ACHTUNG - Phishing mit Postbank Email

!! Postbank Phishing !!
!! Postbank Phishing !!
17.11.2010 18:22

Mal wieder.....

In einer (nicht sehr gut gemachten) Postbank Fake Email heißt es:

"Für die Sicherheit unserer Kunden hat Postbank eine neue Sicherheitsmaßnahme eingeführt:

Periodisch muß jeder unserer Kunden beweisen daß seine TAN-Liste sich noch in seinem Besitz befindet.

Einfach zu erkennen sind diese Phishing Mail erstens am gefälschten Email Header. Dort sind fiktive Rückantwort Adressen der Postbank eingetragen. Außerdem sind die Email angeblich mit Microsoft Outlook Express 6.00.2600.0000 geschrieben worden. Hier mal ein Auszug aus solch einem Header:

Reply-To: <noreply@postbank.de>
From: "Postbank" <konto@postbank.de>
Subject: Wichtige Mitteilung
Date: Wed, 17 Nov 2010 01:53:09 +0200
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <E1PIVOK-0000dr-00@mx35.web.de>
Bcc:
Return-Path: konto@postbank.de

Natürlich ist das völliger Humbug, die Admins der Postbank sind schon informiert. Eine ganze Welle dieser Ominösen Nachrichten zeigt auf gehackte Server vermeintlich unter anderem aus Rostock. Bspw. auch auf diesen hier: http://rostock.around.kliqueme.net - Wer sich auf dieser Postbank Seite einloggt hat mehr als "1 Problem". Wobei mit Server hier auch kein "richtiger Webserver" gemeint sein muss. Meist übernimmt ein unverdächtiger Wasserträger (Zombie, Bot) die erste Anfrage oder PIN/TAN Dessen Adresse sieht dann natürlich ganz normal wie die eines "DSL-Einwahl" PC aus.

Beispiel: hostXXX-XXX-static.XX-XX-b.business.telecomitalia.it

Meistens weiß der Besitzer dieses Gerätes nicht einmal was gerade seine Maschine macht.

Und nicht das Sie glauben nur weil die Seite als HTTPS im Browser angezeigt wird, sind Sie sicher. Hier noch der Auszug aus dem gefälschten SSH Zertifikat:

|_sshv1: Server supports SSHv1
| ssh-hostkey: 1024 29:4e:fd:15:0b:f6:1e:1d:2b:c9:be:2c:f9:d4:4d:9f (RSA1)
| 1024 59:2e:1a:fb:76:6e:d8:af:82:c7:27:4c:07:85:07:d3 (DSA)
|_1024 77:a1:38:97:71:d7:be:bb:f2:ba:bf:cb:bd:0b:67:26 (RSA)
80/tcp open http Apache httpd 2.0.52 ((CentOS))
|_html-title: www.dprricambi.it
|_http-favicon: Unknown favicon MD5: C986A4CAF4B4C7B6852707A8D77BD0A9
139/tcp open netbios-ssn Samba smbd
443/tcp open ssl/http Apache httpd 2.0.52 ((CentOS))
|_sslv2: server still supports SSLv2
|_http-favicon: Unknown favicon MD5: C986A4CAF4B4C7B6852707A8D77BD0A9
|_html-title: www.dprricambi.it

Immer schön Vorsichtig bleiben.... ;)

Zu Spam & Verschlüsselung habe ich ja schon eine Menge hier und andernorts geschrieben. Und Wikipedia erklärt gerne mehr zum Thema Phishing und SSL-Zertifikaten.


Kommentare

2217 Hits
Wertung: 159 Punkte (16 Stimmen)

Infos zum Autor

Michael a/k/a majestyx

Michael (Majestyx) Kappes

Inhaber einer kleinen IT Firma, arbeitet seit über 10 Jahren mit Freier Software.
(http://glx-consult.com)

Aktives Mitglied der FSFE Berlin (Fellow)
(http://blogs.fsfe.org/majestyx/)

Die meisten Wege legt er zu Fuß, per Rad oder Öffentlichen Verkehrsmitteln zurück. Sein Interesse gilt ins besonders der gegenseitigen Beeinflussung von Sozialen und gesellschaftspolitischen Bereichen auf und von Freier Software.

Zum Blog von Michael (Majestyx) Kappes →