Gezielte phishing Attacke gegen PostFinance

Seit heute Morgen früh läuft scheinbar eine gezielte phishing Attacke gegen PostFinance. Dabei werde Phishing-Mails unter dem Absender confirm@postfinance.ch versendet:

From: confim@postfinance.ch
To: xxx
Subject: PostFinance and Western Union awards you! You won 1500 CHF from Western Union at Christmas Raffle Draw

PostFinance and Western Union awards you!

You won 1000 CHF from Western Union at Christmas Raffle Draw. The money will be automatically added to your account balance.
In order to receive the money you must activate the Western Union online service.

You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

GO TO LOGIN PAGE FOR ACTIVATION! (click here)

After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

In 24 hours you will receive a confirmation email and we will need to verify your identity.

After your confirmation you will be automatically subscribed to the New Year’s Eve Raffle Draw.
You can win 100,000€ !

postfinance_phish

Das E-Mail gaukelt vor, dass der Empfänger 1’500 CHF bei der Western Union Weihnachts-Lotterie gewonnen hat. Der Betreff, die Absender E-Mail Adresse von PostFinance sowie der E-Mail Text scheint immer der selbe zu sein. Im E-Mail Text befinden sich zwei Links:

  • GO TO LOGIN PAGE FOR ACTIVATION! (click here)
  • CLICK HERE
  • Der erste Link zeigt auf die E-Finance Webseite von PostFinance (http://e-finance.postfinance.ch/ef/secure/html). Der zweite Link verbirgt sich hinter dem Text CLICK HERE und scheint immer der selbe zu sein:

    http://203.130.2.149/js/default.html

    Beim Klick auf den Link, wird eine Weiterleitung an einen weiteren Server gemacht, wo schlussendlich die eigentliche phishing Webseite liegt:

    \<\meta http-equiv="Refresh" content="0; URL=http://203.172.161.6/panel/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html">

    Die Phishing Webseite sieht fast gleich aus wie die originale E-Finance Login Page von PostFinance:

    postfinance_phish1

    Die IP-Adresse 203.172.161.6 gehört dem Thailändischen Ministerium für Bildung. Die im E-Mail angegebene IP-Adresse 203.130.2.149 gehört dem Pakistanischen Internet Service Provider SUPERNET Limited:

    203.172.161.6
    inetnum: 203.172.128.0 – 203.172.255.255
    netname: edNET
    descr: Ministry of Education MOE
    descr: education network provider
    country: TH
    Spamhaus SBL status: Not listed

    203.130.2.149
    inetnum: 203.130.0.0 – 203.130.31.255
    netname: SUPERNET
    descr: SUPERNET Limited
    descr: Internet Service Provider
    descr: Karachi, Pakistan
    country: PK
    Spamhaus SBL status: Not listed

    Gibt das Opfer seine Login Informationen bekannt, wird ihm folgende Meldung aufgetischt:

    postfinance_phish2

    Den Empfängern solcher Phishing-Mails wird dringend abgeraten, auf einen der im E-Mail Text angegebenen Links zu klicken sowie auf keinen Fall die eigenen Zugangsdaten zum E-Banking Account preis zugeben!

    UPDATE

    Die Phishing E-Mails, welche ich bis an hin bekommen habe, scheinen alle vom selben Mailserver aus versendet worden zu sein:

    64.122.65.142:

    OrgName: Integra Telecom, Inc.
    OrgID: ITCM
    Address: 1201 NE Lloyd
    Address: Suite 500
    City: Portland
    StateProv: OR
    PostalCode: 97232
    Country: US

    DNSBL Status:
    Checked: 97
    Listed: 0

    Erschreckend ist, dass die IP-Adresse auf keiner der 97 geprüften DNSBLs gelistet ist.

    UPDATE 19:12

    Auch bei den Kriminellen scheint nun die Weihnachtszeit vorbei zu sein. Seit Mitte Nachmittag bekomme ich weiterhin phishing Mails, jedoch wurde das Mail scheinbar leicht modifiziert:

    From: e-finance@postfinance.ch
    To: xxx
    PostFinance and Western Union awards you!

    You won 1000 CHF from Western Union. The money will be automatically added to your account balance.
    In order to receive the money you must activate the Western Union online service.

    You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

    GO TO LOGIN PAGE FOR ACTIVATION! (click here)

    After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

    In 24 hours you will receive a confirmation email and we will need to verify your identity.

    After your confirmation you will be automatically subscribed to the PostFinance Raffle Draw for New Year`s eve.
    You can win 50,000 EURO !!

    postfinance_4

    Im Betreff wird nun nicht mehr von Christmas Raffle Draw gesprochen. Des Weiteren trägt das phishing Mail nun auch einen neuen Absender: e-finance@postfinance.ch. Der Link im E-Mail Text zeigt ebenfalls auf eine andere phishing Webseite:

    http://www.kitchenerbluesfestival.com/components/prepareWUCh.htm

    Auch diese Webseite leitet die Anfrage sofort an einen weiteren Server um:

    \<\meta http-equiv="Refresh" content="0; URL=http://vpn.padresoft.com/e-finance.postfinance.ch/ef/secure/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html">
    www.kitchenerbluesfestival.com (216.16.235.82)
    OrgName: NetDirect, Inc.
    OrgID: NETDIR-1
    Address: 564 Weber St. N. Unit 11
    City: Waterloo
    StateProv: ON
    PostalCode: N2L-5C6
    Country: CA
    Spamhaus SBL status: Not listed

    vpn.padresoft.com (216.16.225.54)
    OrgName: Atria Networks LP.
    OrgID: ATRIA-2
    Address: 301 Victoria Street South
    City: Kitchener
    StateProv: ON
    PostalCode: N2G-3W9
    Country: CA
    Spamhaus SBL status: Not listed

    8 Responses to “Gezielte phishing Attacke gegen PostFinance”


    • Danke für diese Info, habe dieses “Weihnachtsgeschenk” eben erhalten…

    • Hier auch, auf mehreren E-Mail-Adressen bei unterschiedlichen Anbietern. Wäre interessant zu wissen ob es den Spammern gelungen ist, lediglich CH-Benutzer anzuspammen, oder ob sie wie üblich einfach alles angespammt haben.

    • Ich habe die emails nur auf meinen .ch Honeypots bekommen, meine .com Honeypots gingen leer aus.

    • Sehr schöne Auflistung. Danke für die Nachforschungen. Ich hab die mail auf eine .ch firmenadresse bekommen.

    • Bei mir kommen die Mails von vielen verschiedenen Mailservern…hab hier ca. 100 Mails an verschiedene CH-Adressen bekommen. Beruigend: die Firewall hat die Mails von anfang an erkannt und geblockt.

    • Hallo zusammen
      Nun wurde auch ich mit der Mail beglueckt.
      Der versendende Host ist nun 64.122.65.142

      header der eMail:
      <——————-
      Received: from mail.alsw.com (mail.alsw.com [66.18.106.35])
      by ??? for ???; Sun, 28 Dec 2008 11:16:44 +0100 (CET)
      Received: from User ([64.122.65.142]) by mail.alsw.com with Microsoft SMTPSVC(6.0.3790.1830);
      Sun, 28 Dec 2008 04:19:05 -0600
      From: “PostFinance”
      Subject: PostFinance and Western Union awards you! You won 1500 CHF from Western Union at Christmas Raffle Draw
      Date: Sun, 28 Dec 2008 04:15:42 -0600
      MIME-Version: 1.0
      Content-Type: text/html;
      charset=”Windows-1251″
      Content-Transfer-Encoding: 7bit
      X-Priority: 1
      X-MSMail-Priority: High
      X-Mailer: Microsoft Outlook Express 6.00.2600.0000
      X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
      Bcc:
      Message-ID:
      X-OriginalArrivalTime: 28 Dec 2008 10:19:06.0062 (UTC) FILETIME=[B6C77EE0:01C968D5]
      To: undisclosed-recipients:;
      ——————->

      Gruss und schöne Festtage
      webwolf

    • Korrektur zu ersten Eintrag:

      Die IP des Host ist 66.18.106.35

      Sorry, Gruss webwolf

    • Habe das gleiche heute bekommen aber das lustige ist das ich etwas erwarte und ich voll noch daruaf geklickt habe und dann mir klar wurde nach ca. 5min das ich ein fehler gemacht habe und dann sofort bei der Post angerufen habe und sofort eine Blockade gemacht habe von dem Onlinebanking……..

      Krass das es sowas gibt…..
      Passt auf es ist wirklich nicht gut….. Ich habe auf meine Private Mail bekommen
      .com

      Das finde ich eine Frechheit…….

      Liebe Grüsse

    Leave a Reply




    economics-recluse
    Scene
    Urgent!