Josef der Phisher Neubauer

Ist ja schon nett, was sich die Phisher alles einfallen lassen. Nun sind sie schon besorgt um unsere Online-Sicherheit. Ein ganzer Stab von Mitarbeitern, die den ganzen Tag bei deren Systeme die Online-Aktivitäten überwachen (die haben bestimmt schon alle ganz dicke Brillen auf), hat festgestellt, dass ein anderer Böser von der IP 213.7.18.217 versucht hat auf mein Konto zuzugreifen. Und die 213.7.18.217 würde nicht meiner aktuellen IP entsprechen. Ja da schau her, woher wissen die den meine aktuelle IP-Adresse morgens um 4h18? Wenn die "Hochtechnologien" einsetzen, dann wundert mich das nicht. Und jetzt muss ich auch noch meinen Online-Zugang bestätigen bis zum 14.11.2006, sonst wird er gesperrt. Erschreckend ist eher daran, dass deren Deutsch langsam besser wird, wenn es auch noch nicht seriös genug klingt, um das ganze ernst genug zu nehmen.

Hier die Mail im Original (ohne HTML):
Date: Sat, 11 Nov 2006 04:18:56 -0200
From: Sicherheitsabteilung von Volksbank
To: hostmaster@here
Subject: Dringende Mitteilung von Volksbank

Sehr geehrte Kundin,
Sehr geehrter Kunde

Wir sind beauftragt, die maximale Sicherheit Ihrer Personaldaten mit den Hochtechnologien zu gewährleisten.
Wir haben einen ganzen Stab von Mitarbeitern, die Monitoring der online-Aktivität durchführen und verdächtige Aktionen vorbeugen.
Wir tun alles mögliche, um unsere online-Kunden zu schützen, aber Schritte, die wir unternehmen, kön nen weitaus besser und effektiver sein, wenn Sie mit uns zusammenarbeiten werden, um sich selbst zu schützen.
Am 10 November 2006 brachte unser Sicherheitssystem den erfolglosen Versuch des Online Zugangs zu Ihrem Konto ans Licht von der IP-Adresse 213.7.18.217, was Ihrer aktuellen IP-Adresse nicht entspricht.
Bitte klicken Sie hier um online-Zugang zu bestätigen.
Falls Sie Ihren online-Zugang bis 14.11.2006 nicht bestätigen, wird Ihr Konto aus Sicherheitsgründen blockiert und wir senden Ihnen auf dem Postweg den Aktivierungskode, den Sie brauchen, um den online-Zugang zu Ihrem Konto zu erneuern.
Falls Sie Ihren online-Zugang nicht bestätigen, wird der Aktivierungskode im Laufe einer Woche gesandt. Bitte klicken Sie hier um online-Zugang zu bestätigen.
Falls Sie Ihren online-Zugang bis 14.11.2006 nicht bestätigen, wird Ihr Konto aus
Sicherheitsgründen blockiert und wir senden Ihnen auf dem Postweg den Aktivierungskode, den Sie brauchen, um den online-Zugang zu Ihrem Konto zu erneuern.
Falls Sie Ihren online-Zugang nicht bestätigen, wird der Aktivierungskode im Laufe einer Woche gesandt.

Mit freundlichen Grüssen

Josef Neubauer
Sicherheitsabteilung

Und netterweise führt der Klick auf "hier" zu http://www.rhondadethlefs.com/TWljaFlbCBTb3V0aHdhcmQ7NjAgRGVubWFyayBSY, der Website der bodygebildeten Dame Rhonda Dethlefs und da wird einem gleich ein WMF-Exploit untergejubelt (xpl.wmf), den Kaspersky als Trojan-Downloader.JS.Agent.bi erkennt. Leider gibt es dazu keine nähere Information, nur dass es eine verdeckte Schadroutine enthält. Vermutlich wurde Rhondas Site gehackt und der Trojaner dort plaziert. Passt bloss auf Jungs, dass Euch die Rhonda nicht erwischt. So wie die aussieht, zieht die euch die Ohren und andere Extremitäten lang! Und danke, liebe Sicherheitsabteilung, ihr wusstet bestimmt, dass ich solche Sachen sammle :-)

213.7.18.217 ist eine zypriotische IP-Adresse, allerdings nicht erreichbar, wurde vermutlich zufällig ausgewählt. Die Mail kam von der IP 59.11.192.131, wahrscheinlich ein trojanisierter PC in Südkorea.