22:38
29/11/2012

* Uwaga na fałszywe e-maile od PayPala

Czyżby powrót Armaged0na? Ta sama socjotechnika, te same narzędzia, te same domeny…


Return-Path:
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Thu, 29 Nov 2012 19:54:39 +0100
Received: from v111836.home.net.pl [188.128.132.76]
by mx4.go2.pl with ESMTP id vYKMWW;
Thu, 29 Nov 2012 19:54:39 +0100
Received-SPF: pass (mx4.go2.pl: domain of alamala@home.pl
designates 188.128.132.76 as permitted sender)
Date: Thu, 29 Nov 2012 18:41:52 -0000
Message-ID: <20121129184152.29584.qmail@home.pl>
To:
Subject: Twoje Konto PayPal Mogło Ulec Włamaniu
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
From: service@paypal.pl
Reply-To: service@paypal.pl
Cc: service@paypal.pl
X-O2-Trust: 3, 43
X-O2-SPF: pass
Drogi Użytkowniku!

Ta wiadomość została wysłana do Ciebie automatycznie.
Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie PayPal
Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
Należy udać się pod Adres http://ssl-paypal.tk
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Grupa PayPal

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

17 komentarzy

Dodaj komentarz
  1. >.tk
    On jest niemożliwy :D

    • No właśnie, poza tym zakup takiej domeny dla niego opłacałby się tylko w Tokelau (w Polsce za drogo).

  2. Wtyczka Java wymaga uruchomienia :)

    • Tu są ciekawsze rzeczy pochodzące od tego samego autora: http://stream-pro.com/

    • Whois:
      > eowsrog werooero
      > 42 paradise street
      > Macclesfield
      > PA
      > sk11 8qn
      > US
      > Phone: +1.07761261242
      > Email Address: rob-cav@live.co.uk

      Seems legit…

  3. Hmmm… dlaczego twórcy takich numerów nie robią tego porządnie? “Twoje Konto PayPal Mogło Ulec Włamaniu”… Z Pewnością Każda Firma Tak Tytułuje Swoje Maile :-). “Z Poważaniem Grupa PayPal” – a nie lepiej “Andrzej Nowak, Sekcja Intendentury Monitoringu, Dział Bezpieczeństwa i Administracji Serwisowej”? No i to “konto uległo włamaniu” a potem “aby do tego nie dopuścić”. To w końcu nie wiem – ktoś się włamał czy jednak nie? Trolować też trzeba umieć.

  4. Tu jakies smieszne domeny tk, a stronke ze swoimi hakierstwami na .com. I jak zwykle ten aplet javy… True anon normalnie!

  5. Czy ktos moglby wytlumaczyc, czemu ten email przeszedł, skoro widać w nagłówkach jakiś SPF, który teoretycznie powinien eliminować wiadomosci, ktorych nadawcy podszywaja sie pod adres w jakiejs domenie (tu paypal.pl)?

    • Wystarczy, że serwer SMTP z którego wysyła się wiadomość nie obsługuje lub ma wyłączone SPF i można łatwo to podrobić. Wiem, bo dostałem parę maili od “Blizzarda” (z adresu @battle.net) z prośbą o reaktywację konta Diablo3 gdyż łamie ono Terms Of Service/próbowano się na nie włamać (różne wersje). Problem tylko taki że nigdy tam konta nie miałem, a w Diablo3 nie grałem i nie zamierzam (nie lubię hack’n’slashy)…

    • Podczas przesylania emaila adres nadawcy podawany jest fwa razy. Pierwszy na poziomie sesji SMTP a drugi raz przy transmisji samego maila (umieszczony w naglowku). W tym przypadku widzimy tylko naglowki i nie wiemy jaki byl envelope sender. Z tego co wiem SPF sprawdza envelope nie naglowki.

  6. No coż – home.pl powoli wyrasta na globalna firme od phishingu… PS: Ciekawe co oni na to…

  7. Purro o kopercie w smtp słyszałeś? Przecież widać że nadawca na kopercie jest alamala@home.pl i mail wysłany z delegowanego serwera dla tej domeny wiec dla spf wszystko w porzadku. A we From: to cokolwiek może być przecież, nie ma znaczenia dla spf.

  8. nie to, żebym się czepiał, ale w tym newsie na linkblogu nie ma linka na zewnątrz, tylko cały news :P
    więc chyba powinien być w głównej sekcji… Chyba, że celowo nie chcecie go tym nobilitować :)

    • Ileż można pisać na głównej o kampaniach robionych na jedno kopyto? Linkujemy w pointerze, bo Ci, których security interesuje zawodowo go czytaja – więc niech mają sygnał, że Armaged0n nie śpi – ale skoro brak innowacji, to nie sądzę, że ta wiadomość nadaje sie dla “ogółu” na głównej :)

  9. Tak czy owak, ostało powiadomione Allegro, Paypal, Home.pl, administratorzy domen tk i uni.me, oraz Google. Najlepiej sobie dodać te adresy do firewalla i filtra antyspamowego. Obydwie domeny wyłudzające pochodzą z czech. http://ssl-paypal.tk – 93.170.52.31, 93.170.52.21 http://www.ssl-allegro.uni.me 82.208.40.4

  10. Ja dziś dostałem dwie takie wiadomości, że zablokowali mi facebooka , przedwczoraj dostalem dwie, że zablokowali mi allegro oraz paypal :P

  11. […] i okazuje się, że Armaged0n dokładnie czyta Niebezpiecznika i bierze sobie rady naszych czytelników do serca… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: