Sonntag, 27. April 2014

MasterCard von den Taliban?

Das Teil kommt von Adressenbastlern (Accountname ist in falscher Schreibweise) und trägt den Titel "bestätigen Sie die Angaben innerhalb von 48 Stunden.". Als einzigen Inhalt hat die Spam nur folgenden als Bild getarnten Link, welcher zur IP 216.246.28.140 in den USA führt (Nicht, wie man annehmen könnte, zu den Taliban in Pakistan;)).

Wenn ich die Analyse von urlquery richtig verstehe, holt sich dieses PHP-Script dann die Daten von der richtigen MasterCard-Seite "www.mastercard.com" ...


Diese Seite habe ich doch schon einmal gesehen!

Damals nannte sich der Absender "SecureCode" mit dem Betreff "Ihr Aktenzeichen: RA6 3760/7-11-1 R 5 938/2013" - Der Link führte nach Brasilien.



10kilo.png (454x565)[http://www.talib.pk//social-media5.php]



Return-Path: telemora@noah.telemora.com
Received: from noah.telemora.com ([202.43.190.11]) by mx-ha.web.de (mxweb103) with ESMTPS (Nemesis) id 0MRntN-1WTeEN1gFd-00SsFE for [MeinNameInFalscherSchreibweise@web.de]; Sun, 27 Apr 2014 06:03:07 +0200
Received: from telemora by noah.telemora.com with local (Exim 4.82) (envelope-from [telemora@noah.telemora.com]) id 1WeNs3-000584-3L for MeinNameInFalscherSchreibweise@web.de; Sun, 27 Apr 2014 19:07:47 +0700
To: MeinNameInFalscherSchreibweise@web.de
Subject: best�tigen Sie die Angaben innerhalb von 48 Stunden.
X-PHP-Script: telemora.com/client/downloads/orion.php for 91.48.214.30
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: MasterCard [support@service.visa.de]
Message-Id: [E1WeNs3-000584-3L@noah.telemora.com]
Date: Sun, 27 Apr 2014 19:07:47 +0700
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - noah.telemora.com
X-AntiAbuse: Original Domain - web.de
X-AntiAbuse: Originator/Caller UID/GID - [513 514] / [47 12]
X-AntiAbuse: Sender Address Domain - noah.telemora.com
X-Get-Message-Sender-Via: noah.telemora.com: authenticated_id: telemora/only user confirmed/virtual account not confirmed
Envelope-To: [MeinNameInFalscherSchreibweise@web.de]
X-UI-Filterresults: unknown:5;V01:K0:RRjFC6rBx1s=:p5W4d2OlD5xhszf/MDbxgYe4aU 0X+QGKK8qIPZgM44dwAzgclfMVID9vBlWh5hZyXjBm7e5zx6/0MeszIE7u29ahIMWUIkFhSBG wt4q7wddHRd+Y9S48kV8KqX9PeT5Kiv/Lj+tOOf977aoZH+YdF0wBlYXDZx7F/mrrmlWlVUkF KvwmWjF29JpZeLSSwLOs9BnFrMKkqEw2n0JjSnItA8BOPudGoezY4l9UlcpdA9BzAKstKIsFI Rp5JlJCaDd+Xw4iyZ+NEaFXS6RjGWslXqfL27U1PGvYpTWE1qGyDh5PUH9Jgz/jlzoEazOIvK gdFKwTeyEjS8OFePMZ+qpx/g/Etv3qbtF4ICUgaI7jRlIKmTW8KofHxaePVLJOxzWTUZns6WH dSqucjM6zmc2T6uoWQdAqKO+Zcc3Zd7ecUpJHlY3B7IQ9cI+P/P0DwWVXwk4BBFH5mtu/rnd5 dWVoaASLIrSyWRdDYGigdBhb6xngs59vMCse93L3YwJ1g6ACriw86aid8QC3D+/a1x9kK/qzi am6sF4zUsZaBdPlVmpJ6pccNOsWVMTDXDjMtjdqe/ZpuXEQuivczBYc1LE0EDDrHPl5lj39TK sZ1qy4UYuh6GLTYKEqPh4jnd5yQQ0az1tuCxgdyGlOfPN6pjh1p2a9JVc02qDe9d4b8VG+jwg Kp2VNrRz1R3XaTkh9eRVrhVQaCj73B1faawLZ4dEw3X5wPdS8WKa+5hduCahDW5oxsQ+ZKLO8 7xK5hvqc+sFt1rv5DWpmNGqGlXOGrARNesRLTgdS3fOCQF2D7NcbJ3InMFEDFobCf52sNUw3p Y7g4ZmcojE7SUfjvNV3ksqgQb3Yjv0qd9cT3l/vNWIUFsjAoWjUBqrBUrpYlKl7gOLqKCSLT5 BjS2RFrpH3Ohd6hdIVbUkomJhpDnosDcs55g+LsuKubWfRrN0XZzS32YxOJ0Cg6yNJnXiEnuM 9WtTd1OHApcG6nwKY/sWB83n6W0Xi96Fo+GEenukBCTNhg9cfHwRdd0VegD/3f4DKcaTlkSoV eDHgZV3pfVbznIxp7xgWasycaAXqqVJOLb5N1AK2F88vzggLKmFfQi8jz3zMJLw6APdUzR7bk H0e27EJx87mbThXsStm5oL8s4JvgMXTD6cJGutCGpwQGJ4En23pVlFA+sYd9TRKQxGkV9OZNO P2Djy9TkmVjMVokxAGrEqYuzeaeTAOZt2ZLieIiquEXBPlcVUMEjG2nnX4404Tm9z1+82AKy0 Tgalxmw3emz8WVqcjqXcuDqt7RJaikGz8nCgWwvrJtOryBt7MBh86BNBkBjAbKW1+ifnk12MP WiiI5fb8ABDtE0hnpCsyhXKENcK3SoJrewBSx3/TjUH487beZ7UqF75pbIQE3sDWso+/

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)