Mittwoch, November 05, 2014

Phishing-Betrüger des Tages

Heute im Mail-Postfach:

Von: www.sparkasse.de <direkt@sparka.de>
       oder auch info@ol.de
Betreff: Daten aus Sicherheitsgründen bestätigt werden müssen

Datenabgleich/Aktualisierung
Unser Tipp: Jetzt Online ausfüllen und Gebühren sparen!
Mit freundlichen Grüßen
Ihre Sparkasse

Guten Tag,

Unser System hat festgestellt, dass Ihre bei uns hinterlegten Daten aus Sicherheitsgründen bestätigt werden müssen.
Bitte benutzen Sie dieses Formular um die bestätigung Ihrer Daten kostenfrei zu ändern.

Andernfalls müssen wir Ihr Konto mit 14,99€ belasten und die Änderung schriftlich über den Postweg bei Ihnen einfordern.

Bitte laden und öffnen Sie das Sicherheitszertifikat angebracht und folgen Sie den Anweisungen oder wie folgt ausführen:

1. Öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie "öffnen mit" aus!
2. Füllen Sie alle Daten aus und klicken Sie dann auf "Daten absenden"!
3. Eine kostenfreie bestätigung erhalten Sie schriftlich nach 5-7 Werktagen!

Für weitere Fragen steht unser Online Support unter direkt@sparkasse.de 24Std. für Sie zur Verfügung.

Mit freundlichen Grüßen

Ihre Sparkasse

Sparkassen-Finanzportal GmbH
Telefon: 01805 - 32 33 00 (0,14 Euro/Min. aus dem deutschen Festnetz; Mobilfunk max. 0,42 Euro/Min.)
Fax: 030 - 24 63 67-01

Na denn belastet mal mein Konto um 14,99€ und fordert mal die Änderungen schriftlich ein MUHAHAHAHAAAA!!! - Verrecke du Scheisskerl!!!



Die IP von der die Mail kam war 4.117.46.235 (saruman.domaccess.com)
und nicht www.sparkasse.de
und auch nicht sparka.de (der wird wahrscheinlich gar nicht wissen, daß da einer seine Domain zum Phishen benutzt)

Und noch eine schönes HTML Formular im Anhang - logisch! Tja, leider werden meine Mails nur als plain text und nicht als HTML präsentiert.
Die HTML-form action zeigt auf  http://www.westportcorp.com/wp/wp-includes/images/wlw/ok/mail.php
Firefox blockt die Adresse bei mir schon mit:

--- update (01.12.2014):
Gleicher Inhalt aber anderer Absender:
info@ol.de, in Wahrheit wurde die Mail aber vom Server mail.mscins.ru versendet.
Nun zeigt die Form-Action der angehängten Datei Document.htm auf:
http://sosyalmedyaco.com/a/wp-includes/images/wlw/x/mail.php
Scheinbar ist der zugehörige account schon gesperrt, im Browser kommt:
---

Kommentare:

  1. D A N K E für den Hinweis.

    Ich schließe mich Irem Wunsch gerne an: Verrecke du Scheisskerl!!!

    AntwortenLöschen
  2. Solche Wixxer müssten Öffentlich gesteinigt werden!!!!
    Internet = Segen und Fluch...

    AntwortenLöschen
  3. Kann man solche Leute dran kriegen?

    AntwortenLöschen
    Antworten
    1. Schwierig.
      Die mail kam von 64.117.46.235, wenn Du draufklickst, siehst Du, das ist irgendwo in Puerto Rico mit dem hostnamen "saruman.domaccess.com". Das heißt aber nicht, daß das der Rechner dieses "Phishers" ist. Wahrscheinlicher ist, daß dieser Rechner gehackt wurde und, vom Besitzer unbemerkt, solche Mails verschickt an Mail-Adressen, die er einfach von einer Adress-Liste abarbeitet.
      Wenn man das HTML-Formular im Anhang der Mail im Editor öffnet, sieht man, daß die Form-Action auf "http://www.westportcorp.com/wp/wp-includes/images/wlw/ok/mail.php" zeigt, will heißen, Beim Abschicken dieses Formulares gehen die Daten dahin und werden von diesem PHP-Sctript verarbeitet. Dieser Rechner mit dem Hostnamen www.westportcorp.com steht irgendwo in Michigan USA, und ist bei godaddy.com, einem Massenhoster dort registriert. Ein whois verrät Dir das. Dieser Rechner kann genausogut gehackt worden sein, oder dieses besagte php-script etc. Man müßte sehen was genau dieses script mit den Daten macht, um weiterzukommen ...

      Aber aufmerksame User werden auf solch plumpe Mails nicht reinfallen, alleine die Rechtschreibung läßt zu wünschen übrig. Eine echte Bank würde zu sochen Aktionen nicht aufrufen.
      Banken legen die Menschen mittlerweile mit ganz legalen Mitteln herein - aber das ist eine andere Geschichte ...

      Löschen
  4. uff das war aber knapp ^^' ja, das sind mal wieder richtig raffinierte ar...hinteröffnungen :-P natürlich erschrickt man erstmal "was noch mehr gebühren?! das muss ich verhindern!" aber genau damit rechnen sie ja -.-
    also auch von mir: danke für die warnung

    AntwortenLöschen