29/11/2012
Czyżby powrót Armaged0na? Ta sama socjotechnika, te same narzędzia, te same domeny…
Return-Path:
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Thu, 29 Nov 2012 19:54:39 +0100
Received: from v111836.home.net.pl [188.128.132.76]
by mx4.go2.pl with ESMTP id vYKMWW;
Thu, 29 Nov 2012 19:54:39 +0100
Received-SPF: pass (mx4.go2.pl: domain of alamala@home.pl
designates 188.128.132.76 as permitted sender)
Date: Thu, 29 Nov 2012 18:41:52 -0000
Message-ID: <20121129184152.29584.qmail@home.pl>
To:
Subject: Twoje Konto PayPal Mogło Ulec Włamaniu
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
From: service@paypal.pl
Reply-To: service@paypal.pl
Cc: service@paypal.pl
X-O2-Trust: 3, 43
X-O2-SPF: pass
Drogi Użytkowniku!
Ta wiadomość została wysłana do Ciebie automatycznie.
Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie PayPal
Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
Należy udać się pod Adres http://ssl-paypal.tk
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Grupa PayPal
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
>.tk
On jest niemożliwy :D
No właśnie, poza tym zakup takiej domeny dla niego opłacałby się tylko w Tokelau (w Polsce za drogo).
Wtyczka Java wymaga uruchomienia :)
Tu są ciekawsze rzeczy pochodzące od tego samego autora: http://stream-pro.com/
Whois:
> eowsrog werooero
> 42 paradise street
> Macclesfield
> PA
> sk11 8qn
> US
> Phone: +1.07761261242
> Email Address: rob-cav@live.co.uk
Seems legit…
Hmmm… dlaczego twórcy takich numerów nie robią tego porządnie? “Twoje Konto PayPal Mogło Ulec Włamaniu”… Z Pewnością Każda Firma Tak Tytułuje Swoje Maile :-). “Z Poważaniem Grupa PayPal” – a nie lepiej “Andrzej Nowak, Sekcja Intendentury Monitoringu, Dział Bezpieczeństwa i Administracji Serwisowej”? No i to “konto uległo włamaniu” a potem “aby do tego nie dopuścić”. To w końcu nie wiem – ktoś się włamał czy jednak nie? Trolować też trzeba umieć.
Tu jakies smieszne domeny tk, a stronke ze swoimi hakierstwami na .com. I jak zwykle ten aplet javy… True anon normalnie!
Czy ktos moglby wytlumaczyc, czemu ten email przeszedł, skoro widać w nagłówkach jakiś SPF, który teoretycznie powinien eliminować wiadomosci, ktorych nadawcy podszywaja sie pod adres w jakiejs domenie (tu paypal.pl)?
Wystarczy, że serwer SMTP z którego wysyła się wiadomość nie obsługuje lub ma wyłączone SPF i można łatwo to podrobić. Wiem, bo dostałem parę maili od “Blizzarda” (z adresu @battle.net) z prośbą o reaktywację konta Diablo3 gdyż łamie ono Terms Of Service/próbowano się na nie włamać (różne wersje). Problem tylko taki że nigdy tam konta nie miałem, a w Diablo3 nie grałem i nie zamierzam (nie lubię hack’n’slashy)…
Podczas przesylania emaila adres nadawcy podawany jest fwa razy. Pierwszy na poziomie sesji SMTP a drugi raz przy transmisji samego maila (umieszczony w naglowku). W tym przypadku widzimy tylko naglowki i nie wiemy jaki byl envelope sender. Z tego co wiem SPF sprawdza envelope nie naglowki.
No coż – home.pl powoli wyrasta na globalna firme od phishingu… PS: Ciekawe co oni na to…
Purro o kopercie w smtp słyszałeś? Przecież widać że nadawca na kopercie jest alamala@home.pl i mail wysłany z delegowanego serwera dla tej domeny wiec dla spf wszystko w porzadku. A we From: to cokolwiek może być przecież, nie ma znaczenia dla spf.
nie to, żebym się czepiał, ale w tym newsie na linkblogu nie ma linka na zewnątrz, tylko cały news :P
więc chyba powinien być w głównej sekcji… Chyba, że celowo nie chcecie go tym nobilitować :)
Ileż można pisać na głównej o kampaniach robionych na jedno kopyto? Linkujemy w pointerze, bo Ci, których security interesuje zawodowo go czytaja – więc niech mają sygnał, że Armaged0n nie śpi – ale skoro brak innowacji, to nie sądzę, że ta wiadomość nadaje sie dla “ogółu” na głównej :)
Tak czy owak, ostało powiadomione Allegro, Paypal, Home.pl, administratorzy domen tk i uni.me, oraz Google. Najlepiej sobie dodać te adresy do firewalla i filtra antyspamowego. Obydwie domeny wyłudzające pochodzą z czech. http://ssl-paypal.tk – 93.170.52.31, 93.170.52.21 http://www.ssl-allegro.uni.me 82.208.40.4
Ja dziś dostałem dwie takie wiadomości, że zablokowali mi facebooka , przedwczoraj dostalem dwie, że zablokowali mi allegro oraz paypal :P
[…] i okazuje się, że Armaged0n dokładnie czyta Niebezpiecznika i bierze sobie rady naszych czytelników do serca… […]