Spamihilator

[Chactory]

Hi zusammen!

Betrügerische Spammails und echte Benachrichtigungen unterscheiden sich kaum noch. Ich habe die interessanten Stellen in blau markiert, Kommentare dazu unten.

Return-Path: @ing-diba.de
Received: from ([70.32.73.184]) by mx-ha.meinprovider.de (mxmeinprovider110) with ESMTPS (Nemesis) id 0MecNw-1VR9yc0M00-00OJId for <meinemailadresse@meinprovider.de>; Tue, 20 Aug 2013 11:49:07 +0200
X-No-Relay: not in my network
Received: from User (208-40-110-196.ipv4. [208.40.110.196]) by bennermediagroup.com (Postfix) with ESMTPA id 9DC6FE5B61; Tue, 20 Aug 2013 05:49:00 -0400 (EDT)
Reply-To: <>
From: ".ing-diba.de"<info@ing-diba.de>
Subject: [Info] Aktualisieren Sie Ihr ING DIBA Konto! 20.08.2013
Date: Tue, 20 Aug 2013 05:49:06 -0400
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_007A_01C2AA85.10198708"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Envelope-To: <meinemailadresse@meinprovider.de>
X-meinprovider-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-meinprovider-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:PgfLeU/dv3g=:MXixDCN+CH8zUPhsGaRuEXxAch […]
nASaAJEaHCakX/1YVFqEFQBgc4VOLwVm

This is a multi-part message in MIME format.

------=_NextPart_000_007A_01C2AA85.10198708
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit

<html><head><title></title></head><body>
<p><br />
,<br />
sehr geehrter Kunde,<br />
Unser Sicherheitssystem hat im Telefonbanking gemeldet.<br />
Um unser Telefonbanking noch sicherer zu machen und missnbr&auml;uchliche
Verwendungen zu vermeiden,<br />
ist eine Aktualisierung Ihres Telefonbanking-PIN notwendig.<br />
Telefon-Banking-PIN k&ouml;nnen Sie hier &auml;ndern, gehen Sie wie folgt vor.<br />
1. und w&auml;hlen Sie &quot;&ouml;ffnen mit&quot; aus<br />
2. F&uuml;llen Sie alle Daten aus in klicken Sie dann auf &quot;Verifizieren&quot;!<br />
Mit freundlichen Gr&uuml;&szlig;en<br />
Katharina Herrmann<br />
Sicherheitsteam Telefonbanking<br />
ING DIBA</p>
</body></html>

------=_NextPart_000_007A_01C2AA85.10198708
Content-Type: application/octet-stream; name=""
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Data.htm"

PCFET0NUWVBFIEhUTUw+DQo8aHRtbCBsYW5nPSJkZSI+DQo8aGVhZD48bGlu […]
L2Rpdj4NCjwvYm9keT4NCjwvaHRtbD4=

------=_NextPart_000_007A_01C2AA85.10198708—

- Eine wichtige Meldung von einer Bank sollte doch wohl nicht von deren „info“-Absender kommen …
- Im „Received“-Teil des Mailheaders findet man den Weg der Mail über verschiedene Server. Eine Mail von der Ing-Diba-Bank sollte auch von/über deren Server kommen, und nicht von „firstcomm“ oder „bennermediagroup“.
- Der Spammer hat übersehen, daß der „Reply-To“-Eintrag noch den Namen des gecrackten Mail-Accounts enthält.
- Im „From“-Feld als Absender „www.ing-diba.de“? Logisch? Professionell?
- „Aktualisierung Ihres Telefon-Banking PINs“ per E-Mail? Bei einer echten Bank ein No-Go!
- Anrede mit „Sehr geehrte Kundin“ offensichtlich aus Unkenntnis meines Namens.
- Lassen wir uns mit „einen Fehler“ abspeisen und geben für eine so lapidare Erklärung unsere Passwörter preis?
- Und wenn dort ein Ausrufezeichen steht, psychologisch geschickt, dann lasse ich mich bestimmt zu einer Fehlleistung treiben.
- Anbei eine Datei „Data.htm“, wie praktisch – entweder verseucht oder zum Aushorchen, nicht öffnen!

Und nun eine vermutlich echte Benachrichtung von Symantec, allerdings gehe ich davon aus, daß jemand meine Mailadresse mißbraucht, bzw. es versucht hat, denn ich selbst habe keinen Kontakt mit Symantec aufgenommen.

Return-Path: norton@symantec.com
Received: from tus1smtoutpex03.symantec.com ([216.10.195.243]) by mx-ha.ding.com (mxding110) with ESMTPS (Nemesis) id 0MdnZR-1VSKx93udZ-00PgVa for <meinemailadresse@ding.com>; Tue, 20 Aug 2013 06:55:43 +0200 […]
Date: Tue, 20 Aug 2013 04:55:40 +0000 (GMT)
From: norton@symantec.com
To: meinemailadresse@ding.com
Message-ID: <231234546.951225.131234567867.JavaMail.colp@nav1ebeapppcl12.ges.symantec.com>
Subject: Haben Sie das Kennwort f=C3=BCr Ihren Ih?= =?UTF-8?Q?ren Norton Account vergessen?
MIME-Version: 1.0
Content-Type: text/html; charset=utf8
Content-Transfer-Encoding: quoted-printable
X-Brightmail-Tracker: H4sIAAAAAAAAA+NgFlrCLMWRmVeSWpSXmKPExsVyYMU1bd2z34SCDPqucFu87/vG6MDo8eFj […] 0zdk8+k5eZpff3LRd4p6+H3W1UosxRmJhlrMRcWJAHUPyaY3AgAA
Envelope-To: <meinemailadresse@ding.com>
X-ding-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-ding-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:vy/ayXzqVYc=:kNTi6DAk1TPusjvDjeE/0Ax83w […]
3qthM8sAKA/RMVOIDp2k=

Wir bedanken uns f=C3=BCr Ihre Kontaktaufnahme mit Symantec. Sie haben angegeben, dass Sie das Kennwort f=C3=BCr Ihren Norton Account vergessen haben. Klicken Sie auf den folgenden Link und folgen Sie den Anweisungen, um Ihr Kennwort zur=C3=BCckzusetzen und sich bei Ihrem Account einzuloggen.
<a href "https://login.norton.com/sso/embedded/resetPassword?service[...]%3D:hknhywrw" ><b>Kennwort zur=C3=BCcksetzen</b></a>
Dieser Link ist aus Sicherheitsgr=C3=BCnden nur f=C3=BCr einen begrenzten Zeitraum g=C3=BCltig. Wenn der Link nicht funktioniert, k=C3=B6nnen Sie den Link auch direkt in einen Webbrowser kopieren. Wenn Sie kein neues Kennwort angefordert haben, wird dieses nur ge=C3=A4ndert, wenn Sie dies ausdr=C3=BCcklich zulassen. Sie k=C3=B6nnen diese E-Mail einfach ignorieren. Wir bedanken uns, dass Sie sich f=C3=BCr Symantec entschieden haben. Bitte antworten Sie nicht auf diese Nachricht. Diese E-Mail-Adresse wird nicht =C3=BCberwacht, wir k=C3=B6nnen daher nicht auf Nachrichten reagieren, die an sie gesendet werden. Weitere Informationen finden Sie auf der Symantec-Website: <a href=3D"www.symantec.com">www.symantec.com</a>

- Immerhin stammt die Mail aus einem Relay, der zu Symantec gehört.
- Die Absender- und die Antwortadresse enthalten dieselbe zu Symantec gehörende Adresse.
- Der Hyperlink enthält eine Norton-Domäne und keine Weiterleitung zu einer Spam- oder Viren-Domäne.
- Allerdings ist die Kodierung fehlerhaft, das kommt so mesitens bei Spammails vor …

Gruß,
Chactory

[Andreas_Z]

Hallo Chactory!

In der aktuallen c't gibt es zu diesem Thema einen Artikel.

Gruß
Andreas_Z

[Chactory]

Hallo Andreas_Z!

Ja, genau! Habe ich inzwischen auch gelesen.

Gruß,
Chactory