Aktualisierung Ihrer geheimen Fragen und Antworten – Yahoo Phishing

Heute landete zum ersten Mal eine Phishingmail für Yahoo im Postfach. Diese angebliche Servicemail stammt definitiv nicht von Yahoo. Dies erkennt man an der verwendeten Url *.nnh.to

Vom Optischen her erinnert die Seite zwar an die bekannte Yahooseite, aber es werden trotzdem die Zugangsdaten, geheime Frage und Antwort usw. abgefangen.

 

Schauen wir uns die Mail/Seite genauer an:
– sicherheit.yahoo.de.nnh.to ist keine echte Yahooseite, weil hier kein Yahoo.de oder Yahoo.com in der Url steht sondern nnh.to -> Alles andere, was davor steht, ist rein technisch uninteressant
– nnh.to alleine in der Browserzeile eingetragen, zeigt eine Seite mit japanischen Text an
– normalerweise wird man in offiziellen Mails mittels richtigem Vor- und Nachnahmen angesprochen
– in der Url steht ….index.php?MAILADRESSE-BEI-YAHOO – Hier wird mittels Parameter zum einen aufgrund der Mail (auch bei jeder frei eingegebenen Mailadresse) Adresslisten erstellt und die Zugangsdaten bzw. Antwort(en) auf die Sicherheitsfrage(n) abgefangen
– ….

 

IP Address210.189.68.36
IP Location  Tokyo – Yukaido Shuppan Co.ltd

 

Die Mail kommt von kundenservice327@mw.yahoo.de

—————————–

Sehr geehrtes Yahoo.de Mitglied,

Sie haben seit einer Weile ihre Sicherheitsfragen nicht mehr aktualisiert, deshalb bitten wir Sie
höflichst dieser Angelegenheit nachzugehen.

Gehen Sie für die Aktualisierung wie folgt vor:

1. Klicken oder kopieren Sie diese Adresse in ihrem Web-Browser:
http://sicherheit.yahoo.de.nnh.to/phpmyadmin/config/index.php?MAILADRESSE-BEI-YAHOO
2. Melden Sie sich mit Ihrer Yahoo-ID und Ihrem Passwort an.
3. Beantworten Sie bitte nur die Sicherheitsfragen, an denen Sie sich jederzeit erinnern können.
4. Klicken Sie zur Bestätigung der Änderungen auf Speichern.
5. Sie werden automatisch zu ihrem Yahoo-Konto weitergeleitet, fertig!

Diese Aktualisierung dient zu Ihrer eigenen Sicherheit und der Integrität ihres Yahoo-Kontos, wir
bedanken uns für Ihr Verständnis.

Copyright © 2015 Yahoo Inc. Alle Rechte vorbehalten.
—————————–

Mailheader:

From „Yahoo.de“ Tue Jan 20 08:35:11 2015
X-Apparently-To: nerv@mich.net; Tue, 20 Jan 2015 08:35:13 +0000
Return-Path: <kundenservice974@yy.yahoo.de>
X-YahooFilteredBulk: 94.247.176.35
Received-SPF: none (domain of yy.yahoo.de does not designate permitted sender hosts)
X-YMailISG: Mm_sPd8WLDsay8FcaxsShShAGUTfx7TG9iUUjsT4.yLwlP.X
A4naMwrwTQG6PTEj7iLOu6t1ApRiQYnlx91_4.jVSE6I9eP74PGmnIYJrYra
oDkbiSBoLVwuBkXf_XhEaClPt1FUGv1R5EX_h8BBVM_Tdow84.C2x4NVtLfh
WBL0ZfR3B4gu.i_Ss7SG7JajmM_I_pcumP7Sib3u4Hu4azJlo_wLafY1oBk7
GRWRVjKrQeT3eMfS6kOs2LYIPXcGIjMFYdDHhABDrvdSL7D68H94QXicnIdP
.dVYTsbwHoaljKR0T8MiHkDeVz2LIRjvNJCBbYA8ulAvsiqaDtpsPu0v_m1M
zWrMSh9QcKmp8CqxD8FagbTvEfsEtQWmzbJQyvGv0YDOOzZfqrLpBqh5wkhQ
IROADArw94rKCXXs_mYkXMAcBqeoTOh8wO66pJ1c7xBD8OzNdiV0esy080Bd
tSZaZ9IeHdDzMI02StDwoEl_Fxkw6_OmJEsXf3nU5p9CxzgVUxAwtvnBXhY_
YXoD.6IQyihHCtAq5f5rci534RulWG3R_4yLqiHXacQr5G70JXuc4MdL_UgR
TbbB7nI8H0wD_PGR_XyaaTN8kRL7GEkK6nlNG.uYW1Aeu0TS92DQUpy3QN4x
vew4WoYR4eeXt5AfNW7ueW02UvQjGlRun.Os05PldzemvKc2rQA9Cerj_RxB
8fdOHEBqQ9eidchlbccLo9Me_2mJfGowXmWmWay7uodkt1a851HP8RAj.lBL
LQ7jvddpL7xyjM1rjTMBlMKleYmHIcFvSVtAwrCH65RBVC7fC3IU5wrkrWus
fcUbtgoM1wFzcR5oJ8b0tSBwg38AEF6R_m5AoyIZR6KrxllwpPUOruB8e3Zl
dhseGRIuwBLCjQJZThqCNPTXkPa5O14BnxnYfG.NdKcsFKycXI2v0KVx9Zv2
OOM4wguhQumlGuQu9Jm0wxK3ZHI4n.nuqUPB_xOhlvPkLayu0NlL0PVRh78Y
nIBYlfdr7VPADrCEhmuNz9aIZvjAvhTR3KhCx9fD_dPNA70ZJSt3PEKLDqy1
Mp7bdblFwper30SIHqvl6i1t.Mkw.LmvMV8hriJad4bIIn66p3nh1P7aT9Hf
XphV1YhOeOPk0WcJU4HzFTjtyp7jBd4o4d7nQBzS.YSw50TSnX691V4dL2F8
OuWmRWFZ24L0wpfiCyY.JxoGKtwWHxFEdQQmVBpwfJxtoEATU_auOCUulpKE
JDA1p6_O4lvwKSW7gIoIJEASVIkvm7pOY2s6OEW7_2NXxBfDVqOnj9QhDZzS
h5RPd6i_PJ0s0hIUHIGQp8yh9C9BPhXq.bBHyBIoTvkOSWUqf.i6eAtwNkWW
lfEuX544C5iOjd4aUoaaqTywoU7ux7LSxmk9ZMg5
X-Originating-IP: [94.247.176.35]
Authentication-Results: mta1196.mail.ir2.yahoo.com  from=mw.yahoo.de; domainkeys=neutral (no sig);  from=mw.yahoo.de; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO de546.ispfr.net) (94.247.176.35)
by mta1196.mail.ir2.yahoo.com with SMTPS; Tue, 20 Jan 2015 08:35:13 +0000
Received: by de546.ispfr.net (Postfix, from userid 5001)
id 0CB1539BFA93; Tue, 20 Jan 2015 09:35:13 +0100 (CET)
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on de546.ispfr.net
X-Spam-Level:
X-Spam-Status: No, score=-1.0 required=3.0 tests=ALL_TRUSTED
autolearn=unavailable version=3.3.1
X-No-Relay: not in my network
Received: from yy.yahoo.de (unknown [216.201.165.130])
by de546.ispfr.net (Postfix) with ESMTPA id 388A939BFA3A
for <nerv@mich.net>; Tue, 20 Jan 2015 09:35:12 +0100 (CET)
From: „Yahoo.de“ <kundenservice327@mw.yahoo.de>
To: nerv@mich.net
Subject: Aktualisierung Ihrer geheimen Fragen und Antworten
Date: 20 Jan 2015 02:35:11 -0600
Message-ID: <20150120*3511.7265BB636DAA5B3E@mw.yahoo.de>
MIME-Version: 1.0
Content-Type: text/plain;
charset=“x-ias-german“
Content-Transfer-Encoding: 8bit
Content-Length: 860

Verlinken Sie diesen Beitrag:

<a href="http://www.phishingmails.de/aktualisierung-ihrer-geheimen-fragen-und-antworten-yahoo-phishing/">Aktualisierung Ihrer geheimen Fragen und Antworten – Yahoo Phishing</a>