Heute wieder etwas zum Lachen, vor allem deshalb, da es in der Vergangenheit derartig viele Datenbank-Einbrüche in Webserver gab, dass personalisierte Daten beim Pishing schon fast zum Standard gehören.
Vorne weg: Ich habe kein Amazon-Konto ...
Und wie ich immer sage: Wer sich den HTML-Müll nicht antun mag, der lebt auch absolut sicher.
Ab der Reihe nach, erst einmal das Mailserver-Logfile:
>> EHLO sf04.e??e-networks.net
<< 250-mail.g?h?l.net Hello sf04.e??e-networks.net; ESMTPs are: ...
>> MAIL FROM:<[email protected]> SIZE=12017
<< 250 Sender and size (12017) OK - send RCPTs.
>> RCPT TO:<support@g?h?l.de><cr><lf>
Soweit so gut, aber als Absender kann ich da rein alles reinschreiben, z.B. auch [email protected]
In die Mail rettet der Mailserver das Handshake der obigen Zeilen in den Header der Mail:
>> Received: from sf04.e??e-networks.net (localhost [127.0.0.1])
>> by sf04.e??e-networks.net (Postfix) with ESMTP id 08
40.058: >> for <support@g?h?l.de>; Tue, 14 Jul 2015 18:29:14 +0200
>> Received: from srv01.e??e-hosting.nl (srv01.e??e-hosting.nl [217.148.22.1])
>> by smtp.e??e-networks.net (8.14.7/8.14.7) with ESMTP id t6EGBm2s024099
Dazu muss man nicht mehr viel sagen, denn die Server gehören garantiert nicht zu Amazon. Sehen wir uns als einmal den Text-Teil an:
>> Guten Tag Thomas G?h?l,
>>
>> Ihr Nutzerkonto ist derzeit deaktiviert.
>> [...]
>> Sie haben einen Einkauf getätigt, welcher uns auffällig vorkam ...
>> [blabla]
>>
>> Klicken sie hier um ihre Daten zu bestätigen.
Selbst wenn ich wollte könnte ich hier keinen Mist bauen, denn einen Link zur Pishing-Seite ist im Text-Teil nicht vorhanden. Ok, graben wir also etwas im hoch gefährlichen HTML-Teil der Mail:
>> alt="image" src="http://up.p???.de/???5???lb.png" ...
Na da ist er doch schon der nette und personalisierte Tracking-Keks für unsere Apple- und auch Webmail-Nutzer :up:. Jetzt fehlt nur noch der Link zur Pishing oder Trojaner-Seite:
>> href="http://s??u.de/t3g" target="blank">Klicken sie hier um ihre Daten zu bestätigen ...
Voila, es geht doch!!! Die Pishing-Seite ist sogar noch aktiv und sieht wie eine 100%-Kopie der Amazon-Seite aus ... :huepf:
Vorne weg: Ich habe kein Amazon-Konto ...
Und wie ich immer sage: Wer sich den HTML-Müll nicht antun mag, der lebt auch absolut sicher.
Ab der Reihe nach, erst einmal das Mailserver-Logfile:
>> EHLO sf04.e??e-networks.net
<< 250-mail.g?h?l.net Hello sf04.e??e-networks.net; ESMTPs are: ...
>> MAIL FROM:<[email protected]> SIZE=12017
<< 250 Sender and size (12017) OK - send RCPTs.
>> RCPT TO:<support@g?h?l.de><cr><lf>
Soweit so gut, aber als Absender kann ich da rein alles reinschreiben, z.B. auch [email protected]
In die Mail rettet der Mailserver das Handshake der obigen Zeilen in den Header der Mail:
>> Received: from sf04.e??e-networks.net (localhost [127.0.0.1])
>> by sf04.e??e-networks.net (Postfix) with ESMTP id 08
40.058: >> for <support@g?h?l.de>; Tue, 14 Jul 2015 18:29:14 +0200 >> Received: from srv01.e??e-hosting.nl (srv01.e??e-hosting.nl [217.148.22.1])
>> by smtp.e??e-networks.net (8.14.7/8.14.7) with ESMTP id t6EGBm2s024099
Dazu muss man nicht mehr viel sagen, denn die Server gehören garantiert nicht zu Amazon. Sehen wir uns als einmal den Text-Teil an:
>> Guten Tag Thomas G?h?l,
>>
>> Ihr Nutzerkonto ist derzeit deaktiviert.
>> [...]
>> Sie haben einen Einkauf getätigt, welcher uns auffällig vorkam ...
>> [blabla]
>>
>> Klicken sie hier um ihre Daten zu bestätigen.
Selbst wenn ich wollte könnte ich hier keinen Mist bauen, denn einen Link zur Pishing-Seite ist im Text-Teil nicht vorhanden. Ok, graben wir also etwas im hoch gefährlichen HTML-Teil der Mail:
>> alt="image" src="http://up.p???.de/???5???lb.png" ...
Na da ist er doch schon der nette und personalisierte Tracking-Keks für unsere Apple- und auch Webmail-Nutzer :up:. Jetzt fehlt nur noch der Link zur Pishing oder Trojaner-Seite:
>> href="http://s??u.de/t3g" target="blank">Klicken sie hier um ihre Daten zu bestätigen ...
Voila, es geht doch!!! Die Pishing-Seite ist sogar noch aktiv und sieht wie eine 100%-Kopie der Amazon-Seite aus ... :huepf:
