SPAM: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben

[vgwort line=“61″ server=“vg08″ openid=“5defe80a30e24971a440d7044f89ac64″]

Zur Zeit flattert eine recht primitiver Pishing Versuch in die Postfächer. Angeblich sollen von meinem Konto bei der Volksbank, das ich im übrigen nicht habe, 950€ abgeschrieben werden. Die Mail selbst ist ungefährlich. Gefahr geht nur von dem Link in der Mail aus, der auf eine Datei Informationen.html auf verschiedenen Server verweist. Alle gefundenen Links folgen dem Muster http://<server-name>/Informatioen.html.

From: Eigene Adresse
To: Eigene Adresse
Subject: 950.00 Euro werden von Ihrem Konto in VOLKSBANK in 24 Stunden abgeschrieben

Sehr geehrter Kunde,

Wir haben die Anfrage auf die Abschreibung von 950.00 Euro von Ihrem Bankkonto in VOLKSBANK für die Begleichung der Anlieferung von Dokumenten bekommen.
Die Abschreibung von Geldmitteln und weitere Sendung von Dokumenten erfolgen in 24 Stunden.

Vgl. Angaben des Auftrages

Mit freundlichen Grüßen,
Kundenunterstützungsdienst der Bank VOLKSBANK.

Weitere Betreff-Zeilen sind:

  • Abschreibung von 950.00 Euro von Ihrem Bankkonto in VOLKSBANK
  • Anfrage auf die Abschreibung von 950.00 Euro von Ihrem Bankkonto in VOLKSBANK
  • Es sind 950.00 Euro von Ihrem Bankkonto in VOLKSBANK zu begleichen.

Folgende Server, in die wahrscheinlich eingebrochen wurde, fanden sich in den Mails der letzten 24 Stunden.

  1. wim.met.pl
  2. beatamaestra.com
  3. businesslaw-az.com
  4. birbeyrestaurant.com.tr
  5. mysqlphpdersleri.com
  6. www.reelcati.com
  7. harmanpazarlama.com
  8. apgtasarim.com
  9. yenidoganpastaneleri.com
  10. larakerem.com
  11. pm118.edu.lodz.pl
  12. wim.met.pl
  13. outstandingmuslim.com

Zum jetzigen Zeitpunkt sind die Seiten noch auf allen Servern vorhanden. Da haben die Administratoren noch etwas Arbeit vor sich. Der Firefox erkennt einige der Seiten bereits als attackierende Seiten und warnt vor dem Zugriff.

Die Seite Informationen.html leitet die Anfrage mit nachfolgendem Trick einfach auf einen Seite http://107.6.97.250/links/around_film.php

<meta http-equiv="refresh" content="0;url='http://ip-addresse/links/around_film.php'"></meta>
<html><head><title>Bitte warten...</title></head><body><a href="http://107.6.97.250/links/around_film.php">Bitte warten...</a></body></body></html>

Als IP-Adresse für die Weiterleitung fand ich zwei Adressen:

  • 107.6.97.250
  • 94.23.43.55

Diese beiden Server scheinen nicht mehr zu funktionieren. Wget meldet Fehler 502: Bad Gateway.

Die Mails melden als X-Mailer alle The Bat! jedoch in unterschiedlichen Versionen:

  1. The Bat! (v2.00.0) Personal
  2. The Bat! (v2.01) Business
  3. The Bat! (v2.12.00) Business
  4. The Bat! (v3.0.0.15) Professional
  5. The Bat! (v3.51.10) Professional
  6. The Bat! (v3.51) Professional
  7. The Bat! (v3.5.25) Professional
  8. The Bat! (v3.5.30) Educational
  9. The Bat! (v3.5.30) Professional
  10. The Bat! (v3.5) Educational
  11. The Bat! (v3.5) Professional
  12. The Bat! (v3.71.04) Home
  13. The Bat! (v3.71.04) Professional

Quelle des Übels dürfte ein Bot-Netz zu sein, da nach erstem Augenschein alle Absender dynamische IP-Adressen verwenden.

Insgesamt eine sehr dilettantischer Versuch der Bauernfängerei. Das war nicht mehr als eine Übungsaufgabe der ersten Klasse der Spam-Grundschule.

Genug der Mühe.

3 Kommentare

  1. Habe die Spam Mail heute auch erhalten. Aufgefallen ist mir noch: Es sind außer meiner noch 4 weitere Email-Adressen in der Verteilerliste eingetragen. Eine davon ist auch der Absender (mtremetsberger@yahoo.de). Alle sind von yahoo.de.

    1. Bei mir sind in allen Mail Absender und Empfänger gleich und es sind keine weiteren Empfänger eingetragen. Dies wäre auch Inhaltlich unsinnig. Allerdings ist es auch unsinnig, dass ich mir die Mail selber geschrieben habe.

      Vielleicht gibt es mehrere Quellen.

      Gute Nacht

Kommentare sind geschlossen.