11:26
12/10/2021

Od ponad miesiąca otrzymujemy od Was zgłoszenia w sprawie “podejrzanych” e-maili, które omijają spam a w treści posiadają — jak to określił jeden z czytelników — “kryptyczne” słowa w grupach po od 2 do 8 znaków:

W ostatnim tygodniu wysyłka takich e-maili się nasiliła. Otrzymujemy więcej zgłoszeń niż we wrześniu.

Robiłeś zakupy w Cyfrowe.pl?

E-maile wysyłane z prawdziwych, ale prawdopodobnie przejętych skrzynek na GMailu, za każdym razem do 20 odbiorców (wszystkie adresy w polu “Do”).

Wiadomości te otrzymują na pewno klienci sklepu Cyfrowe.pl. Wiemy to, dlatego, że na adres e-mail podany tylko tam wiadomość otrzymało kilka osób, które się z nami skontaktowały. Prawdopodobnie dotyczy to tych klientów, których dane wyciekły w kwietniu.

Oczywiście, wyciek z Cyfrowe to tylko jeden z wielu, z którego spamerzy pozyskali adresy e-mail. Tak więc nawet osoby, które nie kupowały nic w tym sklepie ten spam otrzymują.

Nie wpadają do spamu na GMailu

Wiadomości omijają system antyspamowy na GMailu. Mają też załącznik, którego nazwa często nawiązuje do Elona Muska z różnymi dodatkowymi słowami. Oto nazwa jednego z załączników:

BTC Elon Musk ZC60122.htm

I to właśnie w załączniku znajduje się wyjaśnienie “zagadki”:

<body onload="document.location.replace(window.atob
('aHR0cDovLzIwMjFwcm8xLmluZm8vNlRTN1o3YkM/NDQ0NjU1NzQ0MCA='));"
/>

Po rozkodowaniu adresu z Base64 otrzymujemy:

hxxp://2021pro1[.]info/6TS7Z7bC?4446557440

Strona przekierowuje na szereg różnych domen oferujących różne scamy:

Co ciekawe, sposób budowy infrastruktury pod ten atak lub reakcja niektórych dostawców usług DNS powoduje, że domeny dla niektórych (kolejnych) zapytań mogą zwrócić status DNS_PROBE_FINISHED_NXDOMAIN, co może utrudniać niewprawnym użytkownikom analizę tego, co się stało.

Dostałem kryptyczną wiadomość — co robić, jak żyć?

Oznaczyć jako spam. Zapomnieć. Samo otworzenie załącznika i przejście przez pętle przekierowań nie stanowi żadnego zagrożenia (przynajmniej dla przypadków, które analizowaliśmy). Jeśli więc kliknęliście ale nie nabraliście się na darmowe bitcoiny lub sex-portaliki, nic Wam nie grozi.

Miejmy nadzieję, że GMail szybko nauczy się rozpoznawać te wiadomości jako spam.

Przeczytaj także:

45 komentarzy

Dodaj komentarz
  1. Prawda nigdy nic nie zamawialem z Cyfrowe.pl, a juz chyba z 8 maili z tym

    • Tam samo, codziennie lub co 2 dni taki dostaję

  2. Jak zobaczyłam te maile na skrzynce to się zastanawiałam co znowu u kogo wyciekło i w moim przypadku to chyba jednak Cyfrowe.pl bo robiłam tam kiedyś zakupy.

  3. Jeden ze spamów to w moim przypadku wyciek z forum wawkom[.]waw[.]pl

    • na czym stało forum? może ktoś znalazł exploita na któryś ze skryptów.

  4. raczej z różnych wycieków, bo z cyfrowe nic nie zamawiałem, a dostaje te maile. W sumie ten adres mam z 10 lat i uzywam do rejestracji wszedzie wiec to moze być cokolwiek.

  5. BTW GMaila. K****e syny jeszcze dodają adresy do spamerskich grup Google, nazywając je np. Zombi Porn albo udostępniają pliki przez Dysk Google

  6. Dostaję minimum 1 tego rodzaju mail dziennie. Nie zamawiałem w cyfrowe.pl, a zgłaszanie jako spam w gmailu mi się znudziło po kilku dniach i szybciej to skasować, przynajmniej na komórce.

    • Te maile/skrzynki sa kasowane po wysyłce czego trzeba, spróbuj odpisać to Mailer Daemon nie dostarczy wiadomości.

  7. Pewnie jakiś masowy drivethru z ostatnich zerodayów na Chrome

  8. Póki co 5 maili na adres podany na Twitchu. Zaczęło się zaraz po jego wycieku.

    • Też mail zaraz po wycieku Twitcha na maula tam podanego.
      Ciekawe, czy Amazon poniesie konsekwencje, bo do tej pory żadnej informacji oficjalnej o wycieku na maile nie dostałem.
      Chyba, że ten punkcik w regulaminie, że nie ponoszą odpowiedzialności za wycieki ich uchroni, ale wtedy, to RODO jest do wywalenia, bo wystarczy tylko ten punkt dodać.

  9. Ja dostałem ten spam nawet na mail który był dopiero co założony a użyty tylko w kontakcie z fotografem ślubnym, żoną i grouponem do kupna pakietu.

  10. Dzisiaj i 8 października – 2 wiadomości. Cyfrowe.pl – nie mam konta ;) Dodatkowo jest lista kont “do” na które również poleciał ten spam – same konta Gmail. Po analizie nazw przed @ stwierdzam, że nie są to konta rodaków ;)

  11. Dostaje takie wiadomości notorycznie od momentu wycieku z ledgera :)

  12. Jak dostałem takiego mejla to zastanawiałem się kiedy Niebezpiecznik.pl o tym napisze i przeanalizuje. Dzięki za reakcję… Jesteście niezawodni

  13. Dostaję podobne maile, w środku znajduje się plik PDF. Po otwarciu w bezpiecznym środowisku w PDFie okazuje się być obrazek erotyczny. Poza tym schemat ten sam.

    • Warto tam zaglądać?

    • Jesli przez “obrazek erotyczny” rozumiesz k*as (zwlaszcza), to jest to troszke inny schemat niz spam opisywany tutaj – taki nazywany stalkingiem…

  14. Oznaczyłem którąś z kolei jako spam i zaczęły wpadać do spamu.

  15. Też dostalem pare takim maili. Poszły do spam. Od 3 dni cisza.

  16. U mnie dopiero teraz zaczęły przychodzić te zakodowane coś Elon Musk itp i też lądują raz w spamie raz normalnie

  17. Wydaje mi się, że to jednak baza maili z wycieku/paste “cit0day”. Dostałem takie maile, byłem w tym wycieku. Sprawdziłem na haveibeenpwned jeden z maili, który również był w polu “Do” i ten mail był pokazany tylko w wycieku Cit0day.

    • Tak, prawdopodobnie cit0day + jakieś inne, nieznane jeszcze Troy’owi Huntowi żródło.

      Poklikałem na haveibeenpwned i oto, co mi wyszło z analizy adresatów 3 maili, jakie do mnie przyszły (statystyki uwzględniają również mój adres):
      3 adresatów nie znalazło się w żadnym z wycieków na stronie haveibeenpwned (!!!)
      10 adresatów znalazło się w 1 wycieku
      4 adresatów znalazło się w 2 wyciekach
      4 adresatów znalazło się w 3 wyciekach
      8 adresatów znalazło się w 4 wyciekach
      4 adresatów znalazło się w 5 wyciekach
      3 adresatów znalazło się w 6 wyciekach
      1 adresat znalazł się w 7 wyciekach
      1 adresat znalazł się w 8 wyciekach
      1 adresat znalazł się w 9 wyciekach
      2 adresatów znalazło się w 10 wyciekach
      1 adresat znalazł się w 11 wyciekach
      1 adresat znalazł się w 12 wyciekach
      2 adresatów znalazło się w 16 wyciekach
      1 adresat znalazł się w 19 wyciekach
      1 adresat znalazł się w 21 wyciekach

      W każdym przypadku (poza wspomnianymi 3 adresatami na liście wycieków był co najmniej cit0day, czyli kolekcja iluś tam tysięcy pojedynczych wycieków oferowanych onegdaj w sklepiku z wyciekami.

      Niestety, Troy Hunt wrzucił wszystko do jednego worka z napisem cit0day i nie można sprawdzić z jakiej konkretnie strony był wyciek, wszelako jakiś inny badacz zrobił wyszukiwarkę, która zwraca domenę, w której (w ramach cit0day) był wyciek:

      https://breach.myosint.com/

      źródło (tam znalazłem link): https://inteltechniques.com/blog/2020/12/10/cit0day-search-tool/

      Adresy “z mojej listy” to adresy użytkowników z Polski/Czech/Słowacji, ale nie tylko, bo były też jakieś z USA i jakieś nieustalone (nie chciało mi się wszystkiego sprawdzać na obu stronach).

      Oczywiście sprawdzacie tam maile na własną odpowiedzialność, nie ręczę za kompletność/prawdziwość/intencje autora itp itd. Ja w ten sposób zlokalizowałem wyciek i ustaliłem, że mój mail podałem na stronie do tworzenia przekierowań www w 2012 (przed tym odkryciem podejrzewałem jeden ze sklepów internetowych jako źródło wycieku). Hasła, które podałem na tej stronie, a które zostało mi przesłane w mailu rejestracyjnym przez przyjazny serwis do tworzenia aliasów www, Troy Hunt nie zna, więc albo nie zostało złamane albo nie zostało zaimportowane poprawnie.

      Jaki alias, po co i czy w ogóle założyłem – nie udało mi się ustalić :)

    • U mnie pokazuje Esat.pl

    • Takie maile dostaje też od trzech dni mój znajomy, a po wpisaniu jego maila na haveibeenpwned zwraca, że konto nigdy nie wyciekło. W ogóle jest to starszy człowiek i maila używa od święta, ostatnio jedynie zarejestrował się i kupował coś po raz pierwszy w życiu na allegro.

  18. Pojawiło się w komentarzach słowo Ledger i u mnie by się to zgadzało

  19. Sa jeszcze podobne kryptyczne ale z randomowe stringi liter i cyfr pomieszane z cyrlica i bez plików.
    A jak zaczynam wywalac do spamow to ta cyrlica przylatuje z bardziej amerykanskich emailów.

  20. Też dostałem kilka takich maili. 2 lub 3 w ciągu dnia i wszystkie po zdekodowaniu linka wskazywały na ruskie serwery. Często też adresatami była prawie ta sama grupa maili. Na początku trochę mnie to dziwiło i wyglądało jak wymierzony atak. Ale teraz trochę to zbyt łatwe do sprawdzenia. Jak by ktoś chciał bym pomyślał, że to atak ruskich. A może ktoś chce ich oczernić? hehe ;P

  21. U mnie wpadlo na maila +cyfrowepl@gmail.com od razu poszly do spamu

  22. A u mnie wpadło po zakupach w apteka centrum lublin (+lublin[at]gmail), więc nie tylko cyfrowe

    • U mnie również apteka centrum lublin.

  23. Do mnie przyszedł 1 taki podejrzany mail, zobaczyłem go na telefonie.

    Na komputerze już go nie zobaczyłem, bo widocznie Spamassasin go oznaczył,
    a do kosza i niechcianych praktycznie nie zaglądam zbyt często.

    Moje stare konto na interii miewa tony spamu, ale w Spassasinie wszystko, co na to konto przychodzi ma punktację spamu 1 punkt, także widzę tam tylko maile z whitelisty.
    Konta na Gmailu lepiej sobie radzą ze spamem.
    Adresy moich kont Gmaila wyciekły w Dropboxie, OVH i Morele (zdaniem haveibeenpwned.com).
    Stare konto interii zaliczyło tyle wycieków, ze ich nie potrafię policzyć.

    Pozdro

  24. Od około roku codziennie dostaję na konto gmailowe kilka Spamowych emaili w tematyce kryptowalut. Oznaczyłem je wszystkie jako próba wyłudzenia informacji i nic to nie dało. Także gmail mnie rozczarował.

  25. Też dostałem te maile na gmail. Robilem zakupy ale nie w cyfrowe pl. W morele net i decatlonie już jak najbardziej

  26. Nie mam pojęcia ile tego pokasowałem…

  27. Czytam Wasze komentarze i to brzmi jak wyciek z serwerów googla…

    • Ja mam dwóch podejrzanych. Google, bo dostaje takie coś tylko na Gmail (ale tylko na jedno z kont). Inna opcja to wyciek z Allegro bo to konto wykorzystuje jedynie do tego serwisu.

  28. A czy dostał ktoś ostatnio maile z powiadomieniem od Youtube, że ktoś odpowiedział na komentarz pod filmem? Dziś dostałem dwa takie maile w odstępie ok 1.5h i nie było by w tym nic dziwnego, gdyby nie to że odpowiedzi na moje komentarze były zamieszczone z nieznanych mi dwóch kont YT i treści która była kopią innych wcześniej zamieszczonych (również z innych kont) pod danym filmem komentarzy. Z całą pewnością nie jest to normalne.

    • Mam to samo, i widzę , ze jest tego więcej. Tam gdzie zostawiłem komentarz tam jest odpowiedz przekopiowana z profilu „ Becky Rita albo Anne / go to profile/ go to my channel. No dziwne, spam botów najwidoczniej

  29. Też te maile dostaje. Póki co się nie martwiłam tym, ale dziś przyszedl mi mail o niepokojącym logowaniu z USA na moje konto microsoftu.

    • @Anna
      To była Abby z NCIS – widzialem w telewizji :p

      A bardziej na powaznie, sugeruje poszukac w internecie (np. na youtube) sceny z serialu “IT Crowd”, opisywanej jako “Fire! Fire!” po obejrzeniu ktorej przyjrzec sie jeszcze raz wlasnemu postowi…

      Ps. Dla leniwych, ktorki transkrypt:
      “Drogi Panie/droga Pani, pisze zeby poinformowac o pożarze który ma miejsce…”
      [Narrator: Zbyt officialnie]
      “Pożar! Pożar!”

  30. Swego czasu przychodziły masowo spamy z jednym linkiem do jakiegoś syfu i kilobajtami tekstu niby-naturalnego, tzn. poszczególne zdania były poprawne językowo, ale nie było między nimi logicznego powiązania. Chodziło o zneutralizowanie filtru Bayesa, co nieco polepszało score, ale inne reguły filtrowania nadal działały. Niemniej czasem takie maile nie przekraczały progu spamu, zwłaszcza na początku kampanii spamowej, kiedy adresy/domeny nie nazbierały jeszcze złej reputacji, i trafiały do głównej skrzynki.

    Ten “szyfr” ma pewnie podobny cel – zmylić filtr spamu GMaila.

    • O, i to jest bardzo sensowny watek. Fajnie bylo by gdyby istnial jakis mechanizm promujacy takie odpowiedzi wzgledem takich troszke mniej ambitnych jak naprzyklad “Nie dostaje.” od stukota ponizej… :p

  31. Nie dostaję.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: