Wieder einmal werden die Kunden der Volksbank – Raiffeisenbank mit einer Phishingmail bedacht um an deren Logindaten zu kommen um dann deren Konten leer räumen zu können. Natürlich kann man das Konto dann auch zu anderen kriminellen Machenschaften nutzen, wenn man einmal Zugriff auf das Konto hat und der Kontoinhaber längere Zeit davon nichts mitbekommt. Dadurch kann man sich eine Menge Schaden und Ärger einhandeln.
Schauen wir uns die Mail mal wieder etwas genauer an:
- die Versandadresse trantolia-markiso@t-online.de hat nichts mit der Volksbank – Raiffeisenbank zu tun
- in der Mail ist kein Text, sondern nur ein großes Bild, auf dem der ganze Text und Grafiken zu sehen sind. Dadurch wollen die Spammer und Phisher Spamfilter austricksen
- die Grafik in der Mail ist mit dem Google Shorturl Serve verlinkt, was keine ordentlich Arbeitende Bank jemals machen würde. Auch die angebliche Verlinkung zur Seite im Mailtext wird eine Bank niemals in der Kundenmail machen. Sie wird eher dazu raten die Url der jeweiligen Bank immer von Hand in den Browser einzugeben
- die eingebettete Grafik in der Phishingmail wird bei lh3.googleusercontent.com/[Id entfernt] gehostet und hat die Bezeichnung date.png
- in der Mail (Bild) wird per Google Shorturlservice goo.gl/HLXXqg zu www.bild.de/onlinebanking.de.vr-IA147QG2QC-volksbank.ru verlinkt und von dort dann weiter geschickt zu onlinebanking.de.vr-ia147qg2qc-volksbank.ru/banking-privateentry.php?entry=[Id entfernt]
- auf der verlinkten Seite selber kann man mal wieder jeden Mist in die Felder eintragen und es wird alles genommen und nicht gemeckert
- ….
Fazit:
Alles nur eine Lüge, denn bei der Volksbank Raiffeisenbank gibt es kein Problem mit Ihrem Konto. Hier wollen Kriminelle Leute nur an die Zugansdaten kommen um das Konto dann leer räumen zu können, oder für eigene ( kriminelle ) Zwecke missbrauchen zu können. Löschen Sie diese Mail sofort und reagieren Sie nicht darauf und geben Sie immer die Url zu Ihrer Bank per Hand in den Browser ein.
| vr-IA147QG2QC-volksbank.ru | |||||||||||||||||||||
| domain: VR-IA147QG2QC-VOLKSBANK.RU nserver: max.6a2ccxdns.ru. nserver: ocean.6a2ccxdns.ru. state: REGISTERED, DELEGATED, VERIFIED person: Private Person registrar: R01-RU admin-contact: https://partner.r01.ru/contact_admin.khtml created: 2017-04-04T13:10:59Z paid-till: 2018-04-04T13:10:59Z free-date: 2018-05-05 source: TCI | |||||||||||||||||||||
| |||||||||||||||||||||
Die Mail kommt von Volksbank.de – trantolia-markiso@t-online.de und beworben wird die Url https://goo.gl/HLXXqg -> http://www.bild.de/onlinebanking.de.vr-IA147QG2QC-volksbank.ru -> https://onlinebanking.de.vr-ia147qg2qc-volksbank.ru/banking-privateentry.php?entry=[Id entfernt]
Die IP-Adresse lautet 185.189.14.170 und der ISP ist in Russian Federation zu finden. ( Technologies )
Text und Bilder in der Spammail:
Sehr geehrte Damen und Herren,
leider kam es in der letzten Zeit vermehrt zu sicherheitsrelevanten Problemen in Verbindung mit Volksbank-Kundendaten. Daher bitten wie Sie Ihre Kundendaten zu aktualisieren und sich kurz unserer Sicherheitsüberprüfung zu unterziehen.
Bitte klicken Sie folgenden Link um zur Sicherheitsüberprüfung zu gelangen.
Bilder und weitere Infos zu den beworbenen Seiten:
Mailheader der Spammail:
Return-path:
Delivery-date: Mon, 17 Apr 2017 02:41:44 +0200
Received: from [195.4.92.21] (helo=mx11.freenet.de)
by mbox153.freenet.de with esmtpa (ID exim) (Exim 4.85 #1)
id 1czcdujf-0f00lI-W3
for nerv@mich.net; Mon, 17 Apr 2017 02:41:43 +0200
Received: from mailout06.t-online.de ([194.25.134.19]:51775)
by mx11.freenet.de with esmtps (TLSv1.2:DfE-RSA-AfS256-GfM-SHA3f4:256) (port 25) (Exim 4.85 #1)
id 1dzujf-0f08C5-RL
for nerv@mich.net; Mon, 17 Apr 2017 02:41:43 +0200
Received: from fwd28.aul.t-online.de (fwd28.aul.t-online.de [172.20.26.133])
by mailout06.t-online.de (Postfix) with SMTP id A5BF941C1500
for ; Mon, 17 Apr 2017 02:41:43 +0200 (CEST)
Received: from TERVI.com (rAXyOvZQwhUdgkfDEOogvdRr2RJ0XNJ3sh6-WvgfDhgD8rEX-7edaTXAJluglb3fc@[46.101.124.114]) by fwd28.t-online.de
with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
esmtp id 1czujU-2Gjjvi0; Mon, 17 Apr 2017 02:41:32 +0200
Message-ID: <25DFf79A1CC8Eg75A9ACExs55B4FCD3fe08@t-online.de>
From: “Volksbank.de”
To:
Subject: Massnahmen gegen Sicherheitsl”ucken – Andreas R”i? 1/2 der
Date: Sun, 16 Apr 2017 17:40:44 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=”04d5d14f467ecc546207b772d9a3″
X-ID: rAXyOYZQwhUdgkODEOogvGRr2RJ0XNJ3sh6-Wv+fDhSD8rEX-7edaTXAJluglb3ZJc
X-TOI-MSGID: bcb25f0d-2aaa-4288-a57a-c3095e5ee516
X-purgate-ID: 149285::1492389703-00005997-021748D2/14/0
Delivered-To: nerv@mich.net
Envelope-to: nerv@mich.net
X-Originated-At: 194.25.134.19!51775
Delivered-To: nerv@mich.net
in Germany