26/7/2018
Typ ataku:
Malspam
Treść:
Temat: Twoja faktura z 25 lipca 2018 r
Data: Wed, 25 Jul 2018 22:27:39 -0700Szanowny [EMAIL]
Pański numer klienta to: AM000315Wysyłamy Panu ten e-mail, by poinformować o zapłacie powiązanej z zamówieniem N°0031564 z dnia 25/07/2018 Pan wybrał płatność za pośrednictwem karty kredytowej
Pańska faktura jest dostępna na tym adresie i pozostanie do 24-godzin od rozpoczęcia ściągania
Jesteśmy dostępni od poniedziałku do piątku, od 9:00 do 19:00 na numerze widocznym na nagłówku faktury
Pozdrawiamy.
IOC:
RAYNAUD Company RAYNAUD@titan-axle.info
cousion@indiangarnestand.com
http://dextercattleforsale[.]net/faktura/?3219556
Aktualizacja 7.08.2018, 08:07
6 sierpnia wystartowało kolejne wcielenie tej kampanii:
http://mail.notwithmy[.]com/d/?2511XX
http://mail.hazednetworks[.]com/d/?7413XX
http://mail.gmorunsystem[.]com/d/?3093XX
http://mail.onlinebusinessconnections[.]com/d/?6322XX
http://mail.draftweb[.]com/d/?502582
Widzę, że nie tylko ja dostałem.
Czemu ja nigdy nie dostaje takich maili o których pisze Niebezpiecznik? :c
Tez dostałam, nawet ten sam nr zamówienia
Jakieś wyjaśnienie dla no oba? Pretty please :)
Testujemy ramke ostrzeżeń o trwających obecnie atakach (z krótkim opisem). To będzie widoczne tylko na stronie w sidebarze po prawej. Juz wiemy że zapomnieliśmy tej kategorii wyłączyć z RSS i newslettera :) poprawione!
RSS może zostawcie, chętnie bym poczytał.
Pierwszy raz dostałem maila, którym zainteresował się Niebezpiecznik, a tu taki skromny wpis? ;)
Co ciekawe, dostałem to na adres, którego praktycznie nie używam od kilku lat.
Też dzisiaj dostałem takiego maila. Nr zamówienia ten sam tylko z innego adresu. od CHARRIER Company.
A co się pod tym linkiem kryje? Bo jakoś nie miałem ochoty sprawdzać.
Spoko, ale na dzień dobry ramka od ataków powinna wylądować na samej górze sidebara i mieć pomarańczowe tło, jak aktualna wisząca tam reklama. Inaczej nikt tego nie zauważy.
Poza tym w ptr się Wam podwójne asteryksy objawiły.
Nie, na razie zostanie tam gdzie jest. A podwójne z czasem staną się pojedynczymi. To też zmiana :)
Nadal są podwójne… ;-]
Fajnie ale:
1. Wyłączenie z RSSa to błąd bo zanim dotrze do adresatów kampania dawno już się zapewne zakończy.
2. Brak nazwy hosta z którego przypełzło – istotne w większości przypadków jedynie dla postmasterów ale to oni właśnie mogą użytkownika skutecznie obronić nie dopuszczając do pojawienia się takiej wiadomości w jego skrzynce.
3. Zgłaszajcie do spamcopa otrzymane próbki – użytkownicy bardzo rzadko to robią.
Idea jest taka że chcemy tu wrzucać to co dostajemy od więcej niż 2 osób, żeby kierować na posta kolejnych którzy pytają czy tylko oni dostali. Jeśli ktoś nie przesyła nam nagłówków lub/i załącznika, to tego po prostu tu nie będzie. Głębiej analizujemy tylko wybrane, ciekawsze kampanie.
Ad.3. Użytkownikom SpamCopa może się przydać automatyzacja zatwierdzania raportów: https://github.com/Monter/spamcop.pl
W przypadku pracownika firmy mail dotarł z adresu
FROM: GIRAUD Company
a link odwołuje się do adresu http://cynuc[.]com/faktura/?8870278
No ja dostałem dzisiaj , nawet mam ten sam nr klienta:)
Co to znaczy [M] oraz [P] w tytule?
M=Malware, P=Phishing
Gramatyka treści e-maila jak zwykle awangardowa ;-)
Był też odnośnik: http://dotcomfoods.com/faktura/?5995416 nieczynny w momencie dotarcia maila (Error 404).
co należy z tym zrobić gdzie zgłosić tez dostałam z tym samym nr.klienta 000315 od Carre Company i Bonnet Company
Ja dostałam 25 lipca to samo i ten sam numer klijenta i dopiero dzis odczytałam
Serwis klienta firmy RENAUD
guillois.sylvie[maupa]orange[krapka]fr>
Temat: Twoja faktura #737331
Drogi kliencie,
Twoja faktura numer: 737331.
Wysyłamy do ciebie faktura dla potwierdzać otrzymania zapłata w wysokości 1102 zł.
Wybrałeś płatność kartą płatniczą.
Twoja, faktura jest dostępna pod tym adresem /* link do mail[,]jsi[,]biz/d/?737331 */ i zostaje tam 48 do godziny po pierwszym pobraniu.
Jesteśmy do dyspozycji od poniedziałku do soboty z 9:00 do 19:00, numer telefonu znajduje się na fakturze. /* ten sam link */
Pozdrawiamy,
Serwis klienta firmy RENAUD
A ja dostałem dziś w trochę zmienionej wersji, z załącznikiem w formacie .jse spakowanym RAR-em, rano na VT wykrywalność dopiero 3. Nazwisko i adres e-mail nadawcy wyciąłem bo wygląda na podszyw pod rzeczywistą osobę i firmę.
—
Od [..]@fakopa.pl
Temat: faktura nr 19944 FS 2018/MAG/08/2018
Dzień dobry,
dziękujemy za skorzystanie z naszych usług.
W załączniku przesyłam fakturę do złożonego zamówienia.
Pozdrawiam,
[…]
“Bemex” F.H.U.