Virenkiller.de

16. September 2013

Erster Versuch: Buchungsbestätigung (Auftrag TO3E2W)

Category: Email,Test – virenkiller – 12:45

Der Virenverbreiter übt gerade noch. Vom chinesischen Server 117.103.60.250 kommt eine seltsame Mail, bei der noch der Ansprechpartner und der Virenanhang fehlen.

Ein bisschen blöde ist auch, dass der Großteil der Empfänger sofort misstrauisch werden wird, weil er weder ein Ticker online gekauft hat – noch eine Bahncard besitzt.

Falls demnächst eine solche Mail kommt: Einfach löschen!

 Buchungsbestätigung (Auftrag TO3E2W)

  Sehr geehrte,    vielen Dank für Ihren Fahrkartenkauf.        Ihre=
 Buchungsdaten:  Auftragsnummer: FV253P Identifizierungskarte: BahnCard *=
***1053  Kundennummer: 93026724         Das sollten Sie wissen: Bitte dru=
cken Sie Ihr Online-Ticket im DIN A4 Format aus!

20. März 2008

Neues Volksbank-Phishing

Category: Phishing,Spam,Virenwarnung – virenkiller – 17:37

vbphishing Die Volksbank-Phisher versuchen es mal wieder!

Angeblich muss man mal wieder seine Kundendaten ausfüllen. Dazu wird man angeblich auf eine Seite der Volksbank gebeten.

Tatsächlich wird aber eine chinesische Webadresse aufgerufen, die dem Besucher ein Formular zum Ausfüllen präsentiert.

Bereits mit dem Text der Mail haben die – vermutlich nicht deutschen – Idioten Probleme. Und auch das Formular ist nicht in der Lage, Umlaute korrekt darzustellen.

Betreff

Neuer Zugang zum Online-Banking

Der Mailtext

HTML-Version:

   Sehr geehrter Kunde, sehr geehrte Kundin,

   Die Technische Abteilung der Volksbanken Raiffeisenbanken möchte Sie bitten,
   die Formular zur Bestätigung der Kundendaten auszufüllen.

   Das Ausfüllen dieses Formulars ist obligatorisch für alle Bankkunden.

   Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
   zu bestätigen. Bitte füllen Sie dieses Formular vollständig aus.
http://www.vr-networld.de/DEGCB/JPS/portal/Index.do

   Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
   Ihnen für Ihre Mithilfe.

   ***** Bitte antworten sie nicht auf diese mail *****

   Diese Nachricht wurde automatisch generiert

Reiner Text (Umlautprobleme)

Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Volksbanken Raiffeisenbanken mochte Sie bitten,
die Formular zur Bestatigung der Kundendaten auszufullen.

Das Ausfullen dieses Formulars ist obligatorisch fur alle Bankkunden.

Wir mochten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestatigen. Bitte fullen Sie dieses Formular vollstandig aus.

http://www.volksbank.deinst31.cn/DEGCB/JPS/portal/Index.do

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen fur Ihre Mithilfe.

***** Bitte antworten sie nicht auf diese mail *****

Diese Nachricht wurde automatisch generiert

Tatsächlich geht es zu:

http://vr-networld.de.firu10.cn/DEGCB/JPS/gad
einer chinesischen Adresse auf einem rumänischen Server.

Vorsicht, weiterlesen. Könnte Exploit im iFrame enthalten!!!

Firefox erkennt die Phishing-Attacke sofort!

Warnung

Die oben genannte Seite enthält noch einen 1-Pixel großen iFrame, welcher zu einem Server in Hong Kong führt. Der könnte ein Exploit beinhalten!

Verhaltensregel

Ihre Bank wird Sie niemals auffordern, ihre Daten auf so einer Seite einzugeben. NIEMALS! Ignorieren Sie solche Mails. Löschen Sie sie. Gucken Sie NICHT aus Neugier nach, was sich dahinter verbirgt!

12. Januar 2008

Neues Sparkassenphishing – Januar 2008

Category: News,Phishing – virenkiller – 09:58

Das Jahr hat gerade begonnen und schon versucht man wieder, Sparkassenkunden die Zugangsdaten zu klauen.

Betreff:
Anleitung (nachrichtenzahl: hv89498592n)

Text der Mail:
Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://sparkasse.de/datenbank/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

=================================================

© sparkasse.de 2007. Alle Rechte vorbehalten.

4XCT: 0x6315, 0x77, 0x87763137, 0x3280, 0x24, 0x80261008, 0x69, 0x3, 0x8 E8W function define 0x98, 0x0, 0x060, 0x560, 0x70026067, 0x97223230, 0x18680233, 0x0220 revision: 0x1, 0x93, 0x93, 0x624 7885: 0x0, 0x6803, 0x41795341, 0x28, 0x4539, 0x43108747, 0x38831787, 0x34346765, 0x0, 0x23334535, 0x6174, 0x6757 0x8, 0x031, 0x515, 0x88754971, 0x01, 0x7, 0x1256, 0x18, 0x2, 0x6, 0x1, 0x84175762 HY7C: 0x82, 0x07, 0x026, 0x985, 0x92965103, 0x4839, 0x84746818, 0x3, 0x65489813 rcs: 0x983, 0x1372, 0x93 7KQ: 0x6, 0x29520312, 0x4, 0x5615, 0x317

0x759, 0x63377769, 0x36, 0x83092159, 0x69, 0x2, 0x9, 0x58320156, 0x18, 0x578, 0x30, 0x63287570, 0x63, 0x96 0x5519, 0x4473, 0x125, 0x6, 0x35, 0x18, 0x6220, 0x1, 0x09339475, 0x0433, 0x48, 0x59783264, 0x336, 0x8176 include: 0x5708, 0x372 source revision CJSQ dec: 0x4, 0x54631848, 0x3, 0x43325787, 0x325, 0x9, 0x043, 0x09782923 0x035, 0x1, 0x151, 0x17, 0x577, 0x22144808, 0x63 NLJ, revision 5UI, tmp. hex: 0x16892796, 0x756, 0x99707437, 0x676, 0x8326, 0x5175, 0x2, 0x92, 0x2102 rcs: 0x4, 0x3567, 0x4, 0x9803, 0x3, 0x2, 0x3, 0x5, 0x29341735, 0x80, 0x22, 0x0459 0x1, 0x5197, 0x87734237, 0x5244, 0x76795692, 0x98602962, 0x463, 0x287, 0x83

0N4: 0x254, 0x0578, 0x81, 0x1680, 0x141, 0x9415, 0x9744 media: 0x86950362, 0x16441593, 0x0, 0x76, 0x71105520, 0x53647734, 0x705, 0x3536, 0x26084869 0x64, 0x935, 0x4, 0x344, 0x1109, 0x565, 0x086, 0x7624, 0x469, 0x8831, 0x42420734, 0x2, 0x99, 0x4630, 0x3 create: 0x98447281, 0x313, 0x1, 0x855, 0x9 api I812 ZX5L 3SR CY12 Z5IG AIOF revision NUChex: 0x8, 0x402, 0x2218, 0x25 hex: 0x8960, 0x9842, 0x3, 0x0, 0x4, 0x2, 0x76608189, 0x755, 0x42222397, 0x36854223, 0x29491868, 0x1794 KJ2Y: 0x54, 0x2, 0x05350041, 0x75988467, 0x71417153 CHD, 3M2, P3TV. 0x168, 0x8, 0x4749, 0x6359, 0x4, 0x9, 0x9728, 0x76, 0x6, 0x658, 0x879, 0x19454437, 0x5264

Das es sich um eine Mail im HTML-Format handelt, versteckt sie den tatsächlichen Link. Dieser verweist auf:

http://sparkasse.de.datenbank.kjhds5.cn/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

also auf die Domain kjhds5.cn, eine chinesische Adresse!

Es präsentiert sich dann eine auf den ersten Blick einleuchtende, aber eigentlich primitiv gemachte Seite, die den Besucher auffordert, seine sämtlichen verbleibenden TAN-Nummern einzugeben.

.sparkasse2008

Offensichtlich hapert es bei den Verursachen mit der deutschen Sprache, denn auf der Seite steht sie abenteuerliche Satzkonstruktion:

Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgeführt werden, die fehlenden Felder auszufüllen.

Tipps von Virenkiller.de

  1. Schalten Sie in Ihrem Emailprogramm die Funktion der HTML-Anzeige ab!
  2. Nutzen Sie einen Browser mit Funktion gegen Phishing, wie etwa Firefox (Link rechts in der Menüspalte)

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen