TAN Fishing Mails diverser Banken / Postbank

#31 Jo hab ich auch gekriegt.

Zitat

Inhaltsanalyse im Detail: (6.7 Punkte, 1.5 benötigt)

Pkte Regelname Beschreibung
---- ---------------------- --------------------------------------------------
0.5 FROM_ENDS_IN_NUMS Absenderadresse endet mit Ziffern im Benutzernamen
1.7 MSGID_FROM_MTA_ID Kopfzeile "Message-ID" wurde lokal hinzugefügt
0.1 NORMAL_HTTP_TO_IP URI: Benutzt eine IP-Adresse (a.b.c.d) in einem Hyperlink
1.2 MIME_HTML_ONLY BODY: MIME-Nachricht besteht nur aus HTML
2.0 HTML_IMAGE_ONLY_08 BODY: Außer Bildern nur 400-800 Zeichen Text
1.0 HTML_FONT_LOW_CONTRAST BODY: HTML-Schriftfarbe ähnlich der Hintergrundfarbe
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
0.4 FROM_HAS_ULINE_NUMS Benutzername des Absenders enthält Unterstrich und Ziffern/Buchstaben

__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#32 Und der nächste Müll:

Zitat

<html><p><font face="Arial"><A HREF="https://citibank.de/HomeBankingSecure/Pers/StartSession.asp?confirm=1&DEVICEMODE=HTMLGPH"><map name="mQB8H"><area coords="0, 0, 682, 395" shape="rect" href="http://219.149.232.47/rpm/"></map><img SRC="cid:part1.00060009.06080803@support_refnum_1584002605@citibank.de" border="0" usemap="#mQB8H"></A></a></font></p><p><font color="#FFFFF6">and make them better? Mortage Rates Let me do it Lockerbie blame Zelda </font></p></html>

__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#33 Das hier wird langsam zum allgemeinen Phishing-Alarm Thread
Finde so eine "Liste" jedoch nicht schlecht, ermahnt sie den unbedarften User doch erneut zur Vorsicht, gibt anderen einen zumindest kleinen Überblick was aktuell so umher schwirrt und zeigt den allgemeinen Aufbau solcher Mails auf.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#34 Die letzte Mail war richtig gut gemacht:

Zitat

Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!

Da ich wirklich ab und an Fliege hab ich mir schon gedacht hä wasn hier los. Der Anhang machte es dann klar:
rechnung.pdf.exe

Das gleiche dann nochmal als:

Zitat

Guten Tag,



die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 547,18 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.

Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.



Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".

=================================

RECHNUNG ONLINE - TIPP DES MONATS

Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.

Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:

www.t-com.de/aktuell.

=================================



Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".





Mit freundlichen Grüßen



Ihre T-Com



------------------------------------------------------

Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.

T-com-Rechnung.pdf.exe

Leider kann ich hier nicht prüfen welche Malware sich dahinter verbirgt, das hohl ich heute Abend noch nach.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#35 Achja beides war:
Found Trojan-Downloader.Win32.Small.bgp
-> http://www.sophos.de/virusinfo/analyses/trojvidlot.html
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#36 Banken über Banken:

Zitat

From security@deutsche-bank.de Mon Aug 15 09:08:45 2005
Return-Path: <security@deutsche-bank.de>
X-Flags: 1001
Delivered-To: GMX delivery to asdrubael at gmx.net
Received: (qmail invoked by alias); 15 Aug 2005 09:08:41 -0000
Received: from cpe-24-24-138-63.socal.res.rr.com (HELO -1213108328) [24.24.138.63]
by mx0.gmx.net (mx006) with SMTP; 15 Aug 2005 11:08:41 +0200
Received: from deutsche-bank.de (-1216375536 [-1216920280])
by cpe-24-24-138-63.socal.res.rr.com (Qmailv1) with ESMTP id 296A1CE1DE
for <asdrubael at gmx.net>; Mon, 15 Aug 2005 17:09:30 -0700
Date: Mon, 15 Aug 2005 17:09:30 -0700
From: Deutsche Bank <security@deutsche-bank.de>
X-Mailer: The Bat! (v2.00.4) Personal
X-Priority: 3
Message-ID: <2284639749.20050815170930@deutsche-bank.de>
To: Asdrubael <asdrubael at gmx.net>
Subject: Deutsche Bank
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------2ED8352D4AA97BB"
X-Virus-Scanned: Symantec AntiVirus Scan Engine
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=2.818; DATE_IN_FUTURE_12_24 MIME_HTML_NO_CHARSET)
X-GMX-UID: zD5yY9x3eSEkdBmDUHQhaXN1IGRvb4BW

Zitat

Sehr geehrter Kunde,

Die Deutsche Bank sorgt immer für die Sicherheit von unseren Kunden, deswegen werden von uns immer wieder neue Methoden zur Sicherung der Interessen von unseren Klienten entwickelt.
In der letzten Zeit wurden die Betrügereiversuche, die Geldmittel von den Bankkonten zu stehlen, häufiger geworden. Das Anwendungssystem der TAN - Aufstellung hat sich nicht ganz bewährt. Die Schwindler haben verstanden, wie sie diese Schutzart umgehen können.
Wir haben sehr sorgfältig jeden Diebstahl von den Konten behandelt und haben somit eine Liste von den Merkmalen der verdächtigen Operation gemacht.
Gegenwärtig haben wir ein neues elektronisches Sicherheitssystem aufgebaut, das den Zugang zu den Bankkonten verhindert, das ist praktisch einsatzbereit. Scheint die Transaktion unsauber, so wird von dem System eine Geheimfrage gestellt. Bekommt das System keine Antwort, so werden das Konto und die laufende Transaktion bis zur Klärung der Umstände blockiert.

Wir bitten Sie, um das System richtig laufen zu lassen, die Form der zusätzlichen Autorisation auszufüllen.

Wir hoffen, dass Sie unser neues Sicherheitssystem richtig einschatzen.

Danke für die Zusammenarbeit,
Deutsche Bank

Der Link führt zu:
http://www.deutsche-bank.de.pbc_content.ser_obs_sic_grundlagen.backup011.com/mod/WebObjects/dbpbc.woa/

Abgesehen davon das ich nicht bei der deutschen Bank bin, spricht mich eine Bank wohl kaum mit "asdrubael" an, mailt mit einer personal Edition von The Bat und vergisst den Umlaut bei "einschatzen". Frag mich echt wer auf sowas reinfällt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#37

Zitat

Neue Phishing-Welle trifft diesmal Kunden der Sparkassen
Erneut ist eine Phishing-Welle durchs Netz geschwommen. An diesem Wochenende wurden Sparkassenkunden dazu aufgefordert ihre PINs und TANs über eine "offizielle" Seite der Sparkasse zu bestätigen.
Die Phishing-Mail kommt von der Adresse "sparkasseaccess@homebanking-spk.kontoupdate.com". Obwohl der Text grammatikalisch korrekt formuliert wurde, erscheint er beim Lesen ziemlich unseriös und verwirrend.
Ein Auszug der Phishing-Mail lautet: "Die Konten, die bis zum 27.08.05 in dieser Form nicht angegeben werden, werden bis zur Feststellung der Umstände ihrer Eröffnung und Verwendung gebunden."

wer schickt mir einen Sreenshot von so einer Mail
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Glücklicherweise sind die Phishingmails noch relativ gut zu erkennen, obwohl ich manchmal am Verzweifeln bin, wenn einige Freunde alles glauben, was sie im Internet vorgesetzt bekommen (is ja auch ein Problem der Viren & Spyware-Rubriken hier im Forum).

Hier reicht ja allein die Überprüfung der Mail-Adresse, denn krwwzpgqzgjkti@confidence.msdn.com sieht nicht vertrauenswürdig aus. Da muss man nicht mal ne URL-Kontrolle oder ne Headeranalye vornehmen. Anders sieht es da mit bestimmten eBay-Phishing-Mails aus, wo die URL so manipuliert ist, dass man zuerst auf der Original-eBay-Seite landet, nach einem dortigen erfolgreichen LogIn aber direkt an die Phisher-Seite weitergeleitet wird. Das überlistet sogar die eBay-Toolbar.
http://www.antispam.de/forum/showthread.php?t=9032
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#39 Ob Seiten wie PhisFighting.com so viel Sinn machen wage ich zu bezweifeln. Genauso schnell wie man falsche Daten an ein Formular der Phiser schicken kann, können die Datensätze an eBay, Paypal etc. schicken und durchprobieren. Das dürfte deren Leben kaum schwieriger machen. Die effektivste Methode ist einfach jeden den man kennt über sowas aufzuklären, denn erst wenn wirklich niemand mehr auf sowas reinfällt lohnt es sich nicht mehr.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#40

Zitat

jetzt versuchens schon mit MS critical updates, viren auf pc

nun, ich habs nicht erklaert und diese MS-Windowsupdate-Geschichte sollte auch nicht auf einer Pishingseite stehen...es gehoert eine upgrade57.exe dazu (140 kb gross) und die ist ziemlich unangenehm, wenn man draufklickt.....
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Anscheinend hat man zwischenzeitlich reagiert. Beim Öffnen einer schon etwas älteren Phising-Mail erscheint nun folgendes:


__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#42 habe gerade auch mal wieder eine Volksbank Phising Mail bekommen, ich habe das Gefühl, das diese Mails alle irgendwie von einer Person versandt werden!

immer dieselben makaber schlechten Rechtschreibfehler:

http://img425.imageshack.us/img425/4665/raiflolklein1od.jpg

Greetz Lp

#43 es sieht aus, wie eine schlechte Online-uebersetzung...die Daten landen dann bestimmt irgendwo im Ausland
__________
MfG Sabina

rund um die PC-Sicherheit

#44

Zitat

ich habe das Gefühl, das diese Mails alle irgendwie von einer Person versandt werden!

IMHO ist für 99% aller Phishing Mails Leo Kuvayev aus Russland verantwortlich.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#45 wieso kennst du den Knaben so genau? Weisst du auch, wie man ihn am Schlips zu packen bekommt ?
__________
MfG Sabina

rund um die PC-Sicherheit