Thema: Gefährliche Pharming Spam, 'mal wieder...

[Jürgen]

Soeben hat sich in meinen Spam-Filtern eine Mail verfangen, die 'mal wieder eine bekannte Masche variiiert.
Stammt anscheinend aus Russland und soll wohl unter Vortäuschung eines Logins zum Download einer 'Quittung.exe'-Datei von einem Server aus Hongkong verleiten...

Zur Warnung nun einige charakteristische Merkmale aus dem Quelltext:

Return-Path: <robot(at)f-shop.de>
X-Flags: 1001
Delivered-To: GMX delivery to *****
Received: (qmail invoked by alias); 25 Sep 2007 12:45:11 -0000
Received: from mrm-pool.deltatelecom.ru (HELO mrm-pool.deltatelecom.ru) [212.129.120.44]
  by mx0.gmx.net (mx058) with SMTP; 25 Sep 2007 14:45:11 +0200
Message-ID: <********************************>
From: "f-shop.de" <robot(at)f-shop.de>
To: "*****i" <****** @ ***.***>
Subject: Automatischer Alarmdienst des Internet-Shops [f-shop.de]
Date: Tue, 25 Sep 2007 16:41:36 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
        boundary="----=_NextPart_000_0018_01C7FF93.4FE9DB70"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

-/-

------=_NextPart_000_0018_01C7FF93.4FE9DB70
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Hiermit teilen wir Ihnen mit, dass Ihr Konto leer ist.Abgewickelte =
Transaktionen f&uuml;r das gestrige Kaufen haben alle verf&uuml;gbaren =
Geldmittel verbraucht.Um die fr&uuml;her bestellten Waren bekommen zu =
k&ouml;nnen, bitten wir Sie sich mit unserem Manager in Kontakt zu =
kommen, eine evtl.Nachzahlung abzustimmen oder den Kauf gar abzulehnen.=
Die Empfangsbescheinigung sowie die Kontaktdaten des Managers =
k&ouml;nnen Sie jederzeit hier abrufen=
h**p://support.f-shop.de/usr48265/qt0024
------=_NextPart_000_0018_01C7FF93.4FE9DB70
Content-Type: text/h*ml;
        charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE H*ML PUBLIC "-//W3C//DTD H*ML 4.0 Transitional//EN">
<H*ML><H*AD>
<ME*A h**p-equiv=3DContent-Type content=3D"text/h*ml; charset=3D=
iso-8859-1">
<ME*A content=3D"MSH*ML 6.00.2900.2180" name=3DGENERATOR>
<S*YLE></S*YLE>

</HE*D>
<B*DY bgColor=3D#ffffff>
Hiermit teilen wir Ihnen mit, dass Ihr Konto leer ist.

Abgewickelte Transaktionen f&uuml;r das gestrige Kaufen haben alle =
verf&uuml;gbaren Geldmittel verbraucht.

Um die fr&uuml;her bestellten Waren bekommen zu k&ouml;nnen, bitten wir =
Sie sich mit unserem Manager in Kontakt zu kommen, eine evtl.

Nachzahlung abzustimmen oder den Kauf gar abzulehnen.

Die Empfangsbescheinigung sowie die Kontaktdaten des Managers =
k&ouml;nnen Sie jederzeit hier abrufen

<a *ref=3D=
"h**p://58.65.239.98/quittung.exe">h**p://support.f-shop.de/usr48265/qt00=
24[/url]
</B*DY></H*ML>

War so frei, Steuerbefehle und Links zu entschärfen.
Der betroffene E-Mail-Account wird übrigens schon seit Jahren nicht mehr aktiv benutzt, und der angesprochene Empfänger-Name wurde schlicht aus den Zeichen vor'm @ gebildet.
Eine Firma 'f-shop.de' bzw. Fantasy Shop aus Erkrath kenne ich natürlich auch nicht.
Keine Ahnung, ob deren Seiten u.U. derzeit verseucht sind.

Thunderbird hat 'mal wieder fein als Spam erkannt 

[Jürgen]

Noch am Dienstag gegen 22:30 ist eine zweite Welle gleichartiger Spam ausgelöst worden, aber diesmal hat der Header-Analyzer bei GMX korrekt angeschlagen.
Wurde wahrscheinlich inzwischen frisch gefüttert...