Dostałem takiego meila - oczywiście powstrzymałem się od kliknięcia w link.

zglosilem phising wszedzie gdzie sie dalo, niestety bylo kolo 1 w nocy, na razie tylko firefox wykrywa oszustwo :(, IE i opera nic , napisalem takze do ISP hostujacego falszywa strone, - niestety bez echa :(

gdzie prowadzil link? na jakim serwerze?

Wprowadzenie nowych zabezpieczeń tożsamoci.
Informujemy, że Twoje konto w mBanku będzie poddane nowej procedurze weryfikacji.
W tym celu prosimy o jak najszybsze zalogowanie kilikając w link poniżej.
Aby nowe zabezpieczenia zaczeły funkcjonować, należy potwierdzić swoją tożsamoć.
Do tego czasu wszystkie opcje w twoim koncie bedÄ… zablokowane.
(Cała procedura trwa kilka minut)



<br />http://www.mbank.com.pl/?verification_code=6y wkcj0766153y2s42hjuu77hjbxrg4492mnpnt593e9d8ntzh&a mp;request_ssl=yes&secure=yes&op_code=012.


Pozdrawiamy,<b r/>mBank

Routing do http://www.welca(...);br/> 4. so-2-3-0.war-r4.tpnet.pl
5. po8-0.nykcr2.NewYork.opentransit.net
6. po15-0-0.chicr2.Chicago.opentransit.net
7. cogent-4.GW.opentransit.net
8. v3492.mpd01.ord03.atlas.cogentco.com
9. v3499.mpd01.ord01.atlas.cogentco.com
10. t2-3.mpd01.bos01.atlas.cogentco.com
11. t7-3.mpd03.jfk02.atlas.cogentco.com
12. t3-1.mpd02.par01.atlas.cogentco.com
13. t7-1.mpd01.par02.atlas.cogentco.com
14. t3-2.mpd02.mad05.atlas.cogentco.com
15. t3-1.mpd01.mad05.atlas.cogentco.com
16. Ibercom.demarc.cogentco.com
17. mad-ss-es.ibercom.com
18. madm-madt-es.ibercom.com
19. 212.166.64.17
20. ns5.hostinglmi.net

WHOIS welca.info

Domain ID:D6119855-LRMS
Domain Name:WELCA.INFO
Created On:10-Aug-2004 10:17:17 UTC
Last Updated On:03-Aug-2007 14:09:05 UTC
Expiration Date:10-Aug-2008 10:17:17 UTC
Sponsoring Registrar:Direct Information Pvt. Ltd. d/b/a PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT DELETE PROHIBITED
Status:CLIENT RENEW PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Registrant ID:C5067704-LRMS
Registrant Name:Joaquin Rubio Perez
Registrant Organization:Joaquin Rubio Perez
Registrant Street1:San Luis, 1
Registrant Street2:
Registrant Street3:
Registrant City:Camas
Registrant State/Province:Sevilla
Registrant Postal Code:41900
Registrant Country:ES
Registrant Phone:+34.955981368
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:jqnrubio@ya.com

ale zgloszenie wysyla sie do operatora sieci IP a nie domeny.
lukasz@chuck:~$ host http://www.welca(...)lca.info is an alias for welca.info.
welca.info has address 213.194.149.36
http://www.welca.info is an alias for welca.info.
http://www.welca.info is an alias for welca.info.
welca.info mail is handled by 0 welca.info.
lukasz@chuck:~$ whois 213.194.149.36
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.(...)r/>&l t;br/>% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '213.194.149.0 - 213.194.149.255'

inetnum : 213.194.149.0 - 213.194.149.255
netname: HOSTINGLMI
descr: Rango de IPs HOSTINGLMI
country: ES
admin-c: MAMS3-RIPE
tech-c: MAMS3-RIPE
status: ASSIGNED PA
mnt-by: AS15915-MNT
source: RIPE # Filtered

person: MARCO ANTONIO MATEOS SANCHEZ
address: HOSTINGLMI
address: c/ Sepulveda, 111. 2- 2
address: 28011 Madrid
phone: +34 914643107
e-mail: marco_(at)_lomejordeinternet.net
nic-hdl: MAMS3-RIPE
mnt-by: EASYNET-ES-MNT
source: RIPE # Filtered

% Information related to '213.194.128.0/18AS8220'
<b r/>route: 213.194.128.0/18
descr: Loop Telecom Espana
origin: AS8220
mnt-by: COLT-ESPANA-MNT
source: RIPE # Filtered

% Information related to '213.194.128.0/18AS15915'
< br/>route: 213.194.128.0/18
descr: World Wide Web Ibercom, S.L.
origin: AS15915
mnt-by: AS15915-MNT
source: RIPE # Filtered

% Information related to '213.194.144.0/20AS15915'
< br/>route: 213.194.144.0/20
descr: World Wide Web Ibercom, S.L.
origin: AS15915
mnt-by: AS15915-MNT
source: RIPE # Filtered


czyli do
person: MARCO ANTONIO MATEOS SANCHEZ
address: HOSTINGLMI
address: c/ Sepulveda, 111. 2- 2
address: 28011 Madrid
phone: +34 914643107
e-mail: marco_(at)_lomejordeinternet.net
lub o jeden stołek wyżej.

To nie na http://www.welca.info jest strona fishingowa ale na http://205.234.204.137/ a nawet powiazana z tym IP jest jakas domena a wlasciwie to http://michaelsmith18.com wpisujac w wyszukiwarce nazwe tej domeny mozna nawet znalesc strony odwiedzane z tego IP. np. Estadísticas del sitio http://www.norbe(...)mith18.c om, 6, 6, 357.42 Kb, 01 Ago 2007 - 02:25. 1-1-7-6a.han.sth.bostream.se, 5, 5, 155.17 Kb, 01 Ago 2007 - 00:32 ...
http://www.norbelschool.org/awstats/ skin/zero_vote/awstats.pl?lang=es - 81k - Kopia - Podobne strony
:P

emaile mozna bardzo latwo zdobyc z forum mbanku,
a moglby ktos podac naglowki z tego maila? z jakiej domeny zostal wyslany mail?
mozna to sprawdzic w kliencie pocztowym albo na stronie po zalogowaniu jesli jest taka mozliwosc.

Delivered-To: yahuto_(at)_gmail.com
Received: by 10.114.36.9 with SMTP id j9cs688807waj;
Sat, 18 Aug 2007 00:42:12 -0700 (PDT)
Received: by 10.115.109.1 with SMTP id l1mr3942649wam.1187422931638;
Sat, 18 Aug 2007 00:42:11 -0700 (PDT)
Received-SPF: fail
Received: by 10.114.186.32 with POP3 id j32mf514038waf;
Sat, 18 Aug 2007 00:42:11 -0700 (PDT)
X-Gmail-Fetch-Info: mariusz_(at)_komisja.pl 1 komisja.pl 110 mariusz_(at)_komisja.pl
X-From_: nobody_(at)_ns32.hostinglmi.net Sat Aug 18 09:02:03 2007
Return-Path:
Delivered-To: mariusz_(at)_komisja.pl
Received: from ns32.hostinglmi.net (213.194.149.232)
by m053.home.net.pl with SMTP; Sat, 18 Aug 2007 07:02:02 -0000
Received: from nobody by ns32.hostinglmi.net with local (Exim 4.66)
(envelope-from )
id 1IMIJu-0003v4-AZ
for dane_(at)_komisja.pl; Sat, 18 Aug 2007 09:02:02 +0200
To: dane_(at)_komisja.pl
Subject: Wprowadzenie nowych zabezpieczen.
Message-ID:
From: mBank Informacje
Reply-To: mBank Informacje
Date: 18:08:2007
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-2
Content-Transfer-Enco ding: 8bit
X-AntiAbuse: This header was added to track abuse, please include it with any abuse
report
X-AntiAbuse: Primary Hostname - ns32.hostinglmi.net
X-AntiAbuse: Original Domain - komisja.pl
X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain - ns32.hostinglmi.net

hehe tez dostalem taki email, lecz ja niemam konta w mbanku

Trafiłem na kolejny adres, podszywający się pod mBank;

http://205.234.204.137 /www.mbank.com.pl/index.htm

S trona identyczna, z tym że jeszcze nie została zgłoszona w Firefox, ani i IE (brak informacji o chęci wyłudzenia danych osobowych, a tym bardziej o samym oszustwie).

Również otrzymałem podobną korespondencję. Całość opisałem na stronie http://www.pytan(...)php?stro na=28 - dodatkowo zgłosiłem witrynę z oszustwem za pomocą stosownej opcji w FF

Mało ambitna ta próba wyłudzenia. Jak ktoś myśli to nie kliknie i nie poda danych na takiej stronie, jak ktoś głupi to zapłaci od swojej głupoty podatek...

Co ciekawe jak była w serwisie możliwość wstawienia kodu html do opisu przelewu (co świadczy bardzo źle o autorze tej strony) to nikt afery nie robił, a bank tydzień zastanawiał się komu przekazać informację o dziurze.

A ja nie wiem, czy otrzymalem taka korespondencje, a nawet jakby, to i tak ich nie czytam :) nawet z banku :) Po drugie jak wszedlem na tamta strone, to firefox od razu zaalarmowal o probie wyludzenia danych :) - fajnie, jeszcze nie mialem takiego przypadku :)

Opera też bez problemu unformuje o próbie oszustwa, więc nie jest źle.