Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Misslungener Deutsche Bank Phish?

94 views
Skip to first unread message

Andreas Kohlbach

unread,
Mar 28, 2013, 8:25:40 PM3/28/13
to
Ich hatte (vor-) gestern mehrere Mails aus .ph (ist das die
Toplevel-Domain für das Land "Phish"? ;-), der meinte, man solle einen
Link klicken, das Formular dort ausfüllen, und etwas später würde sich
ein Mitarbeiter der Deutschen Bank dem annehmen.

Allerdings waren die Links echte Links der Deutschen Bank. Zertifikat war
IMO okay, und der Abuse Desk wäre bei db.com gewesen.

Da hat Spammie wohl den Link versaut?

Hat das noch jemand bekommen?
--
Andreas
12. All shopkeepers carry high-tech weapons.
- Arcade Wisdom

Ulrich F. Heidenreich

unread,
Mar 29, 2013, 5:36:07 AM3/29/13
to
Andreas Kohlbach in <news:87hajvd...@usenet.ankman.de>:

>Ich hatte (vor-) gestern mehrere Mails aus .ph (ist das die
>Toplevel-Domain für das Land "Phish"? ;-), der meinte, man solle einen
>Link klicken, das Formular dort ausfüllen, und etwas später würde sich
>ein Mitarbeiter der Deutschen Bank dem annehmen.
>
>Allerdings waren die Links echte Links der Deutschen Bank.

Sicher? Oder waren die Mails in HTML und Du bist auf den üblichen
Trick hereingefallen, als Text zum Link die Deutsche Bank anzugeben?

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 26 Tagen ist Weihnachten.
8QKNC Y3CBG QE5O6 4LF4X OJ7M8 SJGL9 UTPL6 P25NQ JDG67
Stellt euch vor, es ist Freitag und keiner geht hin!
Message has been deleted
Message has been deleted

Helmar

unread,
Mar 29, 2013, 9:03:46 AM3/29/13
to
Andreas Kohlbach schrieb am 29.03.2013 01:25:

> Hat das noch jemand bekommen?

Hier aufgeschlagen auf meiner Usenet GMX-Adresse, eingeliefert von
74.52.131.242 (tacoma.websitewelcome.com). Der Link ist derzeit noch
erreichbar und fᅵhrt nach

http:**haithue.com/images/5976352372/login75752536436/

--
Steve Miller <mister...@hotmail.com> in
news:eI2boH5...@TK2MSFTNGP10.phx.gbl
"Auᅵerdem bin ich nicht lernrestent. Ich weiᅵ einfach schon alles."

Ulrich F. Heidenreich

unread,
Mar 29, 2013, 8:59:49 AM3/29/13
to
Mathias Fuhrmann in <news:51558167$0$9525$9b4e...@newsspool1.arcor-online.net>:

>Ulrich F. Heidenreich schrieb:
>
>> Andreas Kohlbach in <news:87hajvd...@usenet.ankman.de>:
>
>>>Ich hatte (vor-) gestern mehrere Mails aus .ph (ist das die
>>>Toplevel-Domain für das Land "Phish"? ;-), der meinte, man solle einen
>>>Link klicken, das Formular dort ausfüllen, und etwas später würde sich
>>>ein Mitarbeiter der Deutschen Bank dem annehmen.
>>>Allerdings waren die Links echte Links der Deutschen Bank.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
>> Sicher? Oder waren die Mails in HTML und Du bist auf den üblichen
>> Trick hereingefallen, als Text zum Link die Deutsche Bank anzugeben?
>
>Habe gestern an zwei gmx-Adressen nahezu zeitgleich ebenfalls so einen
>Mist erhalten und weder Arcor noch spamfence filterten/erkannten
>etwas.

Den Mist habe ich auch bekommen. Aber wo siehst Du da die von Dir
genannten "echte Links der Deutschen Bank"?

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 26 Tagen ist Weihnachten.
93HOI JYS4Y CM2DC ZQPF0 6CPC3 PKX9X 2J2FL QQ19I 6NFQC

Juergen

unread,
Mar 29, 2013, 9:24:59 AM3/29/13
to
Am 29.03.2013 12:56, schrieb Mathias Fuhrmann:

> deutschebank-bochum.org

Wem geh�rt denn diese Domain? Oder steht in deiner Email irgendwas anderes?

Wer steckt z.B. hinter dircredito-deutschebank.org (wegen "org")
dns 195.110.124.133 irgendwas in Italien.
Admin der Domain hat ne gmail-Addy.

Ich wusste garnicht, dass es deutschebank.org �berhaupt gibt, aber
die expiriert am 7.4.2013 ;-) siehe
http://wewewe whois de/deutschebank.org?refresh=1
(klein wenig unklickbar gemacht)
Dazu finde ich jedoch keine IP.

> | Telefonnummer: 0900 - xx xx xx
> Ich habe nat�rlich dort auch gar kein Konto.

Und wem geh�rt die 0900? ;-)

J�rgen
Message has been deleted
Message has been deleted

Ulrich F. Heidenreich

unread,
Mar 29, 2013, 10:34:00 AM3/29/13
to
Mathias Fuhrmann in <news:51559df5$0$6569$9b4e...@newsspool3.arcor-online.net>:

>Ulrich F. Heidenreich schrieb:
>
>> Den Mist habe ich auch bekommen. Aber wo siehst Du da die von Dir
>> genannten "echte Links der Deutschen Bank"?
>
>Habe ich zwar nicht geschrieben ...,

I stand corrected. Es war Andreas. Und ich mutmaßte, er sei auf den
üblichen …

<a href="http:/invalid.de/phish">https://meine.deutsche-bank.de/trxm/db/</a>

… Trick hereingefallen.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 26 Tagen ist Weihnachten.
VX9IW 6GL11 WTYHX UA8TZ A0BL8 3O1BE 02SMB EXIWO G40J7
Message has been deleted

Andreas Kohlbach

unread,
Mar 29, 2013, 7:33:37 PM3/29/13
to
Ulrich F. Heidenreich wrote on 29. March 2013:
>
> Mathias Fuhrmann in <news:51559df5$0$6569$9b4e...@newsspool3.arcor-online.net>:
>
>>Ulrich F. Heidenreich schrieb:
>>
>>> Den Mist habe ich auch bekommen. Aber wo siehst Du da die von Dir
>>> genannten "echte Links der Deutschen Bank"?
>>
>>Habe ich zwar nicht geschrieben ...,
>
> I stand corrected. Es war Andreas. Und ich mutmaßte, er sei auf den
> üblichen …
>
> <a href="http:/invalid.de/phish">https://meine.deutsche-bank.de/trxm/db/</a>
>
> … Trick hereingefallen.

Nein, ich hatte mir den Sourcetext anzeigen lassen. Und als ich beim
Durchsehen nichts fand, habe ich nach "http" suchen lassen. Was nur die
http://deutsche-bank.de/ fand.
--
Andreas
You know you're a Redneck when
10. You have the local taxidermist on speed dial.

Ulrich F. Heidenreich

unread,
Mar 30, 2013, 6:25:01 AM3/30/13
to
Andreas Kohlbach in <news:87fvzdp...@usenet.ankman.de>:

>Ulrich F. Heidenreich wrote on 29. March 2013:

>> Es war Andreas. Und ich mutmaßte, er sei auf den
>> üblichen …
>>
>> <a href="http:/invalid.de/phish">https://meine.deutsche-bank.de/trxm/db/</a>
>>
>> … Trick hereingefallen.
>
>Nein, ich hatte mir den Sourcetext anzeigen lassen. Und als ich beim
>Durchsehen nichts fand, habe ich nach "http" suchen lassen. Was nur die
>http://deutsche-bank.de/ fand.

Reden wir wirklich vom selben Phish? HTML sehe ich grundsätzlich nur
als reinen Text (außer ich kippte den vorsätzlich in einen Browser)
und da sprang mir völl krass grün http://dngenviro.com/ ... ins Auge.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 25 Tagen ist Weihnachten.
XXJXW VDSZJ AZL9B 1MQYI IR3ZU R9F85 RTO8P FVXQH JVEQ0
Stellt euch vor, es ist Samstag und keiner geht hin!

Thomas Hochstein

unread,
Mar 30, 2013, 5:24:59 PM3/30/13
to
Mathias Fuhrmann schrieb:

>| <http://hostalitecloud. com/images/3879572732/login75752536436/>--- Mathias Fuhrmann - mTAN-Verfahren Anmeldung ---

Yep, hier auch, aber mit anderer URL. Da hat man wohl einen ganzen
Stapel solcher Fake-Webseiten angelegt, damit nicht mit dem Takedown
der Seite als Folge einer Beschwerde die ganze Arbeit umsonst war. :)
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<http://th-h.de/faq/danam-intro.html> und ggf. die dort genannten FAQs lesen!

Weitere kleine Texte rund um das Thema E-Mail: <http://th-h.de/infos/email/>
Message has been deleted
0 new messages