Neue richtig gute Phishing-Attacke auf Sparkassen

MrNett

Benutzer

Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003

Betreff:

Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 10.08.2005 - 18:07 Uhr · #1

http://210.77.194.22:8081/spar…Login.html

Ergänzung durch Raimund: Vorsicht bei solchen Links! Klickt nicht auf den Link, wenn euer Rechner nicht auf dem neuesten Stand ist, die Programmierer scheuen sicherlich vor nichts zurück, hier einen Virus zu platzieren ist kein Problem! Wer also unsicher ist und z.B. keinen guten Virenscanner hat: Finger weg!

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8172
Dabei seit: 08 / 2002

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 10.08.2005 - 19:09 Uhr · #2

ei, verflixt, das schaut gut aus.

edit: Der link sieht auch interessant aus: Der Webserver wird über einen Port angesprochen?

Und der Webmaster des Servers heisst: zhaobing8181@163.com

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8172
Dabei seit: 08 / 2002

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 10.08.2005 - 19:36 Uhr · #3

Was ich sehr gut finde: Klickt man auf einen der Links, dann kommt eine guter Warnhinweis, klasse Idee!

Zitat

Sicherheitshinweise
Aktuelle Phishingh-Attacke

Wir zeigen Ihnen diese Seite, weil Sie von einem Server zu Sparkasse.de gelangt sind, auf dem zur Zeit eine Phishing-Attacke läuft.

Wenn Sie einem Link in einer E-Mail gefolgt sind und auf einer der vorigen Seiten Ihre PIN und (mehrere) TAN(s) eingegeben haben ist es wahrscheinlich, dass Sie Opfer eines Betruges wurden. In diesem Fall kontaktieren Sie bitte umgehend Ihre Sparkasse. Unser Filialfinder hilf ihnen dabei.

Mit freundlichen Grüßen
Ihr Team von Sparkasse.de

Leider klappt die Mail-Adresse zum jetzigen Zeitpunkt noch nicht und ich würde sofortige Maßnahmen empfehlen, also
SOFORT die PIN ändern und zwar auf der richtigen Seite und nicht erst warten, bis man den netten Sparkassenmitarbeiter am Telefon hat oder gar die Bank wieder öffnet!

MrNett

Benutzer

Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 10.08.2005 - 20:20 Uhr · #4

Das Problem ist, daß der Server in China ist. S-cert ist informiert! Aber zur Zeit sieht die Seite wieder anders aus als zu anfang!

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 10.08.2005 - 20:35 Uhr · #5

Hat jemand den original Mail-Text?

Edit: Ok, habe Ihn

Die Phishingmail ist "nicht ganz so gut" ... siehe unten

Der Server steht wohl mal wieder in China.... Werde über Peking in irgendein Dorf geroutet...

Target: 210.77.194.22
Date: 10.08.2005 (Wednesday), 21:28:41
Nodes: 22

Node Data
Node Net Reg IP Address Location Node Name
22 1 - 210.77.194.22 36.667N, 116.994E

inetnum: 210.77.192.0 - 210.77.223.255
netname: JNGDNET
country: CN
descr: Jinan Guangdian Broad Band Network Co.,Ltd.
admin-c: JX211-AP
tech-c: JX211-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-CNNIC-AP
changed: dongyan@cnnic.cn 20040720
changed: hm-changed@apnic.net 20040927
changed: ipas@cnnic.net.cn 20050711
source: APNIC

person: Jian Xing
nic-hdl: JX211-AP
e-mail: xj@jnnc.com
address: 3F Sanjianyinyuan Building,No.22 minsheng Road, Jinan, China
phone: +86-531-319xxxx
fax-no: +86-531-319xxxx
country: CN
changed: shenzhi@cnnic.cn 20050623
mnt-by: MAINT-CNNIC-AP

Quelle der Screenshots: https://www.a-i3.org/index.php…9&Itemid=1

Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 10.08.2005 - 21:40 Uhr · #6

Zitat geschrieben von MrNett

Das Problem ist, daß der Server in China ist. S-cert ist informiert! Aber zur Zeit sieht die Seite wieder anders aus als zu anfang!

Jepp, habe ich auch am Quelltext bemerkt... Die php-Datei, an die die Daten geschickt werden, ändert sich. Beim ersten Aufruf war es submit.php, danach apply.php

MrNett

Benutzer

Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 11.08.2005 - 08:44 Uhr · #7

Die Seite geht immernoch und hat sich verändert!

Fellini

Benutzer

Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 11.08.2005 - 08:47 Uhr · #8

Selbst bei dieser fantastischen Sprache werden wieder Kunden drauf reinfallen. Wieviel deutschte Rechtschreibung kann der durchschnittliche Schulabgänger eigentlich noch ???

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 11.08.2005 - 08:59 Uhr · #9

Welche unserer vielen Rechtschreibungen meinst du denn?

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 11.08.2005 - 09:09 Uhr · #10

Zitat geschrieben von MrNett

Die Seite geht immernoch und hat sich verändert!

Hmm, wird nicht mehr auf die Phishing-Info-Seite bei Klick auf "Anmelden" weitergeleitet, jetzt landet man auf der Startseite von Sparkasse.de ...

Edit: Jetzt legen sie ein PopUp über die echte sparkasse.de Seite....

maxxy

Benutzer

Geschlecht: keine Angabe
Beiträge: 46
Dabei seit: 04 / 2005

Betreff:

Re: Neue richtig gute Phishing-Attacke auf Sparkassen

· Gepostet: 11.08.2005 - 13:55 Uhr · #11

Zitat geschrieben von Stoney

Hat jemand den original Mail-Text?

Der Server steht wohl mal wieder in China.... Werde über Peking in irgendein Dorf geroutet...

Target: 210.77.194.22
Date: 10.08.2005 (Wednesday), 21:28:41
Nodes: 22

Node Data
Node Net Reg IP Address Location Node Name
22 1 - 210.77.194.22 36.667N, 116.994E

inetnum: 210.77.192.0 - 210.77.223.255
netname: JNGDNET
country: CN
descr: Jinan Guangdian Broad Band Network Co.,Ltd.
admin-c: JX211-AP
tech-c: JX211-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-CNNIC-AP
changed: dongyan@cnnic.cn 20040720
changed: hm-changed@apnic.net 20040927
changed: ipas@cnnic.net.cn 20050711
source: APNIC

person: Jian Xing
nic-hdl: JX211-AP
e-mail: xj@jnnc.com
address: 3F Sanjianyinyuan Building,No.22 minsheng Road, Jinan, China
phone: +86-531-319xxxx
fax-no: +86-531-319xxxx
country: CN
changed: shenzhi@cnnic.cn 20050623
mnt-by: MAINT-CNNIC-AP

Quelle der Screenshots: https://www.a-i3.org/index.php…9&Itemid=1

Eindeutig wieder ein unbedarfter Chinamann, dessen System mittels SSHv2-Bruteforce-Login-Hacker oder Uralt-Exploit gekarpert wurde