.gen.anq
  • TR/Agent.ZWA
  • Trojan.Necurs.97
  • Trojan-Ransom.Win32.PornoAsset.aoty
  • Trojan-Ransom.Win32.PornoAsset
  • Trojan:W32/Injector.AH
  • Trojan.Win32.A.PornoAsset.84992.M
  • Trojan/Win32.PornoAsset
  • TROJ_GEN.F47V1018
  • Troj/Katusha-BJ
  • UnclassifiedMalware
  • VIRUS_UNKNOWN
  • W32.Cridex
  • W32/FakeAV.BJTL
  • W32/Falab.F18.gen!Eldorado
  • W32/ZeroAccess.B!tr
  • Win32:Kryptik-KGB
  • Win32.Malware!Drop
  • WORM_CRIDEX.FTN
  • ZIP/Bredolab.A!Camelot