Postbank - Bitte ihre Daten bestätigen

Thread Status
Hello, There was no answer in this thread for more than 30 days.
It can take a long time to get an up-to-date response or contact with relevant users.

pbhq

Sehr aktives NF Mitglied
Registriert
Ich habe heute mal wieder so in die Spam-Logfiles meines Mailservers gesehen und ich denke mal, den ein oder anderen simplen Versuch, einem Anwender einen Banking/Password/etc.-Trojaner unterzuschieben, sollte ich hier einmal kommentieren.

Die ganze Geschichte wird recht technisch, aber doch ganz interessant für den ein oder anderen. Fangen wir also da an, wo der Mailserver die entsprechende Spam annehmen soll und ich kommentiere das ein wenig:

>> Connection from 212.227.17.10, Mon Dec 22 12:16:55
<< 220-mail.?x?x?.net ESMTP server ready....
>> EHLO mout.kundenserver.de
<< 250-mail.?x?x?.net Hello mout.kundenserver.de; ESMTPs are:...
<< 250-SIZE 41943040
<< 250-AUTH CRAM-MD5 LOGIN
<< 250-AUTH=LOGIN
<< 250-STARTTLS
<< 250 HELP
>> STARTTLS

Soweit so gut, die Mail kommt von einer IP-Adresse von 1&1 und ist nicht in einer Blacklist.


<< 220 OK, begin SSL/TLS negotiation now.
[*] SSL/TLS session established: AES, CBC mode, keysize

Ach ja, "Mail in Germany" wird ja verschlüsselt übertragen, hilft aber prinzipiell auch nicht gegen Spam, wie wir bald sehen werden ...

>> EHLO mout.kundenserver.de
<< 250-mail.?x?x?.net Hello mout.kundenserver.de; ESMTPs are:...
<< 250-SIZE 41943040
<< 250-AUTH CRAM-MD5 LOGIN
<< 250-AUTH=LOGIN
<< 250 HELP
>> MAIL FROM:<[email protected]> SIZE=5277
<< 250 Sender and size (5277) OK - send RCPTs.

Ne, der Sender ist nicht OK, da liefert 1&1 etwas aus, was die auch nur extern zur Weiterleitung angenommen haben. Sehr gut zu erkennen am SRS-Eintrag, der eine eventuelle Bounce an den ursprünglichen Absender korrekt zustellen soll.

Einfach gesagt: Ich glaube nicht, dass die Postbank ihre Mails über 1&1-Server verschickt.


>> RCPT TO:<support@?x?x?.de>
<< 250 Recipient OK - send RCPT or DATA.
>> DATA
<< 354 OK, send data, end with CRLF.CRLF

Gut, jetzt kommen wir zu dem Teil, den auch jeder andere User sehen kann:

>> Received: from [91.250.87.176] ([91.250.87.176]) by mrelayeu.kundenserver.de
>> (mreue103) with ESMTPSA (Nemesis) id 0LtUuK-1Xss0w2l0u-010vGl for
>> <support@?x?x?.de>; Mon, 22 Dec 2014 12:17:11 +0100

Na, da habe ich es doch geahnt. Die Mail wurde von einer Host Europe IP eingeworfen, vermutlich von irgendeinem gehackten Web-Auftritt, denn ansonsten gäbe es auch eine Received-Zeile, die die Annahme bei Host Europe auch dokumentieren würde. Also weiter:

>> Message-Id: <[email protected]>
>> Mime-Version: 1.0

>> From: Postbank <[email protected]>
>> To: Thomas ?x?x? <support@?x?x?.de>
>> Subject: =?iso-8859-1?Q?[Wichtig]_Best=E4tigung_Ihrer_Daten?=
>> Content-Type: multipart/alternative; Boundary="--=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ"
>> [...]

Ich ahne was jetzt kommt, ihr auch ... ;) ??

>> Die Nachricht ist im MIME-Format. Da Ihr E-Mail-Programm dieses Format nicht unterstützt, werden einzelne oder alle Nachrichten nicht lesbar sein.

Stimmt, in reiner Textmail können wir nicht die angezeigten Links manipulieren, fremden Content und Tracker einbetten ...

Ok, gute Mail-Programme erzeugen deshalb einen reinen "ungefährlichen" Text-Teil und einen "gefährlichen" HTML-Teil.

>>
>> ----=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ
>> Content-Type: text/plain; charset=iso-8859-1; format=flowed
>> Content-Transfer-Encoding: quoted-printable
>>
>> =20
>>

Ne, nicht wirklich, die völlig wichtige Information besteht aus einem Leerzeichen :p? Ich glaube eher, ihr möchtet mich zum Umschalten auf den gefährlichen HTML-Teil verführen!!! Sehen wir uns diesen doch einfach als völlig ungefährlichen Text an:

>> ----=BOUNDARY_12221216_QBKS_YOBQ_KORC_YRTJ
>> Content-Type: text/html; charset=iso-8859-1
>> Content-Transfer-Encoding: quoted-printable
>>

Gut, so fängt jeder HTML-Teil an ...

>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1=2E0 Strict//EN"
>>

Das riecht nun eher nach einer HTML-Seite, die per Script von einem gehacktem WebServer verschickt wurde ...

>> <title></title>
>> </head>
>>
>>
>>
>> <html><head></head><body><div style=3D"font-family: Verdana;font-size: 12=
>> =2E0px;"><div>
>> <div id=3D"header" style=3D"
>> width: 550px;
>> height: 30px;
>> background-color:rgb(255,204,0);
>> background-repeat: no-repeat;

Es wird auf jeden Fall schön bunt ...

>> background-image: url(https://www=2Epostbank=2Ede/privatkunden/de/logo_postbank_140805=2Epng);

Das originale Postbank-Logo betten wir von den Seiten der Postbank auch noch gleich ein ...

>> Html-Klicki-Bunti-Blabla
>>
>> Sehr geehrte/r ?x?x?,</font><br/>

Eine persönliche Ansprache, ich werde schwach ... :D

>> Wir brauchen Ihre Unterstützung!
>>
>> Die Postbank ändert die Zahlungsverkehr für die Euro-Sepa umstellung, damit Sie auch in Zukunft weiterhin den Service von Postbank nutzen können
>> Dazu benötigen wir eine Bestätigung Ihrer Daten.
>>
>> Die Bestätigung ist bis zum 29. Dezember 2014 kostenfrei, dannach wird eine Bearbeitungsgebühr in Höhe von 20 Euro verrechnet für die Manuelle Bestätigung unserer Mitarbeiter.
>>

Jetzt bin ich schon ganz heiß, bevor mir Kosten entstehen, auch wenn wenn ich für das Deutsch nur eine 2- vergeben würde!!! :p

>> Der kostenfreie Prozess für die Bestätigung der neuen Regelung können Sie unter dem unten stehenden Link (Bestätigen) ausgeführt werden.

Ja Ja Ja Ja, wo ist der Link ... :sabber:

>> <a href=3D"http://k-urz=
>> =2Ede/7d21" target=3D"_parent">Bestätigen</a>=2E</font><br/><br/>

Was, wenn ich auf Bestätigen drücke, wollt ihr mich ganz unauffällig zu "k-urz.blafasel/7d21" schicken? Gut, dass ich einen Virenscanner habe, denn das mache ich gleich, aber ohne meine Login-Daten jemals einzugeben, denn ich bin ja nicht Doof!!!! Dazu aber später mehr ...

>> <br/>
>> Mit freundlichen Grüßen<br/>
>> <br/>
>> Ihre Postbank<br/>
>> <br/>
>> <br/>

Sehr freundlich, ihr mich auch ...


>> [auf seriös machenden Spoiler gekürzt]
10=2E0px;">Deutsche Postbank =
>> AG<br/>
>> Friedrich-Ebert-Allee 114-126<br/>
>> 53113 Bonn<br/>
>> <br/>
>> Sitz Bonn, Amtsgericht Bonn, HRB 6793<br/>
>> <br/>
>> Vorstand: Frank Strauß, Vorsitzender<br/>
>> [...]
>> Diese Nachricht ist nur für den vorgesehenen Empfänger bestimmt=
>> =2E Sollten Sie nicht der vorgesehene Empfänger dieser E-Mail und ihre=
>> s Inhalts sein oder diese E-Mail irrtümlich erhalten haben, bitten wir=
>> Sie, den Absender unverzüglich darüber zu informieren und diese =
>> Nachricht und all ihre Anhänge vollständig von Ihrem Computer zu =
>> löschen=2E Jede Form der unbefugten Nutzung, Veröffentlichung, de=
>> s Kopierens oder der Offenlegung des Inhalts dieser E-Mail ist nicht gestat=
>> tet=2E<br/>
>> [...]

Keine Sorge Jungs, der ist jetzt öffentlich ...

<< 250 Data received OK.
>> QUIT
<< 221 mail.?x?x?.net Service closing channel.
--- Connection closed normally at Mon Dec 22 12:16:55

... und fertig.

So, ich hatte ja noch erwähnt, dass ich noch auf der Seite nachsehen wollte, ohne mein Login/Passwort je in irgendeiner Maske einzugeben:

Nein, niemals, nie, never ever, sollte ein User derartige Links auch nur ansatzweise anklicken oder nur auf die leiseste Idee kommen!!!

Am besten ist man liest seine Mails auch nur im reinen Text-Modus und kann so nicht einmal zufällig per Mouse oder Fingertouch den Link treffen!!!

Hinter dem Link steckt zu 100% ein gehackter Server, der mit Sicherheit ein paar dutzend hochgradig aktuelle Exploits mit dem Betriebssystem und dem verwendeten Browser bzw. Mail-Clienten durch testet.

Was da durch die Leitung kommt ist also mit hoher Sicherheit extrem aktuell.

Bei immerhin ca 300.000 neuen Schädlingsvarianten pro Tag liegt die Erkennungsrate Eures Virenscanners bei doch recht guten 0.00%.

 
Anzeigen
...
Gut, jetzt kommen wir zu dem Teil, den auch jeder andere User sehen kann:

>> Received: from [91.250.87.176] ([91.250.87.176]) by mrelayeu.kundenserver.de
>> (mreue103) with ESMTPSA (Nemesis) id 0LtUuK-1Xss0w2l0u-010vGl for
>> <support@?x?x?.de>; Mon, 22 Dec 2014 12:17:11 +0100




Was erwartest Du denn von der Nemesis?

Nemesis bestraft vor allem die menschliche Selbstüberschätzung … :D



.
 
Kommentar
Was erwartest Du denn von der Nemesis?.

"ESMTP (Nemesis)" nennt sich die Mailserver-Software von Schlund & Partner. Zum Thema Spam/Trojaner und der ganzen Problematik drumherum ist der Eintrag rein informativ ;).

"ESMTPSA" ist dagegen die Bezeichnung für eine authentifizierte Anmeldung am 1&1-Server. Ich vermute deshalb, das am gehackten Webserver bei Host Europe die Anmeldedaten für den Mailserver für 1&1 hinterlegt waren, damit irgendein dortiges PHP-Mail-Frontend irgendetwas verschicken konnte.
 
Kommentar
Alle, die hier ein thanks gegeben haben, verstehen was geschrieben wurde? Respekt!

Ich persönlich muss passen, verstehe kein einziges Wort. Aber wenn ich eine Mail von "Postbank" (ohne Artikel) erhalte, dann lösch ich die, weil ich bei der Volksbank bin. ;)
 
Kommentar
Jeder sollte mehr davon verstehen!
Was für ein toller Einblick den pbhq uns hier gegeben hat.
 
Kommentar
Solche Mails erhalte ich gar nicht (wo treibt Ihr Euch herum :rolleyes:) und wenn denn dann doch eine merkwürdige Mail sich mal zu mir verirrt, dann lese ich sie gar nicht :), da weiß ich direkt, dass es Unfug ist. Und irgendwelche Links von Unbekannten öffnet man doch sowieso nicht. Das wurde mir seit meinen ersten Schritten im www eingebleut. Und Post von meiner Bank erhalte ich eh nicht per Mail, wenn die schreiben würden, dann würde ich einen blauen Brief erhalten, mal gut, das dem nicht so ist und ich selber Bankkauffrau bin :D .
 
Kommentar
Solche Mails erhalte ich gar nicht (wo treibt Ihr Euch herum :rolleyes:) und wenn denn dann doch eine merkwürdige Mail sich mal zu mir verirrt, dann lese ich sie gar nicht :), da weiß ich direkt, dass es Unfug ist.

Irgendwann kommt der Tag, an dem eine Deiner Email-Adressen bei einem Spammer landet. Und dann kriegst Du zunehmend solche Mails.

Zuletzt habe ich meine Lieblingsadresse dem Organisator der Abi-Jahrgangsfeier gegeben.
Was macht der Trottel? Sendet ein Email an den gesamten Jahrgang (120 Leute) mit den Adressen sichtbar im Adressfeld. Dann ist die Adresse also auf 120 Rechnern drauf.
Wenn nur einer davon so ein uralter PC mit einem Wurmbefall ist (z.b. CONFICKER oder was es da alles so millionenfach gibt) dann ist die Adresse eben beim Spammer.
So ähnlich vermutlich geschehen.
Von da an kommen Postbank Emails und andere Nettigkeiten.

So ähnlich auch mein Fahrradhändler. Werbemail an die Kunden mit offener Adressliste. Dabei kostet ein einfaches Mailing-Programm nicht einmal die Welt. Die dort benutzte Adresse war sofort unbrauchbar....
 
Kommentar
Darum hab ich mir das ganze Ding reingezogen, hat aber nix genutzt.

Tja, ich verstehe leider auch weniger davon als ich wollte.
Ich fürchte aber, das Problem der Internetkriminalität wird zunehmen.

Ich würde mich gerne besser schützen, aber mir fehlt die Zeit und das Know-How dazu. Nur fürchte ich, könnte mir/uns allen schon morgen was passieren.
 
Kommentar
Ich benutze kein Outlook, schaue mir meine Mails nur im Textmodus an und denke nach, bevor ich Anhänge öffne. Das hat jetzt seit Jahren bestens funktioniert.
Viel schlimmer finde ich irgendwelche befallenen Webseiten bei denen man keine Chance hat vor dem anklicken etwas zu erahnen.

Gruß
Heiko
 
Kommentar
Ich benutze kein Outlook, schaue mir meine Mails nur im Textmodus an und denke nach, bevor ich Anhänge öffne. Das hat jetzt seit Jahren bestens funktioniert.
Viel schlimmer finde ich irgendwelche befallenen Webseiten bei denen man keine Chance hat vor dem anklicken etwas zu erahnen.

Vermutlich sollte man für das Internet nur so einen "Rechner im Rechner" benutzen. Also quasi eine virtuelle Schmuddelmaschine bei der jeglicher Befall vollkommen egal ist weil Sie eh nur in einer "Sandbox" läuft und nach Gebrauch wieder zurückgesetzt wird.

Wenn ich mal viiiieeel Zeit habe baue ich mir so was.
 
Kommentar
Danke an PBHQ.

Das die meisten das nicht verstehen.
Kein Wunder, wie beklopft muss man sein, sich freiwillig und so tief
mit IT zu beschäftigen? :D
Die wenigsten laufen noch frei rum.
Entweder sind sie weggesperrt oder in Foren gefangen.

Erst die Tage hatte ich wieder so einen Blödsinn gehoert:
"Für das Internet habe ich einen extra PC.
Meinen alten XP Rechner, der ist dafür schnell genug."
Gerne auch genommen:
"Ich hab nix wichtiges auf dem PC".


Aha!

Und wo kommen die ganzen Spam Mails her?
Doch schon lange nicht mehr aus irgendwelchen dubiosen Ländern.
Sondern das das sind die gehackten PCs von dir und Euren Nachbarn!

Diese Zombis holen sich Ihre Aufträge still und leise von dubiosen Servern.

Aber darum ist es auch so schwer diese Mails zu stoppen.
Kleine Happen von ständig anderen PCs, mit IP Nummern die vor 10 Minute noch User x hier im Forum hatte.

Morgen kommt die Mail von Deiner Bank!

Aber wenn man den Kunden verklickern will, dass es sinn gibt dem PC User keine Admin Rechte zu geben,
der PC gefälligst alle Servicepacks und Updates zu laden hat, auch für den Browser, Java, Flash und was man sonst so braucht,
dann wird da gerne nicht zugehoert.
Je länger eine bekannte Sicherheitslücke nicht geschlossen wird, desto größer ist die Wahrscheinlichkeit dass sie ausgenutzt wird.
Und ein Virenscanner ist wie schon zigfach gesagt, kein Freibrief zum surfen, und nur ein Teil die Sicherheit am PC zu erhoehen.
Aber, Mails werden nicht immer sofort empfangen, vielleicht hat der Virenscanner inzwischen schon ein Update geladen.
Nicht jede gehackte Internetseite wird sofort entdeckt.
Und auch eine bereits entstandene Infizierung eines PCs kann nach einem Update des Virenscanners ggf. entdeckt werden.

Weiterhin gilt, und da gibt es für mich absolut keinerlei Gründe davon abzuweichen:

Alle am Internet betriebenen PCs sind sowohl vom System als auch den Tools aktuell zu halten.
Zumindest auf Windows PCs gehoert ein tauglicher Virenscanner.

Alles andere darf man als grob fahrlässig betrachten.
Da dies bereits, auch hier mehrfach, durchdebatiert wurde, werde ich auf Argumente wie Scheinsicherheit,
und anderen Blödsinn nicht mehr eingehen.

Der Sicherheistgurt ist auch gefährlich und die Erde eine Scheibe.



Und mit ner geklauten Identität in Facebook, oder einen Nikon Forum, kann man auch ganz schönen Mist
machen.

Der beste Schutz ist aber immer noch HIRN EINSCHALTEN.

Gruß
Jürgen
 
Kommentar
Alle am Internet betriebenen PCs sind sowohl vom System als auch den Tools aktuell zu halten.
Zumindest auf Windows PCs gehoert ein tauglicher Virenscanner.

Ist das nicht selbstverständlich und Grundvoraussetzung, bevor man Internet benutzt? Gibt es wirklich noch User, die keinen guten aktuellen Virenscanner drauf haben?
 
Kommentar
-Anzeige-
Zurück
Oben Unten