Tag Archive for 'myhammer.cz'

Erneute phishing Attacke gegen PostFinance

Knapp eine Woche ist es her, als PostFinance Ziel einer phishing Attacke wurde (Siehe Post vom 28. Dezember 08). Heute Morgen früh, kaum eine Woche später, ist PostFinance erneut im Visier der Kriminellen. Auch heute trudelten wieder mehrere duzend phishing Mails in meinen Honeypots ein. Interessant ist, dass scheinbar zwei verschiedene Varianten der phishing Mails in der Schweiz unterwegs sind:

Variante 1

From: confirm@postfinance.ch
Subject: PostFinance and Western Union awards you!

PostFinance and Western Union awards you!

You won 1000 CHF from Western Union. The money will be automatically added to your account balance.
In order to receive the money you must activate the Western Union online service.

You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

GO TO LOGIN PAGE FOR ACTIVATION! (click here)

After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

In 24 hours you will receive a confirmation email and we will need to verify your identity.

After your confirmation you will be automatically subscribed to the PostFinance Raffle Draw for Christmas.
You can win 50,000 EURO !!

postfinance09_1

Variante 2

From: post@finance.ch
Subject: PostFinance and Western Union awards you!

PostFinance and Western Union awards you!

You won 1500 CHF from Western Union at New Year Raffle Draw. The money will be added to your account balance.

CLICK HERE to login and complete the process to take possession of money from PostFinance and Western Union.

ATTENTION: Please allow 5 – 10 minutes for processing. You will receive a confirmation e-mail message with a Challange. Use your reader to generate the code.

Copyright © 2009 by PostFinance. All rights reserved.

postfinance09_2

Nicht nur das Layout der beiden Varianten unterscheidet sich (z.B. das Logo der schweizerischen Post in der Variante 2), sondern auch E-Mail Text und Absender des E-Mails. Die eine Variante trägt confirm@postfinance.ch als Absender während die andere post@finance.ch als Absender an gibt. In beiden Varianten kommt jedoch der Text CLICK HERE vor, welchen wir bereits aus der phishing Attacke von letzter Woche kennen. Hinter dem Text verbirgt sich ebenfalls wieder ein Hyperlink auf eine phishing Webseite. Der Hyperlink in den beiden Varianten verweist jedoch auf unterschiedliche URLs:

Hyperlink Variante 1

http://85.197.154.35/js/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html

Die phishing Webseite liegt hierbei bei einem ISP in Schweden:

85.197.154.35
inetnum: 85.197.154.0 – 85.197.155.255
netname: BIKAB-INFRA-1
descr: Bredband i Kristianstad AB – Own infrastructure
country: SE
Spamhaus SBL status: Not listed

Hyperlink Variante 2

http://www.myhammer.cz/

Der Hyperlink der Variante 2 zeigt auf die Domain myhammer.cz, welche auf einem Server eines tschechischen ISPs gehosted wird:

myhammer.cz 80.188.190.43
inetnum: 80.188.0.0 – 80.188.255.255
org: ORG-STaN1-RIPE
netname: CZ-CZNET-20020613
descr: Provider Local Registry
descr: CESKY TELECOM, A.S.
country: CZ

Spamhaus SBL status: Not listed

Klick mach den Hyperlink an, öffnet sich www.myhammer.cz im Browser wobei der Webserver den Besucher sofort mittels HTTP 302 an eine weitere URL weiterleitet:

HTTP/1.0 302 Moved Temporarily
Location: http://0xd5b7aace/e-finance/postfinance.ch/ef/secure/html/login.htm?login&resetlogin&p_spr_cd=4&p_seg=-1?&WT.ac=_deeplink_login_home_efinance_en/

Die phishing Webseite liegt in diesem Fall auf einem Server einer deutschen Treuhandsgesellschaft, welcher höchstwahrscheinlich von den Kriminellen gekapert wurde:

213.183.170.20
inetnum: 213.183.170.16 – 213.183.170.23
netname: GPP-NET
descr: GPP Treuhandgesellschaft mbH
descr: Holler Allee 8
descr: D-28209 Bremen
country: DE

Spamhaus SBL status: Not listed

Die beiden phishing Webseiten sehen sich ähnlich, sind jedoch nicht die selben:

Phishing Webseite Variante 1 (85.197.154.35)

postfinance09_3

Phishing Webseite Variante 2 (213.183.170.206 via myhammer.cz)

postfinance09_4

Wie immer gilt:
Den Empfängern solcher Phishing-Mails wird dringend abgeraten, auf einen der im E-Mail Text angegebenen Links zu klicken sowie auf keinen Fall die eigenen Zugangsdaten zum E-Banking Account preis zugeben!




economics-recluse
Scene
Urgent!