Skip to content

Phishen mit Autoscout

Heute wartete ich auf eine E-Mail und habe mal wieder mittels Telnet meine E-Mails gelesen. Dabei fiel mir das folgende Exemplar ins Auge:


Received: from 192.168.168.235 ([64.4.198.165])
      by avalon.iks-jena.de (8.13.4/8.13.1) with SMTP id k63IDsee010896
      for ; Mon, 3 Jul 2006 20:13:57 +0200 (MET DST)
Received: from 40.65.185.243 by ; Mon, 03 Jul 2006 18:05:08 -0100
Message-ID: 
From: “noreply@autoscout24.de” 
Reply-To: “noreply@autoscout24.de” 
To: jens@kubieziel.de
Subject: Inserate Absage - handeln Sie Bitte jetzt, um sie wiederherzustellen.
Date: Mon, 03 Jul 2006 21:06:08 +0200
X-Mailer: AOL 7.0 for Windows US sub 118
MIME-Version: 1.0
Content-Type: multipart/alternative;
     boundary=“--8946726060609699314”
X-Priority: 1
X-MSMail-Priority: High
Status: RO
Content-Length: 1347
Lines: 24

----8946726060609699314
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<html>=0A=0A<head>=0A<meta http-equiv=3D“Content-Language” content=3D"en-u=
s“>=0A<meta http-equiv=3D”Content-Type“ content=3D”text/html; charset=3Dwi=
ndows-1252">=0A<title>Sehr Autoscout24 Mitglied</title>=0A</head>=0A=0A<bo=
dy>=0A=0A<p>Sehr Autoscout24 Mitglied,<br>=0A<br>=0AEs gibt ein Problem mi=
t Ihrem Autoscout24 inserate.<br>=0A<br>=0AIhr Inserate ist geschlossen wo=
rden, weil wir einige Probleme mit unserem Server =0Ahaben.<br>=0A<br>=0AU=
m sie wiederherzustellen, klicken Sie bitte auf das Verbindungsgebr=FCll.<=
br>=0A<br>=0A<a href=3D“http://84.9.10.216:89/auto/”>Klicken Sie hier!</a>=
<br>=0A<br>=0A=DCber folgenden Link k=F6nnen Sie zu Ihrem Inserat Bilder e=
instellen, =0AZeitungsinserate aufgeben oder die Fahrzeugdaten ver=E4ndern=
 Bitte beachten Sie, =0Adass die Einstellung von Bildern die Verkaufswahr=
scheinlichkeit Ihres Fahrzeuges =0Aum 400% erh=F6ht.<br>=0A<br>=0AMein Aut=
oScout24: <br>=0A<a style=3D“text-decoration: underline” target=3D“_blank”=
 href=3D“http://84.9.10.216:89/auto/”>=0Ahttp://www.autoscout24.de//home/i=
ndex/uploadimages.asp?ts=3D7924521&id=3D65108848</a><br>=0A<br>=0A<br>=
=0A<br>=0AIhr AutoScout24-Team<br>=0A<br>=0A </p>=0A=0A</body>=0A=0A<=
/html>=0A


----8946726060609699314--

Allein der Satz Um sie wiederherzustellen, klicken Sie bitte auf das Verbindungsgebrüll. verrät, dass es sich kaum um eine E-Mail von Autoscout24 handelt. Wenn man dann mal die beworbene Seite (http://84.9.10.216:89/auto/) aufruft, sieht man, wie erwartet, eine Seite, die der von Autoscout24 täuschend ähnlich sieht.

Nun machte ich mich auf der Seite auf die Suche nach der üblichen Phisherseite, die dann Passworte oder sonstiges abgreift. Doch auch nach längerem Draufschauen konnte ich nichts dergleichen finden. Alle referenzierten Seiten scheinen zu Autoscout24 bzw. einer der Partnerseiten zu gehören. Falls jemand selbst suchen will, habe ich die Datei im temporären Bereich der Seite abgelegt. Für mich sieht es so aus, als ob der Fast-Phisher die Seite mit dem Firefox gespeichert hat (siehe Verzeichnisname login[1]_files der Unterverzeichnisse) und sich beim Versenden vertan hat. Es finden sich nämlich auf der Seite auf Verweise auf eine lokale Datei F:\Rugat\.... Er war offensichtlich noch nicht ganz fertig mit dem Bearbeiten oder es ist ein Phishazubi mit dem ersten Praktikumsversuch. ;-)

Der Rechner, der die Seite hostet, ist eine Windowsmaschine. Darauf läuft ein Apache 1.3.23 und liefert die betreffenden Seiten aus.

Hat jemand von euch ähnlichen Kram bekommen? War das dann weiter bearbeitet?

Update: Inmitten des HTML-Gewusels habe ich doch die richtige Zeile gefunden. In der Zeile 282 wird ein HTML-Formulartag geöffnet und dort steht <FORM name=loginform action=post.php method=post>. Wieso habe ich das vorhin nur übersehen? Hmm, jetzt könnte ich mir natürlich ein kleines Skript basteln, was sich dauernd bei der Seite einloggt ... :-)

Trackbacks

Qbi's Weblog on : Phishen ohne Autoscout

Show preview
Gestern habe ich über den Phishingversuch bei Autoscout24 berichtet und das natürlich gleichzeitig auch an Autoscout24 gemeldet. Heute bekam ich direkt eine Antwort, die besagte, dass man mit dem ISP Kontakt aufgenommen habe. Ich hoffe, die Seite ist bald

Qbi's Weblog on : Phishen mit der Citigroup

Show preview
Kürzlich hatte ich hier über die Phishingversuche bei Autoscout24 berichtet. Dieser Versuch hat ein altbekanntes Muster: Man macht eine Webseite auf, die der originalen möglichst ähnlich sieht und versucht, viele Nutzer hinzulocken. Mit etwas Glück werden

Comments

Display comments as Linear | Threaded

No comments

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob