Phishing Mails von der FAZ?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Phishing Mails von der FAZ?

Joachim Fahrner
Kann das sein?
Habe heute eine Phishing Mail von mail.faz.net bekommen. Ähnlich wie die
hier: http://zy0.de/q/46.163.116.28

Wurde deren Mailserver gehackt?

Jochen
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Robert Schetterer-2
Am 18.06.2017 um 07:52 schrieb Joachim Fahrner:
> Kann das sein?
> Habe heute eine Phishing Mail von  bekommen. Ähnlich wie die
> hier: http://zy0.de/q/46.163.116.28
>
> Wurde deren Mailserver gehackt?
>
> Jochen



 Hi , ist noch frueh
evtl vergugg ich mich, aber mail.faz.net
gibts bei mir grade nicht und der MX von faz.net ist auch ein anderer
also wenn da was gehacked wurde hat man das system aus dem netz/dns genommen

dig mail.faz.net

; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> mail.faz.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 47764
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mail.faz.net.                  IN      A

;; AUTHORITY SECTION:
faz.net.                645     IN      SOA     dns.voerde.globvill.de.
hostmaster.globvill.de. 2017061601 86400 7200 604800 900

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Jun 18 09:06:18 CEST 2017
;; MSG SIZE  rcvd: 110


dig -t mx faz.net

; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> -t mx faz.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45921
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;faz.net.                       IN      MX

;; ANSWER SECTION:
faz.net.                900     IN      MX      110
mail-cust3.eu.lambdanet.net.
faz.net.                900     IN      MX      50 mailx.faz.net.

dig mailx.faz.net

; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> mailx.faz.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30248
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mailx.faz.net.                 IN      A

;; ANSWER SECTION:
mailx.faz.net.          900     IN      A       51.255.44.26


dig mail-cust3.eu.lambdanet.net

; <<>> DiG 9.9.5-3ubuntu0.14-Ubuntu <<>> mail-cust3.eu.lambdanet.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46613
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mail-cust3.eu.lambdanet.net.   IN      A

;; ANSWER SECTION:
mail-cust3.eu.lambdanet.net. 86400 IN   A       80.86.168.150



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Joachim Fahrner
Am 2017-06-18 09:10, schrieb Robert Schetterer:

>  Hi , ist noch frueh
> evtl vergugg ich mich, aber mail.faz.net
> gibts bei mir grade nicht und der MX von faz.net ist auch ein anderer
> also wenn da was gehacked wurde hat man das system aus dem netz/dns
> genommen

hmmm.... einen reverse pointer gibts noch

$ host 46.163.116.28
28.116.163.46.in-addr.arpa domain name pointer mail.faz.net.
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Joachim Fahrner
Am 2017-06-18 09:19, schrieb Joachim Fahrner:

> Am 2017-06-18 09:10, schrieb Robert Schetterer:
>
>>  Hi , ist noch frueh
>> evtl vergugg ich mich, aber mail.faz.net
>> gibts bei mir grade nicht und der MX von faz.net ist auch ein anderer
>> also wenn da was gehacked wurde hat man das system aus dem netz/dns
>> genommen
>
> hmmm.... einen reverse pointer gibts noch
>
> $ host 46.163.116.28
> 28.116.163.46.in-addr.arpa domain name pointer mail.faz.net.

Gut möglich, dass es mail.faz.net nie gegeben hat. Der jetzige MX heisst
mailx.faz.net und ist von OVH in Frankreich gehostet. Der mit der
Phishing Mail ist bei Host Europe gehostet. Hab grad mal meine Konfig
gecheckt und festgestellt, dass ich nur ein reject_invalid_helo_hostname
drin hatte, aber kein reject_unknown_helo_hostname. Hab das gleich mal
nachgebessert.

Jochen
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Walter H.
In reply to this post by Robert Schetterer-2
On 18.06.2017 09:10, Robert Schetterer wrote:
> dig -t mx faz.net
dig -t mx faz.de

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2 <<>> -t mx faz.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46358
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;faz.de.                                IN      MX

;; ANSWER SECTION:
faz.de.                 21600   IN      MX      45 mailserver2.faz.de.
faz.de.                 21600   IN      MX      45 mailserver1.faz.de.

;; AUTHORITY SECTION:
faz.de.                 86400   IN      NS      dns.globvill.de.
faz.de.                 86400   IN      NS      dns.voerde.globvill.de.

;; ADDITIONAL SECTION:
dns.voerde.globvill.de. 75927   IN      A       212.20.160.2
dns.voerde.globvill.de. 75927   IN      AAAA    2001:40b8::21

;; Query time: 141 msec
;; SERVER: 172.23.1.11#53(172.23.1.11)
;; WHEN: Sun Jun 18 10:50:31 2017
;; MSG SIZE  rcvd: 176


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Robert Schetterer-2
Am 18.06.2017 um 10:51 schrieb Walter H.:
> On 18.06.2017 09:10, Robert Schetterer wrote:
>> dig -t mx faz.net
> dig -t mx faz.de

um faz.de gings aber nicht ...

>
> ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2 <<>> -t mx faz.de
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46358
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
>
> ;; QUESTION SECTION:
> ;faz.de.                                IN      MX
>
> ;; ANSWER SECTION:
> faz.de.                 21600   IN      MX      45 mailserver2.faz.de.
> faz.de.                 21600   IN      MX      45 mailserver1.faz.de.
>
> ;; AUTHORITY SECTION:
> faz.de.                 86400   IN      NS      dns.globvill.de.
> faz.de.                 86400   IN      NS      dns.voerde.globvill.de.
>
> ;; ADDITIONAL SECTION:
> dns.voerde.globvill.de. 75927   IN      A       212.20.160.2
> dns.voerde.globvill.de. 75927   IN      AAAA    2001:40b8::21
>
> ;; Query time: 141 msec
> ;; SERVER: 172.23.1.11#53(172.23.1.11)
> ;; WHEN: Sun Jun 18 10:50:31 2017
> ;; MSG SIZE  rcvd: 176
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Walter H.
In reply to this post by Joachim Fahrner
On 18.06.2017 07:52, Joachim Fahrner wrote:
> Kann das sein?
> Habe heute eine Phishing Mail von mail.faz.net bekommen. Ähnlich wie
> die hier: http://zy0.de/q/46.163.116.28 
außer ein Outdated browser kommt hier nichts ...


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Phishing Mails von der FAZ?

Joachim Fahrner

Am 18.06.2017 um 12:33 schrieb Walter H.:

On 18.06.2017 07:52, Joachim Fahrner wrote:
Kann das sein?
Habe heute eine Phishing Mail von mail.faz.net bekommen. Ähnlich wie die hier: http://zy0.de/q/46.163.116.28
außer ein Outdated browser kommt hier nichts ...


Also bei mir sieht das so aus:
Screenshot
Loading...