Phishing fuer Dummies

13 views
Skip to first unread message

Stefan Froehlich

unread,
Feb 7, 2020, 4:15:35 AM2/7/20
to
Ich habe da gerade eine Mail bekommen, die mich vor ein Rätsel
stellt, denn der Body sieht exakt so aus:

#v+
------=_Part_50997_911357575.1581066220774
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8

Guten Tag Herr Fr=C3=B6hlich,

in Ihrer Mailbox ist eine neue Nachricht von Ihrem Berater/Ihrer Beraterin =
f=C3=BCr Sie zu folgendem Thema eingetroffen: Registrierung pushTAN in Mein=
ELBA-App.

Um die Nachricht zu lesen, melden Sie sich bitte wie gewohnt im Online Bank=
ing an. Aus Sicherheitsgr=C3=BCnden stellen wir keinen direkten Link zum Ei=
nstieg zur Verf=C3=BCgung. In Ihrer Mailbox k=C3=B6nnen Sie die neue Nachri=
cht abrufen.
=20
Freundliche Gr=C3=BC=C3=9Fe

Raiffeisenbank Liezen-Rottenmann-Trieben, Bankstelle Liezen

Hinweis: Diese E-Mail wurde automatisiert erstellt. Bitte antworten Sie dah=
er nicht auf diese E-Mail. Falls Sie Fragen an uns richten m=C3=B6chten, nu=
tzen Sie bitte die Mailbox im Online Banking.
=20
------=_Part_50997_911357575.1581066220774--
#v-

Kein Link, keine aktiven Inhalte, noch nicht einmal HTML. Worauf
soll man hier denn bitte hereinfallen (dass ich kein Konto bei der
Raiffeisen habe, geschweige denn im wildromantischen Liezen, brauche
ich wohl nicht zu erwähnen)?

Also habe ich mir das angesehen - die Mail ging an eine von mir
ausschließlich privat genutzte GMX-Adresse, und der letzte
relevante Received-Eintrag (beim nächsten ist bereits meine eigene
Infrastruktur involviert) sieht so aus:

#v+
Received: from xlspam06.mdcs.at ([217.13.183.49]) by mx-ha.gmx.net (mxgmx114
[212.227.17.5]) with ESMTPS (Nemesis) id 1M4ZAM-1izR3B3Xq2-001h9c for
<stefan.f...@gmx.at>; Fri, 07 Feb 2020 10:03:44 +0100
#v-

Die eine IP-Adresse gehört 1&1 die andere gehört der RAI. WTF?
Zu allem Überfluss schicken sie auch noch einen gültigen DKIM-Header
mit.

Jetzt bin ich neugierig geworden - was soll das? Ich bin schon
knapp davor, dort anzurufen....

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan muß mehr als Vergnügen machen!
(Sloganizer)

Stefan Froehlich

unread,
Feb 7, 2020, 11:41:57 AM2/7/20
to
On Fri, 07 Feb 2020 15:21:56 Andreas Kohlbach wrote:
> On 7 Feb 2020 09:15:33 GMT, Stefan Froehlich wrote:
> > Ich habe da gerade eine Mail bekommen, die mich vor ein Rätsel
> > stellt, denn der Body sieht exakt so aus:
> >
> > #v+
> > ------=_Part_50997_911357575.1581066220774
> > Content-Transfer-Encoding: quoted-printable
> > Content-Type: text/plain; charset=UTF-8
> >
> > Guten Tag Herr Fr=C3=B6hlich,
> >
> > in Ihrer Mailbox ist eine neue Nachricht von Ihrem Berater/Ihrer Beraterin =
> > f=C3=BCr Sie zu folgendem Thema eingetroffen: Registrierung pushTAN in Mein=
> > ELBA-App.
> >
> > Um die Nachricht zu lesen, melden Sie sich bitte wie gewohnt im Online Bank=
> > ing an. Aus Sicherheitsgr=C3=BCnden stellen wir keinen direkten Link zum Ei=
> > nstieg zur Verf=C3=BCgung. In Ihrer Mailbox k=C3=B6nnen Sie die neue Nachri=
> > cht abrufen.
> > =20
> > Freundliche Gr=C3=BC=C3=9Fe
> >
> > Raiffeisenbank Liezen-Rottenmann-Trieben, Bankstelle Liezen
> >
> > Hinweis: Diese E-Mail wurde automatisiert erstellt. Bitte antworten Sie dah=
> > er nicht auf diese E-Mail. Falls Sie Fragen an uns richten m=C3=B6chten, nu=
> > tzen Sie bitte die Mailbox im Online Banking.
> > =20
> > ------=_Part_50997_911357575.1581066220774--
> > #v-

> Ist da vielleicht noch ein text/html Teil? Ich habe es manchmal, dass
> Links nur in diesem stehen.

Nein, der obige Auszug ist mit copy/paste aus dem Spoolverzeichnis
entstanden und enthält den Body wirkich vollständig.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Wundervoll bleibt wundervoll: Stefan für alle Fälle!
(Sloganizer)

Oliver Schwickert

unread,
Feb 7, 2020, 4:04:43 PM2/7/20
to
Stefan Froehlich schrieb:
> Ich habe da gerade eine Mail bekommen, die mich vor ein Rätsel
> stellt, denn der Body sieht exakt so aus:

Auch für die E-Mail-Phisher wird es immer schwieriger, gut ausgebildeten
Leute zu bekommen. Die meisten machen mittlerweile Social Media.

Claus Aßmann

unread,
Feb 8, 2020, 12:43:29 AM2/8/20
to
Stefan Froehlich wrote:

> ------=_Part_50997_911357575.1581066220774
> Content-Transfer-Encoding: quoted-printable
> Content-Type: text/plain; charset=UTF-8

Und was ist im Header? D.h., welcher "Content-Type:" ist dort?


--
Note: please read the netiquette before posting. I will almost never
reply to top-postings which include a full copy of the previous
article(s) at the end because it's annoying, shows that the poster
is too lazy to trim his article, and it's wasting the time of all readers.

Stefan Froehlich

unread,
Feb 8, 2020, 3:06:09 AM2/8/20
to
On Sat, 08 Feb 2020 06:43:28 Claus Aßmann wrote:
> Stefan Froehlich wrote:
>
> > ------=_Part_50997_911357575.1581066220774
> > Content-Transfer-Encoding: quoted-printable
> > Content-Type: text/plain; charset=UTF-8
>
> Und was ist im Header? D.h., welcher "Content-Type:" ist dort?

Das passt schon zusammen:

#v+
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_50997_911357575.1581066220774"
#v-

Es gibt dann allerdings nur diesen einen Multipart-Bestandteil,
vielleicht wurde der HTML-Teil also schlicht vergessen.

Irritiert bin ich aber immer noch durch den (von meinem eigenen
Server eingefügten) Header:

#v+
X-Spam-Status: No, score=-1.7 required=5.0 tests=BAYES_00,DKIM_SIGNED,
DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FORGED_FROMDOMAIN,FREEMAIL_FROM,
HEADER_FROM_DIFFERENT_DOMAINS,SPF_PASS,URIBL_BLOCKED autolearn=no
autolearn_force=no version=3.4.2
#v-

(Freemail-From und Header-From-Different-Domains dürfte sich auf das
Envelope-From von GMX beziehen, die Mail wurde von dort an mich
weitergeleitet. Bleibt also eine gültige DKIM-Signatur)

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan. Für verschränkte Ufer in besengten Stürmen!
(Sloganizer)

Ulf.K...@web.de

unread,
Feb 8, 2020, 6:39:59 AM2/8/20
to
Das sah man bei der medialen Begleitung
von Greta Thunbergs ICE-Reise durch die
Bahn

Man redete sich nachher heraus, es sei
das Team der Gesamt-DB gewesen, DB Fernverkehr
habe wohl kein solches Team.

Gruß, ULF

Ulf.K...@web.de

unread,
Feb 8, 2020, 6:40:28 AM2/8/20
to
Am Freitag, 7. Februar 2020 10:15:35 UTC+1 schrieb Stefan Froehlich:
> Ich habe da gerade eine Mail bekommen, die mich vor ein Rätsel
> stellt, denn der Body sieht exakt so aus:
>
> #v+
> ------=_Part_50997_911357575.1581066220774
> Content-Transfer-Encoding: quoted-printable
> Content-Type: text/plain; charset=UTF-8
>
> Guten Tag Herr Fr=C3=B6hlich,
>
> in Ihrer Mailbox ist eine neue Nachricht von Ihrem Berater/Ihrer Beraterin =
> f=C3=BCr Sie zu folgendem Thema

Ist die Sonderzeichendarstellung auch auf deren Ungeschick
zurückzuführen?

Gruß, ULF

Stefan Froehlich

unread,
Feb 8, 2020, 8:54:05 AM2/8/20
to
On Sat, 08 Feb 2020 12:40:27 Ulf.K...@web.de wrote:
> Am Freitag, 7. Februar 2020 10:15:35 UTC+1 schrieb Stefan Froehlich:
> > ------=_Part_50997_911357575.1581066220774
> > Content-Transfer-Encoding: quoted-printable
> > Content-Type: text/plain; charset=UTF-8
> >
> > Guten Tag Herr Fr=C3=B6hlich,
> > [...]

> Ist die Sonderzeichendarstellung auch auf deren Ungeschick
> zurückzuführen?

Was gefällt Dir daran denn nicht?

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan konnte immer schon mehr als Laune machen!
(Sloganizer)

Ulf.K...@web.de

unread,
Feb 9, 2020, 3:32:12 AM2/9/20
to
Am Samstag, 8. Februar 2020 14:54:05 UTC+1 schrieb Stefan Froehlich:

> > > ------=_Part_50997_911357575.1581066220774
> > > Content-Transfer-Encoding: quoted-printable
> > > Content-Type: text/plain; charset=UTF-8
> > >
> > > Guten Tag Herr Fr=C3=B6hlich,
> > > [...]
>
> > Ist die Sonderzeichendarstellung auch auf deren Ungeschick
> > zurückzuführen?
>
> Was gefällt Dir daran denn nicht?

Es geht nicht um Gefallen, sondern ich wüßte gerne, ob
Du die Sonderzeichen auch schon so angezeigt bekamst.

Soll ja vorkommen, daß sie sich erst bei einer weiteren
Wiedergabe zerlegen.

Gruß, ULF

Stefan Froehlich

unread,
Feb 9, 2020, 8:42:19 AM2/9/20
to
On Sun, 09 Feb 2020 09:32:11 Ulf.K...@web.de wrote:
> Am Samstag, 8. Februar 2020 14:54:05 UTC+1 schrieb Stefan Froehlich:
> > > > ------=_Part_50997_911357575.1581066220774
> > > > Content-Transfer-Encoding: quoted-printable
> > > > Content-Type: text/plain; charset=UTF-8
> > > >
> > > > Guten Tag Herr Fr=C3=B6hlich,
> > > > [...]
> >
> > > Ist die Sonderzeichendarstellung auch auf deren Ungeschick
> > > zurückzuführen?
> >
> > Was gefällt Dir daran denn nicht?
>
> Es geht nicht um Gefallen, sondern ich wüßte gerne, ob
> Du die Sonderzeichen auch schon so angezeigt bekamst.

Hier in meinem Artikel? Freilich.
Im Mailprogramm? Natürlich nicht.

Der Content-Transfer-Encoding Header ist Dir schon aufgefallen,
oder?

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan!? Ja! Denn albern ist unwirklicher als eifern.
(Sloganizer)

Stefan Froehlich

unread,
Feb 10, 2020, 4:08:20 AM2/10/20
to
On Fri, 07 Feb 2020 10:15:33 Stefan Froehlich wrote:
> Jetzt bin ich neugierig geworden - was soll das? Ich bin schon
> knapp davor, dort anzurufen....

Habe ich nun getan, mit durchaus überraschendem Ergebnis: Die
Filiale dort hat einen Kunden mit gleichem Namen, der offenbar seine
eigene Email-Adresse nicht kennt und statt dessen meine hinterlegt
hat...

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan, so dämlich wie das Bier. Erhabenheit für's Leben!
(Sloganizer)
Reply all
Reply to author
Forward
0 new messages