20:35
15/11/2012

Jeśli dostaliście dziś spam, w którym jako nadawca ustawiony był adres e-mail z domeny niebezpiecznik.pl, to mamy dla was przykrą wiadomość. Włamywacz znany jako nvm jest w posiadaniu waszego adresu e-mail i zapewne wystawił go na sprzedaż.

E-maile podszywające się pod Niebezpiecznik.pl

E-maile, które wyglądają jakby były rozsyłane z adresu w domenie @niebezpiecznik.pl (podrobiony nagłówek From:) w rzeczywistości wychodzą z serwerów OVH z konta baggus [@] android.com.pl. Ale najprawdopodobniej to także nie “baggus” jest odpowiedzialny za ich rozsyłanie, a nvm, który zapewne włamał się do serwisu android.com.pl i wykorzystał go do rozsyłania spamu z reklamą swoich usług.

Poniżej publikujemy e-mail z nagłówkami:

Delivered-To: XXX
Received: by 10.216.4.15 with SMTP id 15csp753246wei;
Thu, 15 Nov 2012 10:33:26 -0800 (PST)
Received: by 10.14.203.69 with SMTP id e45mr6211648eeo.38.1353004405910;
Thu, 15 Nov 2012 10:33:25 -0800 (PST)
Return-Path: baggus [#] android.com.pl
Received: from ns231430.ovh.net (ns231430.ovh.net. [37.59.16.225])
by mx.google.com with ESMTP id i44si29669468eeo.91.2012.11.15.10.33.25;
Thu, 15 Nov 2012 10:33:25 -0800 (PST)
Received-SPF: pass (google.com: domain of baggus [@] android.com.pl designates 37.59.16.225 as permitted sender) client-ip=37.59.16.225;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of baggus [#] android.com.pl designates 37.59.16.225 as permitted sender) smtp.mail=baggus#android.com.pl
Received: by ns231430.ovh.net (Postfix, from userid 502)
id BE52C1C00167; Thu, 15 Nov 2012 19:33:36 +0100 (CET)
To: XXX
Subject: =?utf-8?q?Nie_wiesz_co_robi_=C5=BCona=3F_Dziewczyna=3F_To_ju=C5=BC_nie_problem!?=
X-PHP-Originating-Script: 502:class_mail.php
From: “xxx@niebezpiecznik.pl” <xxx@niebezpiecznik.pl
Sender: baggus@android.com.pl
Message-ID: 20121115183336.1ea79fc56699@forum.android.com.pl
MIME-Version: 1.0
Content-Type: text/plain; charset=”utf-8″
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-Mailer: vBulletin Mail via PHP
Date: Thu, 15 Nov 2012 19:33:36 +0100 (CET)

Projekt [XXX] jest jedną wielką bazą danych elektronicznych skrzynek pocztowych do których można kupić dostęp, bądź też inne rzeczy, które oferuje nam sprzedawca.

W bazie znajdują się informacje czy szukany przez nas adres e-mail jest jeszcze dostępny oraz z kim trzeba się skontaktować w celu dalszej negocjacji. Cena oczywiście zależy głównie od tego czy do interesującego nas rekordu hasło jest “czyste”, czy też “zakodowane”.

Osoby, które chcą wystawić w/w informacje muszą się ze mną skontaktować, mój e-mail: nvm23[XXX].
Otrzymają one wówczas swoją stronę na której wyświetlone będą ich statystyki oraz informacje jak się z nimi skontaktować.

Na dzień dzisiejszy w bazie znajduje się prawie 5 000 000 adresów e-mail. Z dnia na dzień baza powiększa się o kolejne tysiące rekordów. Licznik wskazuję na prawie 70 000 wizyt od 10 czerwca 2012, będzie lepiej =)

Projekt [XXX] jest częścią większego projektu [XXX] a więc dostępny jest z poziomu [XXX] – http://XXX.onion.to

Wszystkich zainteresowanych zapraszam już teraz! Pozdrawiam, never_mind_23.

Czujemy się zaszczyceni, że atakujący przy sprzedaży swoich usług chcą wykorzystać zaufanie, jakie budzi nasz serwis — ale jesteśmy także pewni, że nikt nie uwierzy, iż Niebezpiecznik popiera handel kradzionymi bazami lub rozsyłanie spamu. Dziękujemy wszystkim, którzy poinformowali nas o tej “akcji” i przypominamy, że spoofing e-maili to nic specjalnie trudnego, a w kontekście rozsyłania spamu znany jest jako “joe-job“.

A skoro jesteśmy już przy spamie, to zachecamy do lektury postu, w którym opisaliśmy jak Niebezpiecznik.pl walczy ze spamerami i pomaga domom dziecka.

P.S. Niebezpiecznik.pl hostuje swoją pocztę na Google Apps. Oryginalne maile od nas w pierwszym nagłówku Received: zawierają serwery Google, a dodatkowo pozytywnie przechodzą weryfikację SPF.

Przeczytaj także:


36 komentarzy

Dodaj komentarz
  1. Ciekawe, czy spam poszedł właśnie do tych 5 milionów adresów… Z drugiej strony licznik w bazie wskazuje na ok. 600,000 adresów – ale może nie był aktualizowany.

  2. Jeśli to rzeczywiście wyszło od android.com.pl, to osobiście się nie dziwię. Serwer jest dziwnie skonfigurowany, da się to odczuć przy codziennej próbie używania forum. Gatewaye, timeouty, cuda i dziwy.
    Tak poza tym.. ktoś źle zinterpretował Niebiezpiecznika. :D

  3. Hoho, zaszczyt was kopnął:)

  4. Troszkę to przykre. Jakiś czas temu przeglądałem “osiągnięcia” nvm i wygląda to raczej mało imponująco. Wszystkie serwisy, z których wykradł dane stoją na przestarzałych wersjach cms do, których exploity można znaleźć za pomocą google w minutę, ewentualnie jego ofiarami padają serwisy, które za pomocą google dorks można znaleźć jeszcze szybciej.
    Kiedy firmy i ogólnie ludzie zaczną dbać o bezpieczeństwo przechowywanych danych. Mam nadzieję i pijawki przestaną pasożytować na innych.

    • A bo to taki undergroundowy script kiddie z polish homo zone w sieci Tor ;D

    • I mści się za wyciek z gay.pl

    • A to wszystko przez to, że nie opublikowali jego listu w Bravo…

  5. Czy zastosowanie podpisów dkim przez niebezpiecznik, odpowiedniego rekordu dns z polityką adsp “dkim=discardable” spowodowałoby ubicie takich maili u odbiorców sprawdzających takie sygnatury? Czy wtedy wystarczyłoby wysłać mail ze zespoofowanym from z jakiegoś serwera również podpisującego swoje maile bo defacto zostałby sprawdzony podpis i rekord dns tamtego serwisu a nie nadawcy obecnego w polu from?

  6. >> Kiedy firmy i ogólnie ludzie zaczną dbać o bezpieczeństwo przechowywanych danych.

    Zmartwię Cię, ale nigdy. Bezpieczeństwo IT to takie “cuś”, o którym ktoś słyszał, inny widział, jak ktoś inny pisał itd.

    Sorry, ale w kraju, w którym statystyczna pani Basia z księgowości “wchodzi do internetu przez gugle”, bezpieczeństwo danych to pojęcie z pogranicza religii i science-fiction i nic i nikt tego nie zmieni. Bo dla 99% użytkowników jest to abstrakcja nie do ogarnięcia.

    • Przesadzasz. Takie uogólnianie nie ma w ogóle sensu.

    • To że w tej chwili 99% tego nie łapie to kwestia braku nacisku na ten temat, a nie do ogarnięcia to podejrzewam, że dla max 25% – resztę dało by się nauczyć :-)

  7. nvm to ani osoba utalentowana ani godna podziwu

    Nadużywał sobie mocno i generalnie stacza się na dno, zarówno intelektualne jak i moralnie

    Pomijam że takie próby to śmiech na sali.

    • To prawda, że on jest narkomanem?

    • AVE…

      Taaak, a nocami gwałci nieletnie koty…
      Ale serio, to nie czepiajcie się człeka. Chce sobie dorobić, a przy tym kompensować pewne braki i deficyty parcjalne. Zgoda, znalazł głupi sposób, ale może naoglądał się tego durnego filmu “Hakerzy” i go zainspirowało?

    • AVE! “braki i deficyty”??? siegnij wczesniej po słownik wyrazów obcych, bo brak i deficyt to synonimy. Dopiero potem cytuj inne podreczniki uzywając mniej potocznych słów tłumaczących jednostki. I DOPIERO potem krytykuj innych :) Bo tak to ani nie wiadomo co chciałes powiedziec dokladnie, edukacyjne to nie jest, ani nie wyszło, a jeszcze osmieszyc sie można…

  8. A może pora na podpisy OpenPGP? ;-)

  9. dno i wodorosty az brak mi riposty.

    czy oprocz lukasza r i madzi z sosnowca ktos jeszcze lubi dymac prawo?
    bo jak narazie to sie swietnie oplaca ;]

    • Tusk.

    • A reszta z cyrku na Wiejskiej?

  10. Całkiem nie na temat: dlaczego na stronie głównej separatorem daty jest kropka “.”, natomiast w newsie ukośnik “/”?

    • 3 lata czekaliśmy, aż ktoś zada to pytanie. Przegrałem zakład.

    • A o co był zakład? ;)

    • Łooooooooooooo… faktycznie.

      Od zawsze coś mi się nie zgadzało, teraz wiem co burzy harmonię.

    • No i dlaczego to nie jest ISO 8601 vel rfc3339 ;)

    • tak nawiasem nie ma takiej daty jak 15/11/2012. W takim formacie (uzywajac “/”) powinno byc: mm/dd/yyyy

  11. Jak wyślę email spoofując adres to gmail nie poinformuje, że jest coś nie tak? Czy zawsze muszę ręcznie sprawdzać te SPF w headerach? Może można gdzieś w gmailu dodać domenę niebezpiecznik.pl i że powinne być sprawdzane SPF?

  12. jak może zarobić tanim kosztem to co się będzie wysilać…. może nie lubi się przemęczać i interesują go prawdziwe wyzwania

  13. Two-step verification, bejbe.

  14. Snejk: kocham twoją odpowiedz:*

  15. Ale w swoim SPF macie falkę, a nie minus, więc większość serwerów raczej przepuści taki e-mail.

  16. Widzę że człek ma coraz to żałośniejsze zajęcia, od “hakowania” podrzędnych stron po spoofowanie maili. Że-na-da.

  17. Czy to oznacza,ze wlamano sie i wykradziono adresy e-mail czy nvm zdobyl je w jakis inny cudowny sposob?

  18. Żły Niebezpiecznik na pewno robił śledztwo w tej sprawie, jak da namiary na nvm to tam sie przejedziemy ;)

  19. Jak się nie umie zarobić na bazach to się to robi jak nvm. Wszyscy wiedzą że jest, że wciska tak naprawdę nic szczególnego za pieniądze i jest na tyle nie pomysłowy że nie potrafi znaleźć sposobu zarobku z baz itd. Czarnej czapki Ci nie wróże nvm. Staczasz się.

  20. baggus z android.com.pl “Wiemy o tym i już się tym zajęliśmy.”

  21. Witam, Reprezentując serwis android.com.pl, chciałbym oświadczyć, iż w dniu 15 listopada 2012 roku miało miejsce włamanie, na konto jednego z administratorów forum, co przyczyniło się do rozesłania niechcianej poczty użytkownikom zarejestrowanym w serwisie. Tutaj nadmienię, iż sam skrypt vbulletin umożliwia wpisanie dowolnego adresu, który będzie widniał jako nadawca wiadomości. Informuję również, że sam proceder uzyskania dostępu do panelu administracyjnego forum, w żaden sposób nie wpłynął na kradzież nazw użytkowników oraz haseł. Konto użytkownika, z którego był rozesłany spam, wraz z logami zostało zabezpieczone. Pozdrawiam, Administrator Android.com.pl

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: