Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ING/rabobank phising xD

11-07-2012, 14:28 door spatieman, 14 reacties
zo juist gekregen,
in vrij goed nederlands.

mail 1..
Return-Path: dilution95@lsinter.net
Received: from mx07.back.prod.mail.online.nl (LHLO mx.online.nl)
(10.160.210.167) by mailstore10.back.prod.mail.online.nl with LMTP; Wed, 11
Jul 2012 14:09:41 +0200 (CEST)
Received: by mx.online.nl (Postfix, from userid 65536)
id EE58FA012; Wed, 11 Jul 2012 14:09:40 +0200 (CEST)
Received: from localhost (filterin04.back.prod.mail.online.nl [10.160.210.224])
by mx.online.nl (Postfix) with ESMTP id B09C3A003
for <*@online.nl>; Wed, 11 Jul 2012 14:09:40 +0200 (CEST)
Received: from mx04.online.nl ([10.160.210.164])
by localhost (filterin04.back.prod.mail.online.nl [10.160.210.247])
(amavisd-new, port 10024)
with ESMTP id KfBGWLXCkhJl; Wed, 11 Jul 2012 14:09:40 +0200 (CEST)
Received: from mx04.online.nl (localhost [127.0.0.1])
by mx04.online.nl (Postfix) with ESMTP id 16C7982016;
Wed, 11 Jul 2012 14:09:40 +0200 (CEST)
Received: from green.ch (zux189-077.adsl.green.ch [80.254.189.77])
by mx04.online.nl (Postfix) with ESMTP;
Wed, 11 Jul 2012 14:09:39 +0200 (CEST)
Date: Wed, 11 Jul 2012 13:10:39 +0100
From: <**@online.nl>,
<**@online.nl>
To: <**@online.nl>,
<**@online.nl>
Subject: Afschrijving van 350,
00 euro voor de verzekeringskosten van de betalingsopdrachten bij de
RABO bank.
X-Mailer: npho
MIME-Version: 1.0
Content-Type: text/html;
charset=windows-1250
Content-Transfer-Encoding: 7bit
X-Online-Scanned: by Cloudmark authority (on mx04.online.nl)
X-Online-CMAE-Analyze: .v=2.0 cv=MrTlHRme c=1 sm=0 p=nTPlK_2nAAAA:8
p=GPQqq7Vrw7BpbbKnh_AA:9 p=YBz0rXVzHg4A:10 p=6SdPau91yNkA:10
a=zI8bu9GjsNQA:10 a=E5nwcu9QDW8A:10 a=JU2Juu-SAAAA:8
a=udTvpura_4gA:10 a=lQGskYZJWpAFiwT8:21
X-Online-CMAE-Score: .100
X-Online-Old-Domain: Checked

Geachte klant,<br>
<br>
De RABO bank dankt u voor het gebruik van onze diensten. We hebben onze nieuwe dienst “verzekering van betalingsopdrachten” voor u geactiveerd.<br>
Het jaartarief voor deze dienst bedraagt 350,00 euro. Dit bedrag wordt morgenochtend van uw lopende rekening afgeschreven. <br>
U kunt de <a href="http://www.gplus.com.tr/rabobank.html"> details</a> van uw bestelling bekijken of de bestelling <a href="http://www.tesorosvenezolanos.com/rabobank.html">annuleren</a>.<br>
<br>
Hoogachtend,<br>
<br>
Klantendienst van de Rabo bank

mail 2.

Return-Path: rockssj4@lsinter.net
Received: from mx01.back.prod.mail.online.nl (LHLO mx01.online.nl)
(10.160.210.161) by mailstore12.back.prod.mail.online.nl with LMTP; Tue, 10
Jul 2012 18:09:26 +0200 (CEST)
Received: by mx01.online.nl (Postfix, from userid 65536)
id 8A138860E6; Tue, 10 Jul 2012 18:09:25 +0200 (CEST)
Received: from localhost (filterin10.back.prod.mail.online.nl [10.160.210.230])
by mx01.online.nl (Postfix) with ESMTP id 1655D8608C;
Tue, 10 Jul 2012 18:07:47 +0200 (CEST)
Received: from mx.online.nl ([10.160.210.167])
by localhost (filterin10.back.prod.mail.online.nl [10.160.210.247])
(amavisd-new, port 10024)
with ESMTP id 0KrafuYtrmhS; Tue, 10 Jul 2012 18:07:46 +0200 (CEST)
Received: from mx.online.nl (localhost [127.0.0.1])
by mx.online.nl (Postfix) with ESMTP id CD915A004;
Tue, 10 Jul 2012 18:07:46 +0200 (CEST)
Received: from [95.169.204.23] (unknown [95.169.204.23])
by mx.online.nl (Postfix) with ESMTP;
Tue, 10 Jul 2012 18:07:46 +0200 (CEST)
Received: from [79.16.108.112] (helo=lirvhtxut.teofplvew.tv)
by with esmtpa (Exim 4.69) (envelope-from ) id 1MMPB4-2510dj-L5
for *@wanadoo.nl; Tue, 10 Jul 2012 18:08:41 +0200
Date: Tue, 10 Jul 2012 18:08:41 +0200
From: <*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>
X-Mailer: The Bat! (v3.5.30) Educational
X-Priority: 3 (Normal)
Message-ID: <8660784492.TLBSU4IK089190@fbcnlrmgderkuxr.hwmncjprib.info>
To: <*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>
Subject: **@WANADOO** U heeft een voorschot van 1 000,
00 euro op uw rekening bij de ING bank ontvangen.
MIME-Version: 1.0
Content-Type: text/html;
charset=us-ascii
Content-Transfer-Encoding: 7bit
X-Online-Scanned: by Cloudmark authority (on mx07.online.nl)
X-Online-CMAE-Analyze: .v=2.0 cv=Ee9/toaC c=1 sm=0 p=Dq7ytWUvY7IA:10
p=7o0tbO-sAAAA:8 p=OZ1iIjr0ebM0PMRkZnwA:9 p=9vAvVSogwkcA:10
p=3E8nslzkiIYA:10 p=hzevLEFpG_KVSWnD:21 a=kj9zAlcOel0A:10
a=tKv60lTqAAAA:8 a=akZuiSK7AAAA:8 a=CjuIK1q_8ugA:10
a=_W_S_7VecoQA:10
X-Online-CMAE-Score: .100
X-Online-Old-Domain: Checked

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY>

Geachte dames en heren,<br>
<br>
Vorige week hebben wij uw <a href="http://ftp.notarialconsultoria.com.br/ing.html">factuur</a>van de belastingdienst en snel maatregelen te nemen om de<br>
blokkering van uw rekening te voorkomen.<br> ontvangen en we hebben een voorschot van 1 000,00 euro voor uw diensten overgemaakt.<br>
Helaas is de overboeking teruggekomen. Uw bank (ING bank) heeft ons meegedeeld dat de gegevens van uw <a href="http://ftp.doers.com.br/ing.html">bankrekening </a>van de belastingdienst en snel maatregelen te nemen om de<br>
blokkering van uw rekening te voorkomen.<br>onjuist zijn.<br>
<br>
Zou u daarom kunnen controleren of de gegevens juist zijn?<br>
<br>
Hoogachtend,<br>
ING Bank


mail 3

Return-Path: wending79@yhbia.com
Received: from mx04.back.prod.mail.online.nl (LHLO mx04.online.nl)
(10.160.210.164) by mailstore12.back.prod.mail.online.nl with LMTP; Tue, 10
Jul 2012 19:13:59 +0200 (CEST)
Received: by mx04.online.nl (Postfix, from userid 65536)
id A5A3D82008; Tue, 10 Jul 2012 19:13:59 +0200 (CEST)
Received: from localhost (filterin10.back.prod.mail.online.nl [10.160.210.230])
by mx04.online.nl (Postfix) with ESMTP id 8BC628200F;
Tue, 10 Jul 2012 19:13:59 +0200 (CEST)
Received: from mx.online.nl ([10.160.210.167])
by localhost (filterin10.back.prod.mail.online.nl [10.160.210.247])
(amavisd-new, port 10024)
with ESMTP id fP54cdlBTp4U; Tue, 10 Jul 2012 19:13:59 +0200 (CEST)
Received: from mx.online.nl (localhost [127.0.0.1])
by mx.online.nl (Postfix) with ESMTP id 51371A007;
Tue, 10 Jul 2012 19:13:59 +0200 (CEST)
Received: from buffalo.setup
(cpc10-thor5-2-0-cust171.14-2.cable.virginmedia.com [86.17.19.172])
by mx.online.nl (Postfix) with ESMTP;
Tue, 10 Jul 2012 19:13:59 +0200 (CEST)
Date: Tue, 10 Jul 2012 17:14:55 +0000
From: <*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>
To: <*@wanadoo.nl>, <*@wanadoo.nl>,
<*@wanadoo.nl>, <*@wanadoo.nl>, <*@wanadoo.nl>
Subject: **@WANADOO** De overboeking naar uw rekening bij de ING bank is
teruggestort op onze rekening.
X-Mailer: wlwpijp
MIME-Version: 1.0
Content-Type: text/html;
charset=iso-8859-1
Content-Transfer-Encoding: 7bit
X-Online-Scanned: by Cloudmark authority (on mx07.online.nl)
X-Online-CMAE-Analyze: .v=2.0 cv=e4axv9V/ c=1 sm=0 p=JdbP5YDX-v4A:10
p=lN_e5FNAAAAA:8 p=OZ1iIjr0ebM0PMRkZnwA:9 p=ufmc2sZtc64A:10
p=Q4gwqmnsjKkA:10 p=tLdm07MDBvRuGywM:21 a=8nJEP1OIZ-IA:10
a=STeiCuWnAAAA:8 a=wPNLvfGTeEIA:10
X-Online-CMAE-Score: .100
X-Online-Old-Domain: Checked

Geachte dames en heren,<br>
<br>
Vorige week hebben wij uw <a href="http://callever.co.kr/ing.html">factuur</a>van de belastingdienst en snel maatregelen te nemen om de<br>
blokkering van uw rekening te voorkomen.<br> ontvangen en we hebben een voorschot van 1 000,00 euro voor uw diensten overgemaakt.<br>
Helaas is de overboeking teruggekomen. Uw bank (ING bank) heeft ons meegedeeld dat de gegevens van uw <a href="http://htcgroup.ro/ing.html">bankrekening </a>van de belastingdienst en snel maatregelen te nemen om de<br>
blokkering van uw rekening te voorkomen.<br>onjuist zijn.<br>
<br>
Zou u daarom kunnen controleren of de gegevens juist zijn?<br>
<br>
Hoogachtend,<br>
ING Bank

dus wees gewaarschuwd.
Reacties (14)
11-07-2012, 15:43 door Anoniem
Je email adres staat er in, gebruik zoek en vervang.
11-07-2012, 16:34 door Zipper306
Zucht........................
11-07-2012, 17:18 door spatieman
Door Anoniem: Je email adres staat er in, gebruik zoek en vervang.
nop...
11-07-2012, 17:39 door regenpijp
Is niet echt phishing maar meer proberen om een Java exploit uit te kunnen voeren. Welke, geen idee, ik heb de code niet gedecodeerd.
11-07-2012, 18:00 door slartibartfast
Krijg dit gedoe nu enkele keren per dag. Steeds wisselende email headers, steeds wisselende links in de email. Dus dit posten heeft weinig zin.
11-07-2012, 21:29 door Anoniem
yep, hier ook. IS al een keer of twintig binnegekomen vandaag. ze mochten wensen dat ik dat bedrag heb....
11-07-2012, 22:17 door MrBil
Niks te doen spatieman? Haha
11-07-2012, 23:35 door Anoniem
Afzender is je eigen emailadres
12-07-2012, 03:56 door Anoniem
Door spatieman:
Door Anoniem: Je email adres staat er in, gebruik zoek en vervang.
nop...

Je ziet wel eens meer wat over het hoofd, Ton. Zoek maar eens op Google naar je email adres.
12-07-2012, 06:04 door Anoniem
Enige wat mij echt opvalt is dat ing.html op servers staat die zelf weer gehackt lijken te zijn.
(Eens een keer geen random dag gegenereerde urls).
Vooral voor de ftp site is dat wel heel duidelijk
12-07-2012, 08:31 door Anoniem
Behoorlijk onbehoorlijk om alleen je eigen e-mail adres weg te halen maar dat van anderen te laten staan.
12-07-2012, 10:11 door Anoniem
Door Anoniem: Behoorlijk onbehoorlijk om alleen je eigen e-mail adres weg te halen maar dat van anderen te laten staan.
Hahaha, grapjas. Denk je nou echt dat die emailadressen van phishers ook maar enige waarde hebben?
12-07-2012, 11:38 door spatieman
Door Anoniem:
Door spatieman:
Door Anoniem: Je email adres staat er in, gebruik zoek en vervang.
nop...

Je ziet wel eens meer wat over het hoofd, Ton. Zoek maar eens op Google naar je email adres.

dacht dat ik de meuk had aangepast, de helft vergeten, meh, al gedaan.
12-07-2012, 12:05 door MrBil
De webservers waar dit soort bestanden zijn ook allemaal gek, je bent dom als je hiervoor je eigen server gebruikt -,-

Door de auto-frame techniek te gebruiken, infecteer je tientallen servers per dag met jou phishing pagina. Zo blijven ze dus ook buitenschot
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.