Tag Archive for 'phish'

Gezielte phishing Attacke gegen PostFinance

Seit heute Morgen früh läuft scheinbar eine gezielte phishing Attacke gegen PostFinance. Dabei werde Phishing-Mails unter dem Absender confirm@postfinance.ch versendet:

From: confim@postfinance.ch
To: xxx
Subject: PostFinance and Western Union awards you! You won 1500 CHF from Western Union at Christmas Raffle Draw

PostFinance and Western Union awards you!

You won 1000 CHF from Western Union at Christmas Raffle Draw. The money will be automatically added to your account balance.
In order to receive the money you must activate the Western Union online service.

You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

GO TO LOGIN PAGE FOR ACTIVATION! (click here)

After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

In 24 hours you will receive a confirmation email and we will need to verify your identity.

After your confirmation you will be automatically subscribed to the New Year’s Eve Raffle Draw.
You can win 100,000€ !

postfinance_phish

Das E-Mail gaukelt vor, dass der Empfänger 1’500 CHF bei der Western Union Weihnachts-Lotterie gewonnen hat. Der Betreff, die Absender E-Mail Adresse von PostFinance sowie der E-Mail Text scheint immer der selbe zu sein. Im E-Mail Text befinden sich zwei Links:

  • GO TO LOGIN PAGE FOR ACTIVATION! (click here)
  • CLICK HERE
  • Der erste Link zeigt auf die E-Finance Webseite von PostFinance (http://e-finance.postfinance.ch/ef/secure/html). Der zweite Link verbirgt sich hinter dem Text CLICK HERE und scheint immer der selbe zu sein:

    http://203.130.2.149/js/default.html

    Beim Klick auf den Link, wird eine Weiterleitung an einen weiteren Server gemacht, wo schlussendlich die eigentliche phishing Webseite liegt:

    \<\meta http-equiv="Refresh" content="0; URL=http://203.172.161.6/panel/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html">

    Die Phishing Webseite sieht fast gleich aus wie die originale E-Finance Login Page von PostFinance:

    postfinance_phish1

    Die IP-Adresse 203.172.161.6 gehört dem Thailändischen Ministerium für Bildung. Die im E-Mail angegebene IP-Adresse 203.130.2.149 gehört dem Pakistanischen Internet Service Provider SUPERNET Limited:

    203.172.161.6
    inetnum: 203.172.128.0 – 203.172.255.255
    netname: edNET
    descr: Ministry of Education MOE
    descr: education network provider
    country: TH
    Spamhaus SBL status: Not listed

    203.130.2.149
    inetnum: 203.130.0.0 – 203.130.31.255
    netname: SUPERNET
    descr: SUPERNET Limited
    descr: Internet Service Provider
    descr: Karachi, Pakistan
    country: PK
    Spamhaus SBL status: Not listed

    Gibt das Opfer seine Login Informationen bekannt, wird ihm folgende Meldung aufgetischt:

    postfinance_phish2

    Den Empfängern solcher Phishing-Mails wird dringend abgeraten, auf einen der im E-Mail Text angegebenen Links zu klicken sowie auf keinen Fall die eigenen Zugangsdaten zum E-Banking Account preis zugeben!

    UPDATE

    Die Phishing E-Mails, welche ich bis an hin bekommen habe, scheinen alle vom selben Mailserver aus versendet worden zu sein:

    64.122.65.142:

    OrgName: Integra Telecom, Inc.
    OrgID: ITCM
    Address: 1201 NE Lloyd
    Address: Suite 500
    City: Portland
    StateProv: OR
    PostalCode: 97232
    Country: US

    DNSBL Status:
    Checked: 97
    Listed: 0

    Erschreckend ist, dass die IP-Adresse auf keiner der 97 geprüften DNSBLs gelistet ist.

    UPDATE 19:12

    Auch bei den Kriminellen scheint nun die Weihnachtszeit vorbei zu sein. Seit Mitte Nachmittag bekomme ich weiterhin phishing Mails, jedoch wurde das Mail scheinbar leicht modifiziert:

    From: e-finance@postfinance.ch
    To: xxx
    PostFinance and Western Union awards you!

    You won 1000 CHF from Western Union. The money will be automatically added to your account balance.
    In order to receive the money you must activate the Western Union online service.

    You will find the menu in the left side of your page. Click on Payments, go to Remittances and click on Western Union. Here you need to activate the service.

    GO TO LOGIN PAGE FOR ACTIVATION! (click here)

    After the activation, CLICK HERE to verify personal information (email and phone number), in case we need to contact you.

    In 24 hours you will receive a confirmation email and we will need to verify your identity.

    After your confirmation you will be automatically subscribed to the PostFinance Raffle Draw for New Year`s eve.
    You can win 50,000 EURO !!

    postfinance_4

    Im Betreff wird nun nicht mehr von Christmas Raffle Draw gesprochen. Des Weiteren trägt das phishing Mail nun auch einen neuen Absender: e-finance@postfinance.ch. Der Link im E-Mail Text zeigt ebenfalls auf eine andere phishing Webseite:

    http://www.kitchenerbluesfestival.com/components/prepareWUCh.htm

    Auch diese Webseite leitet die Anfrage sofort an einen weiteren Server um:

    \<\meta http-equiv="Refresh" content="0; URL=http://vpn.padresoft.com/e-finance.postfinance.ch/ef/secure/WU1Awards/login&resetlogin&p_spr_cd=4&p_seg=-1&WT.ac=_deeplink_login_home_efinance_en.html">
    www.kitchenerbluesfestival.com (216.16.235.82)
    OrgName: NetDirect, Inc.
    OrgID: NETDIR-1
    Address: 564 Weber St. N. Unit 11
    City: Waterloo
    StateProv: ON
    PostalCode: N2L-5C6
    Country: CA
    Spamhaus SBL status: Not listed

    vpn.padresoft.com (216.16.225.54)
    OrgName: Atria Networks LP.
    OrgID: ATRIA-2
    Address: 301 Victoria Street South
    City: Kitchener
    StateProv: ON
    PostalCode: N2G-3W9
    Country: CA
    Spamhaus SBL status: Not listed




    economics-recluse
    Scene
    Urgent!