Spam oder nicht?

Hier kann über alles diskutiert werden, was mit Spam zu tun hat.

Moderator: Forum-Team

Spam oder nicht?

Beitragvon Chactory » 27. Aug 2013, 21:58

Hi zusammen!

Betrügerische Spammails und echte Benachrichtigungen unterscheiden sich kaum noch. Ich habe die interessanten Stellen in blau markiert, Kommentare dazu unten.

Return-Path: info@ing-diba.de
Received: from bennermediagroup.com ([70.32.73.184]) by mx-ha.meinprovider.de (mxmeinprovider110) with ESMTPS (Nemesis) id 0MecNw-1VR9yc0M00-00OJId for <meinemailadresse@meinprovider.de>; Tue, 20 Aug 2013 11:49:07 +0200
X-No-Relay: not in my network
Received: from User (208-40-110-196.ipv4.firstcomm.com [208.40.110.196]) by bennermediagroup.com (Postfix) with ESMTPA id 9DC6FE5B61; Tue, 20 Aug 2013 05:49:00 -0400 (EDT)
Reply-To: <terente2011@libero.it>
From: "www.ing-diba.de"<info@ing-diba.de>
Subject: [Info] Aktualisieren Sie Ihr ING DIBA Konto! 20.08.2013
Date: Tue, 20 Aug 2013 05:49:06 -0400
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_007A_01C2AA85.10198708"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Envelope-To: <meinemailadresse@meinprovider.de>
X-meinprovider-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-meinprovider-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:PgfLeU/dv3g=:MXixDCN+CH8zUPhsGaRuEXxAch […]
nASaAJEaHCakX/1YVFqEFQBgc4VOLwVm

This is a multi-part message in MIME format.

------=_NextPart_000_007A_01C2AA85.10198708
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit

<html><head><title></title></head><body>
<p>Aktualisierung Ihres Telefon-Banking PINs<br />
Sehr geehrte Kundin,<br />
sehr geehrter Kunde,<br />
Unser Sicherheitssystem hat einen Fehler im Telefonbanking gemeldet.<br />
Um unser Telefonbanking noch sicherer zu machen und missnbr&auml;uchliche
Verwendungen zu vermeiden,<br />
ist eine Aktualisierung Ihres Telefonbanking-PIN notwendig.<br />
Ihrenen Telefon-Banking-PIN k&ouml;nnen Sie hier &auml;ndern, gehen Sie wie folgt vor.<br />
1. &Ouml;ffnen Sie die Datei in Ihrem Emailanhang und w&auml;hlen Sie &quot;&ouml;ffnen mit&quot; aus!<br />
2. F&uuml;llen Sie alle Daten aus in klicken Sie dann auf &quot;Verifizieren&quot;!<br />
Mit freundlichen Gr&uuml;&szlig;en<br />
Katharina Herrmann<br />
Sicherheitsteam Telefonbanking<br />
ING DIBA</p>
</body></html>

------=_NextPart_000_007A_01C2AA85.10198708
Content-Type: application/octet-stream; name="Data.htm"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Data.htm"

PCFET0NUWVBFIEhUTUw+DQo8aHRtbCBsYW5nPSJkZSI+DQo8aGVhZD48bGlu […]
L2Rpdj4NCjwvYm9keT4NCjwvaHRtbD4=

------=_NextPart_000_007A_01C2AA85.10198708—

- Eine wichtige Meldung von einer Bank sollte doch wohl nicht von deren „info“-Absender kommen …
- Im „Received“-Teil des Mailheaders findet man den Weg der Mail über verschiedene Server. Eine Mail von der Ing-Diba-Bank sollte auch von/über deren Server kommen, und nicht von „firstcomm“ oder „bennermediagroup“.
- Der Spammer hat übersehen, daß der „Reply-To“-Eintrag noch den Namen des gecrackten Mail-Accounts enthält.
- Im „From“-Feld als Absender „www.ing-diba.de“? Logisch? Professionell?
- „Aktualisierung Ihres Telefon-Banking PINs“ per E-Mail? Bei einer echten Bank ein No-Go!
- Anrede mit „Sehr geehrte Kundin“ offensichtlich aus Unkenntnis meines Namens.
- Lassen wir uns mit „einen Fehler“ abspeisen und geben für eine so lapidare Erklärung unsere Passwörter preis?
- Und wenn dort ein Ausrufezeichen steht, psychologisch geschickt, dann lasse ich mich bestimmt zu einer Fehlleistung treiben.
- Anbei eine Datei „Data.htm“, wie praktisch – entweder verseucht oder zum Aushorchen, nicht öffnen!

Und nun eine vermutlich echte Benachrichtung von Symantec, allerdings gehe ich davon aus, daß jemand meine Mailadresse mißbraucht, bzw. es versucht hat, denn ich selbst habe keinen Kontakt mit Symantec aufgenommen.

Return-Path: norton@symantec.com
Received: from tus1smtoutpex03.symantec.com ([216.10.195.243]) by mx-ha.ding.com (mxding110) with ESMTPS (Nemesis) id 0MdnZR-1VSKx93udZ-00PgVa for <meinemailadresse@ding.com>; Tue, 20 Aug 2013 06:55:43 +0200 […]
Date: Tue, 20 Aug 2013 04:55:40 +0000 (GMT)
From: norton@symantec.com
To: meinemailadresse@ding.com
Message-ID: <231234546.951225.131234567867.JavaMail.colp@nav1ebeapppcl12.ges.symantec.com>
Subject: Haben Sie das Kennwort f=C3=BCr Ihren Ih?= =?UTF-8?Q?ren Norton Account vergessen?
MIME-Version: 1.0
Content-Type: text/html; charset=utf8
Content-Transfer-Encoding: quoted-printable
X-Brightmail-Tracker: H4sIAAAAAAAAA+NgFlrCLMWRmVeSWpSXmKPExsVyYMU1bd2z34SCDPqucFu87/vG6MDo8eFj […] 0zdk8+k5eZpff3LRd4p6+H3W1UosxRmJhlrMRcWJAHUPyaY3AgAA
Envelope-To: <meinemailadresse@ding.com>
X-ding-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-ding-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:vy/ayXzqVYc=:kNTi6DAk1TPusjvDjeE/0Ax83w […]
3qthM8sAKA/RMVOIDp2k=

Wir bedanken uns f=C3=BCr Ihre Kontaktaufnahme mit Symantec. Sie haben angegeben, dass Sie das Kennwort f=C3=BCr Ihren Norton Account vergessen haben. Klicken Sie auf den folgenden Link und folgen Sie den Anweisungen, um Ihr Kennwort zur=C3=BCckzusetzen und sich bei Ihrem Account einzuloggen.
<a href "https://login.norton.com/sso/embedded/resetPassword?service[...]%3D:hknhywrw" ><b>Kennwort zur=C3=BCcksetzen</b></a>
Dieser Link ist aus Sicherheitsgr=C3=BCnden nur f=C3=BCr einen begrenzten Zeitraum g=C3=BCltig. Wenn der Link nicht funktioniert, k=C3=B6nnen Sie den Link auch direkt in einen Webbrowser kopieren. Wenn Sie kein neues Kennwort angefordert haben, wird dieses nur ge=C3=A4ndert, wenn Sie dies ausdr=C3=BCcklich zulassen. Sie k=C3=B6nnen diese E-Mail einfach ignorieren. Wir bedanken uns, dass Sie sich f=C3=BCr Symantec entschieden haben. Bitte antworten Sie nicht auf diese Nachricht. Diese E-Mail-Adresse wird nicht =C3=BCberwacht, wir k=C3=B6nnen daher nicht auf Nachrichten reagieren, die an sie gesendet werden. Weitere Informationen finden Sie auf der Symantec-Website: <a href=3D"www.symantec.com">www.symantec.com</a>

- Immerhin stammt die Mail aus einem Relay, der zu Symantec gehört.
- Die Absender- und die Antwortadresse enthalten dieselbe zu Symantec gehörende Adresse.
- Der Hyperlink enthält eine Norton-Domäne und keine Weiterleitung zu einer Spam- oder Viren-Domäne.
- Allerdings ist die Kodierung fehlerhaft, das kommt so mesitens bei Spammails vor …

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Spam oder nicht?

Beitragvon Andreas_Z » 3. Sep 2013, 07:07

Hallo Chactory!

In der aktuallen c't gibt es zu diesem Thema einen Artikel.

Gruß
Andreas_Z
Core i7 3,4 GHz, 8 GB RAM, Win7 64bit SP1, GDATA Bussiness 11.0
Exchange-Server 2003, VM mit WinXP Pro SP3.
Spami-Online-Hilfe, Spami-FAQ, Anbuva's FAQ
Benutzeravatar
Andreas_Z
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 4380
Registriert: 6. Nov 2003, 08:10
Wohnort: Schwielowsee, Germany

Re: Spam oder nicht?

Beitragvon Chactory » 3. Sep 2013, 21:03

Hallo Andreas_Z!

Ja, genau! Habe ich inzwischen auch gelesen.

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)


Zurück zu Spam

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste

cron

 industrious-southeast